guia de produto do mcafee enterprise security …ºdo 1 visão geral do produto 9 visão geral 9...

Guia de produto do McAfee EnterpriseSecurity Manager 11.0.0

COPYRIGHTCopyright © 2018 McAfee LLC

ATRIBUIÇÕES DE MARCAMcAfee e o logotipo da McAfee, McAfee Active Protection, ePolicy Orchestrator, McAfee ePO, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE,SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource, VirusScan são marcas da McAfee LLC ou de suas subsidiárias nos EUA e em outros países.Outras marcas podem ser declaradas propriedade de terceiros.

INFORMAÇÕES DE LICENÇAS

Contrato de LicençaAVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL, DA LICENÇA COMPRADA POR VOCÊ, QUE DEFINE OS TERMOS GERAIS E AS CONDIÇÕES DEUSO DO SOFTWARE LICENCIADO. CASO VOCÊ NÃO SAIBA QUAL O TIPO DA LICENÇA COMPRADA, CONSULTE O SETOR DE VENDAS, OUTRO SETOR RELACIONADO ÀCONCESSÃO DA LICENÇA, DOCUMENTOS DO PEDIDO QUE ACOMPANHAM O SEU PACOTE DE SOFTWARE OU DOCUMENTOS QUE TENHAM SIDO ENVIADOSSEPARADAMENTE COMO PARTE DA COMPRA (COMO UM LIVRETO, UM ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL VOCÊ FEZ ODOWNLOAD DO PACOTE DE SOFTWARE). CASO VOCÊ NÃO CONCORDE COM TODOS OS TERMOS DEFINIDOS NO CONTRATO, NÃO INSTALE O SOFTWARE. CASO SEJAAPLICÁVEL, VOCÊ PODE RETORNAR O PRODUTO PARA A MCAFEE OU PARA O LOCAL ONDE A COMPRA FOI REALIZADA PARA OBTER UM REEMBOLSO COMPLETO.

2 Guia de produto do McAfee Enterprise Security Manager 11.0.0

Conteúdo

1 Visão geral do produto 9Visão geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Recursos principais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Como funciona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Recursos do McAfee ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

2 Por onde começar 13Entrar pela primeira vez . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Personalizar a página de entrada . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Alterar o idioma dos registros de eventos . . . . . . . . . . . . . . . . . . . . . . . . . 14Alterar a exibição padrão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Definir o valor de tempo limite do console . . . . . . . . . . . . . . . . . . . . . . . . . 15Obter e adicionar credenciais de atualização de regra . . . . . . . . . . . . . . . . . . . . . 15Verificar atualizações de regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Aplicar pacotes de conteúdo predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . 16Conexão de dispositivos McAfee ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Selecione um tipo de exibição . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Gerenciar tipos de exibição personalizadas . . . . . . . . . . . . . . . . . . . . . . 17Organizar tipos de exibição personalizada . . . . . . . . . . . . . . . . . . . . . . 18

3 Proteção do McAfee ESM 19Como funciona a segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Adicionar usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Definir configurações de usuário . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Desativar ou ativar usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Configurar credenciais de usuário para o McAfee ePO . . . . . . . . . . . . . . . . . . . . . 22Configurar grupos de usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Adicionar grupos com acesso limitado . . . . . . . . . . . . . . . . . . . . . . . . . . . 25Definir autenticação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Definir segurança de entrada . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Definir segurança de senha . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Definir autenticação do RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . 28Definir autenticação de CAC . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Definir autenticação do Active Directory . . . . . . . . . . . . . . . . . . . . . . . 31Definir autenticação do LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

4 Coleta e processamento de dados 33Como funciona a coleta de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Definir configurações de coleta de dados . . . . . . . . . . . . . . . . . . . . . . 34Configurar o encaminhamento de evento . . . . . . . . . . . . . . . . . . . . . . 36Configurar filtros do encaminhamento de eventos . . . . . . . . . . . . . . . . . . . 36Configurar destinos do encaminhamento de eventos . . . . . . . . . . . . . . . . . . 37Formatos de encaminhamento de eventos . . . . . . . . . . . . . . . . . . . . . . 39Encaminhamento de eventos com formato de eventos padrão . . . . . . . . . . . . . . . 39Obter eventos e fluxos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Guia de produto do McAfee Enterprise Security Manager 11.0.0 3

Como funciona a análise de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Como o analisador avançado de syslog funciona . . . . . . . . . . . . . . . . . . . . 40Como funcionam as regras do Analisador avançado de syslog (ASP) . . . . . . . . . . . . . 47

Como funciona o enriquecimento de dados . . . . . . . . . . . . . . . . . . . . . . . . . 53Adicionar origens de enriquecimento de dados . . . . . . . . . . . . . . . . . . . . 53Adicione uma origem de enriquecimento de dados Hadoop HBase . . . . . . . . . . . . . 56Adicionar origem de enriquecimento de dados Hadoop Pig . . . . . . . . . . . . . . . . 56Adicionar enriquecimento de dados do Active Directory para nomes do usuário . . . . . . . . 57

Como a normalização funciona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Como funciona a normalização de cadeias . . . . . . . . . . . . . . . . . . . . . . 59Criar arquivos de normalização de cadeia para importar . . . . . . . . . . . . . . . . . 60Gerenciar arquivos de normalização de cadeia . . . . . . . . . . . . . . . . . . . . 60

Como funciona a agregação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Alterar as configurações de agregação de eventos e fluxos . . . . . . . . . . . . . . . . 61Adicionar exceções às configurações de agregação de evento . . . . . . . . . . . . . . . 61Alterar configurações de agregação . . . . . . . . . . . . . . . . . . . . . . . . . 62Exibir exceções de agregação de evento . . . . . . . . . . . . . . . . . . . . . . . 62

5 Correlação de dados 63Como funciona a correlação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

Adicionar pontuação de correlação de risco . . . . . . . . . . . . . . . . . . . . . . 64Adicionar um gerenciador de correlação de risco . . . . . . . . . . . . . . . . . . . . 65Adicionar um gerenciador de correlação . . . . . . . . . . . . . . . . . . . . . . . 67

Como a correlação histórica funciona . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Ativar correlação histórica . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68Exibir eventos de correlação histórica . . . . . . . . . . . . . . . . . . . . . . . . 68

Como funcionam as regras de correlação . . . . . . . . . . . . . . . . . . . . . . . . . 68Como funcionam as origens de dados de correlação . . . . . . . . . . . . . . . . . . 69Configurar regras de correlação para comparar campos de evento . . . . . . . . . . . . . 69Exemplo de regras de correlação personalizadas . . . . . . . . . . . . . . . . . . . . 70Substituir o componente da regra de correlação . . . . . . . . . . . . . . . . . . . . 71Conflitos ao importar regras de correlação . . . . . . . . . . . . . . . . . . . . . . 72Adicionar parâmetros a uma regra ou componente de correlação . . . . . . . . . . . . . 72Identificar por que a regra de correlação foi disparada . . . . . . . . . . . . . . . . . . 73Exibir eventos de origem para evento de correlação . . . . . . . . . . . . . . . . . . 73

6 Como descobrir detalhes de ameaças 75Como funciona o dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

Descrição dos componentes de exibição . . . . . . . . . . . . . . . . . . . . . . 76Abertura de exibições do dashboard . . . . . . . . . . . . . . . . . . . . . . . . 77Vincular widgets do dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . 77Adicionar exibições personalizadas do dashboard . . . . . . . . . . . . . . . . . . . 78Gerenciar exibições do McAfee ESM . . . . . . . . . . . . . . . . . . . . . . . . 79Exibir hora do evento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79Exibir detalhes da sessão . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80Exibições de fluxo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Como funcionam os filtros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81Como funcionam os filtros de cadeias . . . . . . . . . . . . . . . . . . . . . . . . 81Filtrar exibições de dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . 85Filtrar por IDs normalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . 85Filtrar por ID de conformidade. . . . . . . . . . . . . . . . . . . . . . . . . . . 86Exibições de filtro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86Exibir eventos de streaming . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

Como funcionam tipos personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . 87Criar tipos personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

Como funcionam as consultas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

Conteúdo


Gerenciar consultas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91Como funciona a comparação de valores . . . . . . . . . . . . . . . . . . . . . . 92Comparar valores de gráfico . . . . . . . . . . . . . . . . . . . . . . . . . . . 92Configurar distribuição empilhada . . . . . . . . . . . . . . . . . . . . . . . . . 92

Como funciona a pesquisa de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Pesquisar dados de log rapidamente . . . . . . . . . . . . . . . . . . . . . . . . 93Realizar uma pesquisa do ELM aprimorada . . . . . . . . . . . . . . . . . . . . . . 94Definir trabalhos de pesquisa do ELM e verificações de integridade . . . . . . . . . . . . . 95Uso de expressão regular para consultar dados do ELM . . . . . . . . . . . . . . . . . 95Usar SFTP para recuperar logs do ELM . . . . . . . . . . . . . . . . . . . . . . . 96

Como funcionam as pesquisas do McAfee Active Response . . . . . . . . . . . . . . . . . . . 96Pesquisar usando o McAfee Active Response . . . . . . . . . . . . . . . . . . . . . 97Exibir resultados da pesquisa do McAfee Active Response . . . . . . . . . . . . . . . . 98Adicionar origens de enriquecimento de dados ao McAfee Active Response . . . . . . . . . . 98

7 Resposta a ameaças 99Como funciona a ameaça cibernética . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

Acessar detalhes de ameaça . . . . . . . . . . . . . . . . . . . . . . . . . . . 100Configurar feed de ameaça cibernética do domínio . . . . . . . . . . . . . . . . . . 100Configurar gerenciamento de ameaças cibernéticas . . . . . . . . . . . . . . . . . . 101Erros no upload manual de um arquivo IOC STIX XML . . . . . . . . . . . . . . . . . 102

Como funcionam os alarmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102Responder às notificações . . . . . . . . . . . . . . . . . . . . . . . . . . . 103Exibir e gerenciar alarmes disparados . . . . . . . . . . . . . . . . . . . . . . . 104Gerenciar fila de relatórios de alarme . . . . . . . . . . . . . . . . . . . . . . . 105Criação de alarmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Como funcionam as listas de observação . . . . . . . . . . . . . . . . . . . . . . . . . 130Exibir detalhes de eventos de endereço IP . . . . . . . . . . . . . . . . . . . . . . 130Listas de observação do McAfee GTI . . . . . . . . . . . . . . . . . . . . . . . . 131Compartilhar listas de observação, relatórios e exibições . . . . . . . . . . . . . . . . 131Adicionar listas de observação . . . . . . . . . . . . . . . . . . . . . . . . . . 131Criar listas de observação de regra . . . . . . . . . . . . . . . . . . . . . . . . 134Adicionar regras a listas de observação . . . . . . . . . . . . . . . . . . . . . . . 135Criar listas de observação de ameaça de IOC . . . . . . . . . . . . . . . . . . . . . 135Adicionar listas de observação Hadoop HBase . . . . . . . . . . . . . . . . . . . . 136Criar listas de observação do McAfee Active Response . . . . . . . . . . . . . . . . . 136

Como a lista negra global funciona . . . . . . . . . . . . . . . . . . . . . . . . . . . 137Configurar uma lista negra global . . . . . . . . . . . . . . . . . . . . . . . . . 138Adicionar entradas na lista negra para o McAfee Network Security Manager . . . . . . . . . 138Gerenciar entradas de lista negra removida do McAfee Network Security Manager . . . . . . . 139

Como os casos funcionam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139Adicionar casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139Investigar casos abertos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139Casos de alteração . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140Exibir casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140Casos de e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142Gerar relatórios de gerenciamento de casos . . . . . . . . . . . . . . . . . . . . . 142

8 Backup e restauração 145Como fazer backup e restaurar trabalhos . . . . . . . . . . . . . . . . . . . . . . . . . 145Manter arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146Backup e restauração no modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . 146Fazer backup de configurações do sistema . . . . . . . . . . . . . . . . . . . . . . . . 147Fazer backup das configurações do ELM . . . . . . . . . . . . . . . . . . . . . . . . . 148Restaurar configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148Restaurar arquivos de configuração do dispositivo . . . . . . . . . . . . . . . . . . . . . . 149

Conteúdo


Recuperação de dados do ELM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

9 Ajuste da configuração 151Como funciona o McAfee Application Data Monitor . . . . . . . . . . . . . . . . . . . . . 151

Definir o fuso horário do McAfee Application Data Monitor . . . . . . . . . . . . . . . 152Exibir senha na Visualização de sessão . . . . . . . . . . . . . . . . . . . . . . . 153Gerenciar regras de seleção do McAfee Application Data Monitor . . . . . . . . . . . . . 153Sintaxe de regras do McAfee

®

Application Data Monitor . . . . . . . . . . . . . . . . . 153Tipos de termo de regra do McAfee

®

Application Data Monitor . . . . . . . . . . . . . . 156Referências de métrica de regra do McAfee

®

Application Data Monitor . . . . . . . . . . . 158Propriedades específicas de protocolo . . . . . . . . . . . . . . . . . . . . . . . 160Anomalias de protocolo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161Como funcionam os dicionários do McAfee Application Data Monitor . . . . . . . . . . . . 162

Como funciona o McAfee®

Database Event Monitor . . . . . . . . . . . . . . . . . . . . . 166Atualizar licença do McAfee Database Event Monitor . . . . . . . . . . . . . . . . . . 168Configurar o McAfee Database Event Monitor . . . . . . . . . . . . . . . . . . . . 168Definir ações para eventos do McAfee Database Event Monitor . . . . . . . . . . . . . . 169Como funcionam as regras do McAfee Database Event Monitor . . . . . . . . . . . . . . 175Como trabalhar com máscaras de dados confidenciais . . . . . . . . . . . . . . . . . 177Gerenciamento da identificação do usuário . . . . . . . . . . . . . . . . . . . . . 178Sobre servidores de banco de dados . . . . . . . . . . . . . . . . . . . . . . . . 178

Como o McAfee ePolicy Orchestrator funciona como um dispositivo . . . . . . . . . . . . . . . 181Inicie o McAfee ePO no McAfee ESM . . . . . . . . . . . . . . . . . . . . . . . . 182Atribuir marcas do McAfee ePolicy Orchestrator (McAfee ePO) a endereços IP . . . . . . . . . 182Autenticação de dispositivo McAfee ePO . . . . . . . . . . . . . . . . . . . . . . 182Aquisição de dados do McAfee Risk Advisor . . . . . . . . . . . . . . . . . . . . . 183Integração do McAfee

®

Threat Intelligence Exchange (TIE) . . . . . . . . . . . . . . . . 183Receptores de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185

Security Device Event Exchange (SDEE) . . . . . . . . . . . . . . . . . . . . . . . 185Reinicialize os receptores secundários de alta disponibilidade . . . . . . . . . . . . . . 186Redefinir dispositivos de alta disponibilidade . . . . . . . . . . . . . . . . . . . . . 186Alternar funções do receptor de alta disponibilidade . . . . . . . . . . . . . . . . . . 186Substituir receptores com falha . . . . . . . . . . . . . . . . . . . . . . . . . . 187Exibir estatísticas de taxa de transferência do Receiver . . . . . . . . . . . . . . . . . 187

Dispositivos de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188Configurar a comunicação com o ELM . . . . . . . . . . . . . . . . . . . . . . . 188Definir lista de log padrão . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188Gerenciar registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189Exibir os registros de mensagens e as estatísticas do dispositivo . . . . . . . . . . . . . 189Exibir logs do sistema ou do dispositivo . . . . . . . . . . . . . . . . . . . . . . . 190

Como dispositivos virtuais funcionam . . . . . . . . . . . . . . . . . . . . . . . . . . 190Adicionar dispositivos virtuais . . . . . . . . . . . . . . . . . . . . . . . . . . 191

Como funcionam as configurações de mensagem . . . . . . . . . . . . . . . . . . . . . . 192Conectar servidor de e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . 192Gerenciar destinatários de mensagem . . . . . . . . . . . . . . . . . . . . . . . 193Gerenciar grupos de e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . 193Definir configurações do servidor Remedy . . . . . . . . . . . . . . . . . . . . . . 193

Gerenciamento de interfaces de rede . . . . . . . . . . . . . . . . . . . . . . . . . . 194Configurar interfaces de rede . . . . . . . . . . . . . . . . . . . . . . . . . . 195Adicionar VLANs e aliases . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196Adicionar rotas estáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197Definir configurações de rede . . . . . . . . . . . . . . . . . . . . . . . . . . 197Configurar o controle de tráfego de rede . . . . . . . . . . . . . . . . . . . . . . 199Configurações de rede para portas IPMI . . . . . . . . . . . . . . . . . . . . . . 199Configurar a porta IPMI no McAfee ESM ou nos dispositivos . . . . . . . . . . . . . . . 200Configurar o controle de tráfego de rede . . . . . . . . . . . . . . . . . . . . . . 200

Conteúdo


Trabalhar com nomes de host . . . . . . . . . . . . . . . . . . . . . . . . . . 201Configurar o protocolo DHCP (Dynamic Host Configuration Protocol) . . . . . . . . . . . . 202Coleta da Camada 7 no McAfee Network Security Manager . . . . . . . . . . . . . . . 203

Origens de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203Localize os clientes de origem de dados . . . . . . . . . . . . . . . . . . . . . . 203Mover origens de dados para outro sistema . . . . . . . . . . . . . . . . . . . . . 204Migrar origens de dados para outros receptores . . . . . . . . . . . . . . . . . . . 205Importar uma lista de origens de dados . . . . . . . . . . . . . . . . . . . . . . 205

Como a avaliação de vulnerabilidade funciona . . . . . . . . . . . . . . . . . . . . . . . 206Obtenha as credenciais do McAfee Vulnerability Manager . . . . . . . . . . . . . . . . 206Executar varreduras do McAfee Vulnerability Manager . . . . . . . . . . . . . . . . . 207Definir perfis de sistema de VA para eEye REM . . . . . . . . . . . . . . . . . . . . 207Adicionar origens de VA . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208Recuperar dados de VA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211

Como funcionam o SNMP e o MIB . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212SNMP e MIB da McAfee . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212Como as interceptações do SNMP funcionam com origens de dados . . . . . . . . . . . . 216Definir configurações do SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . 217Definir interceptação SNMP para notificação de queda de energia . . . . . . . . . . . . . 218Configurar notificações SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . 218Efetue pull da MIB do McAfee ESM . . . . . . . . . . . . . . . . . . . . . . . . 219

Configurações gerais de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . 220Encontrar detalhes específicos do dispositivo . . . . . . . . . . . . . . . . . . . . 220Instalar um certificado SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . 221Gerar chave SSH novamente . . . . . . . . . . . . . . . . . . . . . . . . . . . 222Gerenciar vários dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . 222Gerenciar URLs de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . 222Sincronizar dispositivos com o McAfee ESM . . . . . . . . . . . . . . . . . . . . . 223Iniciar, interromper, reinicializar ou atualizar um dispositivo . . . . . . . . . . . . . . . 223Parar a atualização automática da árvore de sistemas do McAfee ESM . . . . . . . . . . . 223Definir perfis para informações comuns e comandos remotos . . . . . . . . . . . . . . 224Excluir nós de dispositivo duplicados . . . . . . . . . . . . . . . . . . . . . . . . 224Mascarar endereços IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224Fazer upgrade de dispositivos primários ou redundantes . . . . . . . . . . . . . . . . 225Gerenciar consultas de tarefa . . . . . . . . . . . . . . . . . . . . . . . . . . 225Ajudar a hora do sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226Common Event Format (CEF) . . . . . . . . . . . . . . . . . . . . . . . . . . . 228

10 Gerenciamento de ativos 231Como o Gerenciador de ativos funciona . . . . . . . . . . . . . . . . . . . . . . . . . 231

Gerenciar ativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232Definir ativos antigos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234Gerenciar origens de ativos . . . . . . . . . . . . . . . . . . . . . . . . . . . 234Gerenciar ameaças conhecidas . . . . . . . . . . . . . . . . . . . . . . . . . . 236Gerenciar origens de avaliação de vulnerabilidade . . . . . . . . . . . . . . . . . . . 236Gerenciamento de zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239Configurar grupos de benchmark . . . . . . . . . . . . . . . . . . . . . . . . . 242Ativo, ameaça e avaliação de risco . . . . . . . . . . . . . . . . . . . . . . . . . 242

Como funciona o Scorecard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243Configurar o Scorecard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244Configurar exibições de Scorecard executivo . . . . . . . . . . . . . . . . . . . . . 244Filtrar dados do Scorecard . . . . . . . . . . . . . . . . . . . . . . . . . . . 245Relatar dados do Scorecard . . . . . . . . . . . . . . . . . . . . . . . . . . . 245

11 Definição de políticas e regras 247Como as regras e políticas do McAfee ESM funcionam . . . . . . . . . . . . . . . . . . . . 247

Conteúdo


Gerenciar políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248Configurar trilhas de auditoria do banco de dados . . . . . . . . . . . . . . . . . . . . . . 249Como funcionam as variáveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249

Gerenciar variáveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250Detectar anomalias do protocolo TCP e sequestro de sessão . . . . . . . . . . . . . . . 251

Tipos de regras do McAfee ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251Regras do McAfee Application Data Monitor . . . . . . . . . . . . . . . . . . . . . 252Regras de origem de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . 267Regras de filtragem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268Gerenciar regras de rastreamento de transação . . . . . . . . . . . . . . . . . . . . 269Regras de eventos do Windows . . . . . . . . . . . . . . . . . . . . . . . . . . 270

Definir excesso de assinaturas do pacote . . . . . . . . . . . . . . . . . . . . . . . . . 270Exibir o status de atualização de política . . . . . . . . . . . . . . . . . . . . . . . . . 270Como trabalhar com regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270

Gerenciar regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271Importar regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272Importar variáveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272Regras de exportação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272Filtrar regras existentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273Exibir assinaturas de regra . . . . . . . . . . . . . . . . . . . . . . . . . . . 274Recuperar atualizações de regra . . . . . . . . . . . . . . . . . . . . . . . . . 274Limpar status de regra atualizada . . . . . . . . . . . . . . . . . . . . . . . . . 275Comparar arquivos de regra . . . . . . . . . . . . . . . . . . . . . . . . . . . 275Exibir o histórico de alterações de regra . . . . . . . . . . . . . . . . . . . . . . 276Atribuir marcas a regras ou ativos . . . . . . . . . . . . . . . . . . . . . . . . . 276

Definir ações de substituição para regras obtidas por download . . . . . . . . . . . . . . . . . 276Níveis de gravidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277

Definir pesos de gravidade . . . . . . . . . . . . . . . . . . . . . . . . . . . 278Exibir histórico de alteração de política . . . . . . . . . . . . . . . . . . . . . . . . . . 278Distribuir alterações de política . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278Ativar Copiar pacote para regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279

12 Uso de relatórios do McAfee ESM 281Como funcionam os relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281

Adicionar relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281Adicionar layouts de relatório . . . . . . . . . . . . . . . . . . . . . . . . . . 282Adicionar componentes de imagem a relatórios . . . . . . . . . . . . . . . . . . . 283Incluir imagens em PDFs e relatórios . . . . . . . . . . . . . . . . . . . . . . . . 283Adicionar condições de relatório . . . . . . . . . . . . . . . . . . . . . . . . . 283Exibir nomes de host em um relatório . . . . . . . . . . . . . . . . . . . . . . . 284Definir o mês inicial para os relatórios trimestrais . . . . . . . . . . . . . . . . . . . 284Exibir relatórios de resumo do dispositivo . . . . . . . . . . . . . . . . . . . . . . 284Relatórios de status de integridade do dispositivo . . . . . . . . . . . . . . . . . . . 284

Conteúdo


1 Visão geral do produto

Conteúdo Visão geral Recursos principais Como funciona Recursos do McAfee ESM

Visão geralA solução McAfee Security Information Event Management (SIEM) fornece visibilidade em tempo real paratodas as atividades em seus sistemas, redes, bancos de dados e aplicativos.

A solução é composta pelos seguintes componentes:

• McAfee® Enterprise Security Manager (McAfee ESM) - serve como base da solução SIEM da McAfee efornece:

• Alertas, relatórios, exibições, regras e dashboards centrados no analista.

• Configurações predefinidas (chamadas de pacotes de conteúdo) para casos de uso de segurança comuns(como alarmes, exibições, relatórios, variáveis e listas de observação)

• Dashboards, trilhas de auditoria e relatórios predefinidos para estruturas globais de normas e controle

• Relatórios de conformidade, regras e dashboards personalizáveis

• McAfee® Event Receiver - coleta, analisa e normaliza grandes quantidades de dados brutos de segurança

• McAfee® Enterprise Log Manager (ELM) - fornece armazenamento de longo prazo de logs brutos para fins deconformidade

• McAfee Enterprise Log Search (ELS) - fornece acesso rápido a logs brutos para fins forenses

• McAfee® Advanced Correlation Engine (McAfee® ACE) - correlaciona dados analisados para identificartendências e atividades suspeitas

• McAfee® Application Data Monitor (ADM) - monitora dados da sessão sete de camada não criptografadapara identificar atividades suspeitas em nível de aplicativo e protocolo

• McAfee® Database Event Monitor - monitora e rastreia transações de banco de dados para identificaratividades suspeitas que acontecem na comunicação do banco de dados na rede

1


Recursos principaisO McAfee ESM fornece desempenho, inteligência acionável e integração de soluções na velocidade e escalanecessárias para as organizações de segurança. Você pode rapidamente priorizar, investigar, reagir a ameaçasocultas e atender aos requisitos de conformidade.

Os principais recursos do McAfee ESM incluem:

• Alertas, relatórios, exibições, regras e dashboards centrados no analista.

• Pacotes de conteúdo com configurações predefinidas (por exemplo, conjuntos de regras, alarmes, gatilhos,correção automática, exibições, relatórios, variáveis e listas de observação) para casos de uso comuns desegurança

• Dashboards, trilhas de auditoria e relatórios predefinidos para estruturas globais de normas e controle

• Relatórios de conformidade, regras e dashboards personalizáveis

• Capacidade para enriquecer eventos com informações contextuais (por exemplo, soluções de privacidade;dados sobre ameaças e feeds de reputação; e sistemas de gerenciamento de identidade e acesso)

• Agregação e correlação históricas ou quase em tempo real de informações de ameaça suspeita ouconfirmada em relação aos dados de evento

• Capacidade de coletar dados de dispositivos de fornecedor de segurança de terceiros e feeds de inteligênciacontra ameaças

• Acesso rápido ao armazenamento de longo prazo de dados de evento

• Arquitetura flexível de dados que coleta e correlaciona eventos de log de vários anos

• Consultas sob demanda, análise forense, validação de regras e conformidade

Como funcionaO diagrama abaixo mostra o fluxo de trabalho do McAfee ESM.

1 A ameaça entra na sua organização.

2 O McAfee Event Receiver coleta dados e eventos de dispositivos de segurança, bancos de dados, redes,sistemas e aplicativos.

3 O McAfee Event Receiver coleta dados brutos.

4 O McAfee Event Receiver analisa (ou extrai) dados em partes e relações com base em suas regras de sintaxeespecíficas.

5 O McAfee Event Receiver normaliza (ou alinha) valores coletados em uma escala comum e usa paraidentificar ameaças conhecidas.

6 A McAfee Advanced Correlation Engine (McAfee ACE) correlaciona (ou identifica) padrões nas informaçõespara identificar possíveis ameaças de segurança.

7 Você, o analista, pode usar o dashboard do McAfee ESM, alarmes, listas de observação, casos e relatóriospara monitorar e identificar ameaças.

8 Use o Data Exchange Layer (DXL), o McAfee Advanced Threat Defense (ATD) e o McAfee®

Threat IntelligenceExchange (TIE) para identificar a ameaça.

9 Use o McAfee ePolicy Orchestrator para reagir à ameaça de maneira imediata e automática.

1 Visão geral do produtoRecursos principais


Recursos do McAfee ESMMaximize sua competência em McAfee ESM conectando-se a esses recursos.

• McAfee Connect - catálogo de pacotes de conteúdo

• Referência de configuração de origem de dados

• Portal de suporte

Visão geral do produtoRecursos do McAfee ESM 1


https://www.mcafee.com/us/products/mcafee-connect/catalog.aspx

https://docs.mcafee.com/bundle/enterprise-security-manager-data-sources-configuration-reference-guide-unmanaged/page/GUID-4066BDD5-5386-4645-BF7F-B1450CF2666B.html

https://support.mcafee.com

1 Visão geral do produtoRecursos do McAfee ESM


2 Por onde começar

Conteúdo Entrar pela primeira vez Personalizar a página de entrada Alterar o idioma dos registros de eventos Alterar a exibição padrão Definir o valor de tempo limite do console Obter e adicionar credenciais de atualização de regra Verificar atualizações de regras Aplicar pacotes de conteúdo predefinidos Conexão de dispositivos McAfee ESM

Entrar pela primeira vezDepois de instalar e configurar os dispositivos, você pode entrar no console do McAfee ESM pela primeira vez.

Tarefa1 Abra um navegador da Web no computador cliente e vá para o endereço IP que você definiu ao configurar a

interface de rede.

2 Digite o nome de usuário e senha padrão e selecione o idioma do sistema.

• Nome de usuário padrão: NGCP

• Senha padrão: security.4u

3 Clique em Entrar e leia o Contrato de licença do usuário final. Em seguida, clique em Aceitar.

4 Altere o nome de usuário e senha e clique em OK.

Ao usar o IPMI, não use estes caracteres especiais em sua senha: `~!@#$%^&*()[]\{}|;':"<>

5 Selecione se deseja ativar o modo FIPS.

Se o modo FIPS for necessário, ative-o na primeira vez que você entrar no sistema para que todas as futurasoperações com dispositivos da McAfee sejam feitas nesse modo. Ative o modo FIPS apenas quando fornecessário, porque depois que ele for ativado não será possível desfazer essa ação.

6 Siga as instruções para obter o nome de usuário e senha, que são necessários para acessar as atualizaçõesde regras.

2


7 Defina a configuração inicial do McAfee ESM:

a Selecione o idioma que será usado para os logs do sistema.

b Selecione o fuso horário no qual o McAfee ESM está e o formato de data a ser usado nessa conta, depoisclique em Avançar.

c Defina as configurações nas páginas do assistente de Configuração do ESM.

8 Clique em OK.

9 Ao concluir a sessão de trabalho, saia usando um destes métodos:

• Se nenhuma página estiver aberta, clique em Sair na lista suspensa do canto superior direito da página.

• Se houver páginas abertas, feche o navegador.

Personalizar a página de entradaPersonalize suas configurações de impressão e de entrada, edite links de dispositivos do sistema e defina asconfigurações de um servidor de e-mail do Remedy.

A seleção de um logotipo personalizado não terá efeito.

Tarefa

1 Para exibir Configurações personalizadas, siga um destes procedimentos:

• No dashboard, clique em e selecione Propriedades do sistema | Configurações personalizadas.

• Na árvore de navegação do sistema, clique em e selecione Configurações personalizadas.

2 Siga um destes procedimentos:

• Para adicionar texto personalizado (por exemplo, políticas de segurança da empresa) na tela de entrada,digite o texto na caixa na parte superior da página e selecione a caixa de seleção Incluir texto na tela deentrada.

• Selecione se deseja atualizar a árvore de sistemas automaticamente (a cada cinco minutos) e atualizar aárvore de sistemas na atualização.

• Para alterar os links de URL de qualquer dispositivo do sistema, clique em Links do dispositivo.

• Para definir configurações do servidor de e-mail Remedy, clique em Remedy.

• Para definir o mês inicial para exibições e relatórios trimestrais, selecione o mês na lista suspensa.

Alterar o idioma dos registros de eventosAo entrar no McAfee ESM pela primeira vez, selecione o idioma para logs de eventos, como o log do monitor deintegridade e o log de dispositivos. É possível alterar essa configuração de idioma.

Tarefa


• No dashboard, clique em e selecione Propriedades do sistema | Gerenciamento do ESM.

• Na árvore de navegação do sistema, clique em e selecione Gerenciamento do ESM.

2 Por onde começarPersonalizar a página de entrada


2 Clique em Localidade do sistema, selecione um idioma na lista suspensa e clique em OK.

Alterar a exibição padrãoDefina a exibição padrão que você vê quando entra pela primeira vez no McAfee ESM. Você pode alterar essaexibição padrão para qualquer uma das exibições predefinidas ou personalizadas do McAfee ESM.

Tarefa1 No console do McAfee ESM, clique em Opções | Exibições.

2 Na lista suspensa Exibição do sistema padrão, selecione a nova exibição padrão e clique em OK.

Definir o valor de tempo limite do consoleDefina o tempo que as sessões atuais no console do McAfee ESM podem permanecer abertas sem atividade.

Tarefa1 Siga um destes procedimentos:

• No dashboard, clique em e selecione Propriedades do sistema | Segurança de entrada.

• Na árvore de navegação do sistema, clique em e selecione Segurança de entrada.

2 Em Valor de tempo limite da interface do usuário, selecione quantos minutos devem passar sem atividade eclique em OK.

Se você selecionar zero (0), o console permanecerá aberto indefinidamente.

Obter e adicionar credenciais de atualização de regraO McAfee ESM fornece atualizações de políticas, analisadores e regras como parte do seu contrato demanutenção. Você tem 30 dias de acesso antes de solicitar suas credenciais permanentes.

Tarefa1 Obtenha suas credenciais enviando uma mensagem de e-mail para [email protected] incluindo as

seguintes informações:

• ID de concessão da McAfee

• Nome da conta

• Endereço

• Nome de contato

• Endereço de e-mail de contato

Por onde começarAlterar a exibição padrão 2


2 Ao receber seu ID de cliente e senha da McAfee, siga um destes procedimentos:

• No dashboard, clique em e selecione Propriedades do sistema | Informações do sistema | Atualização deregras.

• Na árvore de navegação do sistema, clique em e selecione Informações do sistema | Atualização deregras.

3 Clique em Credenciais e digite a ID de cliente e senha.

4 Clique em Validar.

Verificar atualizações de regrasA McAfee atualiza constantemente assinaturas de regras usadas para examinar o tráfego de rede. Você podefazer download de atualizações de regras automaticamente ou manualmente no servidor da McAfee.

Tarefa1 No dashboard do McAfee ESM, clique em e selecione Configuração.

2 Na árvore de navegação do sistema, selecione McAfee ESM e clique no ícone Propriedades .

3 Clique em Atualização de regras.

4 Selecione uma destas opções:

• Intervalo de verificação automática para configurar o sistema para que verifique atualizaçõesautomaticamente com a frequência que você selecionar.

• Verificar agora para verificar atualizações agora.

• Atualização manual para atualizar as regras de um arquivo local.

5 Clique em OK.

Aplicar pacotes de conteúdo predefinidosQuando ocorrer uma situação de ameaça específica, responda imediatamente importando e instalandopacotes de conteúdo relevantes, que contêm regras de correlação, alarmes, exibições, relatórios, variáveis elistas de observação orientadas por caso de uso para lidar com atividades de ameaça específicas. Economizetempo usando pacotes de conteúdo em vez de desenvolver ferramentas internas.

Antes de iniciarVerifique se você tem as seguintes permissões:

• Gerenciamento de sistemas

• Administração de usuários

Se você tiver personalizado elementos do pacote de conteúdo, a atualização poderá sobrescreveros elementos personalizados.

2 Por onde começarVerificar atualizações de regras


Tarefa1 Vá para o McAfee Connect Catalog. Procure os pacotes de conteúdo disponíveis e baixe o desejado.

2 No dashboard do McAfee ESM, clique em e selecione Configuração.


4 Clique em Pacotes de conteúdo.

5 Clique em Procurar.

6 Procure na lista e selecione o pacote de conteúdo desejado.

Clique no nome ou descrição para ver os detalhes sobre esse pacote de conteúdo. Clique na caixa de seleçãopara selecionar o pacote de conteúdo para instalação.

7 Clique em Instalar.

8 Conclua as etapas de pós-instalação listadas nos detalhes do pacote de conteúdo.

Conexão de dispositivos McAfee ESM

Conteúdo Selecione um tipo de exibição Gerenciar tipos de exibição personalizadas Organizar tipos de exibição personalizada

Selecione um tipo de exibiçãoSelecione a maneira que deseja exibir os dispositivos na árvore de navegação do sistema.

Antes de iniciarCrie tipos de exibição personalizada.

Tarefa1 No painel de navegação do sistema, clique na seta suspensa no campo tipo de exibição.

2 Selecione um dos tipos de exibição.

A organização dos dispositivos na árvore de navegação é alterada a fim de refletir o tipo selecionado para asessão atual de trabalho.

Gerenciar tipos de exibição personalizadasDefina a organização dos dispositivos na árvore de navegação do sistema usando os tipos de exibiçãopersonalizados.


2 No painel de navegação do sistema, clique na seta suspensa de tipo de exibição.

Por onde começarConexão de dispositivos McAfee ESM 2


https://www.mcafee.com/us/products/mcafee-connect/catalog.aspx


• Clique em Adicionar exibição.

• Clique no ícone Editar.

4 Selecione as configurações para o tipo de exibição personalizado.

Organizar tipos de exibição personalizadaÉ possível usar grupos em um tipo de exibição personalizada para organizar os dispositivos em agrupamentoslógicos.

Antes de iniciarCertifique-se de que um tipo de exibição personalizada foi criado.


2 No painel de navegação do sistema, clique na lista suspensa de tipos de exibição e selecione a exibiçãopersonalizada.

3 Selecione a exibição personalizada e siga um destes procedimentos:

• Clique em um sistema ou nó de grupo e, em seguida, no ícone Adicionar grupo . Preencha os campos eclique em OK. Arraste e solte os dispositivos na exibição para adicioná-los ao grupo.

Se o dispositivo fizer parte de uma árvore de exibição, o sistema criará um nó duplicado de dispositivo.Em seguida, você pode excluir a duplicação na árvore de sistemas.

• Altere as propriedades selecionando o grupo e clicando no ícone Propriedades .

• Selecione o grupo e clique no ícone Excluir grupo . O sistema excluirá o grupo e os dispositivos daexibição personalizada, mas não do sistema.

2 Por onde começarConexão de dispositivos McAfee ESM


3 Proteção do McAfee ESM

Conteúdo Como funciona a segurança Adicionar usuários Definir configurações de usuário Desativar ou ativar usuários Configurar credenciais de usuário para o McAfee ePO Configurar grupos de usuários Adicionar grupos com acesso limitado Definir autenticação

Como funciona a segurançaAdicione usuários e grupos ao McAfee ESM, seus dispositivos, suas políticas e os privilégios associados.

Quando está no modo FIPS, o McAfee ESM inclui Usuário, Usuário avançado, Administração de chave e certificado eAdministração de auditoria. Quando não está no modo FIPS, o McAfee ESM inclui Administrador do sistema eUsuário geral.

O McAfee ESM lista:

• Usuários: nomes de usuários, o número de sessões abertas no momento para cada usuário e os grupos aosquais pertencem.

• Grupos: nomes de grupos e os privilégios atribuídos a cada um.

Classifique as tabelas clicando em Nome de usuário, Sessões ou Nome do grupo.

Privilégios de grupo

Quando você configurar grupos, defina os privilégios que se aplicam a todos os membros do grupo.

Se você selecionar Limitar acesso deste grupo na página Privilégios de Adicionar grupo (Propriedades do sistema |Adicionar grupo), o acesso a esses recursos será limitado.

• Barra de ferramentas de ações: os usuários não podem acessar o gerenciamento de dispositivos, ogerenciamento de vários dispositivos ou o Visualizador de streaming de eventos.

• Alarmes: os usuários do grupo não têm acesso a destinatários, arquivos ou modelos de gerenciamento dealarme. Eles não podem criar, editar, remover, ativar ou desativar alarmes.

• Gerenciador de ativos e Editor de políticas: os usuários não podem acessar nenhum desses recursos.

• Gerenciamento de casos: os usuários podem acessar todos os recursos, exceto Organização.

3


• ELM: os usuários podem realizar pesquisas aprimoradas do ELM, mas não podem salvá-las nem acessar aspropriedades do dispositivo ELM.

• Filtros: os usuários não podem acessar as guias de filtro Normalização de cadeia, Active Directory, Ativos,Grupos de ativos ou Marcas.

• Relatórios: os usuários somente podem executar um relatório que envia o resultado por e-mail para eles.

• Propriedades do sistema: os usuários podem acessar somente Relatórios e Listas de observação.

• Listas de observação: os usuários não podem adicionar uma lista de observação dinâmica.

• Zonas: os usuários somente podem exibir zonas às quais eles têm acesso em sua lista de zonas.

Adicionar usuáriosAdicione usuários ao sistema para que eles tenham acesso ao McAfee ESM, seus dispositivos, políticas eprivilégios associados. Depois de adicionadas, as configurações do usuário podem ser editadas ou removidas.

Antes de iniciarVerifique se você tem privilégios de Administração de usuário.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do sistema | Usuários e Grupos.

2 Insira sua senha e clique em OK.

3 Na seção Usuários, clique em Adicionar e preencha as informações solicitadas.

Opção Definição

Nome de usuário Digite o nome do usuário. Se você estiver usando configurações de CAC, o nome dousuário é o EDI-PI de 10 dígitos do usuário.

Alias do usuário (Opcional) Insira um alias se você não desejar que o nome de usuário fique visível. Sevocê estiver usando configurações de CAC, ele poderá ser o nome de usuário.

Senha Clique em Definir senha, insira uma senha exclusiva para a conta, confirme-a e cliqueem OK.

3 Proteção do McAfee ESMAdicionar usuários


Opção Definição

Função (somenteno modo FIPS)

Selecione uma função para o usuário. As opções são:• Usuário : você não pode adicionar usuários a um grupo com privilégios de Usuário

avançado.

• Usuário avançado: esses usuários são administradores do sistema para todos os finsda UCAPL (Unified Capabilities Approved Products List), mas podem não ter todosos privilégios de um administrador do sistema. Essa função é necessária para queum usuário seja atribuído a um grupo que contenha qualquer um destesprivilégios:

• Gerenciamento de sistemas • Adicionar/excluir políticas

• Administração de usuários • Regras personalizadas e variáveis

• Administração de políticas • Lista negra global

• Administração de chave e certificado: essa função é exigida para a execução dequalquer função de gerenciamento de chave. Um usuário com essa função nãopode ser adicionado a um grupo com privilégios de Usuário avançado.

• Administração de auditoria: essa função é exigida para a configuração dos logs. Umusuário com essa função não pode ser adicionado a um grupo com privilégios deUsuário avançado.

Direitos deadministrador(não disponível emmodo FIPS)

Selecione se você deseja que o usuário tenha privilégios de administrador. Oadministrador do sistema pode conceder privilégios a usuários gerais criando gruposde acesso e atribuindo usuários a esses grupos. O administrador do sistema é oúnico usuário que tem acesso a todas as áreas do sistema, incluindo a área deusuários e grupos.

Desativar conta Selecione se deseja bloquear o acesso do usuário à sua conta no McAfee ESM.

Endereço de e-mail Adicione o endereço de e-mail do usuário, que é opcional a menos que o usuárioreceba notificações de relatório ou alarme.• Se o endereço de e-mail já estiver no sistema, selecione-o na lista suspensa

Endereço de e-mail.

• Se o endereço não estiver no sistema, clique em Endereço de e-mail e adicione oendereço ao sistema.

SMS móvel Adicione o endereço do usuário para mensagem de texto (SMS).• Se o número de mensagem de texto (SMS) já estiver no sistema, selecione-o na

lista suspensa SMS móvel.

• Se o endereço não estiver no sistema, clique em SMS móvel e adicione o endereçoao sistema.

O usuário é membrode

Selecione os grupos do qual o usuário deve ser membro.

4 Clique em OK e digite sua senha novamente.

Os usuários são adicionados ao sistema com privilégios atribuídos aos grupos a que pertencem. Os nomes deusuário aparecem na seção Usuários da página Usuários e grupos. Há um ícone ao lado de cada nome do usuárioindicando se a conta está ativada ou não. Se um usuário tiver privilégios de administrador, um ícone diferente

aparece ao lado do nome.

Proteção do McAfee ESMAdicionar usuários 3


Definir configurações de usuárioDefina configurações de usuário, como fuso horário, formato da data, senha e exibição padrão.

Antes de iniciarCaso você pretenda definir exibições específicas para o usuário, verifique se existem exibições dodashboard.

Tarefa1 No dashboard, clique na lista suspensa de ID do usuário e em Opções.

2 Selecione Configurações de usuário e selecione configurações para o usuário específico:

• Selecione o fuso horário e o formato de data do usuário.

• Altere a senha do usuário seguindo os critérios indicados.

• Selecione para que a exibição padrão seja exibida quando o sistema for aberto.

• Escolha se deseja mostrar as origens de dados desativadas na Árvore de sistemas, no painel Alarmes eno painel Casos.

3 Selecione Exibições e selecione exibições padrão para o usuário específico:

• Opte por atualizar exibições automaticamente e indique a frequência para atualizar a exibição.

Se o tempo de atualização mínimo for definido para menos de 10 minutos para vários usuários, issopoderá afetar o desempenho do McAfee ESM.

• Selecione a exibição do sistema padrão, a exibição Resumo de evento e a exibição Resumo de fluxo.

Desativar ou ativar usuáriosBloqueie (desative) ou permita (ative) o acesso do usuário permanentemente ou temporariamente semexcluí-lo como usuário do McAfee ESM.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do sistema | Usuários e Grupos.

2 Na tabela Usuários, destaque o nome do usuário e clique em Editar.

3 Selecione ou desmarque Desativar conta e clique em OK.

O ícone ao lado do nome do usuário em Usuários e Grupos reflete o status da conta.

Configurar credenciais de usuário para o McAfee ePOConfigure as credenciais do usuário para limitar o acesso a um dispositivo McAfee ePO.

Antes de iniciarVerifique se o dispositivo McAfee ePO está configurado e não requer autenticação de usuárioglobal.

3 Proteção do McAfee ESMDefinir configurações de usuário


Tarefa1 No dashboard, clique no nome de usuário e em Opções.

2 Selecione Credenciais do ePO.

3 Exiba os dispositivos McAfee ePO no McAfee ESM.

• Se for exibido o status Opcional, o dispositivo será configurado para autenticação do usuário global.

• Se for exibido o status Sem credenciais, o dispositivo será configurado para exigir autenticação do usuárioindividual.

• Para alterar a configuração da autenticação do usuário, vá para o dispositivo McAfee ePO, Propriedades,clique em Conectar e altere a configuração no campo Requer autenticação do usuário.

4 Selecione um dispositivo e clique em Editar.

5 Digite o nome de usuário e senha e teste a conexão.

Configurar grupos de usuáriosDefina as configurações de grupo, como os privilégios, políticas e acesso aos dispositivos, relatórios e dados dealarme. Em seguida, qualquer usuário que faz parte do grupo herda as configurações de grupo.

Antes de iniciarVerifique se você tem privilégios de administração de usuário.

Tarefa1 Na árvore de navegação do sistema, clique em Propriedades do sistema | Usuários e grupos, e digite sua senha.

2 Selecione os privilégios para esse grupo. Apenas o criador do item pode alterar as permissões dos itenspersonalizados que são somente leitura.

Opção Definição

(Exibiçõessomente) Herdarpermissões da pastapai

(Padrão) Se você não quiser que esse privilégio seja herdado, desmarque essa opção.

(Relatórios e listasde observaçãosomente) Herdarconfigurações demodificação

(Padrão) Os usuários herdam os privilégios. Desmarque essa opção se desejar alteraras configurações padrão.

Proteção do McAfee ESMConfigurar grupos de usuários 3


Opção Definição

Guia Grupos Indique os grupos com acesso aos itens selecionados. Você pode selecionar Somenteleitura, Modificar ou nenhuma das opções. Se não selecionar nenhuma delas, o grupoterá direitos de negação. Se você selecionar Modificar, Somente leitura seráselecionado automaticamente.Um pseudogrupo chamado Padrão é exibido para usuários Mestre ou Administrativo.Os grupos criados posteriormente terão esse privilégio.

Guia Usuários Lista todos os usuários aos quais você tem acesso, com base nos grupos aos quaisvocê pertence. Indique os usuários que precisam ter acesso aos itens selecionados.Você pode selecionar Somente leitura, Modificar ou nenhuma das opções. Se nãoselecionar nenhuma delas, o usuário terá direitos de negação. Se você selecionarModificar, Somente leitura será selecionado automaticamente.

Os direitos de usuário têm precedência em relação aos direitos de grupo. Porexemplo, se um usuário receber somente acesso de Leitura ao recurso, mas seugrupo receber acesso de Modificar, o usuário poderá somente Ler os itensselecionados.

É possível adicionar usuários à lista ou removê-los.

1 Clique em Adicionar, clique nos usuários e, em seguida, clique em OK.

2 Para cada usuário, selecione Ler ou Modificar e, sem seguida, clique em OK.

Se um usuário não estiver na lista, o sistema usará os direitos do grupo desseusuário. Se um usuário estiver na lista, mas as opções Ler ou Modificar não estiveremmarcadas, o usuário terá direitos de negação explícitos para o recurso.

3 Proteção do McAfee ESMConfigurar grupos de usuários


3 À direita da tabela Grupos, clique em Adicionar e forneça as informações solicitadas em cada guia.

Opção Definição

Nome e descrição Digite um nome para o grupo e uma descrição.

Usuários Selecione os usuários para fazerem parte do grupo.

Privilégios Selecione os privilégios associados a esse grupo.

Dispositivos Selecione os dispositivos que os usuários podem acessar. Se você selecionartodos os dispositivos, os usuários também terão acesso a novos dispositivosquando eles forem adicionados ao sistema.

Políticas Selecione as políticas que os usuários podem usar e alterar.

Filtros de endereço IP Aplique filtros de endereço IP ao grupo para limitar os dados que os usuáriosvisualizam quando executam relatórios ou selecionam usuários comodestinatários do relatório ou alarme.

Zonas Selecione as zonas que os usuários podem acessar e alterar.

Encaminhamento deeventos

Selecione os destinos de encaminhamento de e-mail que este grupo podeacessar: Isso define os dispositivos dos quais um usuário pode encaminhareventos, e os filtros que especificam os tipos de eventos que podem serencaminhados.

Se um destino de encaminhamento de eventos não pertencer a um grupo deacesso, ele terá acesso a todos os dispositivos.

Restrições de horáriopara o grupo

Limite os dias e horários em que esse grupo pode acessar o McAfee ESM. Osusuários receberão uma notificação visual de que a sessão está prestes a expirar15, 5 e 1 minuto antes do fim do tempo.

Relatórios Selecione os relatórios que esse grupo pode ver e alterar. Também é possívelselecionar grupos ou usuários com os quais compartilhar os relatórios.

Exibições Selecione as exibições que os usuários desse grupo podem ver e alterar. Tambémé possível compartilhar a visibilidade com outros usuários e grupos.

Listas de observação Selecione as listas de observação que os usuários desse grupo podem ver ealterar. Também é possível compartilhar a visibilidade com outros usuários egrupos.

Filtros Selecione os conjuntos de filtros que os usuários desse grupo podem ver ealterar.

Se você selecionar mais de uma exibição, lista de observação ou relatório, uma caixa de seleção na colunaLer ou Modificar da guia Grupos ou Usuários indicará que há um conflito. Não é possível salvar e fechar apágina até que o conflito seja resolvido. Para resolver a configuração de todos os itens selecionados, cliquena caixa de seleção.

4 Clique em OK e digite sua senha novamente.

Adicionar grupos com acesso limitadoPara restringir o acesso de usuários específicos a recursos do McAfee ESM, crie grupos que incluam essesusuários. Essa opção limita o acesso a alarmes, gerenciamento de casos, ELM, relatórios, listas de observação,

Proteção do McAfee ESMAdicionar grupos com acesso limitado 3


gerenciamento de ativos, editor de políticas, zonas, propriedades do sistema, filtros e a barra de ferramenta deações. Todos os outros recursos são desativados.

Tarefa1 Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades .

2 Clique em Usuários e grupos e digite a senha do sistema.


• Se o grupo já estiver configurado, selecione-o na tabela Grupo e clique em Editar.

• Se você estiver adicionando um grupo, clique em Adicionar ao lado da tabela Grupos, preencha o nome ea descrição, e selecione os usuários.

4 Clique em Privilégios e selecione Limitar acesso deste grupo.

A maioria dos privilégios é desativada.

5 Na lista de privilégios restantes, selecione os privilégios que você deseja atribuir ao grupo.

6 Clique em cada guia e defina o resto das configurações do grupo.

Definir autenticação

Conteúdo Definir segurança de entrada Definir segurança de senha Definir autenticação do RADIUS Definir autenticação de CAC Definir autenticação do Active Directory Definir autenticação do LDAP

Definir segurança de entradaDefina as configurações de segurança de entrada, como o número de tentativas de entrada em um períodoespecífico, quanto tempo o sistema pode ficar inativo, configurações de senha e se deseja mostrar a última IDde usuário na entrada.

Tarefa1 No dashboard do McAfee ESM, clique em e selecione Propriedades do sistema.

2 Clique em Segurança de entrada.

3 Proteção do McAfee ESMDefinir autenticação


3 Defina as opções na guia Padrão e clique em OK ou em Aplicar.

4 Clique em OK ou em Aplicar.

Opção Definição

Tentativas de entradacom falha permitidas

Especifique quantas entradas malsucedidas consecutivas são permitidas em umaúnica sessão. Um valor igual a 0 significa que infinitas tentativas de entrada sãopermitidas.Se esse número for excedido na quantidade de tempo especificada, o sistemabloqueará a conta. O administrador do sistema deve desbloqueá-la usando aconta Usuários e grupos.

Você não pode bloquear a conta principal.

Período de tentativas deentrada com falha

Defina o período de tentativas de entrada com falha sucessivas (entre 0 e 1.440minutos).

Esse campo funciona com Tentativas de entrada com falha permitidas. Quando onúmero de tentativas com falha permitidas for atingido em um períodoespecífico, o sistema bloqueará a conta de destino. Ela permanecerá bloqueadapelo período que você especificar no campo Duração do bloqueio para entrada comfalha ou até que seja desbloqueada pelo administrador do sistema.

Duração do bloqueiopara entrada com falha

Especifique o período para bloquear uma conta se ela se autobloquear devido afalhas de entrada. O valor máximo é 1.440 minutos; 0 significa que não é possívelautodesbloquear. Depois desse tempo, a conta é desbloqueadaautomaticamente. Isso não afeta as contas que foram bloqueadas manualmente.Os administradores podem desbloquear a conta a qualquer momento.

O sistema sempre desbloqueia automaticamente o acesso de usuário principal.Se você definir esse período como zero (0), o sistema temporariamentebloqueará o acesso de usuário principal durante cinco (5) minutos.

Valor de tempo limite dainterface do usuário

Especifique o período decorrente sem atividade até que a sessão atual sejaforçada para a tela de entrada. Um valor igual a 0 significa que não há limite.Por exemplo, se você definir esse valor como 30 minutos, a tela de entradaaparecerá automaticamente após 30 minutos de inatividade, forçando o usuárioa entrar novamente para retomar as atividades.

Bloquearautomaticamente contasinativas após

Configure o McAfee ESM para bloquear contas de usuários sem direitos deadministrador após um número específico de dias de inatividade.

O valor máximo é 365 dias; o mínimo é 0, que desativa o recurso. O bloqueiodura até que um administrador desbloqueie a conta.

Sessões ativas porusuário

Defina o número de sessões ativas que um único usuário pode ter por vez. Omáximo é 10; 0 desativa a restrição.

Mostrar última ID deusuário na entrada

Selecione se você deseja que o campo de nome de usuário seja preenchido como nome usado na última entrada bem-sucedida.

Configurações de ACL Selecione se você deseja configurar uma lista de endereços IP que podemacessar o sistema ou que estão bloqueados pelo sistema.

Definir segurança de senhaDefina configurações de segurança para senhas de usuário.

Antes de iniciarVerifique se você tem privilégios de administrador do sistema.

Proteção do McAfee ESMDefinir autenticação 3




3 Clique na guia Senhas, selecione as opções desejadas e clique em Aplicar ou OK.

Opção Definição

Requerer senhaavançada

Identifique os requisitos de senha, no mínimo:• 15 caracteres

• 2 números

• 2 símbolos ou sinais de pontuação

• 2 letras minúsculas

• 2 letras maiúsculas

• Não pode incluir 4 ou mais caracteres repetidos consecutivos

O sistema não aceita senhas que não atendem a esses requisitos.

Expiração de senha Especifique com que frequência os usuários devem alterar suas senhas (0 a 365dias). Se for selecionada a opção 0, a senha não expirará.

Notificação anterior àexpiração da senha

Selecione quantos dias antes da expiração das senhas os usuários devem sernotificados para alterar as senhas (30-1).

Período de cortesiapara expiração dasenha

Selecione o período em que o usuário ainda poderá entrar após a expiração dasenha. Após o período de cortesia, a conta será bloqueada e deverá serdesbloqueada pelo administrador.

Entradas durante operíodo de cortesia

Selecione quantas vezes o usuário poderá entrar no período especificado após aexpiração da senha. Após as entradas de cortesia, o sistema bloqueará a conta, quesó poderá ser desbloqueada pelo administrador.

Contagem de históricode senha

Designe se deseja armazenar o histórico de senha e quantas senhas armazenarpara cada usuário (entre 0 a 100 senhas).Se definida como 0, o sistema não armazenará o histórico de senhas.

O sistema verifica o histórico de senhas existente quando os usuários alteram assenhas.

Se a senha não for exclusiva, o sistema exibirá um erro e não atualizará a senha. Sea senha for exclusiva, o sistema a alterará e adicionará uma entrada de histórico. Seo limite de armazenamento for atingido, o sistema excluirá a senha mais antiga.

Restringir alteraçõesde senha uma vez acada

Defina a frequência com que os usuários podem alterar senhas. Por exemplo, sevocê selecionar 12, os usuários não poderão alterar as senhas mais de uma vez acada 12 horas.

Definir autenticação do RADIUSConfigure o McAfee ESM para autenticar usuários para um servidor RADIUS.

Antes de iniciar

O RADIUS está fora de conformidade com FIPS. Se for necessário cumprir as normas FIPS, não usea autenticação do RADIUS.





3 Selecione a guia RADIUS e, em seguida, preencha os campos para o servidor primário, como endereço IP,porta do servidor e segredo compartilhado (por exemplo, senha) para o servidor RADIUS. Ter um servidorsecundário é opcional. Depois, clique em OK ou em Aplicar.

Quando o servidor é ativado, todos os usuários, exceto o administrador do sistema, fazem autenticação como servidor RADIUS. Se você desativar a autenticação, os usuários que estão configurados para autenticaçãocom o RADIUS não poderão acessar o McAfee ESM.

Definir autenticação de CACDefina como fazer autenticação no McAfee ESM usando credenciais do CAC (Common Access Card) pelonavegador em vez de inserir um nome de usuário e senha. As configurações do CAC contêm certificados clienteque identificam o usuário, semelhante ao modo como um certificado de servidor identifica sites. Antes deativar o CAC, identifique quais navegadores oferecem suporte a CAC, e o EDI-PI (Electronic Data InterchangePersonal Identifier) associado a CACs.

Antes de iniciarO ActivClient é o único middleware CAC compatível com Windows. Para usar a autenticação do CACno McAfee ESM do Windows usando o Internet Explorer, você deve instalar o ActivClient nocomputador cliente. Depois de instalado, o sistema usará o ActivClient para gerenciar ascredenciais do CAC em vez do gerenciador de cartão inteligente no Windows. Trabalhe com oadministrador do sistema para confirmar se ActivClient foi instalado em seu ambiente.

Quando conta com a validação do CAC para autenticidade de aplicativos, a segurança do sistema ficadependente da segurança da Autoridade de Certificação (CA). Caso a CA esteja comprometida, as entradascompatíveis com CAC também ficarão comprometidas. Para configurar a entrada no CAC, você deve fazerupload dos certificados raiz de autoridade de certificação, ativar a entrada no CAC e ativar um usuário do CACdefinindo o nome de usuário como o FQDN (Nome distinto totalmente qualificado) do proprietário do cartão.Os proprietários do cartão podem acessar o McAfee ESM em um navegador compatível com CAC sem precisarinserir o nome de usuário ou a senha.

O McAfee ESM oferece suporte aos leitores de cartão Gemalto e Oberthur ID One.

Tarefa1 Faça upload do certificado raiz de autoridade de certificação.

a No Painel de controle do computador, clique em Opções da Internet | Conteúdo | Certificados |Autoridades de certificação raiz confiáveis.

b Selecione sua CA raiz, depois clique em Exportar.

c No Assistente para exportar certificado, clique em Avançar, depois selecione X.509 codificado com base 64 eclique em Avançar.

d Insira o local e o nome do arquivo que você está exportando, clique em Avançar, depois clique emConcluir.

e Na árvore de navegação do sistema do console do McAfee ESM, acesse Propriedades do sistema, clique emSegurança de entrada e selecione a guia CAC.

f Clique em Fazer upload, depois procure o arquivo que você exportou e faça upload dele no McAfee ESM.





4 Clique em Segurança de entrada, em seguida, selecione a guia CAC .

Opção Definição

O Modo CAC estáatualmente definidocomo

Selecione o modo CAC (Common Access Card). As opções são:

• DESLIGADO: esta é a configuração padrão. A entrada no CAC está desativada, logo,os usuários precisam entrar usando o prompt de entrada do McAfee ESM.

• OPCIONAL: a autenticação por CAC está disponível, mas se o usuário não fornecerum certificado, o prompt de entrada do McAfee ESM será exibido como se o modoCAC estivesse desligado.

• OBRIGATÓRIO: somente entradas compatíveis com CAC podem acessar o sistema.O prompt de entrada nunca é exibido. Se você selecionar essa opção, insira umcódigo PIN de segurança em Código PIN de segurança do modo necessário (IPv4). Esse éo código PIN que você inserirá no painel LCD se precisar alternar o modo CAC paraOPCIONAL caso todos os usuários fiquem bloqueados do sistema. O painel LCDreconhece o código PIN no formato IPv4 (10.0.0.0).

Como os certificados e as autoridades de certificação expiram, o modo OBRIGATÓRIOpode bloquear todos os usuários do McAfee ESM. Um botão de segurança contrafalhas está localizado no painel LCD na parte frontal do McAfee ESM. Ele reverte omodo CAC novamente para OPCIONAL.

Credenciais docertificado

Faça upload da cadeia de certificados raiz de autoridade de certificação para que oMcAfee ESM tenha acesso a eles. Você pode exibir o arquivo de certificado ou fazerdownload do arquivo em um local selecionado.

Lista de revogaçãode certificados

Listas de revogação de certificados (CRL) identificam quais certificados são revogados.Você pode fazer upload manual de um arquivo .zip com arquivos CRL.

Faça upload da lista de certificados que foram revogados ou faça download doscertificados em um local selecionado.

Instalaragendamento derecuperação

Configure um agendamento de recuperação automático digitando o endereço do URLe a frequência com que o McAfee ESM sonda se há atualizações do arquivo derevogações.

5 Ative cada um dos usuários de CAC.

a Em Propriedades do sistema, clique em Usuários e grupos e insira a senha do sistema.

b Na tabela Usuários, destaque o nome de usuário e clique em Editar.

c Substitua o nome no campo Nome de usuário pelo FQDN.

d (Opcional) Insira o nome de usuário no campo Alias do usuário.



Definir autenticação do Active DirectoryConfigure como o McAfee ESM autentica usuários (exceto o administrador do sistema) com o Active Directory.Se você desativar a autenticação, os usuários que estão configurados para autenticação pelo Active Directorynão poderão acessar o sistema.

Antes de iniciar• Configure o Active Directory para o McAfee ESM.

• Crie um grupo com o mesmo nome do grupo do Active Directory que tem acesso ao McAfeeESM. Por exemplo, se você der o nome Usuários da McAfee ao grupo, deverá adicionar um grupochamado Usuários da McAfee.



3 Clique na guia Active Directory e selecione Ativar autenticação do Active Directory.

4 Clique em Adicionar para configurar a conexão do Active Directory. Em seguida, clique em OK.

Opção Definição

Usar comopadrão

Selecione se você deseja usar esse domínio como padrão.

Nome dedomínio

Digite o nome de domínio.

Ao entrar no sistema, use esse nome de domínio como nome de usuário. Se você entrarusando seu nome de usuário, o sistema usará o domínio designado como padrão.

BotãoAdicionar

Adicione endereços IP usados para o Active Directory.• Servidor de administração: selecione se esse for o endereço para o servidor de

administração. Caso contrário, desmarque essa opção.

Um dos endereços inseridos deve identificar o host em que o servidor do administradorestá em execução.

• Endereço IP: digite o endereço IP do Active Directory.

• Porta e Porta LDAP: altere os padrões, se necessário.

• Usar TLS: selecione para usar o protocolo de criptografia TLS para os dados.

Definir autenticação do LDAPConfigure o McAfee ESM para autenticar usuários em um servidor LDAP.



3 Clique na guia LDAP.



4 Ative a autenticação do LDAP.

Quando essa opção estiver ativada, todos os usuários, exceto o administrador do sistema, deverão fazer aautenticação com o servidor LDAP. Se a autenticação estiver desativada, os usuários que estão configuradospara autenticação do LDAP não poderão acessar o sistema.

5 Preencha os campos e clique em Aplicar ou OK.

Opção Definição

Ativar Se você desejar que todos os usuários, exceto o administrador do sistema, façamautenticação com o servidor LDAP, selecione Ativar. Se a autenticação fordesativada, os usuários que estão configurados para autenticação LDAP nãopoderão acessar o sistema.

Endereço IP Digite o endereço IP do servidor LDAP.

Porta Altere a porta para o servidor, se necessário.

Usar TLS ou Usar SSL Selecione se desejar usar um protocolo de criptografia para os dados.

Nome do domínio base Digite o domínio para que as credenciais sejam verificadas.

Atributo do grupo Atributo em que as informações do grupo do usuário são armazenadas. Em geral,esse campo não precisa ser alterado.

Filtro do grupo Filtro usado para coletar informações do grupo. Você pode incluir ou excluir gruposespecíficos dos resultados da pesquisa.

Filtro de usuários Filtro usado para coletar informações do usuário. Você pode incluir ou excluirusuários específicos dos resultados da pesquisa.



4 Coleta e processamento de dados

Conteúdo Como funciona a coleta de dados Como funciona a análise de dados Como funciona o enriquecimento de dados Como a normalização funciona Como funciona a agregação

Como funciona a coleta de dadosO McAfee Event Receiver permite que você colete e normalize dados de eventos e fluxos em uma únicaexibição fácil e gerenciável de vários fornecedores.

Os tipos de dados coletados incluem:

• Eventos: atividades registradas por dispositivos como resultados das regras do sistema.

• Fluxos: registros de conexões feitas entre endereços IP, em que pelo menos um deles está em HOME_NET.

• Logs: registros de eventos que ocorrem em seus dispositivos.

Os eventos e fluxos têm endereços IP de origem e de destino, portas, endereços MAC (Media Access Control),um protocolo e um primeiro e último horário.

Entretanto, existem várias diferenças entre eventos e fluxos:

• Como os fluxos não indicam tráfego anômalo ou malicioso, eles são mais comuns do que os eventos.

• Os eventos são associados à assinatura de regra (SigID); os fluxões não são.

• Os fluxos não são associados a ações de eventos, como alertas, descartes e rejeições.

• Os fluxos têm dados exclusivos, como bytes de origem e destino e pacotes de origem e destino.

Bytes e pacotes de origem indicam o número de bytes e pacotes transmitidos pela origem do fluxo. Bytes epacotes de destino indicam o número de bytes e pacotes transmitidos pelo destino do fluxo.

• Os fluxos têm direção: os fluxos de entrada se originam fora da HOME_NET. Os fluxo de saída se originamdentro da HOME_NET.

Use exibições do dashboard para ver eventos e fluxos gerados pelo sistema. Os logs são listados em Log dosistema ou Log do dispositivo acessados na página Propriedades do sistema ou de cada dispositivo.

4


Definir configurações de coleta de dadosDefina como os dispositivos McAfee ESM coletam dados de evento, fluxo e log.


• Administrador de políticas e Gerenciamento de dispositivos ou

• Administrador de políticas e Regras personalizadas

Você pode selecionar para verificar eventos, fluxos e logs automaticamente ou pode verificá-los manualmente.A taxa em que você deve fazer a verificação depende do nível de atividade do sistema e da frequência com quevocê deseja receber atualizações de status. Você também pode especificar quais dispositivos verificam cadatipo de informação e definir as configurações de limite de inatividade para dispositivos gerenciados peloMcAfee ESM.

4 Coleta e processamento de dadosComo funciona a coleta de dados



2 Na árvore de navegação do sistema, selecione o dispositivo e clique no ícone Propriedades .

• Os dispositivos McAfee Application Data Monitor e McAfee Event Receiver coletam eventos, fluxos e logs.

Clique em Eventos, fluxos e logs.

• Os dispositivos do McAfee ACE e do McAfee Database Event Monitor coletam eventos e logs.

Clique em Eventos e logs.

• Os dispositivos do McAfee Enterprise Log Manager e do McAfee Enterprise Log Search coletam logs.

Clique em Logs.

3 Defina as configurações de conjunto de dados (que variam de acordo com o dispositivo), depois clique emAplicar.

Opção Definição

Atualização automáticade regras

Se o McAfee ESM automaticamente fizer download de regras do servidor de regras,selecione essa opção para distribuir regras obtidas por download para o dispositivoselecionado.

Download automático... Selecione para verificar eventos, fluxos ou logs automaticamente. McAfeeEnterprise Log Manager

Obter... Selecione para verificar eventos, fluxos ou logs no momento.

Definir intervalo detempo de pull de dadosdiário

Agende um horário diário no qual o McAfee ESM efetuará pull de dados de cadadispositivo e quando cada dispositivo envia dados para o McAfee Enterprise LogManager.

Agende um horário que evite usar a rede em horários de pico, deixando a largurade banda disponível para outros aplicativos. Essa opção pode atrasar a entrega dedados, então determine se o atraso é aceitável em seu ambiente.

O agendamento de evento, fluxo e coleta de dados de log pode resultar em perdade dados.

Gerar eventos devulnerabilidade

Selecione para adicionar eventos que correspondem aos dados de origem deavaliação de vulnerabilidade e gerar um alerta no McAfee ESM local. Aspropriedades da política no Editor de políticas são iguais para todos esses eventos enão podem ser alteradas (por exemplo, a gravidade será sempre 100).

Último evento ouProcesso de downloadde fluxo

Verifique quando os eventos ou fluxos foram recuperados pela última vez nodispositivo, se o processo foi bem-sucedido e o número de eventos ou fluxosrecuperados.

Último registro dedownload de evento,cadeia ou fluxo

Verifique a data e a hora do último registro de evento, cadeia ou fluxo recuperado.A alteração desse valor permite definir a data e a hora a partir de quando oseventos, as cadeias ou os fluxos serão recuperados. Por exemplo, se você inserir 13de novembro de 20xx às 10:30 No campo Último registro de download de evento,clique em Aplicar e em Obter eventos. O McAfee ESM recuperará eventos ocorridosno dispositivo desde esse horário até o momento.

Coleta e processamento de dadosComo funciona a coleta de dados 4


Opção Definição

Configurações deinatividade

Defina os limites de inatividade dos dispositivos para que o sistema notifiquequando esses dispositivos não receberem eventos ou fluxos durante o períodoespecificado.Se o limite definido for atingido, um sinalizador de status de integridade amareloaparecerá ao lado do nó do dispositivo na árvore de navegação do sistema.

Localização geográfica A Geolocalização fornece a localização geográfica dos computadores conectados àInternet. O Número do Sistema Autônomo (ASN) é um número atribuído a umsistema autônomo que identifica cada rede exclusivamente na Internet.O McAfee ESM coleta a localização geográfica de origem e destino e os dados deASN para identificar os locais físicos das ameaças.

Defina se deseja armazenar a localização geográfica e os dados do ASN para cadadispositivo.

Configurar o encaminhamento de eventoO Encaminhamento de eventos permite enviar eventos do McAfee ESM para outro dispositivo ou recurso peloSyslog ou SNMP (se ativado). Defina o destino, inclua o pacote e ofusque os dados de endereço IP. É possívelfiltrar dados do evento antes que sejam encaminhados.

O número de destinos de encaminhamento de eventos em uso, em conjunto com a taxa e o número de eventosque o McAfee ESM recupera, podem afetar o desempenho geral do McAfee ESM.



3 Clique em Encaminhamento de eventos.

4 Na página Destinos de encaminhamento de evento, selecione Adicionar, Editar ou Remover.

5 Se você optou por adicionar ou editar um destino, defina as configurações.

6 Clique em Aplicar ou em OK.

Configurar filtros do encaminhamento de eventosConfigure filtros para limitar os dados de eventos encaminhados para um syslog ou servidor SNMP no McAfeeESM.

Antes de iniciarPara configurar um filtro de dispositivo, verifique se você tem permissão para acessar osdispositivos no filtro.






4 Clique em Adicionar e depois em Filtros de evento.

5 Preencha os campos de filtro e clique em OK.

Opção Definição

Dispositivo Clique no ícone de filtro , selecione o dispositivo para filtragem e clique em OK.

IP de destino Digite um endereço IP de destino individual (161.122.15.13) ou uma faixa de endereçosIP (192.168.0.0/16) para filtragem.

Porta de destino Digite a porta de filtro; somente uma é permitida.

Protocolo Digite o protocolo de filtro; somente um é permitido.

IP de origem Digite um endereço IP de origem individual ou uma faixa de endereços IP parafiltragem.

Tipo de dispositivo Clique no ícone de filtro, selecione um máximo de 10 tipos de dispositivo e clique emOK.

ID normalizada Selecione os IDs normalizados para filtragem.

Gravidade Para filtrar por gravidade de um evento, selecione Maior ou igual a e um número degravidade entre 0 e 100.

Configurar destinos do encaminhamento de eventosAdicione um destino de encaminhamento de eventos ao McAfee ESM para encaminhar dados de evento a umsyslog ou servidor SNMP.






4 Clique em Adicionar e preencha as informações necessárias.

Opção Definição

Nome Insira um nome para o destino.

Ativado Selecione para ativar o encaminhamento de eventos para este destino.

Usar perfil de sistema Selecione esta opção para usar um perfil existente ou clique em Usar perfil de sistemapara adicionar um.

Formato Selecione o formato na lista suspensa. Consulte Agentes de encaminhamento deeventos para ver uma lista detalhada dos agentes e as informações contidas nospacotes.

Endereço IP dedestino

Digite o endereço IP de destino do syslog.

Porta de destino Selecione a porta de destino de escuta do syslog.

Protocolo Escolha entre os protocolos de transporte UDP ou TCP. UDP é o protocolo de base dosyslog padrão. Os pacotes enviados via syslog por TCP são formatados exatamentecomo suas contrapartes UDP, inclusive recurso, gravidade e mensagem. A únicaexceção é um caractere de nova linha (código de caractere ASCII 10) anexado ao finalda mensagem.

Ao contrário do UDP, que é um protocolo sem conexão, uma conexão TCP deve serestabelecida entre o McAfee ESM e o servidor que escuta os eventos encaminhados.Se não for possível estabelecer uma conexão ou se a conexão for interrompida, oMcAfee ESM rastreará o último evento encaminhado com êxito. Em seguida, tentaráestabelecer conexão novamente. Quando a conexão é restabelecida, o McAfee ESMretoma o evento que estiver sendo encaminhado de onde parou.

Se você selecionar UDP, não poderá selecionar SSH ou TLS no campo Modo.

Recurso Selecione o recurso dos pacotes syslog.

Gravidade Selecione a gravidade dos pacotes syslog.

Formato de hora Selecione o formato de hora para o cabeçalho do encaminhamento de eventossyslog. Se você selecionar Legado, o formato será o mesmo que nas versõesanteriores à 9.3.0, ou seja, GMT. Se você selecionar Padrão, poderá selecionar umfuso horário.

Fuso horário Se você selecionou Padrão, selecione o fuso horário a ser usado ao enviar logs deencaminhamento de eventos.

Ocultar dados Selecione se desejar mascarar dados selecionados incluídos nos dadosencaminhados para esse destino. Para selecionar os dados, clique em Configurar.

Enviar pacote Se você tiver sua política definida para copiar um pacote, selecione essa opção paraencaminhar as informações do pacote. Essas informações serão incluídas, se opacote estiver disponível, no final da mensagem de syslog em codificação de Base64.

Filtros de evento Clique para aplicar filtros aos dados do evento encaminhados a um syslog.

Modo Selecione o modo de segurança para a mensagem. Se você selecionar SSH, preenchaas informações restantes. Se você escolher usar syslog por TCP (protocolo), selecionepara fazer a conexão TCP usando SSH ou TLS. Como o syslog é um protocolo nãocriptografado, o uso de SSH ou TLS impede que suas mensagens deencaminhamento de eventos sejam examinadas por terceiros. Se você estiver nomodo FIPS, poderá encaminhar dados de log usando TLS.

Porta deretransmissão local

Digite a porta a ser usada no lado do McAfee ESM da conexão SSH.

Porta SSH remota Digite a porta de escuta para o servidor SSH no outro lado da conexão SSH.



Opção Definição

Nome de usuário SSH Digite o nome de usuário SSH usado para estabelecer a conexão SSH.

Chave SSH DSA Digite a chave pública de autenticação DSA usada na autenticação SSH. O conteúdodesse campo será adicionado ao arquivo authorized_keys ou equivalente no sistemaque executa o servidor SSH.

Formatos de encaminhamento de eventosEstes são os formatos de encaminhamento de eventos e as informações contidas nos pacotes quando eles sãoencaminhados.

Formatação Sumário

Syslog (Logsde auditoria)

tempo (segundos desde a época), sinalizador de status, nome de usuário, nome da categoriade log (em branco para 8.2.0, preenchido para 8.3.0+), nome do grupo de dispositivos, nomedo dispositivo, mensagem de log.

Syslog(Formato deeventocomum)

Data e hora atuais, endereço IP do McAfee ESM, CEF versão 0, fornecedor = McAfee, produto =modelo do McAfee ESM de /etc/McAfee Nitro/ipsmodel, versão = versão do McAfee ESMde /etc/carimbo de data e hora da compilação, id da assinatura, mensagem de assinatura,gravidade (de 0 a 10), pares de nome/valor, TranslatedAddress do dispositivo

Syslog(Formato deeventopadrão)

<#>YYYY-MM-DDTHH:MM:SS.S [IP Address] McAfee_SIEM:{ "source": { "id": 144120685667549200, "name": "McAfee Email Gateway (ASP)", "subnet": "::ffff:10.75.126.2/128" }, "fields": { "packet": { "encoding": "BASE64" } }, "data": { "unique_id": 1,"alert_id": 1, "thirdpartytype": 49, "sig": { "id": 5000012, "name": "Random String Custom Type" },"norm_sig": { "id": 1343225856, "name": "Misc Application Event" }, "action": "5", "src_ip":"65.254.48.200", "dst_ip": "0.0.0.0", "src_port": 38129, "dst_port": 0, "protocol": "n/a", "src_mac":"00:00:00:00:00:00", "dst_mac": "00:00:00:00:00:00", "src_asn_geo": 1423146310554370000,"firsttime": "2014-05-09T20:43:30Z", "lasttime": "2014-05-09T20:43:30Z", "writetime":"2014-05-09T20:44:01Z", "src_guid": "", "dst_guid": "", "total_severity": 25, "severity": 25,"eventcount": 1, "flow": "0", "vlan": "0", "sequence": 0, "trusted": 2, "session_id": 0,"compression_level": 10, "reviewed": 0, "a1_ran_string_CF1": "This is data for custom field 1","packet":"PDE0PjA5MDUyMDE0IDIwOjE4OjQ0fDIxfDY1LjI1NC40OC4yMDAtMzgxMjl8MXwxMDJ8U3BhbSBNZXNzYWdlIHR5cGU6IFRydXN0ZWRTb3VyY2UgU2lnbmF0dXJlIENvbmZpZGVuY2UgPSBISUdILiBDb25uZWN0aW9uOiA2NS4yNTQuNDguMjAwLTM4MTI5KElQLVBvcnQpfFRoaXMgaXMgZGF0YSBm b3IgY3VzdG9tIGZpZWxkIDF8W10A"

Encaminhamento de eventos com formato de eventos padrãoO formato de eventos padrão (SEF - Standard Event Format) é um formato de evento baseado em JSON (JavaScriptObject Notation) que representa dados de eventos genéricos. O formato SEF encaminha eventos de um McAfeeESM para um receptor em um McAfee ESM diferente e do McAfee ESM para um terceiro. Também é possívelusá-lo para enviar eventos de um terceiro para um receptor selecionando SEF como o formato de dados aocriar a origem de dados.

Ao configurar o encaminhamento de eventos com SEF de um McAfee ESM para outro McAfee ESM, conclua asseguintes etapas:

1 No McAfee ESM que está encaminhando os eventos, exporte origens de dados, tipos personalizados eregras personalizadas.

2 No McAfee ESM, com o receptor para o qual você está encaminhando eventos, importe as origens de dados,os tipos personalizados e as regras personalizadas que acabou de exportar.

3 No McAfee ESM que está recebendo os eventos de outro McAfee ESM, adicione uma origem de dados doMcAfee ESM.



4 No McAfee ESM de envio, adicione o destino de encaminhamento de eventos da seguinte forma:

• No dashboard do McAfee ESM, clique em e selecione Configuração.

• Na árvore de navegação do sistema, selecione McAfee ESM e clique no ícone Propriedades .

• Clique em Encaminhamento de eventos e em Adicionar.

• Na página Adicionar destino de encaminhamento de eventos, selecione syslog (Formato de evento padrão) nocampo Formato, preencha os campos restantes com as informações do McAfee ESM para o qual vocêestá encaminhando e clique em OK.

Obter eventos e fluxos

Tarefa1 Na barra de ferramentas de exibições, abra o menu suspenso Atualizar e selecione Obter eventos e fluxos.

2 Na tabela superior, selecione os eventos e/ou fluxos a serem recuperados, depois clique em Iniciar.

O status da recuperação é refletido na coluna Status. A tabela inferior mostra detalhes dos dispositivosselecionados na tabela superior.

3 Após a conclusão do download, selecione uma exibição para ver esses eventos e fluxos, em seguida, cliqueem Atualizar na barra de ferramentas de exibições.

Como funciona a análise de dados

Conteúdo Como o analisador avançado de syslog funciona Como funcionam as regras do Analisador avançado de syslog (ASP)

Como o analisador avançado de syslog funcionaO ASP (Analisador avançado de syslog) analisa dados das mensagens de syslog com base em regras definidaspelo usuário. Defina regras para instruir o ASP sobre como reconhecer mensagens e onde os dados do eventoresidem nas mensagens, como IDs de assinatura, endereços IP, portas, nomes de usuário e ações.

Use o ASP para dispositivos de syslog não identificados ou quando o pParser específico da origem nãointerpretar corretamente as mensagens ou interpretar totalmente pontos de dados relacionados aos eventosrecebidos. Você também pode usar o ASP para classificar origens de log complexas, como servidores Linux eUNIX. Você deve gravar regras projetadas para seu ambiente Linux ou UNIX.

Adicione recursos de dados do ASP ao Receptor selecionando Syslog como fornecedor. Depois de fazer isso,siga as instruções do fabricante do dispositivo para configurar o dispositivo de syslog para que envie dados dosyslog ao endereço IP do Receptor.

Ao adicionar uma origem de ASP, você deverá aplicar uma política antes que ela colete dados de evento. Sevocê ativar o Suporte a syslogs genéricos, poderá aplicar uma política sem regras e começar a coletar dados deevento genericamente.

Algumas origens de dados, incluindo os servidores Linux e UNIX, podem produzir grandes volumes de dados nãouniformes. Isso faz com que o Receptor não agrupe corretamente a ocorrência de eventos semelhantes. Issoresulta em uma variedade de eventos aparentemente grande, quando na verdade ocorre a repetição do mesmoevento, porém com dados de syslog diferentes enviados ao Receptor.

4 Coleta e processamento de dadosComo funciona a análise de dados


O ASP usa um formato semelhante ao Snort.

ACTION Protocol Src_ip Src_port -> Dst_ip Dst_port (keyword: option; keyword:option;...;)

Ao concatenar valores literais com uma subcaptura de PCRE nas versões 9.0.0 e versões posteriores, coloque osliterais entre aspas individualmente se contiverem espaços ou outros caracteres, e deixe as referências dasubcaptura de PCRE sem aspas.

Defina as regras da seguinte maneira:

Seção Campo Descrição

Cabeçalho daregra

O cabeçalho da regra contém a ação Alert e o formato any any any. A regra é:

ALERT any any any -> any any

Ação Opção para o que fazer com o evento quando ocorre uma correspondência:

• ALERT — Registrar evento em log

• DROP — Registrar o evento em log, mas não encaminhar

• SDROP — Não registrar o evento em log nem encaminhar

• PASS — Encaminhar se estiver definido, mas não registrar em log

Protocolo Se o evento definir um protocolo, filtre a correspondência de fato de acordocom o protocolo.

IP deorigem/destino

Se o evento definir um endereço IP de origem ou destino, filtre acorrespondência de fato com base nesse endereço.

Porta deorigem/destino

Se o evento definir uma porta de origem ou destino, filtre a correspondênciade fato com base nessa porta.

Corpo da regra O corpo da regra contém a maioria dos critérios de correspondência e definecomo os dados devem ser analisados e registrados em log no banco de dados.Elementos do corpo da regra são definidos em pares de palavra-chave eopção. Algumas palavras-chave não são seguidas de opção.

msg (Obrigatório) A mensagem a ser associada à regra. Essa é a cadeia exibida noThin Client do McAfee ESM para fins de geração de relatórios, a menos queseja substituída por uma mensagem detectada por pcre/setparm (vejaabaixo). O primeiro trabalho da msg é o nome da categoria, seguido damensagem propriamente dita (msg: "mensagem de regra de categoria").

content (Opcional — um ou mais) A palavra-chave content é um qualificador de textoque não é um caractere curinga para filtrar previamente os Eventos à medidaque eles passam pelo conjunto de regras, que também pode conter espaços(por exemplo, content:"search 1"; content "something else")

procname Em muitos sistemas UNIX e Linux, o nome do processo (e a ID do processo)faz parte de um cabeçalho de mensagem syslog padronizado. A palavra-chaveprocname pode ser usada para filtrar correspondências de eventos para aregra. Usada para excluir ou filtrar correspondências de eventos, na qual doisprocessos em um servidor Linux ou UNIX podem ter um texto de mensagemsemelhante ou igual.

adsid ID da origem de dados a ser usada. Esse valor substitui a Atribuição de regrapadrão no editor de origens de dados.

sid ID de assinatura da regra. É a ID de correspondência usada no Thin Client doMcAfee ESM, a menos que seja substituída por um sid detectado por pcre/setparm.

rev Revisão de regra. Usada para rastrear alterações.

Coleta e processamento de dadosComo funciona a análise de dados 4


Seção Campo Descrição

severity Valor entre 1 (menos grave) e 100 (mais grave) atribuído a eventoscorrespondentes à regra.

pcre A palavra-chave PCRE é uma correspondência de Perl Compatible RegularExpression para eventos de entrada. A PCRE vem entre aspas, e todas asocorrências de "/" são tratadas como um caractere normal. O conteúdo entreparênteses é mantido para uso da palavra-chave setparm. Você pode alterar apalavra-chave PCRE por palavras-chave nocase, nomatch, raw e setparm.

nocase Faz com que o conteúdo de PCRE seja correspondido, independentemente deo caso corresponder ou não.

nomatch Inverte a correspondência de PCRE (equivalente a !~ no Perl).

raw Compare a PCRE à mensagem de syslog completa, incluindo dados docabeçalho (recurso, daemon, data, host/IP, nome do processo e nome da ID).Normalmente, o cabeçalho não é usado na correspondência de PCRE.

setparm Pode ocorrer mais de uma vez. A cada conjunto de parênteses no PCRE éatribuído um número na ordem de ocorrência. Esses números podem seratribuídos a marcas de dados (por exemplo: setparm:username=1). O textocapturado no primeiro grupo de parênteses é obtido e atribuído à marca dedados do nome de usuário. As marcas reconhecidas estão na tabela abaixo.

Marca Descrição

* sid Esse parâmetro capturado substitui o sid da regra correspondida.

* msg Esse parâmetro capturado substitui o nome ou a mensagem da regra correspondida.

* action Esse parâmetro capturado indica a ação executada pelo dispositivo de terceiros.

* protocol

* src_ip Isso substitui o endereço IP da origem de syslog, que é o endereço IP da origem padrão deum evento.

* src_port

* dst_ip

* dst_port

* src_mac

* dst_mac

* dst_mac

* genid Usada para alterar o sid armazenado no banco de dados, usada para correspondências dosnort que não são da McAfee em pré-processadores snort.

* url Reservada, mas ainda não usada.

* src_username Nome de usuário de origem/primeiro.

* username Nome alternativo para src_username.

* dst_username Nome de usuário de destino/segundo.

* domain

* hostname

* application

* severity Deve ser um inteiro.



Marca Descrição

* action map Permite mapear ações específicas do produto para as ações da McAfee. O mapa de açõesdiferencia maiúsculas de minúsculas. Exemplo: alert any any any -> any any(msg:"OpenSSH Accepted Password"; content:"Accepted password for ";action_map:Accepted=8, Blocked=3; pcre:"(Accepted)\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;)). Consulte Gravidade emapa de ação para obter detalhes.

* severity map Permite mapear gravidades específicas do produto para a gravidade da McAfee. Assimcomo action map, severity map diferencia maiúsculas e minúsculas. Exemplo: alert any anyany -> any any (msg:"OpenSSH Accepted Password"; content:"Accepted password for ";severity_map:High=99, Low=25, 10=99, 1=25; pcre:"(Accepted)\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;))pri(?:\x3d|\x3a)\s*(?:p\x5f)?([^\x2c]+). Consulte Gravidade e mapa de ação para obter detalhes.

* var Esta é outra forma de usar setparms. O uso vantajoso é criar um valor com base em váriascapturas de várias PCREs. É possível criar mais de uma PCRE que capture somente umpequeno trecho da cadeia, em vez de uma PCRE grande com várias capturas. Este é umexemplo de captura de um nome de usuário, domínio e criação de endereço de e-mailpara armazenar no campo objectname.

• Sintaxe = var:field=${PCRE:Capture}

• PCRE = não a PCRE real, mas o número da pcre. Se a regra tiver duas PCREs, você teráuma PCRE de 1 ou 2.

• Captura = não a captura real, mas o número (primeira, segunda ou terceira captura[1,2,3])

• Mensagem de exemplo: um homem chamado Jim trabalha para a McAfee.

• PCRE: ( Jim). *? (McAfee)

• Regra: alert any any any -> any any (msg:"Var User Jim"; content:"Jim"; pcre:"(Jim)";pcre:"(McAfee)"; var:src_username=${1:1}; var:domain=${2:1}; var:objectname=${1:1}@${2:1}.com raw; classtype:unknown; adsid:190; sev:25; sid:610061000; rev:1; normID:1209008128; gensys:T;)

• Usuário de origem mapeado: Jim

• Domínio mapeado: McAfee

• Nome de objeto mapeado: [email protected]

* sessionid Trata-se de um inteiro.

* commandname Trata-se de um valor de cadeia.

* objectname Trata-se de um valor de cadeia.

* event_action Essa marca é usada para definir a ação padrão. Você não pode usar event_action eaction_map na mesma regra. Por exemplo, se houve um evento para uma Entrada comêxito, você poderia usar a marca event_action e padronizar a ação como êxito (porexemplo, event_action:8;).



Marca Descrição

* firsttime_fmt Usada para definir a primeira vez do evento. Consulte a lista de formatos.

* lasttime_fmt Usada para definir a última hora do evento. Consulte a lista de formatos. Você pode usarisso com setparm ou var (var:firsttime="${1:1}" ou setparm:lasttime="1"). Por exemplo:

alert any any any -> any any (msg:"SSH Login Attempt"; content:"content";firsttime_fmt:"%Y-%m-%dT%H:%M:%S.%f"; lasttime_fmt:"%Y-%m-%dT%H:%M:%S.%f"pcre:"PCRE goes here; raw; setparm:firsttime=1; setparm:lasttime=1; adsid:190; rev:1;)

Para saber os formatos com suporte no momento, consulte http://pubs.opengroup.org/onlinepubs/009695399/functions/strptime.html para obter mais detalhes.

%Y - %d - %m %H : %M : %S

%m - %d - %Y %H : %M : %S

%b %d %Y %H : %M : %S

%b %d %Y %H - %M - %S

%b %d %H : %M : %S %Y

%b %d %H - %M - %S %Y

%b %d %H : %M : %S

%b %d %H - %M - %S

%Y %H : %M : %S

%Y %H - %M - %S

%m - %d - %Y

%H : %M : %S

%H - %M - %S

%Y é um ano com quatro dígitos

%m é o número do mês (1 a 12)

%d é a data (1 a 31)

%H é a hora (1 a 24)

%M são os minutos (0 a 60)

%S são os segundos (0 a 60)

%b é a abreviação do mês (jan., fev.)

Este é um exemplo de regra que identifica uma senha com base em entrada de OpenSSH e efetua pull doendereço IP de origem, da porta de origem e do nome de usuário do evento:

alert any any any -> any any (msg:"OpenSSH Accepted Password";content:"Acceptedpassword for ";pcre:"Accepted\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)";setparm:username=1;setparm:src_ip=2;setparm:src_port=3;sid:31;rev:1;)



Mapeamento de gravidade e ação de syslogÉ possível mapear os valores de gravidade e ação de mensagem do syslog para os valores que se encaixam noesquema do sistema.

• severity_map — a gravidade aparece como um valor entre 1 (menos grave) e 100 (mais grave) atribuído aoseventos correspondentes à regra. O dispositivo que estiver enviando a mensagem poderá mostrar agravidade como um número de 1 a 10 ou como texto (alta, média e baixa). Quando isso acontece, ele nãopode ser capturado como a gravidade, e um mapeamento precisa ser criado. Por exemplo, esta é umamensagem proveniente do McAfee IntruShield que mostra a gravidade na forma de texto.

<113>Apr 21 07:16:11 SyslogAlertForwarder: Attack NMAP: XMAS Probe (Medium)\000

A sintaxe da regra que usa o mapeamento de gravidade teria esta aparência (o mapeamento de gravidadeestá em negrito somente para enfatizar):

alert any any any -> any any (msg:"McAfee Traffic"; content:"syslogalertforwarder";severity_map:High=99,Medium=55,Low=10; pcre:"(SyslogAlertForwarder)\x3a\s+Attack\s+([^\x27]+)\x27([^\x28]+)\x28"; raw; setparm:application=1; setparm:msg=2;setparm:severity=3; adsid:190; rev:1;)

severity_map : High=99,Medium=55,Low=10. Isso mapeia o texto para um número no formato utilizável.

setparm : severity=3. Informa para utilizar a terceira captura e defini-la igual à gravidade. Todos osmodificadores setparm funcionam dessa forma.

• action_map — usado exatamente como a gravidade. Action representa a ação executada pelo dispositivo dooutro fornecedor. O objetivo é criar um mapeamento que seja útil ao usuário final. Por exemplo, esta é umamensagem de falha na entrada do OpenSSH.

Dec 6 10:27:03 nina sshd[24259]: Failed password for root from 10.0.12.20 port49547 ssh2

alert any any any -> any any (msg:"SSH Login Attempt"; content:"sshd";action_map:Failed=9,Accepted=8;

pcre:"sshd\x5b\d+\x5d\x3a\s+((Failed|Accepted)\s+password)\s+for\s+((invalid|illegal)\s+user\s+)?(\S+)\s+from\s+(\S+)(\s+(\S+)\s+port\s+(\d+))?"; raw;setparm:msg=1; setparm:action=2; setparm:username=5; setparm:src_ip=6; adsid:190;rev:1;)

A ação (Falha) é mapeada para um número. Esse número representa as diferentes ações que podemosusar no nosso sistema. Veja abaixo a lista completa de tipos de ação utilizáveis.

• 0 = nulo • 20 = interrupção

• 1 = aprovação • 21 = com aviso

• 2 = rejeição • 22 = confiável

• 3 = descarte • 23 = não confiável

• sdrop • 24 = falso positivo

• 5 = alerta • 25 = alerta-rejeição

• 6 = padrão • 26 = alerta-descarte

• 7 = erro • 27 = alerta-sdrop

• 8 = êxito • 28 = reinicialização

• 9 = falha • 29 = bloqueio



• 10 = emergência • 30 = limpeza

• 11 = crítico • 31 = limpeza-falha

• 12 = aviso • 32 = continuação

• 13 = informativo • 33 = infectado

• 14 = depuração • 34 = movimento

• 15 = integridade • 35 = mover-falha

• 16 = adição • 36 = quarentena

• 17 = change • 37 = quarentena-falha

• 18 = remoção • 38 = remover-falha

• 19 = inicialização • 39 = negado

Nesse exemplo, Falha é mapeada da mensagem do syslog para 9, que o sistema relata como Falha.

Esta é uma divisão da estrutura de uma regra.

Alert any any any -> any any (msg:”Login Attempt”; content:”sshd”; action_map orseverity_map (if you need it); pcre:”your regular expression goes here”; raw;setparm:data_tag_goes_here; adsid:190; rev:1;)

Suporte à retransmissão de syslogEncaminhar eventos de vários dispositivos por meio do RelayServer de um syslog para o Receptor requerprocedimentos adicionais.

É preciso adicionar uma única origem de dados de retransmissão de syslog para aceitar o fluxo de dados eorigens de dados adicionais. Dessa forma, o Receptor pode dividir o fluxo de dados nas origens de dadosiniciais. Compatibilidade com Sylog-ng e Splunk. Este diagrama descreve o cenário:

1 Dispositivo Cisco ASA 5 Origem de dados 1 — retransmissão de syslog

2 Dispositivo SourceFire Snort 6 Origem de dados 2 — Cisco ASA

3 Dispositivo TippingPoint 7 Origem de dados 3 — SourceFire Snort

4 Retransmissão de syslog 8 Origem de dados 4 — TippingPoint



Usando esse cenário como exemplo, é preciso configurar a origem de dados de retransmissão de syslog (5)para receber o fluxo de dados da retransmissão de syslog (4), selecionando syslog no campo Retransmissão desyslog. Depois que a origem de dados de retransmissão de syslog estiver configurada, adicione as origens dedados dos dispositivos individuais (6, 7 e 8), selecionando Nenhum no campo Retransmissão de syslog, porque odispositivo não é um servidor de retransmissão de syslog.

Fazer upload de mensagens do syslog não funciona em uma configuração de retransmissão de syslog.

O cabeçalho do syslog deve ser configurado para assemelhar-se a este exemplo: 1 <123> 345 Oct 712:12:12 2012 mcafee.com httpd[123]

onde

1 = versão do syslog (opcional)

345 = tamanho do syslog (opcional)

<123> = recurso (opcional)

Oct 7 12:12:12 2012 = data. Compatibilidade com centenas de formatos (obrigatório)

mcafee.com nome de host ou endereço IP (ipv4 ou ipv6) (obrigatório)

httpd = nome do aplicativo (opcional)

[123] pid do aplicativo (opcional)

: = dois-pontos (opcional)

Os campos de dados e nome do host podem aparecer em qualquer ordem. Um endereço IPv6 pode ser inseridoentre colchetes [ ].

Como funcionam as regras do Analisador avançado de syslog (ASP)O Analisador avançado de syslog (ASP) extrai (analisa) dados das mensagens de syslog com base em regrasdefinidas pelo usuário.

O ASP usa regras para identificar onde os dados residem em eventos específicos de mensagens, como IDs deassinaturas, endereços IP, portas, nomes de usuário e ações.

Quando o sistema recebe um log do ASP, compara o formato de hora no log com o formato especificado naregra do ASP. Se o formato de hora não coincidir, o sistema não processará o log.

Para aumentar a probabilidade de correspondência dos formatos de hora, adicione vários formatos de horapersonalizados.

Se você tiver direitos de Administrador de políticas, poderá definir a ordem de execução das regras do ASP.

Regras de ASP personalizadas

É possível gravar regras para classificar origens de log complexas de análise.

Essa funcionalidade exige conhecimento de expressões regulares.

A primeira expressão regular determina se uma mensagem é analisada, então grave a primeira regra em buscade um padrão que esteja presente em todas as mensagens que você deseja que a regra analise. Expressõesregulares adicionais podem ser gravadas para capturar os valores das mensagens e mapeá-los para tipospersonalizados no McAfee ESM. Expressões regulares subsequentes não determinam a correspondência deregra e são usadas para a análise somente.



Embora seja possível testar os resultados de expressão regular em algumas linhas de log no console do McAfeeESM em si, é recomendável usar uma ferramenta gráfica. Há muitas ferramentas gratuitas baseadas na Webque podem ser usadas de maneira complementar a ferramentas instaláveis independentes. Como opção, outraferramenta útil seria um editor de texto com suporte a pesquisas de expressão regular. Qualquer ferramentausada para testar as expressões regulares precisa oferecer suporte a expressões pcre.

Certifique-se de que as expressões regulares sejam gravadas para maximizar a eficiência. Expressões regularesmal escritas podem afetar negativamente o desempenho da análise.

Otimize suas regras:

• Compreendendo totalmente o valor que um log pode fornecer para sua organização.

• Garantindo que valores capturados se alinhem ao uso pretendido dos campos de tipo personalizadoespecífico.

• Evitando a indexação de campos que contenham dados exclusivos e aleatórios ou de alta cardinalidade (porexemplo, URLs).

• Garantindo que as regras que mapeiam mensagens de eventos diretamente do log não mapeiem cadeiasde cardinalidade alta, aleatórias ou exclusivas como mensagens. O McAfee ESM cria uma regra de origemde dados para cada mensagem de evento exclusiva, e várias cadeias exclusivas podem reduzir odesempenho do McAfee ESM.

• Categorizando eventos com a adição de uma categoria normalizada à regra. Regras de origem de dados,geradas por regras de análise, herdam a normalização atribuída à regra de análise principal. Se a regra deanálise principal for deixada normalizada como "Não categorizada", os eventos analisados também serãonormalizados como "Não categorizados", tornando imprecisa uma pesquisa de eventos "Não categorizados"para encontrar eventos não analisados.

Adicionar regras personalizadas do analisador avançado de syslogAdicione regras personalizadas para analisar dados de log do ASP.

Antes de iniciarVocê precisa ter privilégios de administrador ou pertencer a um grupo de acesso com privilégios degerenciamento de usuários.

Você deve ter um conhecimento funcional de expressões regulares compatíveis com Perl.

Se tiver conhecimento avançado da sintaxe do ASP, você poderá adicionar o texto de regra de ASPdiretamente sem definir as configurações em cada guia.

Tarefa1 No Editor de políticas, selecione Receptor | Analisador avançado de syslog.

2 Clique em Novo, em seguida, clique em Regra do analisador avançado de syslog.



3 Selecione a guia Geral e preencha as informações.

Opção Definição

Nome Digite um nome exclusivo e descritivo para a regra. O texto aparece nas exibições doMcAfee ESM quando a regra corresponde a um log (a menos que a mensagem sejamapeada diretamente do texto do log na regra).

Marcas Atribua marcas à regra. Atribua uma ou mais marcas às quais essa regra pertence. Issoajuda na localização e no agrupamento de conjuntos de regras criados paradeterminado dispositivo ou aplicativo no editor de políticas. Todas as marcasadicionadas a uma regra fazem com que o McAfee ESM inclua a regra automaticamenteem qualquer política que tenha ativado o conjunto de regras marcado.

ID padrãonormalizado

Muitas exibições, regras de correlação e relatórios usam esse campo como filtro.Selecione o valor mais relevante para obter desempenho máximo.

Gravidadepadrão

Se a mensagem de log não contiver um valor de gravidade, o sistema atribuirá aoevento o valor de gravidade inserido aqui. O padrão é 25, os valores válidos são de 1 a100 (1 é a menor gravidade).

Atribuição deregra

As regras podem ser agrupadas. Esse menu suspenso fornece uma lista de produtoscom suporte para o grupo de regras de análise separando os eventos de outras origensde dados. Isso permite que o evento seja relatado para um produto específico.

Descrição Digite a descrição de maneira clara e completa, que transmita o escopo e o objetivo daregra.

4 Selecione a guia Análise e preencha as informações.

Opção Definição

Nome do processo Semelhante ao filtro de cadeia de conteúdo, mas se aplica ao nome do processoencontrado no cabeçalho do SYSLOG. Formatos de cabeçalho do syslog variambastante, portanto, use cadeias de conteúdo quando possível.

Cadeia de conteúdo Se sempre houver uma cadeia fixa no log, adicione-a como uma cadeia de conteúdo.As cadeias de conteúdo de uma regra de ASP devem identificar cada log. Para agilizara execução da regra, inclua pelo menos uma cadeia de conteúdo em cada regra deASP. Isso funciona como um pré-filtro para otimização – somente logs quecorrespondem às cadeias de conteúdo são considerados para correspondência eanálise pelas expressões regulares. O log deve conter todas as cadeias de conteúdodefinidas.

Confirme se há pelo menos um valor na seção do campo de conteúdo. Cadeias deconteúdo devem ter pelo menos três caracteres e ser tão exclusivas quanto possívelpara o evento especificado. Inclua correspondências de conteúdo suficientes paraidentificar exclusivamente o log. Usar um ou mais campos de conteúdo na regra deASP pode melhorar o processo de análise e correspondência no Receptor.

Por exemplo, se a entrada de log estiver no seguinte formato:<180>Jan 100:00:00 testhost ftpd[4325]: FTP LOGIN FROM test.org[192.168.1.1], anonymous, você poderá adicionar campos de conteúdo para"ftpd" e "FTP LOGIN FROM".

Expressão regular A primeira expressão regular determina se a regra ASP corresponde ao log. O sistemausa expressões regulares adicionais para capturar os valores do log.

Capturas nomeadas Use capturas nomeada para identificar mais facilmente os grupos de captura. Orótulo usado para a captura nomeada pode consistir em caracteres alfanuméricos esublinhados, mas não pode começar com um número ou incluir um espaço. A sintaxeda expressão regular para uma captura nomeada é: (?P<NAME>regular expressioncapture). Por exemplo, uma captura nomeada cujo nome do host seja o nomeatribuído ao grupo de captura seria: Host\x3d(?P<hostname>\S+). Ao usar capturasnomeadas, o editor de política exibe o nome da captura em vez de o número dacaptura, no lado direito da guia Análise, conforme mostrado abaixo.

Dados do log deamostra

Cole um exemplo de entrada do log a ser analisado. O sistema destaca partes do logque correspondem às expressões regulares em azul.



Opção Definição

Formato O ASP pode processar previamente determinados formatos de log para simplificar omapeamento de dados. Os seguintes formatos estão disponíveis:• Genérico: este é o padrão e deve ser usado se o log não coincidir com outros

formatos disponíveis.

• CEF (Common Event Format): elimina a necessidade de criar uma expressão regularpara cada captura e permite que os dados sejam mapeados usando os nomes dechave CEF encontrados no log.

• JSON: similar a CEF, elimina a necessidade de criar uma expressão regular paracada captura e permitir que os dados sejam mapeados usando os nomes de chaveCEF encontrados no log.

• XML (Básico, Simples ou Posicional): permite que o ASP analise os logs que estãono formato XML e atribua dados analisados. A opção de formato XML depende dotipo de XML que está nos logs.

• XML (Básico): espera XML sem qualquer elemento repetido.

• XML (Simples): espera XML com um único nó com atributos ou um únicoconjunto de elementos não repetidos sem aninhamento.

• XML (Posicional): espera XML que pode ter vários nós com atributos e várioselementos repetidos com aninhamento.

Valores analisados Os campos Chave/Valor à direita exibem o que está sendo analisado das amostras dolog pelas expressões regulares. A Chave exibe 2 números, separados por dois pontos.O primeiro número indica a expressão regular que está sendo usada e o segundonúmero indica o grupo de captura usado nessa expressão regular. Se um valorcapturado for a quarta captura na terceira expressão regular definida, a chave exibirá3:4.

Somente usarexpressões regularespara fins de análise

O analisador usa a cadeia de conteúdo (em vez de uma expressão regular) paracorrespondência. Expressões regulares são usadas somente para analisarmensagens.

Não diferenciamaiúsculas deminúsculas

Se o log puder conter maiúsculas ou minúsculas em alguns campos, poderá ser maissimples gravar a expressão no mesmo caso e, em seguida, usar essa opção. Isso ativaa opção de não diferenciar maiúsculas de minúsculas para todas as expressõesregulares definidas na regra de análise.

Disparar quando osdados nãocorresponderem

A regra é disparada quando a expressão regular não corresponde ao log.

5 Selecione a guia Atribuição de campo e preencha as informações.

a Arraste e solte os valores do lado direito da coluna Expressão ao lado da coluna Campo à esquerda.

b Se o campo não for exibido como necessário, clique em + acima da coluna Valor de amostra para exibirtodos os campos de tipo personalizado.

c Preencha o campo desejado e clique em OK.



6 Selecione a guia Mapeamento e preencha as informações.

Opção Definição

Formato de hora A data/carimbo de data/hora de uma mensagem de log pode ser analisada usando asvariáveis definidas nesses campos. O McAfee ESM reconhece muitas datas padrão/carimbos de data/hora automaticamente, mas pode haver formatos não reconhecidosou exibidos de modo diferente. Esta seção permite formatar a hora exibida no formatoapropriado quando analisado.

Mapeamento daação

Use essa opção se houver uma ação encontrada no log a ser mapeada para umMcAfee ESM disponível.

Mapeamento degravidade

O mapeamento de gravidade permite um valor no log a ser mapeado para umagravidade de 1 a 100. Por exemplo, um fornecedor pode definir a gravidade comoBaixa, Média ou Alta em seus logs. Com a seção Mapa de gravidade, o valor degravidade pode mapear Baixa como 25, Média, como 50 e Alta como 75.

7 Clique em Concluir.

8 Na janela do Editor de políticas, selecione a nova regra.

9 Clique em Desativado e selecione Ativado.

10 Clique no ícone Distribuição no canto superior direito da janela.

11 Se for solicitado a salvar a regra, clique em Sim.

12 Na janela Distribuição, clique em OK.

Definir ordem das regras de filtragem e do ASPDefina a ordem de execução do filtro ou das regras do analisador avançado de syslog (ASP) para que elesgerem os dados necessários.

Antes de iniciarVerifique se você tem privilégios de administrador de política.

Tarefa1 No console do McAfee ESM, clique no ícone Editor de políticas .

2 No menu Operações, selecione Ordenar regras de ASP ou Ordenar regras de filtro e selecione a origem dedados no campo Tipo de origem de dados.

Regras disponíveis para colocar na ordem aparecem à esquerda; regras na ordem aparecem à direita.

3 Na guia Regras padrão ou Regras personalizadas, mova regras da esquerda para a direita (arraste e solte ouuse as setas), posicionando-as acima ou abaixo das Regras sem ordem.

As Regras sem ordem representam as regras do painel à esquerda, que estão na ordem padrão.

4 Use as setas para reordenar as regras e clique em OK para salvar as alterações.



Adicionar formatos de tempo a regras do analisador avançado de syslog (ASP)Adicione formatos de tempo personalizados às regras do analisador avançado de syslog (ASP) para que elespossam ser sincronizados com os formatos de tempo dos logs do ASP.

Tarefa1 No dashboard, clique no ícone Editor de políticas .

2 No painel Tipos de regras, selecione o receptor e clique em Analisador avançado de syslog.

3 Selecione uma regra e clique em Editar | Modificar.

4 Selecione a guia Mapeamento e clique no ícone de mais acima da tabela Formato de hora.

5 Clique no campo Formato de hora e selecione o formato de hora.

6 Selecione os campos de hora desejados para usar esse formato.

Primeira vez e Última vez mostram a primeira e a última vez em que o evento foi gerado. Campos de hora Tipopersonalizado adicionados também são exibidos.

7 Clique em OK e preencha as informações restantes.

Importar amostras de logUse um log de amostra para testar uma nova regra.

Antes de iniciarDeve haver pelo menos um log de amostra, no formato de texto sem formatação.


2 Na árvore de navegação, selecione a origem de dados e clique no ícone Propriedades.

3 Clique em Fazer upload.

4 Navegue até o arquivo de amostra de log e selecione-o.

5 Clique em Fazer upload.

6 Clique em Fechar.

7 Clique em Obter eventos e fluxos.

8 Selecione Eventos e clique em Iniciar.

9 Localize os eventos no dashboard e verifique se a regra ASP recém-criada está analisando conforme oesperado.



Como funciona o enriquecimento de dadosEnriqueça eventos enviados pela origem de dados upstream com contexto fora do evento original, como umendereço de e-mail, um número de telefone ou informações de localização de host. Esses dados enriquecidos setornam parte do evento analisado e são armazenados com o evento, assim como os campos originais.

Defina origens de enriquecimento de dados definindo como se conectar ao banco de dados e acessar uma ouduas colunas de tabela no banco de dados. Defina os dispositivos que receberão os dados e como enriqueceresses dados, tanto de eventos como de fluxos.

Você também pode editar ou remover as origens de enriquecimento de dados e executar uma consulta.Eventos disparados no McAfee ESM não são enriquecidos. A aquisição de dados acontece no McAfee ESM, nãonos dispositivos.

Um conector para a origem de dados relacional em Hadoop HBase usa os pares de chave-valor da origem paraenriquecimento. É possível efetuar pull regularmente do mapeamento de identidade em HBase para umReceptor para enriquecer eventos.

Adicionar origens de enriquecimento de dadosAdicione uma origem de enriquecimento de dados e defina os dispositivos que receberão os dados.


2 Clique em Enriquecimento de dados | Adicionar.

Guias e campos no Assistente de enriquecimento de dados variam com base no tipo de enriquecimentoselecionado.

3 Em cada uma das guias, preencha os campos e clique em Avançar.

Guia Opção Definição

GuiaPrincipal

Nome Digite um nome para a origem.

Ativar Selecione se deseja ativar essa origem.

Tipo de pesquisa Selecione o tipo de dado a ser usado para pesquisa.

Tipo de enriquecimento Selecione o tipo de dados que deseja enriquecer.

Frequência de pull Selecione a frequência com que a origem de enriquecimento dedados deve ser executada.

GuiaOrigem

• Os tipos de origem CIFS, NFS, FTP, SFTP e SCP somente podem usar arquivos externos paraenriquecimento. Os outros tipos de origem requerem que você grave uma consulta paraum banco de dados ou expressão regular.

• O arquivo recebido por pull para enriquecimento de dados deve ser formatado comoLookupValue=EnrichmentValue.

• Cada entrada deve ficar em uma linha separada.

• Para enriquecimento de uma única coluna, somente as entradas de valor da pesquisa sãonecessárias.

• Para enriquecimento de duas colunas, o valor da pesquisa deve ser separado do valor doenriquecimento por um símbolo de igual (=).

Por exemplo, um arquivo que usa endereço IP para nomes de host pode ser assim:

10.5.2.3=New York10.5.2.4=Houston

Coleta e processamento de dadosComo funciona o enriquecimento de dados 4



Tipo Tipo de driver do banco de dados da origem.

Autenticação O padrão é Nenhum.Se a opção Básica estiver selecionada, insira o nome de usuário e asenha do site se precisar entrar.

Nome do banco de dados Nome do banco de dados.

Host Nome do computador no qual o banco de dados está em execução.

Ignorar certificadosinválidos

Se o site que você estiver tentando pesquisar tiver um URL https,selecione essa opção para ignorar certificados SSL inválidos.

Endereço IP Endereço IP do banco de dados.

Host do rastreador detrabalho

(Não é necessário) Endereço IP ou endereço do host do rastreadorde trabalho do Apache Hadoop. Se estiver em branco, o sistemausará o Host do nome do nó.

Porta do rastreador detrabalho

(Não é necessário) Porta de escuta do Host do rastreador detrabalho. Se estiver em branco, o sistema usará o Host do nome donó.

A configuração padrãodo Método é GET.

O padrão é GET.Se a opção POST estiver selecionada, o conteúdo do post ou oargumento podem ser necessários para navegar até a página daWeb cujo conteúdo você deseja pesquisar.

Ponto de montagem Diretório dos arquivos.

Host do nome do nó Endereço IP ou endereço do host do nome do nó do ApacheHadoop. Não inclua o protocolo.

Porta do nome do nó (Não é necessário) Porta de escuta do Host do rastreador de nó. Seestiver em branco, o sistema usará o Host do nome do nó.

Senha Senha para acessar o banco de dados.

Caminho Caminho para o banco de dados. Se você selecionar FTP no campoTipo, o caminho será relativo ao seu diretório principal. Paraespecificar um caminho absoluto no servidor FTP, insira uma barraadicional (/) no início do caminho. Por exemplo, //var/local/caminho.

Porta Porta para o banco de dados.

Nome docompartilhamento

Diretório dos arquivos.

Nome de usuário O nome de usuário que pode acessar o banco de dados. Para LDAP,insira um nome de domínio totalmente qualificado sem espaços.Por exemplo, uid=bob,ou=Usuários,dc=exemplo,dc=com [email protected].

GuiaAnálise

Dados brutos Quando HTTP/HTTPS for selecionado como o tipo de origem, exibaas primeiras 200 linhas do código-fonte HTML do URL inserido nocampo URL na guia Origem. Trata-se apenas de uma visualização dosite, mas é suficiente para gravar uma expressão regular que sejacorrespondente.Uma atualização Executar agora ou agendada da origem deenriquecimento de dados inclui todas as correspondências dapesquisa de expressão regular. Esse recurso aceita expressõesregulares com sintaxe RE2, como (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}).

4 Coleta e processamento de dadosComo funciona o enriquecimento de dados



Linhas de cabeçalho aignorar

Normalmente, um site da internet tem um código de cabeçalho quevocê não está interessado em pesquisar. Especifique quantas linhasda parte superior do site você deseja pular para que a pesquisa nãoinclua dados de cabeçalho.

Novo delimitador de linha Digite o que é usado no site para separar os valores de seuinteresse. Esse campo tem o padrão \n, o qual indica que uma novalinha é o delimitador. O outro delimitador mais comum é a vírgula.

Ignorar expressão Digite uma expressão regular que removera qualquer valorindesejado dos resultados da pesquisa de expressão regular.

Expressão regular (Obrigatório) Digite a lógica usada para encontrar umacorrespondência e extrair os valores do site.Os casos de uso mais comuns são criar uma expressão quecorresponda a uma lista de endereços IP maliciosos conhecidos ousomas de MD5 relacionadas em um site.

Se você forneceu dois grupos de correspondência na expressãoregular, poderá mapear os resultados de cada correspondênciaregex para Valor de pesquisa ou Valor de enriquecimento.

Valor de pesquisa ou O valor a ser pesquisado em eventos coletados no McAfee ESMquando você desejar adicionar valores. Ele é mapeado para oCampo de pesquisa na guia Destino.

Valor de enriquecimento O valor que é enriquecido ou inserido nos eventos de origem quecoincidem com o valor de pesquisa. Ele é mapeado para o Campo deenriquecimento na guia Destino.

GuiaConsulta

Configure a consulta para os tipos Hadoop HBase (REST), Hive, LDAP, MSSQL, MySQL, Oracleou PIG.

GuiaPontuação

Defina a pontuação de cada valor retornado em uma consulta de coluna única. Selecione ocampo de origem e de destino que deseja pontuar e clique em Executar consulta.

Valor Mostra os valores retornados.

Pontuação Mostra o passador numérico que você pode usar para definir apontuação de risco para esse valor.

GuiaDestino

Exiba os dispositivos e a regra para mapeamento de campo em dispositivos preenchidos poressa origem de enriquecimento de dados.

Adicionar Selecione os dispositivos e as regras.

Editar Altere as configurações de regras ou de dispositivos.

Remover Exclua uma configuração de dispositivo e regra.

4 Clique em Concluir e clique em Gravar.

5 Selecione os dispositivos que você deseja enriquecer e crie uma regra de mapeamento de campo para eles.Em seguida, clique em OK.

Se você selecionar Usar valor estático, deverá inserir o valor de enriquecimento.



Adicione uma origem de enriquecimento de dados Hadoop HBaseEfetue pull do mapeamento da identidade de HBase por meio de um Receptor para enriquecer eventosadicionando Hadoop HBase como origem de enriquecimento de dados.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Enriquecimento de dados.

2 No Assistente de enriquecimento de dados, preencha os campos na guia Principal e clique na guia Origem.

3 No campo Tipo, selecione Hadoop HBase (REST) e digite o nome de host, a porta e o nome da tabela.

4 Na guia Consulta, preencha a coluna de pesquisa e as informações de consulta:

a Formate a Coluna de pesquisa como columnFamily:columnName

b Preencha a consulta com um filtro de mecanismo de varredura, onde os valores são codificados porBase64. Por exemplo:

<Scanner batch="1024"><filter>{"type": "SingleColumnValueFilter","op": "EQUAL","family": " ZW1wbG95ZWVJbmZv","qualifier": "dXNlcm5hbWU=","latestVersion": true,"comparator": {"type": "BinaryComparator","value": "c2NhcGVnb2F0"}}</filter></Scanner>

5 Preencha as guias Pontuação e Destino.

Adicionar origem de enriquecimento de dados Hadoop PigUse os resultados da consulta do Apache Pig para enriquecer eventos do Hadoop Pig.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do sistema.

2 Clique em Enriquecimento de dados e em Adicionar.

3 Na guia Principal , preencha os campos e clique na guia Origem. No campo Tipo, selecione Hadoop Pig epreencha com o Host do Namenode, Porta do Namenode, Host do Jobtracker e Porta do Jobtracker.

As informações do Jobtracker não são obrigatórias. Se as informações do Jobtracker estiverem em branco, aporta e host do NodeName serão usados como padrão.

4 Coleta e processamento de dadosComo funciona o enriquecimento de dados


4 Na guia Consulta, selecione o modo Básico e preencha com estas informações:

a Em Tipo, selecione arquivo de texto e insira o caminho do arquivo no campo Origem (por exemplo, /usuário/padrão/arquivo.csv). Ou selecione Banco de dados de hive e insira uma tabela do HCatalog(por exemplo, amostra_07).

b Em Colunas, indique como enriquecer os dados da coluna.

Por exemplo, se o arquivo de texto contiver informações sobre funcionários com colunas como CPF,nome, sexo, endereço e número de telefone, insira o texto a seguir no campo Colunas: func_Nome:2,func_telefone:5. Para o banco de dados de Hive, use os nomes de coluna na tabela do HCatalog.

c Em Filtrar, você pode usar qualquer expressão incorporada do Apache Pig para filtrar dados. Consulte adocumentação do Apache Pig.

d Se tiver definido os valores de coluna acima, você poderá agrupar e agregar os dados dessa coluna. Asinformações de origem e coluna são obrigatórias. Outros campos podem ficar em branco. O uso defunções de agregação requer a especificação de grupos.

5 Na tabela Consulta, selecione o modo Avançado e insira um script do Apache Pig.

6 Na guia Pontuação, defina a pontuação de cada valor retornado da consulta de uma única coluna.

7 Na tabela Destino, selecione os dispositivos a que você deseja aplicar o enriquecimento.

Adicionar enriquecimento de dados do Active Directory para nomes dousuárioUse o Microsoft Active Directory para preencher eventos do Windows com os nomes de exibição de usuáriocompletos.

Antes de iniciarVerifique se você tem o privilégio de Gerenciamento de sistemas.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do sistema.


3 Na guia Principal, insira um Nome para enriquecimento descritivo no formato Nome_Completo_Da_IDde_Usuário.

4 Defina Tipo de pesquisa e Tipo de enriquecimento como Cadeia.

5 Defina Frequência de pull como diariamente, a não ser que o Active Directory seja atualizado com maisfrequência.

6 Clique em Avançar ou na guia Origem.

a No campo Tipo, selecione LDAP.

b Preencha o endereço IP, nome do usuário e senha.

7 Clique em Avançar ou na guia Consulta.

a No campo Atributo de pesquisa, insira sAMAccountName.

b No campo Atributo de enriquecimento, insira displayName.



c Em Consulta, insira (objectClass=person) para retornar uma lista com todos os objetos classificadoscomo pessoa no Active Directory.

d Teste a consulta, que retorna no máximo cinco valores, independentemente do número real deentradas.

8 Clique em Avançar ou na guia Destino.

a Clique em Adicionar.

b Selecione a origem de dados do Microsoft Windows.

c Em Campo de pesquisa, selecione o campo Usuário de origem.

Esse campo é o valor que existe no evento, que é usado como índice da pesquisa.

d Selecione o Campo de enriquecimento, em que o valor do enriquecimento é gravado no formatoApelido_do_usuário ou Nome_do_contato.

9 Clique em Concluir para salvar.

10 Após gravar as configurações de enriquecimento nos dispositivos, clique em Executar agora para recuperaros valores de enriquecimento da origem de dados até que o valor Hora de gatilho diário ocorra.

O Nome completo é gravado no campo Contact_name (Nome do contato).

Como a normalização funcionaOs nomes das regras podem variar de acordo com fornecedores, tornando difícil coletar informações sobre oevento. O McAfee ESM continuamente compila uma lista de IDs de regras normalizadas que lhe permiteorganizar informações do evento. Use IDs de evento normalizadas para exibir os resultados da consulta emgráficos de pizza, gráficos de barras e listas ou filtre exibições do dashboard.

IDs de normalização

Use IDs normalizadas para:

• Filtrar usando uma única ID

• Filtrar por diversas pastas ou IDs de uma vez só (usando as teclas Ctrl ou hift para selecionar).

4 Coleta e processamento de dadosComo a normalização funciona


• Filtrar pastas de primeiro nível

Uma máscara (/5 para uma pasta de primeiro nível no final da ID) significa que o McAfee ESM filtra eventospor IDs da subpasta selecionada.

• Filtrar pastas de segundo ou terceiro nível

Uma máscara (/12 para uma pasta de segundo nível, /18 para uma pasta de terceiro nível no final da ID)significa que o McAfee ESM filtra eventos por IDs da subpasta selecionada.

O quarto nível não tem máscara.

Normalização de cadeia

Use a normalização de cadeias para:

• Configurar um valor de cadeia que pode ser associado a valores de alias

• Importar ou exportar um arquivo. csv dos valores de normalização de cadeia

• Filtrar a cadeia e seus aliases

Por exemplo, para a cadeia com o nome de usuário João Silva, defina um arquivo de normalização de cadeia emque a cadeia principal seja João Silva e seus aliases sejam SilvaJoao, JSilva, [email protected] eJoaoS.

Em seguida, você pode inserir João Silva no campo de filtro, selecionar o ícone do filtro de normalização decadeia ao lado do campo e atualizar a consulta.

A exibição resultante mostra todos os eventos associados a João Silva e seus aliases, permitindo que vocêverifique se há inconsistências de entrada, em que os endereços IPs de origem correspondem, mas os nomesde usuário, não.

Como funciona a normalização de cadeiasVocê pode normalizar cadeias associando valores da cadeia aos valores do alias correspondentes. Em seguida,pode filtrar consultas por cadeias e importar ou exportar os valores da cadeia normalizada.

Por exemplo, a cadeia do nome de usuário João Silva, defina o arquivo de normalização de cadeia em que acadeia principal é João Silva com os seguintes aliases:

• SilvaJoao

• JSilva

• [email protected]

• JoaoS

Você pode criar uma consulta com João Silva como apelido de usuário e filtrar por normalização de cadeia.

A exibição resultante mostra todos os eventos associados a João Silva e seus aliases, permitindo que vocêverifique se há inconsistências de entrada, em que os IPs de origem correspondem, mas os nomes de usuário,não.

Coleta e processamento de dadosComo a normalização funciona 4


Criar arquivos de normalização de cadeia para importarSe você criar um arquivo .csv de aliases, será possível importá-lo na página Normalização de cadeia para que sejausado como um filtro.

Tarefa1 Em um programa de texto ou de planilha, digite os aliases usando este formato:

comando, cadeia principal, alias

Os comandos possíveis são add, modify e delete.

2 Salve-o como um arquivo .CSV e importe o arquivo.

Gerenciar arquivos de normalização de cadeiaAntes de usar um arquivo de normalização de cadeia, você deve adicioná-lo ao McAfee ESM.

Tarefa1 No painel Filtros, clique no ícone Iniciar o Gerenciador de normalização de cadeia de caracteres .

2 Execute uma das ações disponíveis e clique em Fechar.

Como funciona a agregaçãoUm evento ou um fluxo podem ser gerados milhares de vezes. Em vez de verificar milhares de eventos idênticos,você pode exibi-los como um evento ou fluxo único, junto com uma contagem que indica o número de vezesque ele ocorreu.

O uso da agregação permite usar o espaço em disco, tanto no dispositivo quanto no McAfee ESM, com maioreficiência, pois elimina a necessidade de armazenar cada pacote. Esse recurso aplica-se somente a regras paraas quais a agregação está ativada no Editor de políticas.

Endereço IP de origem e endereço IP de destino

Os valores "não definidos" ou agregados de endereço IP de destino e endereço IP de origem são exibidos como"::", e não como "0.0.0.0" em todos os conjuntos de resultados. Por exemplo:

• ::ffff:10.0.12.7 é inserido como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 é 10.0.12.7).

• ::0000:10.0.12.7 seria 10.0.12.7.

Eventos e fluxos agregados

Os eventos e fluxos agregados usam o primeiro, o último e o campo de totais, para indicar a duração e ovolume de agregação.

Por exemplo, se o mesmo evento ocorreu 30 vezes nos primeiros 10 minutos após meio-dia:

• Primeira vez = 12:00 para a hora da primeira instância do evento

• Última vez = 12:10 para a hora da última instância do evento

• Total = 30

Você pode alterar as configurações de agregação de eventos ou de fluxos padrão do dispositivo como um todo.Para os eventos, é possível adicionar exceções às configurações de regras individuais do dispositivo.

4 Coleta e processamento de dadosComo funciona a agregação


A agregação recupera registros com base na configuração de recuperação de eventos, fluxos e registros. Se odispositivo for configurado para recuperação automática, ele compactará um registro somente até a primeiravez que o McAfee ESM efetuar pull dele. Se for configurado para recuperação manual, o registro compactaráaté 24 horas ou até que seja efetuado pull de um novo registro manualmente, o que ocorrer primeiro. Se otempo de compactação alcançar o limite de 24 horas, será efetuado pull de um novo registro e a compactaçãocomeçará nesse novo registro.

Alterar as configurações de agregação de eventos e fluxosA agregação de eventos e fluxos é ativada por padrão e definida como Média-alta. Você pode alterar asconfigurações conforme o necessário. O desempenho de cada configuração está descrito na página Agregação.

Antes de iniciarVocê deve ter permissões de Administrador de políticas e Gerenciamento de dispositivos ouAdministrador de políticas e Regras personalizadas para alterar essas configurações.

A agregação de eventos está disponível somente para dispositivos e receptores ADM, e a agregação de fluxos,para receptores.



3 Clique em Agregação do evento ou Agregação do fluxo.

4 Defina as configurações e clique em OK.

Adicionar exceções às configurações de agregação de eventoConfigurações de agregação aplicam-se a todos os eventos gerados por um dispositivo. Você pode criarexceções para regras individuais se as configurações gerais não se aplicarem aos eventos gerados pela regra.

Tarefa1 No painel de exibições, selecione um evento gerado pela regra para a qual deseja adicionar uma exceção.

2Clique no ícone Menu e selecione Modificar configurações de agregação.

3 Selecione os tipos de campo que deseja agregar nas listas suspensas Campo 2 e Campo 3.

Os campos que você selecionar em Campo 2 e Campo 3 devem ser de tipos diferentes; caso contrário, umerro ocorrerá. Ao selecionar esses tipos de campo, a descrição para cada nível de agregação mudará pararefletir as seleções feitas. Os limites de tempo para cada nível dependem da configuração de agregação doevento definida para o dispositivo.

4 Clique em OK para salvar as configurações e clique em Sim para continuar.

5 Desmarque os dispositivos para os quais não quiser distribuir as alterações.

6 Clique em OK para distribuir as alterações para os dispositivos selecionados.

A coluna Status exibe o status da atualização quando as alterações são distribuídas.

Coleta e processamento de dadosComo funciona a agregação 4


Alterar configurações de agregaçãoA agregação está definida como padrão, e os eventos agregados possuem campos correspondentes. Você podeescolher o tipo de agregação para todos os eventos gerados em um dispositivo. Depois, pode modificar asconfigurações de agregação para regras individuais.

Tarefa1 No painel Tipos de regras do Editor de políticas, selecione o tipo de regra.

2 Selecione a regra cujas configurações de agregação você deseja alterar.

3 Clique em Operações na barra de ferramentas e selecione Modificar configurações de agregação.

4 Selecione os tipos de campo que você deseja agregar nas listas suspensas Campo 2 e Campo 3.

Os campos selecionados devem ser de tipos diferentes, caso contrário, ocorrerá erro. As descrições dasalterações de agregação de nível 1, nível 2 e nível 3 mudam de acordo com suas seleções.

5 Clique em OK para salvar as configurações.

6 Caso tenha feito alterações que afetam o modo de agregação dos dispositivos, você será questionado sedeseja distribuir as alterações. Faça o seguinte:

a Clique em Sim.

A página Distribuição de exceções de agregação exibe o status dos dispositivos afetados pela alteração.Todos os dispositivos desatualizados são verificados.

b Se necessário, desmarque os dispositivos para os quais você não deseja aplicar as alterações.

c Clique em OK para distribuir as alterações.

A coluna Status mostra o status da atualização conforme as alterações são distribuídas.

Exibir exceções de agregação de eventoVocê pode exibir uma lista das exceções de agregação de evento que foram adicionadas ao sistema. É possíveltambém editar ou remover uma exceção.



3 Clique em Agregação do evento e em Exibir na parte inferior da tela.

4 Efetue as alterações necessárias e clique em Fechar.

4 Coleta e processamento de dadosComo funciona a agregação


5 Correlação de dados

Conteúdo Como funciona a correlação Como a correlação histórica funciona Como funcionam as regras de correlação

Como funciona a correlaçãoO McAfee

®

Advanced Correlation Engine (McAfee®

ACE) identifica e pontua eventos de ameaça em tempo real,usando a lógica baseada em regra e em risco.

Identifique o que você considera importante (usuários ou grupos, aplicativos, servidores específicos ousub-redes) para ser alertado pelo McAfee ACE se o ativo for ameaçado. Trilhas de auditoria e reproduçõeshistóricas corroboram para cumprimento de regras, conformidade e perícias.

Configure o McAfee ACE usando modos históricos ou de tempo real:

• Modo de tempo real: os eventos são analisados assim que coletados para detecção imediata de riscos eameaças.

• Modo histórico: reproduz dados disponíveis coletados por um dos mecanismos de correlação, ou ambos,para detecção de riscos e ameaças históricos. Quando o McAfee ACE descobre novos ataques de dia zero,ele determina se a organização foi exposta a esse ataque anteriormente para detecção de ameaças de diasubzero.

Os dispositivos do McAfee ACE complementam os recursos de correlação de eventos existentes do McAfee ESMfornecendo dois mecanismos de correlação dedicados. Configure cada dispositivo do McAfee ACE com suaprópria política, conexão, configurações de recuperação de eventos e logs e gerenciadores de risco.

• Correlação de risco: gera uma pontuação de risco usando uma correlação sem regras. A correlaçãobaseada em regra somente detecta padrões de ameaça conhecidos, exigindo atualizações e ajustes deassinatura constantes para ser eficaz. A correlação sem regras substitui assinaturas de detecção por umaconfiguração única: identifique o que é importante para seus negócios (como determinado serviço ouaplicativo, grupo de usuários ou tipos de dados específicos). A correlação de risco então rastreia todas asatividades relacionadas a esses itens, criando uma pontuação de risco dinâmica que aumenta ou diminui deacordo com a atividade em tempo real.

Quando uma pontuação de risco excede determinado limite, o McAfee ACE gera um evento e o alerta sobrecondições de ameaça crescentes. Ou o mecanismo tradicional de correlação baseada em regra pode usar oevento como condição de um incidente maior. O McAfee ACE mantém uma trilha de auditoria completa depontuações de risco para permitir análises e investigações completas das condições de ameaça ao longo dotempo.

5


• Correlação baseada em regra: detecta ameaças usando a correlação de eventos tradicional baseada emregra para analisar as informações coletadas em tempo real. O McAfee ACE correlaciona todos os logs,eventos e fluxos de rede com informações contextuais, como identidade, funções, vulnerabilidades etc.,para detectar padrões que indiquem uma ameaça maior.

O McAfee Event Receiver oferece suporte à correlação baseada em regra em toda a rede. O McAfee ACEcomplementa essa funcionalidade com um recurso de processamento dedicado que correlaciona volumesmaiores de dados, suplementando relatórios de correlação existentes ou descarregando-oscompletamente.

Configure cada dispositivo do McAfee ACE com sua própria política, conexão, configurações de recuperação deeventos e logs e gerenciadores de risco.

Adicionar pontuação de correlação de riscoÉ necessário adicionar instruções condicionais que atribuam uma pontuação a um campo de destino.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades de ACE e clique em Pontuação de correlação de

risco.

2 Clique em Adicionar, preencha as informações necessárias e clique em OK.

Opção Definição

Pontuação ativada Ative a instrução condicional.

Tipo de dados Selecione o tipo de dados que deseja que apareça na instrução condicional. Épossível selecionar Evento, Fluxo ou os dois.

Campo de pontuação Procure o campo para receber a pontuação desejada.

Campo de pesquisa Procure o campo para associar o tipo de origem.

Tipo de origem Selecione o tipo de origem para usar como comparação. Se o tipo de origemselecionado contiver um valor de pontuação além do valor correspondente, essapontuação será aplicada, ou você poderá inserir uma pontuação manualmentemarcando a caixa de seleção na coluna Usar pontuação.

Valor Digite ou selecione o valor para comparação. As opções disponíveis nesta colunavariam conforme o tipo de origem selecionado na coluna anterior.

Usar pontuação Marque a caixa de seleção para usar uma pontuação digitada manualmente.

Pontuação A pontuação a ser dada para o Campo de pontuação selecionado. É possível aplicaruma pontuação combinada ao campo de pontuação ao inserir diversas regras nagrade.

Peso Peso dado à linha ou ao tipo de origem referente a uma pontuação combinada dainstrução condicional (não pode exceder 100%).

Botão Adicionar linha Clique para adicionar uma nova linha condicional à instrução condicional inteira.

Peso total Total de todas as linhas ou tipos de origem sob a coluna de peso.

Intervalo de pontuaçãode risco atual para

O intervalo da pontuação que pode ser dado ao campo selecionado como o campoda pontuação, dependendo do resultado das linhas condicionais.

5 Correlação de dadosComo funciona a correlação


Adicionar um gerenciador de correlação de riscoAdicione gerenciadores de correlação para ajudar a calcular os níveis de risco dos campos designados.

Antes de iniciar• Certifique-se de que um dispositivo do ELM (Event Log Manager) exista no McAfee ESM.

• Certifique-se de que as listas de armazenamento existam no ELM.

• Certifique-se de que existam zonas.


2 Na árvore de navegação do sistema, selecione o McAfee ACE e clique no ícone Propriedades .

3 Clique em Gerenciamento de correlação de risco.

Correlação de dadosComo funciona a correlação 5


4 Clique em Adicionar e preencha as informações solicitadas em cada guia.

5 Clique em Concluir e em Gravar para gravar os gerenciadores no dispositivo.


Principal Nome Nome do gerenciador

Ativar Desmarque a opção para desativar o gerenciador.

Usar dados de evento,Usar dados de fluxo

Selecione uma das opções, ou ambas, para indicar o tipo de dados quedeseja usar.

Se você selecionar Usar dados de fluxo, deverá acessar tambémPropriedades de ACE | Configuração de ACE | Dados e selecionar Dados defluxo.

Log, Listas dearmazenamento

Selecione Log para salvar os logs no ELM (Event Log Manager).Selecione a lista de armazenamento no ELM onde deseja salvar os logs.

Zona Se quiser atribuir os dados a uma zona, selecione-a na lista suspensa.

Tolerância de ordemde tempo

(Correlação de regras apenas)

Selecione o tempo durante o qual a correlação de regras permitiráeventos fora de ordem. Por exemplo, se você definir 60 minutos, osistema poderá usar um evento que esteja atrasado 59 minutos.

Campos Campo Selecione os campos que esse gerenciador usa para correlacionareventos (máximo de 5 por gerenciador).

Percentual Selecione o percentual que você deseja que cada campo tenha; ospercentuais combinados devem totalizar 100%.

As atualizações de risco, quando estão abaixo de 100% críticas, relatamseu estado crítico de acordo com o que você definiu como FYI,Secundário, Aviso, Principal e Crítico (consulte a guia Limites). Porexemplo, se seu conceito de FYI for 50% do valor crítico, quando o riscoatingir 50% do crítico, a gravidade será, na verdade, 20 em vez de 50.

Correlacionar Selecione caso não queira que um campo seja usado para determinarexclusividade.Evite correlacionar vários campos de cardinalidade em função de altosrequisitos de memória.

O número de linhas de risco geradas dependerá do número decombinações exclusivas de todos os campos correlacionados.

Limites Seção superior Defina os limites de pontuação para um evento ser disparado para cadanível crítico.

Seção inferior Defina a taxa para a pontuação decair. A configuração padrão é: a cada120 segundos em que uma pontuação estiver em um período, ela decairá10% até atingir a pontuação 5. O período dos valores de campoexclusivos é excluído.

5 Correlação de dadosComo funciona a correlação



Filtros Lógica AND, LógicaOR

Configure a estrutura dos filtros usando elementos lógicos.

Componente decampos de filtro Arraste e solte o ícone Corresponder ao componente sobre um elemento

lógico e, em seguida, preencha a página Adicionar campo de filtro.

Para editar as condições de um componente depois de ele ter sido

adicionado a um elemento lógico, clique no ícone Menu docomponente e selecione Editar. Em seguida, você pode alterar asconfigurações.

Adicionar um gerenciador de correlaçãoPara usar a correlação de regra ou de risco, é necessário adicionar gerenciadores de correlação de regra ourisco.

Antes de iniciarVerifique se há um dispositivo do McAfee® Advanced Correlation Engine (McAfee® ACE).

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades de ACE.

2 Clique em Gerenciamento de correlação, depois em Adicionar.

3 Selecione o tipo de gerenciador que deseja criar e clique em OK.

4 Insira as informações solicitadas, depois clique em Concluir.

Como a correlação histórica funcionaUse a correlação histórica para correlacionar eventos passados.

Quando o sistema descobrir uma nova vulnerabilidade, verifique seus eventos históricos e logs paradeterminar se sua organização foi explorada no passado. Reproduza eventos históricos usando o mecanismode correlação de regras independentes Correlação de risco e o mecanismo de correlação de evento baseado emregras padrão.

Examine eventos históricos em relação às ameaças de cenário atuais nestas situações:

• A correlação não foi configurada durante o período em que certos eventos foram disparados. A correlaçãodesses eventos pode revelar informações valiosas.

• Configure uma nova correlação com base nos últimos eventos disparados e teste a nova correlação paraconfirmar resultados.

Ao usar a correlação histórica, esteja ciente de que:

• A correlação em tempo real não pode ser executada até que você desative a correlação histórica.

• A agregação de eventos distorce a distribuição de risco.

• Ao mudar o Risk Manager novamente para correlação de risco em tempo real, ajuste os limites.

Correlação de dadosComo a correlação histórica funciona 5


Para configurar e executar a correlação histórica, é necessário:

1 Adicionar um filtro de correlação histórica.

2 Executar uma correlação histórica.

3 Fazer download e exibir os eventos históricos correlacionados.

Ativar correlação históricaAtive a correlação histórica, que analisa os eventos, aplica os filtros e empacota os eventos que se aplicam.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades de ACE e clique em Histórico.

2 Clique em Adicionar, preencha as informações solicitadas e clique em OK.

3 Selecione Ativar correlação histórica e clique em Aplicar.

A correlação em tempo real é interrompida até a desativação da correlação histórica.

4 Selecione os filtros que deseja executar e clique em Executar agora.

Exibir eventos de correlação históricaDepois de executar a correlação histórica, você pode exibir os eventos gerados.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades de ACE e clique em Eventos e logs | Obter eventos.

Os eventos resultantes da execução da correlação histórica são baixados no McAfee ESM.

2 Feche Propriedades de ACE.

3 Para exibir os dados:

a Na árvore de navegação do sistema, selecione o dispositivo ACE (Advanced Correlation Engine) no qualvocê acabou de executar a correlação histórica.

b Na lista suspensa de períodos, selecione o período especificado ao configurar a execução.

Como funcionam as regras de correlaçãoAs regras de correlação interpretam resultados padrão nos dados. A correlação analisa os dados e detectapadrões no fluxo de dados, gera alertas para esses padrões e insere alertas no banco de dados de alertas doMcAfee Event Receiver.

As regras de correlação são separadas e diferentes dos firewalls ou das regras padrão com atributos queespecificam seu comportamento. Cada McAfee Event Receiver obtém um conjunto de regras de correlação deum McAfee ESM (conjunto de regras de correlação implantado), que é composto de zero ou mais regras decorrelação estabelecidas com valores de parâmetros definidos pelo usuário. O McAfee ESM inclui um conjuntobásico de regras de correlação, que o servidor de atualização de regras atualiza.

As regras no servidor de atualização de regras incluem valores padrão. Ao atualizar o conjunto de regras domecanismo de correlação básico, personalize os valores padrão para que eles representem sua rede de maneiraapropriada. Se você distribuir essas regras sem alterar os valores padrão, elas poderão gerar falsos positivos oufalsos negativos.

5 Correlação de dadosComo funcionam as regras de correlação


Quando você configura uma origem de dados, ativa a correlação. Somente uma origem de dados de correlaçãopode ser configurada por McAfee Event Receiver, de modo similar à configuração de syslog ou OPSEC. Depoisque a origem de dados de correlação é configurada, você pode editar o conjunto de regras de correlação básicopara criar o conjunto de regras de correlação implantado usando o Editor de regra de correlação. Você podeativar ou desativar cada regra de correlação e definir o valor dos parâmetros configuráveis pelo usuário decada regra. Também é possível criar regras personalizadas e adicionar componentes de correlação a regras decorrelação.

Como funcionam as origens de dados de correlaçãoUma origem de dados de correlação analisa dados do McAfee ESM, detecta padrões suspeitos e gera alertas decorrelação, que são inseridos no banco de dados de alerta do receptor. Somente uma origem de dados decorrelação pode ser configurada por receptor, de modo similar à configuração de syslog ou OPSEC.

Os dados interpretados pelas regras de política de correlação, que você pode criar e alterar, representam umpadrão suspeito.

Depois de configurar uma origem de dados de correlação, você pode:

• Distribuir a política padrão de correlação

• Editar as regras de base na política padrão dessa correlação

• Adicionar regras e componentes personalizados

• Distribuir a política

• Ativar ou desativar cada regra

• Definir o valor dos parâmetros definidos pelo usuário de cada regra

Ao adicionar uma origem de dados de correlação, selecione McAfee como fornecedor e Mecanismo de correlaçãocomo modelo.

A ativação da correlação de origem de dados permite que o McAfee ESM envie alertas para o mecanismo decorrelação do receptor.

Configurar regras de correlação para comparar campos de eventoConfigure as regras de correlação para comparar campos de evento (por exemplo, compare se o usuário deorigem e destino é o mesmo). Você também pode configurar uma regra para garantir que o endereço IP deorigem e o de destino sejam diferentes.


2 No painel Tipos de regras, selecione Correlação, clique na regra cujos campos deseja comparar e clique emEditar | Modificar

3 Clique no ícone do menu de um componente lógico e em Editar.

4 Na área de filtros, clique em Adicionar ou selecione um filtro existente e clique em Editar.

5 Clique no ícone Editor de valores padrão , digite o valor e clique em Adicionar, depois selecione o campo naguia Campos e clique em Adicionar.

Os campos numéricos aceitam os seguintes operadores: maior que (>), menor que (<), maior ou igual a (>=)e menor ou igual a (<=).

Correlação de dadosComo funcionam as regras de correlação 5


Exemplo de regras de correlação personalizadasEsse exemplo mostra como uma regra de correlação gera uma alerta quando o McAfee ESM detecta 5tentativas de entrada malsucedidas de uma única fonte em um sistema Windows, seguidas por uma entradacom êxito, tudo isso em 10 minutos.

1 No painel Tipos de regras do Editor de políticas, clique em Correlação.

2 Clique em Novo e selecione Regra de correlação.

3 Digite um nome descritivo e selecione a configuração de gravidade.

Como um evento gerado por esta regra pode indicar que uma pessoa não autorizada acessou o sistema,uma configuração de gravidade apropriada é 80.

4 Selecione a ID de normalização, que pode ser Autenticação ou Entrada de | autenticação, depois arraste esolte o elemento lógico AND.

Selecione AND porque há dois tipos de ações que precisam ocorrer (tentativas de entrada primeiro, emseguida, uma entrada com êxito).

5 Clique no ícone Menu e selecione Editar.

6 Selecione Sequência para indicar que as ações (primeiro, cinco tentativas de entrada malsucedidas; segundo,uma entrada com êxito) precisam ocorrer em sequência. Em seguida, defina o número de vezes que asequência precisa ocorrer, que é "1."

7 Defina o período no qual as ações precisam ocorrer e clique em OK.

Como há duas ações que exigem janelas de tempo, o período de 10 minutos deve ser dividido entre os dois.Nesse exemplo, cinco minutos é o período para cada ação. Depois que as tentativas malsucedidas tiveremocorrido em cinco minutos, o sistema começará a ouvir em busca de um êxito na entrada da mesma origemde IP nos próximos cinco minutos.

8 No campo Agrupar por, clique no ícone, mova a opção IP de origem da esquerda para a direita, indicandoque todas as ações precisam partir do mesmo IP de origem e clique em OK.

9 Defina a lógica dessa regra ou componente.



Para fazer isto... Faça isto...

Especifique o tipo de filtroque identifica os eventosde interesse (nesse caso,várias tentativas deentrada malsucedidas emum sistema Windows).

1 Arraste e solte o ícone Filtro e solte-o no elemento lógico AND.

2 Na página Componentes de campo de filtro, clique em Adicionar.

3 Selecione Regra de normalização | Em , em seguida, selecione:

• Normalização

• Autenticação

• Login

• Login em host

• Várias tentativas falhas de login em um host Windows

4 Clique em OK .

Defina o número de vezesque a falha de entradaprecisa ocorrer e durantequal período.

1 Arraste e solte o elemento lógico AND na barra do Filtro.

O elemento AND é usado porque há 5 tentativas separadas que precisamocorrer. O elemento permite que você defina o número de vezes e por quantotempo elas precisam ocorrer.

2 Clique no ícone do Menu do elemento AND que você acabou de adicionar eclique em Editar.

3 No campo Limite, digite 5 e remova outros valores que estão presentes.

4 Defina o campo Janela de tempo como 5.

5 Clique em OK.

Defina o segundo tipo defiltro que precisa ocorrer,que é entrada com êxito.

1 Arraste e solte o ícone Filtro na ponta inferior do primeiro colchete doelemento lógico AND.

2 Na página Corresponder ao componente, clique em Adicionar.

3 Nos campos, selecione Regra de normalização | Em, e selecione:

• Normalização

• Autenticação

• Login

• Login em host

4 Clique em OK para voltar para a página Corresponder ao componente.

5 Para definir "bem-sucedido", clique em Adicionar, selecione Subtipo de evento |Eme clique no ícone de Variáveis e em Subtipo de evento | bem-sucedido |Adicionar.

6 Clique em OK para voltar para o Editor de políticas.

Substituir o componente da regra de correlaçãoSe você definiu uma regra de correlação para agrupar por um campo específico, pode substituir umcomponente da regra para corresponder a um campo diferente.

Por exemplo, se você definir o campo Agrupar por em uma regra de correlação como IP de origem, poderásubstituir um componente da regra para usar o endereço IP de destino. Isso significa que todos os eventos têmo mesmo endereço IP de origem, exceto os eventos que correspondem ao componente substituído. Esses



eventos têm o mesmo endereço IP de destino que o endereço IP de origem dos outros eventos. Substituacomponentes de regra para procurar um único evento de um determinado destino seguido por outro eventoproveniente desse destino.


2 Clique em Correlação no painel Tipos de regras, selecione uma regra e clique em Editar | Modificar.

3 Arraste e solte o elemento lógico Corresponder ao componente na área Lógica de correlação, depois cliqueno ícone do menu ou clique do ícone do menu de um elemento existente Corresponder ao componente naárea Lógica de correlação.

4 Selecione Editar, clique em Opções avançadas, selecione Substituir grupo por e clique em Configurar.

5 Na página Configurar grupo por substituições, selecione o campo substituir e clique em OK.

Conflitos ao importar regras de correlaçãoA exportação de regras de correlação cria um arquivo com os dados da regra. Mas o arquivo não inclui itensreferenciados que a regra pode usar, como variáveis, zonas, listas de observação, tipos personalizados e ativos.

Pode haver erros de importação se você importar um arquivo com itens de regras referenciados que nãoexistem no sistema de importação. Por exemplo, se a regra 1 fizer referência à variável $abc e nenhumavariável com esse nome estiver definida no sistema de importação, essa condição sinalizará que a regra estáem conflito.

Para evitar conflitos, crie os itens referenciados necessários (manualmente ou pela importação quandoaplicável) ou altere a regra de correlação e as referências da regra.

Imediatamente após a importação, o sistema lista quais regras estão em conflito (marcadas com um ponto deexclamação!) ou quais falharam. Você pode exibir e alterar os detalhes de conflito da regra nessa lista.

Adicionar parâmetros a uma regra ou componente de correlaçãoUse parâmetros para controlar como as regras de correlação se comportam quando são executadas. Osparâmetros são opcionais.

Tarefa1 Nas páginas Regra de correlação ou Componente de correlação, clique em Parâmetros.

2 Clique em Adicionar e insira um nome para o parâmetro.

3 Selecione o tipo de parâmetro desejado e marque ou desmarque os valores.

Os valores Lista e Intervalo não podem ser usados ao mesmo tempo. O valor de uma lista não pode incluirum intervalo (1-6 8, 10, 13). A maneira correta de gravar esses valores é 1, 2, 3, 4, 5, 6, 8, 10, 13.

4 Para selecionar o valor padrão do parâmetro, clique no ícone do Editor de valores padrão .

5 Se não quiser que o parâmetro seja visível externamente, desmarque Visível externamente. O parâmetro élocal ao escopo da regra.

6 Digite uma descrição do parâmetro, que aparece na caixa de texto Descrição na página Parâmetro da regraquando o parâmetro é realçado.

7 Clique em OK e em Fechar.



Identificar por que a regra de correlação foi disparadaIdentifique o que causou o disparo da regra e a direcionou para falsos positivos.

Antes de iniciarVocê precisa ter direitos de administrador ou pertencer a um grupo de acesso com permissão deadministração de políticas.

Os detalhes são sempre reunidos no momento da solicitação. No entanto, para regras que usam listas deobservação dinâmicas ou outros valores que podem ser alterados com frequência, defina a regra para obterdetalhes imediatamente após o disparo. Isto reduz a chance de os detalhes ficarem indisponíveis.

Tarefa1 No dashboard, clique em e selecione Correlação.

2 Defina regras para mostrar os detalhes imediatamente.

a No console do McAfee ESM, clique no ícone do Editor de políticas e clique em Correlação no painel Tiposde regras.

b Clique na coluna Detalhes da regra e selecione Ativada.

É possível selecionar mais de uma regra por vez.

3 Exiba os detalhes:

a Na árvore de navegação do sistema, clique em Correlação de regras no dispositivo McAfee ACE.

b Na lista de exibição, selecione Exibições de eventos | Análise de eventos e clique no evento que desejavisualizar.

c Clique na guia Correlação de detalhes para exibir os detalhes.

Exibir eventos de origem para evento de correlaçãoÉ possível exibir os eventos de origem para um evento de correlação na exibição Análise de evento.

Antes de iniciarVerifique se existem origens de dados de correlação no McAfee ESM.

Tarefa1 Na árvore de navegação do sistema, expanda o Receptor e clique em Mecanismo de correlação.

2 Na lista de exibição, clique em Exibições de eventos e selecione Análise de evento.

3 Na exibição Análise de evento, clique no sinal de mais (+) na primeira coluna ao lado do evento de correlação.

Aparecerá um sinal de mais somente se o evento de correlação tiver eventos de origem.



6 Como descobrir detalhes de ameaças

Conteúdo Como funciona o dashboard Como funcionam os filtros Como funcionam tipos personalizados Como funcionam as consultas Como funciona a pesquisa de logs Como funcionam as pesquisas do McAfee Active Response

Como funciona o dashboardO dashboard do McAfee ESM é uma ferramenta visual que representa dados em um formulário, permitindo quevocê localize possíveis ameaças rapidamente.

Quando você sabe como o dashboard do McAfee ESM é composto, pode criar exibições interativas parainvestigar possíveis ameaças específicas para sua organização.

O dashboard do McAfee ESM pode conter várias exibições e guias interativas que permitem passarrapidamente de uma exibição para outra. Você pode usar exibições predefinidas ou criar suas própriasexibições exclusivas com widgets e filtros.

6


1 Preencha o espaço de trabalho do dashboard do McAfee ESM com exibições predefinidas ou suas própriasexibições personalizadas.

2 Navegue rapidamente entre as exibições usando guias. Use as guias para explorar possíveis ameaças emvárias exibições e, ao mesmo tempo, retendo o contexto histórico que iniciou a investigação em uma guiaseparada.

3 Use a faixa de opções de filtro para encontrar o que está procurando nos resultados da consulta, usando afuncionalidade em tempo real. O preenchimento automático retorna resultados quando você cria aconsulta de filtro.

4 Crie várias exibições de dashboard que permitam articular, explorar, investigar e responder às possíveisameaças.

5 Represente e detalhe dados específicos rapidamente usando widgets visuais interativos.

6 Investigue casos abertos sem sair do dashboard, com acesso rápido aos detalhes essenciais do caso.

7 Responda a alarmes disparados não reconhecidos e a notificações do sistema.

Descrição dos componentes de exibição Há 12 componentes diferentes que podem ser adicionados a uma exibição personalizada. É possível usá-lospara configurar a exibição para mostrar dados no formato ideal.

Componente Descrição

Quadrante decontrole

Mostra os dados de modo simples. É dinâmico e pode ser vinculado a outroscomponentes no console. Ele é atualizado conforme você interage com o McAfee ESM.

Cada discagem inclui um indicador de linha de base ( ). Os gradientes na bordaexterna do discador ficam vermelhos acima do indicador da linha de base. Comoalternativa, todo o discador pode mudar de cor para representar um comportamentoincomum: ficar amarelo quando dentro de determinado limite de uma linha de baseou vermelho quando o limite for excedido.

A opção Taxa permite que você ajuste a taxa dos dados que está exibindo. Porexemplo, se estiver observando Dia atual e Total de eventos e alterar a taxa para hora,você verá o número de eventos por hora do dia determinado. Essa opção ficarádesativada se a consulta que você está exibindo já tiver entrado em uma média, comoGravidade média ou Média de bytes.

Gráfico deorigem e destino

Exibe a visão geral de atividades para o evento ou para os endereços IP de fluxo. Aopção de evento permite que você especifique endereços IP e exiba todos os ataquesexecutados em determinados endereços IP, assim como todos os ataques que osendereços IP especificados executaram nos outros. A opção de fluxo permite que vocêespecifique endereços IP e exiba os endereços IP conectados a eles, assim como asconexões que os endereços IP realizaram.

Este gráfico inclui um campo aberto na parte inferior do componente que permiteexibir os eventos de origem e de destino ou os fluxos de um endereço IP específico.Digite o endereço no campo ou selecione um que você usou anteriormente e clique no

ícone Atualizar .

Gráfico de pizza Exibe as informações consultadas em um gráfico de pizza. É útil quando você temmenos categorias a exibir (por exemplo, uma consulta de ação ou de protocolo).

Tabela Exibe as informações de consulta em várias colunas. Esse componente é útil paramostrar eventos e dados de fluxo com a melhor granularidade.

6 Como descobrir detalhes de ameaçasComo funciona o dashboard


Componente Descrição

Gráfico debarras

Exibe as informações consultadas em um gráfico de barras, permitindo que vocêcompare o tamanho de cada resultado em determinado intervalo de tempo.

Lista Exibe os dados de consulta selecionados em um formato de lista. Esse componente éútil quando você deseja exibir uma lista mais detalhada de itens em um espaço menor.

Distribuição Mostra uma distribuição de eventos e fluxos ao longo de determinado período. Vocêpode definir intervalos para observar períodos específicos para formar os dados.

Área de notas Um componente em branco que é usado para notas de texto. Permite que vocêescreva notas relacionadas à exibição atual.

Contagem Exibe o total de eventos, ativos, vulnerabilidades ou fluxos consultados em umaexibição específica.

Título Permite que você crie um título ou um cabeçalho para sua exibição. É possívelposicioná-lo em qualquer lugar na exibição.

Mapa dalocalizaçãogeográfica

Mostra o destino e o local da origem dos alertas e dos fluxos em um mapa delocalização geográfica. As opções desse componente permitem que você alterne entremarcar a cidade, o estado, o país e as áreas mundiais, aumente ou reduza o zoom eselecione locais usando as teclas Ctrl e Shift.

Lista de filtros Exibe uma lista de usuários e grupos em seu Active Directory. Depois que ocomponente Lista de filtros for adicionado, outros componentes poderão servinculados a ele. Basta clicar na seta para baixo nos campos de filtro Usuário de origemou Usuário de destino no Assistente de consulta e selecionar Vincular à lista do ActiveDirectory. Você também pode exibir os dados de evento e de fluxo associados ao ActiveDirectory clicando no ícone de menu.

Abertura de exibições do dashboardVocê pode abrir, importar ou exportar mais de uma exibição do dashboard por vez. Você pode também copiarexibições predefinidas (padrão) ou criar exibições personalizadas para atender às necessidades da empresa.

Antes de iniciarVocê precisa ter direitos de administrador ou pertencer a um grupo de acesso com permissão degerenciamento de exibições.

Tarefa1 No dashboard, clique em Adicionar exibição e clique na seta deslizante ao lado de cada uma das seguintes

opções:

• Para abrir uma exibição existente, clique em Abrir exibição.

• Para converter uma exibição de Flash em exibição de dashboard de HTML, clique em Importar exibiçõesde Flash.

• Para criar uma exibição de HTML, clique em Criar nova exibição. Adicione widgets e salve sua exibição.

2 Salve sua exibição.

Vincular widgets do dashboardA vinculação de widgets do dashboard liga os dados entre esses widgets. Assim, quando você altera dados nowidget pai, os dados do widget vinculado também mudam, criando uma exibição interativa. Por exemplo, sevocê vincular um widget a um endereço IP de origem e depois escolher um endereço IP específico no widget

Como descobrir detalhes de ameaçasComo funciona o dashboard 6


pai, o widget vinculado filtrará seus dados por esse endereço IP escolhido. A alteração da seleção no widget paiatualiza os dados do widget filho.


Tarefa1 Abra ou crie uma exibição de dashboard com os widgets que você quer vincular.

É possível vincular widgets a um campo de dados somente.

2 Para editar a exibição de dashboard, clique em Editar.

3 No widget que você quer vincular, clique em . Em seguida, selecione Configurações.

4 No painel Configuração de widget, ative Vinculação e selecione os dados que deseja filtrar (ou vincular ao) nowidget.

5 Clique em Salvar.

É exibido o ícone nos widgets vinculados. Passe o mouse sobre o ícone para ver os dados aos quais owidget está vinculado.

6 Clique em Salvar novamente para salvar suas alterações na exibição do dashboard e saia do modo Editar.

Adicionar exibições personalizadas do dashboardCrie exibições exclusivas do dashboard adicionando e organizando widgets que permitam visualizar e interagircom informações específicas.


Tarefa1 Sobre o dashboard, clique em Adicionar guia e, em seguida, selecione Criar nova exibição.

2 Clique em Adicionar widget e, em seguida, configure o widget.

a Dê um título ao widget.

b Nas opções disponíveis, selecione uma fonte de consulta, que preenche previamente os campos depesquisa, filtros e valores de classificação. Você pode usar os valores padrão ou alterá-los.

A fonte de consulta escolhida determina as opções de visualização disponíveis para o widget.

c Selecione a opção de visualização do widget. As opções possíveis são: tabelas, gráficos de barra, gráficosde pizza, escalas e gráficos de rosca interativos.

d Selecione se deseja vincular o widget a dados de outro widget.

3 Clique em Criar. Quando o widget aparecer no dashboard, você poderá alterar seu tamanho eposicionamento.



4 Para alterar o widget quando ele aparece na exibição do dashboard, clique em . As opções no submenu

variam de acordo com o widget e seus dados correspondentes. As opções podem incluir: Configurações,

Visualização, Detalhes, Ações, Busca detalhada, Filtrar e Excluir.

5 Clique em Salvar.

Gerenciar exibições do McAfee ESMGerencie as exibições do McAfee ESM para copiar, importar ou exportar, com rapidez, mais de uma exibiçãopor vez. Você pode selecionar as exibições para incluir na lista de exibições e atribuir permissão a usuários ougrupos específicos para acessar exibições individuais.

Tarefa1 No console do McAfee ESM, clique no ícone Gerenciar exibições .

2 Execute uma das opções disponíveis e clique em OK.

Opção Definição

Lista de exibições Selecione as exibições a serem incluídas na lista de exibições.Se a pasta estiver marcada, todas as subpastas e exibições que estiverem nela serãoselecionadas. Se a caixa de seleção da pasta estiver preta, algumas de suas subpastase exibições estão selecionadas.

Adicionar pasta Para organizar as exibições, crie pastas personalizadas. Você pode arrastar e soltarexibições para pastas personalizadas.

Renomear Renomeie a pasta ou exibição selecionada.

Não é possível renomear exibições somente leitura.

Excluir Exclua pastas ou exibições personalizadas.

Não é possível excluir exibições somente leitura.

Copiar Copie uma exibição e a adicione à lista de exibições. Você pode arrastar e soltarexibições copiadas para outras pastas.

Compartilhar Selecione os usuários ou grupos que podem acessar e alterar as exibiçõesselecionadas.

Importar Importe arquivos de exibição para o McAfee ESM.

Exportar Exporte exibições personalizadas para compartilhá-los com outro McAfee ESM oumantenha o arquivo como backup.

Não é possível exportar exibições somente leitura.

Tornar esta a minhaexibição padrão

Especifique a exibição padrão para o painel de exibição.

Exibir hora do eventoVeja a hora exata em que os eventos são inseridos no banco de dados do receptor.


Como descobrir detalhes de ameaçasComo funciona o dashboard 6


• Exibir dados para obter eventos e exibir a hora do evento

• Exibir gerenciamento para criar uma exibição

• Gerenciamento de eventos para alterar eventos

Tarefa1 No console do McAfee ESM, adicione uma exibição de tabela de eventos que inclua o campo Hora do

dispositivo.

a Na barra de ferramentas do painel Exibição, clique no ícone Criar nova exibição .

b Clique e arraste o componente Tabela e clique em Avançar.

c Clique em Campos.

d Clique em Hora do dispositivo na lista à esquerda, depois a mova para a lista à direita.

e Na página Campos, clique em OK, depois clique em Concluir.

f Na Barra de ferramentas Exibir edição, clique em Salvar como, digite o nome da exibição, depois clique emOK.

g Feche a Barra de ferramentas Exibir edição.

A exibição é adicionada à lista suspensa de exibições.

2 Exiba a Hora do dispositivo de uma destas maneiras.

Se você enviar um evento para reparar, a hora do dispositivo desse evento será perdida.

• Exiba a coluna Hora do dispositivo na tabela de eventos da exibição adicionada.

• Clique no ícone Exibir detalhes de dados na parte inferior da tabela.

• Clique na guia Detalhes avançadose veja o campo Hora do dispositivo.

Exibir detalhes da sessãoVeja os detalhes do evento com um ID de sessão e salve-os em um arquivo csv na Visualizador de sessão.

Para ter um ID de sessão, um evento precisa residir em uma sessão. Uma sessão é o resultado da conexãoentre uma origem e o destino. Os eventos internos do dispositivo ou McAfee ESM não têm IDs de sessão.

Tarefa1 Na lista suspensa de exibição, selecione a exibição que tem a sessão que você precisa exibir.

2 Selecione o evento, clique no ícone do menu na barra de títulos do componente e selecione Busca detalhadado evento | Eventos.

3 Clique no evento, na guia Detalhes avançados e no ícone Exibir dados da sessão ao lado do campo ID desessão.

A Visualização de sessão será aberta, exibindo os detalhes da sessão.



Exibições de fluxoUm fluxo é um registro de uma conexão feita através do dispositivo. Quando a análise de fluxo é ativada, osdados de cada fluxo ou conexão são registrados.

Os fluxos têm endereços IP de origem e destino, portas, endereços MAC, um protocolo e um primeiro e últimonome (indicando a duração entre o início da conexão e seu término).

Como os fluxos não são uma indicação de tráfego anômalo nem malicioso, há mais fluxos do que eventos. Umfluxo não está associado a uma assinatura de regra (SigID) como um evento. Fluxos não estão associados aações de eventos como alerta, descarte e rejeição.

Alguns dados são específicos dos fluxos, inclusive bytes de origem e destino e pacotes de origem e destino.Bytes de origem e pacotes indicam o número de bytes e pacotes transmitidos pela origem do fluxo. Os bytes dedestino e pacotes indicam o número de bytes e pacotes transmitidos pelo destino do fluxo. Os fluxos têmdireção: o fluxo de entrada é definido como um fluxo que se origina fora da HOME_NET. Um fluxo de saída seorigina dentro da HOME_NET.

Para exibir dados de fluxo, é necessário ativar o sistema para que registre dados de fluxo. Você pode exibirfluxos na exibição Análise de fluxo.

Como funcionam os filtrosNo painel de filtros, adicione e exclua campos de filtros, salve conjuntos de filtros, altere o conjunto padrão,gerencie todos os filtros e inicie o gerenciador de normalização de cadeia. Os filtros aplicados a uma exibiçãosão transferidos para a exibição seguinte, que é aberta.

Na primeira vez que você entrar no McAfee ESM, haverá estes campos de filtro no painel de filtros padrão:Usuário de origem, Usuário de destino, IP de origem e IP de destino.

Um ícone de funil laranja aparece no canto superior direito do painel de exibição indicando que os filtros foramaplicados à exibição. Clique no ícone laranja para limpar os filtros e execute a consulta novamente.

Em qualquer lugar que haja valores de filtro separados por vírgula, como variáveis, filtros globais, filtros locais,cadeias normalizadas ou filtros de relatório, use aspas caso eles não façam parte de uma lista de observação.Se o valor for Santos,João, digite "Santos,João". Se houver aspas no valor, será necessário colocar as aspasentre aspas. Se o valor for Santos,"Menino"João, insira-o como "Santos,""Menino""João".

Você pode usar os filtros contains e regex.

Como funcionam os filtros de cadeiasOs filtros contains e regex fornecem as capacidades de caractere curinga nos dados da cadeia de índice e nosdados de cadeia não indexados. Esses filtros têm requisitos de sintaxe.

Use os filtros contains e regex em qualquer campo de texto ou cadeia. O ícone para não diferenciar maiúsculasde minúsculas ao lado de nomes de campo de filtro denota campos de texto. Outros campos que permitemo filtro contains não têm esse ícone.

Sintaxe e exemplos

A sintaxe de contains é contains(algumvalor) e de regex é regex(algumaexpressãoregular).

Para que os filtros não diferenciem maiúsculas de minúsculas, clique em ou inclua a notação de expressãoregular /i, como em regex(/algumvalor/i). Os resultados da pesquisa retornam qualquer valor quecontenha algumvalor, seja a fonte maiúscula ou minúscula.

Como descobrir detalhes de ameaçasComo funcionam os filtros 6


Os ícones NOT e se aplicam a valores contains e regex. Para mostrar os valores nos resultados de pesquisasem um valor, insira o valor e clique no ícone . Se desejar que os resultados mostrem um valor ou outro,insira os valores e clique em .

Exemplo nº 1 – Uma pesquisa simples

Campos indexados: contains(stra), regex(stra)Campos não indexados: straResultado: Retorna cadeias com stra , como administrador, gmestrad ou straub.

Exemplo nº 2 – Uma pesquisa OR

Campos indexados: contains(admin,NGCP), regex((admin|NGCP))Campos não indexados: admin,NGCPResultado: Retorna cadeias do campo que contêm admin ou NGCP. O regex OR requer o

conjunto extra de parênteses para funcionar.

Exemplo nº 3 – Uma pesquisa de caracteres especiais, como em contas de serviço

Um símbolo do dólar:

Campos indexados: contains($), regex(\x24) ou regex(\$)Campos não indexados: $Resultado: Qualquer instrução retorna cadeias no campo que contém um $.

Com o regex, se você tentar usar $ sem escalá-lo, o conjunto de resultados retornará vazio. A sequência deescape PCRE é um método de pesquisa melhor.

Um símbolo de percentual:

Campos indexados: contains(%), regex(\x25)ou regex(\%)Campos não indexados: %

Uma barra invertida:

Campos indexados: contains(\), regex(\x5c) ou regex(\\)Campos não indexados: \

Barras invertidas duplas

Campos indexados: contains(\\), regex(\x5c\x5c) ou regex(\\\)Campos não indexados: \\

Se você não usar o valor hexadecimal ou a barra com regex, poderá ocorrer o erro Expressão regular inválida(ER5-0015).

Exemplo nº 4 – Pesquisa com o * caractere curinga

6 Como descobrir detalhes de ameaçasComo funcionam os filtros


Campos indexados: contains (ad*)Campos não indexados: ad*Resultados: Retorna qualquer cadeia que comece com ad, como administrador e adaptar.

Exemplo nº 5 – Pesquisa com Expressão regular

Estes domínios são de eventos de DNS da Microsoft.

regex(nitroguard\x28[3-4]\x29[com|info}+)(3)www(10)nitroguard(3)com(0)(3)www(10)nitroguard(4)info(0)(3)www(10)nitroguard(3)gov(0)(3)www(10)nitroguard(3)edu(0)(3)www(10)nitroguard(7)oddball(0)Resultados: Essa expressão regular seleciona uma cadeia específica. Nesse caso, é nitroguard, um

domínio primário de 3 ou 4 dígitos, e com ou info. Esse regex corresponde às duasprimeiras expressões, mas não às outras. Esses exemplos mostram como é possível usaro regex com o recurso.

Avisos

• Para evitar maior sobrecarga e desempenho de consulta mais lento, use o regex com valores de trêscaracteres, no mínimo.

• Não é possível usar esse filtro em regras de correlação ou alarmes. A única exceção é que ele pode serusado em regras de correlação com tipos personalizados de nome/valor.

• Usar contains ou regex com NOT pode aumentar a sobrecarga e tornar o desempenho de consulta maislento.

• É recomendável ter familiaridade com filtros de bloom.

Campos que oferecem suporte a contains e regex

Access_Resource File_Operation_Succeeded Referenciador

Aplicativo File_Path Registry_Key

Application_Protocol File_Type Registry_Value

Área Nome do arquivo Request_Type

Authoritative_Answer Forwarding_Status Response_Code

Cco De Return_Code

Caller_Process From_Address RTMP_Application

Catalog_Name FTP_Command Sensor_Name

Categoria Host Sensor_Type

Com cópia HTTP_Req_Cookie Sensor_UUID

Versão do cliente HTTP_Req_Host Session_Status

Comando HTTP_Req_Method ID de assinatura

Contact_Name HTTP_Req_Referer Signature_Name

Contact_Nickname HTTP_Req_URL SNMP_Error_Code



Cookie HTTP_User_Agent SNMP_Item

Creator_Name Incomtin_ID SNMP_Item_Type

Database_ID Interface SNMP_Operation

Database_Name Interface_Dest SNMP_Version

Datacenter_ID Job_Name Usuário de origem

Datacenter_Name Job_Type Source_Context

DB2_Plan_Name Idioma Source_Logon_ID

Delivery_ID Local_User_Name Source_Network

Descrição Logical_Unit_Name Source_UserID

Usuário de destino Logon_Type Source_Zone

Destination_Directory LPAR_DB2_Subsystem SQL_Command

Destination_Filename Mail_ID SQL_Statement

Destination_Hostname Caixa de correio Step_Count

Destination_Logo_ID Mainframe_Job_Name Step_Name

Destination_Network Malware_Insp_Action Assunto

Destination_UserID Malware_Insp_Result SWF_URL

Destination_Zone Management_Server Table_Name

Detection_Method Message_ID Target_Class

Device_Action Message_Text Target_Context

Direção Método Target_Process_Name

Diretório NTP_Client_Mode TC_URL

DNS_Class NTP_Opcode Threat_Category

DNS_Name NTP_Request Threat_Handled

DNS_Type NTP_Server_Mode Threat_Name

Domínio Objeto Para

Event_Class Object_Type To_Address

External_Application Operating_System URL

External_DB2_Server Policy_Name URL_Category

External_Hostname Privileged_User User_Agent

External_SessionID Process_Name User_Nickname

Recurso Query_Response Versão

File_Operation Motivo Virtual_Machine_ID

Virtual_Machine_Name

Esses tipos personalizados podem usar contains e regex:

Exibições• Cadeia

• Cadeia aleatória

• Nome/valor

• Cadeias com hash

Gerenciamento de casos• Notas

• Resumo

• Histórico



Filtrar exibições de dashboardFiltre a exibição do dashboard para você poder focar nos detalhes específicos da exibição.

Antes de iniciarVocê precisa pertencer a um grupo de acesso com permissões para exibição de gerenciamento ede dados.

Tarefa

1 Abra a exibição do dashboard que você deseja filtrar.

2 Para filtrar a exibição, siga um destes procedimentos:

• Clique na barra de Filtro e adicione o campo e valores pertinentes.

Você pode usar somente o operador AND na barra de Filtro.

• Aceite o operador padrão igual a (=) do filtro.

• Para alterar o operador diferente de (!=), clique no sinal de igual a (=).

• Para remover um campo do filtro, clique em nesse campo.

• Para criar filtros complexos usando os operadores AND e OR, clique em Pesquisa avançada.

• Para especificar um período de tempo para o modo de exibição, clique no ícone do relógio da faixa deopções de filtro e selecione o período. Se quiser fazer a consulta partições arquivadas, use a interface deFlash legada para definir um Tempo personalizado.

• Para aplicar conjuntos de filtros predefinidos à exibição, clique na seta suspensa Conjuntos de filtroslocalizada no canto superior direito do dashboard.

• Selecione um conjunto de filtros predefinidos na lista.

• Para criar um conjunto de filtros, clique em Gerenciar conjuntos de filtros.

Para obter detalhes sobre como criar um conjunto de filtros, clique em na janela Gerenciamento deconjunto de filtros.

3 Para filtrar a exibição, clique em .

A exibição é atualizada para mostrar apenas os registros correspondentes aos valores que você inseriu.

Filtrar por IDs normalizadasQuando você cria exibições ou adiciona filtros a uma exibição, pode filtrar os dados usando IDs normalizadas.

Tarefa

1 No console do McAfee ESM, realize uma destas ações:

• Para criar uma exibição, clique em Filtros na segunda página do Assistente de consulta.

• Para adicionar filtros a uma exibição, selecione a exibição à qual deseja adicioná-los. O painel Filtros ficaà direita da tela.

2 Localize o campo ID normalizada, depois clique no ícone Filtros .

3 Selecione os IDs, depois clique em OK.

Os números de ID selecionados são adicionados ao campo ID normalizada.



Filtrar por ID de conformidade.A UCF (Unified Compliance Framework) é uma organização que mapeia as especificidades de cada regulamentopara o controle harmônico de IDs. À medida que as normas mudam, essas IDs são atualizadas e enviadas porpush ao McAfee ESM.

• Você pode filtrar por ID de conformidade para selecionar a conformidade necessária ou subcomponentesespecíficos, ou por IDs de evento do Windows.

Para... Faça isto...

Adicionar filtros daUCF

1 No painel Filtros, clique no ícone de filtro ao lado do campo ID de conformidade.

2 Selecione os valores de conformidade que deseja usar como filtros e clique em OK

| Executar consulta .

Adicionar filtros deID de evento doWindows

1 Clique no ícone de filtro ao lado do ID de assinatura.

2 Em Filtrar variáveis, selecione a guia Windows.

3 Digite os IDs de evento do Windows (separados por vírgula) no campo de texto ouselecione os valores que deseja filtrar na lista.

Exibições de filtroOs filtros ajudam a exibir detalhes dos itens selecionados em uma exibição. Se você inserir filtros e atualizar aexibição, os dados refletirão os filtros adicionados.

Tarefa1 No console do McAfee ESM, selecione a exibição que deseja filtrar.

2 No painel Filtro, filtre a exibição de uma das seguintes maneiras:

• Digite as informações do filtro no campo apropriado. Por exemplo, para filtrar a exibição para versomente os dados que tenham o endereço IP de origem 161.122.15.13, digite o endereço IP no campoIP de origem.

• Digite um filtro contains ou regex.

• Clique no ícone Exibir lista de filtros ao lado do campo e selecione as variáveis ou as listas deobservação para filtrar.

• Na exibição, selecione os dados que deseja usar como filtro e clique no campo do painel Filtro. Se ocampo estiver em branco, ele será automaticamente preenchido com os dados selecionados.

Para Gravidade média, use dois pontos (:) para inserir um intervalo. Por exemplo, 60:80 é um intervalo degravidade de 60 a 80.



Exibir dados que correspondam amais de um filtro

Insira os valores em cada campo.

Exibir dados que correspondam aalguns valores de filtro e excluamoutros

1 Insira os valores de filtro que deseja incluir e excluir.

2 Clique no ícone NÃO ao lado dos campos que deseja excluir.




Exibir dados que correspondam afiltros regulares e OR

1 Insira os valores de filtro nos campos regulares e OR.

2 Clique no ícone OR ao lado dos campos que têm os valores OR.

A exibição inclui os dados que coincidem com os valores dos camposnão marcados com OR e que coincidem com qualquer um dos valoresdos campos marcados com OR.

Pelo menos 2 campos precisam ser selecionados com OR para queesse filtro funcione.

Fazer com que os valores de filtronão diferenciem maiúsculas deminúsculas

Clique no ícone Não diferenciar maiúsculas de minúsculas ao lado docampo de filtro apropriado.

Substituir as cadeias normalizadaspelos respectivos aliases

Clique no ícone de normalização de cadeia ao lado do campo defiltro apropriado.

4 Clique no ícone Executar consulta .

O McAfee ESM atualiza a exibição. Um ícone de filtro laranja aparece no canto superior direito do painel deexibição, indicando que os dados da exibição são um resultado dos filtros. Se você clicar no ícone, os filtrosserão desmarcados e a exibição mostrará todos os dados.

Exibir eventos de streamingExiba um fluxo dos eventos gerados pelo McAfee ePO, McAfee

®

Network Security Manager, receptor, origem dedados, origem de dados filho ou cliente selecionado. É possível filtrar a lista e selecionar um evento para umaexibição.

Tarefa1 Na árvore de navegação do sistema, selecione o dispositivo que você precisa exibir e clique no ícone Exibir

eventos de streaming na barra de ferramentas de ações.

2 Clique em Iniciar para começar o streaming e em Interromper para interrompê-lo.

3 Selecione uma das ações disponíveis no visualizador.

4 Clique em Fechar.

Como funcionam tipos personalizadosUse campos de tipo personalizado para filtrar exibições e relatórios e para criar regras personalizadas. É possíveladicionar, editar ou remover tipos personalizados, bem como exportá-los e importá-los.

Exportar ou importar tipos personalizadosVocê pode exportar tipos personalizados para um local específico. Tenha cuidado ao importar tipospersonalizados, pois eles substituem os tipos personalizados atuais no sistema.

Consultas personalizadasAo configurar consultas para uma exibição, você pode usar tipos personalizados predefinidos para filtrar asconsultas. Se não houver dados para um tipo personalizado específico, a consulta retornará sem resultados.Para evitar resultados como esse, selecione o campo de usuário (Campo personalizado 1 até 10 na colunaCampo de evento da tabela), que retorna os resultados necessários em vez de usar o tipo personalizado.

Como descobrir detalhes de ameaçasComo funcionam tipos personalizados 6


Por exemplo, para incluir os dados do usuário de origem nos resultados da consulta, selecione Usuário deorigem como um campo de consulta. Esse campo age como um filtro e, se as informações não contiveremdados de usuário de origem, a consulta não retornará nenhum resultado. Mas se você selecionar Campo deusuário 7 (o campo de usuário do usuário de origem), esse campo aparecerá como uma coluna na tabela deresultados e não filtrará os dados. Se existirem dados de usuário de origem, eles aparecerão nessa coluna. Senão houver dados para esse campo, a coluna Campo de usuário 7 ficará em branco, mas outras colunas serãopreenchidas.

Tipos de dados personalizados

Quando você seleciona Personalizado no campo Tipo de dados, pode definir o significado de cada campo em umlog de vários campos.

Por exemplo, um log (100300.351) contém três campos (100, 300.35, 1). O subtipo personalizado permite quevocê especifique do que se tratam cada um desses campos (inteiro, decimal, booliano). Por exemplo:

• Log inicial — 100300.351

• 3 subtipos — Integer|decimal|boolean

• Subtipo personalizado — 100|300.35|1

Os subtipos podem incluir no máximo 8 bytes (64 bits) de dados. Uso do espaço exibe o número de bytes e bitsusados. Quando os dados excedem o espaço máximo, esse campo indica, em vermelho, que o espaço foiexcedido. Por exemplo: Uso de espaço: 9 de 8 bytes, 72 de 64 bits.

Tipos personalizados de nome/valor

Se você selecionar o tipo de dados Grupo de nomes/valores, poderá adicionar um tipo personalizado que incluaum grupo de pares de nomes/valores especificados. Depois, você pode filtrar exibições e consultas de acordocom esses pares nomeados e usá-las em alarmes de Correspondência de eventos interna.

As características incluem:

• Usar uma expressão regular para filtrar os campos de grupo de nomes/valores.

• É possível correlacionar os pares para que eles possam ser selecionados no Editor de regra de correlação.

• O analisador avançado de syslog (ASP) coleta a parte de valores do par.

• O tamanho máximo dos tipos personalizados de nome/valor é 512 caracteres, que inclui os nomes. Osvalores que excederem 512 caracteres serão cortados quando coletados. Limite o tamanho e o número denomes.

• Os nomes devem consistir em mais de 2 caracteres.

• Os tipos personalizados de nome/valor podem ter até 50 nomes.

• Cada nome do grupo de nome/valor é exibido no filtro global como

<nome do grupo> - <nome>

Formato de expressão regular para tipos personalizados não indexados

Siga essa formatação para tipos personalizados de cadeia indexada e não indexada, cadeia aleatória e cadeiacom hash:

• Use a sintaxe contains(<expressão regular>) ou digite um valor nos campos da cadeia não indexadaaleatória ou da cadeia com hash e, então, filtre os tipos personalizados.

• Use a sintaxe regex().

6 Como descobrir detalhes de ameaçasComo funcionam tipos personalizados


• Com contains(), se você colocar um filtro separado por vírgula em um campo de tipo personalizado nãoindexado (Tomás,João,Estevão), o sistema executará uma expressão regular. A vírgula e o asterisco ou umponto e um asterisco funcionam como uma barra (|) em um campo de contains ou de cadeia não indexadaaleatória ou de cadeia com hash. Se você digitar um caractere como um asterisco (*), ele será substituídopor um ponto seguido pelo asterisco (.*).

• Uma expressão regular inválida ou a falta de um parêntese de abertura ou fechamento podem causar errosde expressão regular inválida.

• É possível usar um único regex() ou contains() em campos de filtros de tipos personalizados de cadeianão indexada e indexada, cadeia aleatória e cadeia com hash.

• O campo ID de assinatura aceita contains(<no todo ou em parte da mensagem de regra>) eregex(<em parte da mensagem de regra>).

• Um filtro de pesquisa comum para contains é um valor único, e não um valor único com um .* antes edepois.

Os filtros de pesquisa são:

• Valores únicos

• Vários valores separados por vírgulas, que são convertidos em uma expressão regular

• Uma declaração contains com um * que funciona como .*

• Expressões regulares avançadas, nas quais é possível usar a sintaxe de regex()

Criar tipos personalizadosAdicione tipos personalizados para usar como filtros.


Se você tiver privilégios de administrador, poderá exibir tipos personalizados predefinidos doMcAfee ESM (Propriedades do sistema | Tipos personalizados).



3 Clique em Tipos personalizados.

4 Clique em Adicionar.

Como descobrir detalhes de ameaçasComo funcionam tipos personalizados 6


Opção Definição

Nome Digite um nome para o tipo personalizado.

Tipo de dados Selecione um tipo de dados na lista suspensa.• Tempo – Precisão em segundos armazena dados de tempo em segundos.

• Tempo – Precisão em nanossegundos armazena o tempo em nanossegundos. Isso incluium número de ponto de flutuação com 9 valores de precisão que representam osnanossegundos.

• Se você selecionar Índice ao adicionar esse tipo personalizado, o campo será exibidocomo um filtro em consultas, exibições e filtros. Ele não aparecerá nos componentes dedistribuição e não estará disponível no enriquecimento de dados, nas listas deobservação ou nos alarmes.

Campo Eventosou CampoFluxos

Selecione o slot do tipo personalizado para cada evento ou fluxo.

Dados de índice Para fazer uma filtragem por esse tipo personalizado, selecione Dados de índice, queadiciona o tipo personalizado à lista de filtros disponíveis para exibições, relatórios eregras. O tipo personalizado não aparece em componentes de distribuição e não estádisponível no enriquecimento de dados, nas listas de observação ou nos alarmes.Se você não selecionar essa opção, somente poderá filtrar o tipo personalizado com umaexpressão regular.

Descrição Digite uma descrição para o tipo personalizado.

Especificar onúmero desubtipos

Se você selecionar Longo personalizado ou Curto personalizado no campo Tipo de dados,poderá adicionar subtipos personalizados.

• Número de subtipos: selecione o número de subtipos que deseja adicionar à tabela.

• Coluna Nome: clique em cada subtipo e digite um nome.

• Coluna Tipo de dados: clique em cada subtipo e selecione o tipo de dados para cada umdeles.

Se você selecionar Booliano, a validação fará com que eles apareçam em grupos de 8subtipos.

• Coluna Tamanho: se você selecionou Inteiro ou Inteiro não assinado na coluna Tipo dedados, selecione o tamanho dos dados em bytes. O tamanho de um inteiro deve serigual a 1, 2, 4 ou 8.

• Gerenciar indexação: se você selecionou Valor do acumulador no campo Tipo de dados,clique para ativar índices para cada campo do acumulador.

Lista Nome Se você selecionar o tipo de dados Grupo de nomes/valores, adicione nomes dos pares devalores no campo de texto.

5 Clique em OK.

Como funcionam as consultasO McAfee ESM contém consultas predefinidas que coletam dados de relatórios ou exibições.

Ao adicionar ou editar uma exibição ou um relatório, defina as configurações de consulta para cadacomponente selecionando o tipo de consulta, a consulta, os campos a serem incluídos e os filtros a seremusados. Selecione os dados que você deseja que o componente colete. Também é possível editar ou removerconsultas e copiar uma consulta existente para usá-la como modelo para configuração de uma nova consulta.

6 Como descobrir detalhes de ameaçasComo funcionam as consultas


Gerenciar consultasO McAfee ESM contém consultas predefinidas que coletam dados para relatórios ou exibições. É possível editaralgumas das configurações dessas consultas, além de adicionar e remover consultas personalizadas.

Tarefa1 Execute uma das seguintes ações para acessar o Assistente de consulta.


Adicionar exibições 1 Clique no ícone Criar nova exibição .

2 Arraste e solte um componente da Barra de ferramentas Exibir edição para o painelde exibição.

Editar exibições 1 Selecione a exibição que deseja editar.

2 Clique no ícone Criar exibição atual .

3 Clique no componente que deseja editar.

4 Clique em Editar consulta em Propriedades.

Desenvolver novoslayouts derelatórios

1 Em Propriedades do sistema, clique em Relatórios.


3 Na seção 5, clique em Adicionar.

4 Arraste e solte um componente na seção de layout do relatório.

Editar layouts derelatórios

1 Em Propriedades do sistema, clique em Relatórios.

2 Selecione o relatório que deseja editar e clique em Editar.

3 Na seção 5, selecione um layout existente e clique em Editar.

4 Clique no componente na seção de layout do relatório e clique em Editar consulta,na seção Propriedades.

2 No Assistente de consulta, siga um destes procedimentos:

Para fazer isto... Faça isto...

Adicionar consultas 1 Selecione a consulta que deseja usar como modelo e clique em Copiar.

2 Digite o nome da nova consulta e clique em OK.

3 Na lista de consultas, clique naquela que acabou de adicionar e clique emAvançar.

4 Altere as configurações clicando nos botões.

Editar consultaspersonalizadas

1 Selecione a consulta personalizada que deseja editar e clique em Editar.

2 Altere as configurações clicando nos botões.

Remover consultaspersonalizadas

Selecione a consulta personalizada que deseja remover e clique em Remover.


Como descobrir detalhes de ameaçasComo funcionam as consultas 6


Como funciona a comparação de valoresGráficos de distribuição apresentam uma opção que permite sobrepor outra variável ao gráfico atual.

Dessa maneira, é possível comparar dois valores facilmente para, por exemplo, mostrar as relações entre ototal de eventos e a gravidade média. Esse recurso oferece comparações de dados valiosas ao longo do tempode maneira simples. Esse recurso também é útil para poupar o espaço na tela ao criar grandes exibições,combinando os resultados em um único gráfico de distribuição.

A comparação é limitada ao mesmo tipo da consulta selecionada. Por exemplo, se uma consulta de evento forselecionada, você poderá compará-la somente aos campos da tabela de eventos, não da tabela de fluxo ouativos e vulnerabilidades.

Quando você aplica os parâmetros de consulta ao gráfico de distribuição, ele executa a consulta normalmente.Se o campo de comparação estiver ativado, uma consulta secundária será executada para os dados ao mesmotempo. O componente de distribuição exibe os dados para ambos os conjuntos de dados no mesmo gráfico,mas usa dois eixos verticais separados. Se você alterar o tipo de gráfico, ambos os conjuntos de dadoscontinuarão sendo exibidos.

Comparar valores de gráficoVocê pode comparar os dados de um gráfico de distribuição com uma variável selecionada.

Tarefa1 Selecione os ícones Criar nova exibição ou Editar exibição atual .

2Clique no ícone Distribuição e arraste-o e solte-o na exibição para abrir o Assistente de consulta.

3 Selecione o tipo de consulta e a consulta e clique em Avançar.

4 Clique em Comparar e selecione o campo que você deseja comparar com a consulta selecionada.

5 Clique em OK e em Finalizar.

6 Mova o componente para o local correto da exibição e:

• Clique em Salvar se você estiver adicionando o componente a uma exibição existente.

• Clique em Salvar como e adicione o nome da exibição se você estiver criando uma nova exibição.

Configurar distribuição empilhadaPara ver a distribuição de evento relacionada a campos específicos, defina os componentes de distribuição emexibições ou relatórios.

Ao adicionar componentes a exibições ou relatórios, escolha como empilhar a distribuição. Ao acessar aexibição, você poderá alterar as configurações, configurar o intervalo e definir o tipo de gráfico e os detalhes.

Não é possível usar Empilhamento e Comparação na mesma consulta.

Tarefa1 Arraste e solte o componente de Distribuição em exibições ou relatórios, em seguida, selecione o tipo de

consulta.

O empilhamento não está disponível para consultas de distribuição de Taxa de coleta ou Média (por exemplo,Gravidade média por alerta ou Duração média por fluxo).

2 Na segunda página do Assistente de consulta, clique em Empilhamento e selecione as opções.

6 Como descobrir detalhes de ameaçasComo funcionam as consultas


3 Clique em OK na página Opções de empilhamento e em Concluir no Assistente de consulta.

4 Altere configurações e defina o intervalo e o tipo de gráfico clicando no ícone Opções de gráfico .

Como funciona a pesquisa de logsUse a exibição de pesquisa de logs para pesquisar dados de logs quando pelo menos um McAfee EnterpriseLog Manager existir no sistema. Isso permite executar pesquisas mais detalhadas e fornece rastreamento emtempo real do progresso e dos resultados da pesquisa quando você executa uma pesquisa de logs em um oumais dispositivos do McAfee Enterprise Log Manager.

Essa exibição fornece informações em tempo real sobre o volume de dados que precisa ser pesquisado,permitindo que você limite a consulta para reduzir o número de arquivos a serem pesquisados.

Durante a pesquisa, os gráficos mostram os resultados estimados:

• Gráfico de Distribuição dos resultados por tempo: exibe as estimativas e os resultados com base nadistribuição por tempo. O eixo inferior muda de acordo com o que está selecionado na lista suspensa deperíodo.

• Gráfico de Resultados de origem de dados: exibe as estimativas e os resultados por origem de dados combase nas origens de dados dos dispositivos selecionados na árvore de navegação do sistema.

• Gráfico de Resultados de tipo de dispositivo: exibe as estimativas e os resultados por tipo de dispositivocom base nos dispositivos selecionados na árvore de navegação do sistema.

O sistema preenche esses gráficos antes que a pesquisa comece e atualiza os gráficos quando os resultadossão encontrados. Você pode selecionar uma ou mais barras nos gráficos de Resultados de origem de dados ouResultados de tipo de dispositivo ou realçar uma seção do gráfico de Distribuição dos resultados por tempo.

Clique em Aplicar filtros para restringir a pesquisa quando os resultados começam a chegar. Isso permite fazeruma busca detalhada dos resultados da pesquisa e limitar o volume de dados que precisa ser pesquisado.Quando a pesquisa termina, esses gráficos exibem os resultados reais.

Pesquisar dados de log rapidamentePesquisar dados de log descompactados no dashboard do McAfee ESM usando o McAfee Enterprise LogSearch.

Antes de iniciarVerifique se o McAfee Enterprise Log Search está configurado.

Tarefa

1 No dashboard, clique em e selecione Pesquisa do ELS.

2 Na barra Filtrar, insira as informações que deseja encontrar e clique em para iniciar a pesquisa.

O sistema ignora as seguintes palavras: but, be, with, such, then, for, no, with, not, are, and, their, if, this, on, into,a, or, there, in, that, they, was, is, it, an, the, as, at, these, by, to, of.

3 Refine os resultados da pesquisa:

• Clique em Configurações de pesquisa para criar uma pesquisa avançada.

• Clique em Histórico de pesquisa para visualizar e executar pesquisas anteriores.

• Clique em para atualizar os resultados da pesquisa.

Como descobrir detalhes de ameaçasComo funciona a pesquisa de logs 6


• Clique na seta da lista suspensa para filtrar os resultados da pesquisa por hora ou dias.

• Para restringir ainda mais a pesquisa, insira as informações nos resultados da pesquisa e clique em

Realizar uma pesquisa do ELM aprimoradaPesquise nos logs de um ou mais dispositivos do ELM as informações definidas por você.

Tarefa1 No painel de exibição, selecione Pesquisa do ELM aprimorada na lista suspensa.

2 Se houver mais de um dispositivo do ELM no sistema, selecione os dispositivos para pesquisa na listasuspensa ao lado do campo de texto.

3 Digite uma pesquisa de texto normal ou expressão regular no campo de texto.

4 Se desejar pesquisar um período diferente de Dia atual, selecione-o na lista suspensa.

5 Na árvore de navegação de sistemas, selecione os dispositivos que deseja pesquisar.

6 Se for necessário, selecione uma ou mais destas opções:

• Não diferencia maiúsculas de minúsculas — A pesquisa passa a não diferenciar maiúsculas de minúsculas.

• Expressão regular — Trata o termo no campo de pesquisa como uma expressão regular.

• NÃO contém termo de pesquisa — Retorna correspondências que não contenham o termo do campo depesquisa.

7 Clique em Pesquisar.

Os resultados são exibidos na seção Resultados da pesquisa da exibição.

8 Siga um dos procedimentos a seguir durante ou após a conclusão da pesquisa.

Opção Definição

Salvar pesquisa Salve os resultados dessa pesquisa, mesmo que você saia daexibição. As pesquisas salvas são exibidas na página Propriedadesdo ELM | Dados.

Fazer download do arquivo de resultadosda pesquisa

Faça download dos resultados para o local que você indicou.

Copiar itens selecionados para a área de

transferência

Copie os itens selecionados na área de transferência para quevocê possa colá-los em um documento.

Exibir detalhes de dados Mostre detalhes de quaisquer registros selecionados na tabelaResultados da pesquisa.

6 Como descobrir detalhes de ameaçasComo funciona a pesquisa de logs


Definir trabalhos de pesquisa do ELM e verificações de integridadePara pesquisar arquivos que correspondem aos critérios de pesquisa no ELM (Enterprise Log Manager), definaos parâmetros do trabalho de pesquisa. Você também pode definir verificações de integridade para determinarse os arquivos no ELM (Enterprise Log Manager) foram alterados desde que foram armazenados originalmente.

Tarefa1 Na árvore de navegação do sistema, selecione o ELM e clique no ícone Propriedades .

2 Selecione Dados.

• Na guia Pesquisar logs e arquivos , configure os parâmetros de pesquisa.

• Na guia Verificação de integridade, configure os parâmetros de verificação.

3 Clique em Pesquisar.

A execução de pesquisas complexas por longos períodos pode fazer com que o processo de pesquisa parede funcionar. Considere a possibilidade de dividir essas pesquisas em períodos menores.

Uso de expressão regular para consultar dados do ELMO Enterprise Log Manager (ELM) usa índices de bloom para otimizar as consultas. Embora a maioria das PCREs(Perl Compatible Regular Expressions) possa ser usada para pesquisas no ELM, nem toda PCRE pode serotimizada para usar o bloom.

O otimizador de regex de bloom realiza um ajuste prévio para fornecer pesquisas ideais, mas você pode obterresultados de consultas ainda melhores se tiver algumas informações em mente.

• É possível usar somente as partes obrigatórias da expressão regular para filtragem de bloom. O filtro debloom somente usa subcadeias na expressão regular que existe em cada cadeia correspondente. A únicaexceção é que você pode usar uma profundidade de um nível ou um agrupamento, como (seth|matt|scott|steve).

• Não é possível usar partes obrigatórias de uma expressão regular com menos de quatro caracteres. Porexemplo, seth.*grover usa seth e grover com o bloom, mas tom.*wilson somente usa wilson, poistom é muito curto.

• Não é possível usar agrupamentos que contenham subcadeias não constantes ou uma subcadeia muitocurta. Por exemplo, (start|\w\d+|ending) não pode ser usado, pois o item do meio na lista OR não éuma constante que possa ser pesquisada no bloom. Outro exemplo: (seth|tom|steve) não pode serusado, pois tom é muito curto, mas (seth|matt|steve) pode ser usado.

O processo otimizador do banco de dados executa a consulta de regex-bloom. Esse otimizador desconstrói oregex e encontra as subcadeias constantes obrigatórias.

As an example, the original regular expression is:

\|\|(626|629|4725|4722)\|\|.*\|\|(bbphk)\|\|

A única parte que o bloom usa dessa expressão é bbphk. Essa alteração reduz o conjunto de pesquisa de maisde um milhão de arquivos para 20.000.

É possível otimizar ainda mais a expressão regular da seguinte forma:

(\|\|626\|\||\|\|629\|\||\|\|4725\|\||\|\|4722\|\|).*\|\|bbphk\|\|

Nesse exemplo, as barras (\|\|) passaram de antes e depois do primeiro grupo para antes e depois de cadaelemento do grupo, e isso resulta no seguinte:

Como descobrir detalhes de ameaçasComo funciona a pesquisa de logs 6


• Possibilita a inclusão dos caracteres de barra vertical.

• Os elementos do primeiro grupo, que eram ignorados por terem apenas três caracteres, passam a ter maisde quatro caracteres, podendo ser usados.

Além disso, os parêntesis em torno de bbphk foram removidos, pois não eram necessários e indicavam ao filtrode bloom que se tratava de um novo subgrupo. Esses tipos de ajustes manuais na expressão regular podemreduzir ainda mais a pesquisa a somente cerca de 2.000 arquivos.

A execução de pesquisas complexas por longos períodos pode fazer com que o processo de pesquisa pare defuncionar. Considere a possibilidade de dividir as pesquisas de longa duração em períodos menores de tempo.

Usar SFTP para recuperar logs do ELMConfigure o Enterprise Log Manager (ELM) para permitir acesso SFTP para recuperar logs do ELM.

Antes de iniciarVocê precisa ter direitos de Acesso SFTP do ELM.

Tarefa1 Abra um cliente SFTP como WinSCP 5.11, Filezilla, CoreFTP LE ou FireFTP.

2 Conecte-se ao ELM usando seu endereço IP e a porta SFTP configurada.

A data indica quando o sistema inseriu o log no ELM.

Os arquivos são apresentados de duas maneiras: 1) por origem de dados e, em seguida, seus dados e 2) pordata e, em seguida, a origem de dados.

3 Selecione os logs e os transfira. As etapas específicas para fazer isso variam de acordo com o cliente SFTPusado.

O número máximo de arquivos para transferências SFTP é 20.000.

Como funcionam as pesquisas do McAfee Active ResponseO McAfee Active Response oferece visibilidade contínua e informações sobre terminais, para que você possaidentificar violações quando ocorrerem. Ele ajuda os profissionais de segurança a consultar a postura desegurança atual, a melhorar a detecção de ameaças e a realizar análises detalhadas e investigações forenses.

Se o McAfee Active Response estiver instalado como uma extensão nos dispositivos do McAfee ePOadicionados ao McAfee ESM, você poderá usar o McAfee Active Response para pesquisar no McAfee ESM. Apesquisa gera uma lista de dados de ponto de extremidade atuais, permitindo que você:

• Exiba a lista de resultados da pesquisa

• Crie uma lista de observação preenchida com resultados da pesquisa

• Anexe dados da pesquisa do McAfee Active Response a uma lista de observação existente

• Adicione uma origem de enriquecimento de dados preenchida com os resultados da pesquisa

• Exporte dados da pesquisa

A pesquisa do McAfee Active Response usa o McAfee®

Data Exchange Layer (DXL).

6 Como descobrir detalhes de ameaçasComo funcionam as pesquisas do McAfee Active Response


Ao usar o McAfee Active Response no McAfee ESM, observe que:

• Receptores de alta disponibilidade (HA) não são compatíveis com o McAfee® Data Exchange Layer (DXL).

• As data das pesquisas do McAfee Active Response estão no formato 2018-11-05T23:10:14.263Z e nãosão convertidas para o formato de data do McAfee ESM.

• Quando os dados do McAfee Active Response são anexados a uma lista de observação, o sistema não validaos dados. Isso significa que você pode adicionar dados a uma lista de observação que não corresponda aesse tipo.

Pesquisar usando o McAfee Active ResponseUse o McAfee Active Response para pesquisar dados de ponto de extremidade atuais.

Antes de iniciarAdicione um dispositivo do McAfee ePO com o McAfee Active Response ao McAfee ESM.

Tarefa1 Defina as configurações da pesquisa para o dispositivo McAfee ePO.

a No dashboard do McAfee ESM, clique em e selecione Propriedades do sistema.

b Na árvore de navegação do sistema, selecione o dispositivo e clique no ícone Propriedades .

c Clique em McAfee ePO Propriedades e clique em Conexão.

d Selecione se a opção Ativar DXL e especifique uma Porta de ativação do agente (o padrão é 8081).

2 No dashboard do McAfee ESM, selecione uma exibição com um widget de tabela, como Análise de eventos.

3Clique em um evento e, em seguida, clique em .

4 Selecione Ações | Executar pesquisa do Active Response e selecione um tipo de pesquisa predefinido.

Os tipos de pesquisas são esmaecidos quando a tabela não tem os campos apropriados para pesquisa.

Opção Descrição

Informações de arquivo completas deum nome, MD5 ou SHA-1

Lista os detalhes do arquivo do endereço IP de origem edestino, como sistema operacional e nome.

Pesquisa dos detalhes de usuário Lista os detalhes sobre o usuário.

Informações do processo do endereço IPde origem e da hora

Lista detalhes do processo do endereço IP de origem emrelação a o que estabeleceu a conexão.

Informações do processo do endereço IPde destino e da hora

Lista detalhes do processo do endereço IP de destino emrelação a o que estabeleceu a conexão.

CurrentFlow para endereço IP Lista qualquer pessoa conectada ao mesmo endereço IP deorigem ou destino.

Como descobrir detalhes de ameaçasComo funcionam as pesquisas do McAfee Active Response 6


Exibir resultados da pesquisa do McAfee Active ResponseApós a execução de uma pesquisa do McAfee Active Response , há medidas que você pode tomar paragerenciar os dados gerados.

Tarefa1 Execute uma pesquisa do McAfee Active Response.

2Selecione uma linha nos resultados e clique no ícone Menu .

Opção Ação Definição

Tabela Lista os resultados da pesquisa do McAfee Active Response.

ÍconeMenu

Criar nova lista deobservação a partir

Cria uma nova lista de observação estática dos valores na colunaselecionada. Você pode selecionar várias linhas.

Anexar à lista deobservação a partir

Anexa os valores da coluna selecionada a uma lista de observaçãoexistente. Você pode selecionar várias linhas.

Não é realizada nenhuma validação dos dados selecionados natabela.

Exportar Exporta dados para um arquivo .csv.

Pesquisa do ActiveResponse

Realiza outra pesquisa dor McAfee Active Response na linhaselecionada na tabela. Se houver resultados, os novos dadossubstituirão os dados atuais.

Adicionar origens de enriquecimento de dados ao McAfee ActiveResponseÉ possível adicionar origens de enriquecimento de dados ao McAfee ESM que são preenchidas com resultadosda pesquisa do McAfee Active Response.





4 Preencha as informações solicitadas na guia Principal.

5 Na guia Origem, selecione McAfee Active Response no campo Tipo e insira as informações solicitadas.

6 Preencha as informações nas guias restantes e clique em Concluir.

A origem é adicionada, e os dados especificados são enriquecidos com os dados do McAfee Active Response.

O tipo McAfee Active Response não será listado se o McAfee ESM não efetuar pull dos coletores do McAfee ActiveResponse pelo DXL.

6 Como descobrir detalhes de ameaçasComo funcionam as pesquisas do McAfee Active Response


7 Resposta a ameaças

Conteúdo Como funciona a ameaça cibernética Como funcionam os alarmes Como funcionam as listas de observação Como a lista negra global funciona Como os casos funcionam

Como funciona a ameaça cibernéticaO McAfee ESM permite que você recupere indicadores de comprometimento (IOC) de origens remotas e acesserapidamente atividades de IOC relacionadas no seu ambiente.

O gerenciamento de ameaça cibernética permite configurar feeds automáticos que geram listas de observação,alarmes e relatórios, proporcionando visibilidade dos dados acionáveis. Por exemplo, você pode configurar umfeed que adicione automaticamente endereços IP suspeitos a listas de observação para monitorar o tráfegofuturo. Esse feed pode gerar e enviar relatórios que indiquem atividades anteriores. Use exibições de Fluxo detrabalho de evento | exibições de Indicadores de ameaças cibernéticas para rapidamente fazer a busca detalhada deeventos e atividades específicos no ambiente.

Tipos de IOC com suporte

Quando você adiciona um feed de ameaças cibernéticas de upload manual, o McAfee ESM envia o arquivo STIX(Structured Threat Information eXpression) ao mecanismo IOC (Indicator of Compromise) para processamento.Se o arquivo não contiver um IOC normalizado para o McAfee ESM, você receberá uma mensagem de erro.

Tabela 7-1 Tipos de indicadores normalizados para o McAfee ESM

Tipo de indicador Tipo de lista de observação

Endereço de e-mail Para, De, Cco, Cc, ID_do_e-mail, ID_do_destinatário

Nome do arquivo, Caminho do arquivo Caminho_do_arquivo, Nome_do_arquivo,Nome_do_arquivo_de_destino, Diretório_de_destino, Diretório

(Fluxos) IPv4, IPv6 Endereço IP, IP de origem, IP de destino

(Fluxos) Endereço MAC MacAddress, MAC de origem, MAC de destino

Nome de domínio totalmentequalificado, Nome de host, Nome dedomínio

Host, Nome_do_host_de_destino, Nome_do_host_externo, Domínio,Domínio_da_Web

IPv4, IPv6 Endereço IP, IP de origem, IP de destino, IP_do_atacante,IP_principal_de_grade, IP_do_dispositivo, IP_da_vítima

Endereço MAC MacAddress, MAC de origem, MAC de destino

Hash de MD5 Hash_de_arquivo, Hash_de_arquivo_pai

7


Tabela 7-1 Tipos de indicadores normalizados para o McAfee ESM (continuação)

Tipo de indicador Tipo de lista de observação

Hash SHA1 SHA1

Assunto Assunto

URL URL

Nome de usuário Usuário de origem, Usuário de destino, Apelido_do_usuário

Chave de Registro do Windows Chave_de_Registro, Chave.de.Registro (subtipo de Registro)

Valor de Registro do Windows Valor_de_Registro, Valor.de.Registro (subtipo de Registro)

Acessar detalhes de ameaçaFaça a busca detalhada rapidamente de detalhes de ameaças, descrições de arquivos e eventoscorrespondentes para indicadores de comprometimento (IOC) de fontes de dados externas, identificadas porfeeds de ameaças cibernéticas.

Antes de iniciarVerifique se você tem a permissão de Usuário de Cyber Threat, que permite exibir os resultados defeeds de ameaça virtual da sua organização.

Tarefa1 No dashboard, clique em e selecione Indicadores de ameaça cibernética.

2 No console do McAfee ESM, selecione Exibições de fluxo de trabalho de evento | Indicadores de ameaçacibernética.

3 Na lista de períodos, selecione o período da exibição.

4 Filtre por nome de feed ou tipos de dados IOC compatíveis.

5 Realize qualquer ação de exibição padrão, como:

• Criar ou anexar a uma lista de observação.

• Criar um alarme.

• Executar um comando remoto.

• Criar um caso.

• Verificar ou fazer última verificação.

• Exportar o indicador para um arquivo CSV ou HTML.

6 Faça uma busca detalhada usando as guias Descrição, Detalhes, Eventos de origem e Fluxos de origem.

Configurar feed de ameaça cibernética do domínioPara permitir um feed de domínio, você precisa ter duas listas de observação para reter dados do endereço IP edo domínio.


• Gerenciamento de ameaças cibernéticas - permite configurar um feed de ameaça cibernética

• Usuário da ameaça cibernética - permite exibir os dados gerados pelo feed

7 Resposta a ameaçasComo funciona a ameaça cibernética



2 Selecione Feeds de ameaça cibernética | Adicionar e crie um feed.

3 Na guia Lista de observação, clique em Criar nova lista de observação e adicione duas listas de observação:

• Nome: IP da ameaça cibernética, Tipo: Endereço IP

• Nome: Domínio da ameaça cibernética, Tipo: Domínio_Web

4 No campo Tipo de indicador, selecione IPv4 e selecione IP da ameaça cibernética no campo Lista deobservação.

5 No próximo campo Tipo de indicador, selecione Nome de domínio totalmente qualificado e, em seguida,Domínio da ameaça cibernética no campo Lista de observação.

6 Conclua a configuração do feed de ameaça cibernética e clique em Finalizar.

Configurar gerenciamento de ameaças cibernéticasConfigure feeds para recuperar indicadores de comprometimento (IOC) e XML formatado pelo STIX de origensremotas. É possível usar esses feeds para gerar listas de observação, alarmes e relatórios que permitem aosusuários acessar atividades de IOC relacionadas em seu ambiente.


• Gerenciamento de ameaças cibernéticas - permite configurar um feed de ameaça cibernética

• Usuário da ameaça cibernética - permite exibir os dados gerados pelo feed

Tarefa1 Na árvore de navegação do sistema, clique em Propriedades do sistema.

2 Clique em Feeds de ameaça cibernética e em Adicionar.

3 Na guia Principal , insira o nome do feed.

4 Na guia Origem, selecione o tipo de dados da origem e suas credenciais de conexão. Clique em Conectarpara testar a conexão.

As origens compatíveis incluem o McAfee Advanced Threat Defense e o Threat Information Exchange MITRE(TAXII).

5 Na guia Frequência , identifique com que frequência o feed efetua pull nos arquivos IOC (frequência do pull).As frequências de pull disponíveis são: a cada x minutos, diariamente, a cada hora, semanalmente oumensalmente. Especifique a hora de gatilho diário.

6 Na guia Lista de observação, selecione qual propriedade ou campo em um arquivo IOC será anexado a umalista de observação existente. Você pode adicionar listas de observação para qualquer propriedade oucampo compatível.

Se a lista de observação de que você precisa ainda não existir, clique em Criar nova lista de observação.

Resposta a ameaçasComo funciona a ameaça cibernética 7


7 Na guia Backtrace, identifique quais eventos (padrão) e fluxos serão analisados, relacionando dados paraanálise e a partir de quando os dados serão analisados neste feed.

a Escolha analisar eventos, fluxos ou os dois.

b Indique a partir de quando (em dias) os eventos e fluxos serão analisados.

c Especifique ações a serem executadas se o backtrace encontrar uma correspondência de dados.

d Para alarmes, selecione um responsável e gravidade.

8 Retorne à guia Principal e selecione Ativado para ativar esse feed.


Você será informado quando o processo for concluído com sucesso.

Erros no upload manual de um arquivo IOC STIX XMLQuando você adiciona um feed de ameaças cibernéticas de upload manual, o McAfee ESM envia o arquivo STIX(Structured Threat Information Expression) ao mecanismo IOC (Indicator of Compromise) para processamento.

Se houver um problema com o upload, você receberá um destes erros.

Tabela 7-2 Erros de upload manual de ameaças cibernéticas

Erro Descrição Solução de problemas

ER328 — FormatoSTIX inválido

O formato do arquivo estáincorreto.

• Verifique se o arquivo enviado para upload é umarquivo STIX. O mecanismo possui suporte para aversão 1.1 do STIX.

• Leia a documentação do STIX para verificar se oesquema é válido.

• OASIS (Open Standards for Information Society):organização responsável pelos padrões STIX.

• STIX Project: contém vários modelos de dados,esquemas e documentos xsd STIX.

ER329 — NenhumIOC compatívelencontrado

O arquivo STIX que sofreuupload não contémindicadores normalizadospara o McAfee ESM.

Se for necessário processar um indicador específico,entre em contato com o Suporte para que o indicadorpossa ser normalizado.

Como funcionam os alarmesOs alarmes geram ações como resposta a eventos específicos de ameaças. Você pode definir as condições quedisparam alarmes e o que acontece quando alarmes são disparados.

Criar alarmesAntes de criar e responder a alarmes, verifique se seu ambiente contém os seguintes elementos essenciais:

• Modelos de mensagem de alarme • Arquivos de áudio de alarme

• Grupos de destinatários da mensagem • Fila de relatórios de alarme

• Conexão de servidor de e-mail • Painel de alarmes visível no dashboard

Criar muitos ou poucos alarmes que disparam com frequência pode gerar distração em razão do ruído. Amelhor abordagem é criar alarmes que escalonem eventos que sejam críticos para sua organização.

7 Resposta a ameaçasComo funcionam os alarmes


Monitorar e responder a alarmes

Exiba, confirme e exclua alarmes disparados usando exibições do dashboard, detalhes de alarmes, filtros erelatórios.

• Exibição de alarmes disparados: o painel Alarmes no dashboard lista o total de alarmes por gravidade.

Símbolo Gravidade Intervalo

Alta 66 a 100

Média 33 a 65

Baixa 1 a 32

• Reconhecimento de alarmes disparados: o sistema remove os alarmes reconhecidos do painel Alarmesno dashboard, mas os alarmes reconhecidos permanecem na exibição Alarmes disparados.

• Exclusão de alarmes disparados: o sistema remove alarmes disparados do painel Alarme e da exibiçãoAlarmes disparados.

Se você usar alertas visuais e não fechar, confirmar ou excluir um alarme disparado, o alerta visual fecharádepois de 30 segundos. O alerta de áudio é reproduzido até que você feche, confirme ou exclua o alarmedisparado ou clique no ícone de áudio para interromper o alerta.

Refine e ajuste os alarmes conforme for identificando o que funciona melhor para sua organização.

Responder às notificaçõesResponda aos alarmes disparados no dashboard. Você pode também visualizar as notificações do sistema.

Antes de iniciarVocê precisa ter direitos de administrador ou pertencer a um grupo de acesso com permissão degerenciamento de alarmes.

Tarefa1 Para exibir os alarmes disparados e as notificações do sistema no dashboard, clique em .

2 Responda aos alarmes disparados de uma destas formas:

• Confirme os alarmes disparados selecionando o alarme apropriado e clicando em .

O sistema remove os alarmes confirmados do painel Notificações. Ainda será possível ver os alarmes naexibição Alarmes disparados.

• Exclua os alarmes selecionando-os e clicando em .

• Filtre os alarmes usando a barra de filtros. Em seguida, atualize a exibição e clique em .

• Atribua alarmes clicando em . Em seguida, selecione o alarme apropriado e clique em Responsávelpara escolher uma pessoa específica que responderá ao alarme.

• Crie um caso para o alarme clicando em . Em seguida, selecione o alarme apropriado e clique emCriar caso.

• Edite as configurações do alarme disparado clicando no alarme apropriado. Clique em para alterar asconfigurações.

Resposta a ameaçasComo funcionam os alarmes 7


• Verifique os detalhes sobre os alarmes disparados clicando em . Em seguida, siga um destesprocedimentos:

• Para ver o evento que disparou o alarme, clique na guia Evento do disparo. Para exibir a descrição,clique duas vezes no evento.

• Para ver a condição que disparou o alarme, clique na guia Condição.

• Para ver as ações ocorridas como resultado do alarme disparado, clique na guia Ação.

Exibir e gerenciar alarmes disparadosExiba e responda a alarmes disparados que ainda não foram excluídos.

Antes de iniciar• Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com permissão

de gerenciamento de alarmes.

• Verifique com seu administrador se seu console está configurado para exibir o painel deregistros de Alarmes.

Tarefa1 Acesse os alarmes disparados por um destes locais do McAfee ESM:

• No dashboard, clique em .

• Para ver o painel Alarmes no console, clique em e selecione Alarmes.

• Quando um alarme dispara, é exibido um alerta pop-up.



Confirmar um alarme • Para reconhecer um alarme, clique na caixa de seleção na primeira coluna doalarme disparado que deseja reconhecer.

• Para confirmar vários, destaque os itens e clique em .

Os alarmes confirmados são removidos do painel Alarmes, mas permanecem naexibição Alarmes disparados.

Excluir um alarme • Selecione o alarme disparado que você deseja excluir e clique em .

Filtrar os alarmes • Insira as informações que você deseja usar como filtro no painel Filtros e clique

em .

Alterar o responsávelpor alarmes

1 Para exibir os detalhes do alarme, clique em .

2 Selecione os alarmes, clique em Responsável e selecione o novo responsável.

Criar um caso paraalarmes


2 Selecione os alarmes, clique em Criar caso e faça as seleções necessárias.




Exibir detalhes sobreum alarme


2 Selecione o alarme e siga um destes procedimentos:

• Para ver o evento que disparou o alarme selecionado, clique na guia Evento dodisparo. Para exibir a descrição, clique duas vezes no evento.

Se um evento individual não atender às condições do alarme, a guia Evento dodisparo poderá não aparecer.

• Clique na guia Condição para ver a condição que disparou o evento.

• Clique na guia Ação para ver as ações que ocorreram como resultado doalarme e as marcas do McAfee ePO atribuídas ao evento.

Editar configuraçõesde alarme disparado

1Clique no alarme disparado e em . Selecione Editar alarme.

2 Na página Configurações de alarme, faça as alterações, depois clique em Concluir.

Gerenciar fila de relatórios de alarmeSe uma ação de alarme gerar relatórios, você poderá exibir a file de relatórios gerados e cancelar um ou maisdeles.

Antes de iniciarVocê precisa ter privilégios de administrador ou pertencer a um grupo de acesso com privilégios degerenciamento de alarme.



3 Clique em Alarmes.

4 Clique na guia Configurações.

5 Para exibir os relatórios de alarmes que aguardam execução, clique em Exibir. O McAfee ESM executa atécinco relatórios simultaneamente.

6 Para interromper a execução de determinado relatório, selecione-o e clique em Cancelar. Os relatóriosrestantes movem para cima na fila.

Se você for administrador ou usuário principal, essa lista incluirá todos os relatórios aguardando execução noMcAfee ESM, permitindo que você cancele qualquer um deles.

7 Clique em Arquivos para selecionar se vai fazer download, fazer upload, remover ou atualizar relatórios dalista.

8 Clique em Fechar.

Criação de alarmes

Conteúdo Ativar ou desativar o monitoramento de alarmes



Criar alarmes Copiar alarmes Configurar alarmes de correlação para incluir eventos de origem Elementos lógicos Criar alarmes UCAPL Adicionar alarme de correspondência de campos Resumo personalizado para casos e alarmes disparados Criar modelos de mensagem de alarme Adicionar alarmes de evento do monitor de integridade IDs de assinatura do monitor de integridade Adicionar alarmes a regras de política Criar interceptações do SNMP e ações de alarmes Adicionar alarmes de notificação de queda de energia Adicionar alarmes de delta de evento Gerenciar destinatários de alarme Gerenciar arquivos de áudio de alarme

Ativar ou desativar o monitoramento de alarmesAlterne entre ligar e desligar o monitoramento de alarme no sistema todo ou em alarmes individuais. Omonitoramento de alarmes do McAfee ESM é ligado (ativado) por padrão.





4 Para desativar ou ativar o monitoramento de alarmes em todo o sistema, clique na guia Configurações,depois clique em Desativar ou Ativar.

Se você desativar o monitoramento de alarmes, o McAfee ESM não gerará alarmes.

5 Para desativar ou ativar alarmes individuais, clique na guia Alarmes. A coluna Status indica se os alarmesestão ativados ou desativados.

• Para ativar (ligar) um alarme específico, realce-o e selecione Ativado.

• Para desativar (desligar) um alarme específico, realce-o e desmarque Ativado. O McAfee ESM para degerar esse alarme.

6 Clique em OK.

Criar alarmesCrie um alarme para que ele dispare quando as condições definidas forem atendidas.






3 Clique em Alarmes, depois em Adicionar.

4 Clique na guia Resumo para definir as configurações de alarme gerais.

• Insira um nome para o alarme.

• Na lista Responsável, selecione a pessoa ou o grupo ao qual o alarme será atribuído. Essa lista incluitodos os usuários e grupos com o privilégio de Gerenciamento de alarmes.

• Em Gravidade, selecione a prioridade do alarme no log de alarmes (alta é 66–100, média é 33–65, baixa é1–32).

• Selecione Ativado para ligar esse alarme e desmarque a caixa para desligar o alarme.

5 Na guia Condição, identifique quais condições fazem o alarme disparar.

Condição Descrição

Taxa de verificação Selecione a frequência com que o sistema verificar esse tipo de condição.

Desvio Especifique um limite percentual para verificação acima da linha de base e umpercentual diferente abaixo da linha de base.• Consulta – Selecione o tipo de dados para consulta.

• Ícone Filtros – Selecione os valores para filtrar os dados deste alarme.

• Período – Selecione se você deseja que o último período ou o período anterior quevocê selecionou no campo número seja consultado.

• Disparar quando o valor for: selecione o quão acima ou abaixo da linha de base vocêdeseja que o desvio esteja antes de o McAfee ESM disparar o alarme.

Taxa de eventos • Contagem de eventos: insira o número de eventos que devem ocorrer antes de oMcAfee ESM disparar o alarme.

• Ícone Filtros: selecione os valores para filtrar os dados.

• Período: selecione em que intervalo o número de eventos selecionados deve ocorrerantes de o McAfee ESM disparar o alarme.

• Compensação: selecione por quanto tempo compensar para que o alarme não incluao aumento expressivo no final causado pela agregação. Por exemplo, se o McAfeeESM efetua pull de eventos a cada cinco minutos, o último minuto dos eventosrecuperados contém os eventos agregados. Compense o período por essaquantidade para que o último minuto não seja incluído na medição dos dados.Caso contrário, o McAfee ESM incluirá os valores nos dados agregados na contagemde eventos, causando um falso positivo.



Condição Descrição

Correspondência decampos

1 Arraste e solte o ícone AND ou OR para configurar a lógica da condição do alarme.

2 Arraste e solte o ícone Corresponder ao componente sobre um elemento lógico, emseguida, preencha a página Adicionar campo de filtro.

3 Limite o número de notificações recebidas configurando a Frequência máxima dedisparo da condição. Cada disparo contém somente o primeiro evento de origemcorrespondente à condição do disparo, não os eventos que ocorreram no períodode frequência de disparo. Novos eventos que correspondem à condição de disparonão fazem com que o alarme dispare novamente até depois do período máximo defrequência de disparo. Por exemplo, se você definir a frequência como 10 minutos eum alarme disparar cinco vezes em um período de 10 minutos, o McAfee ESMenviará um único aviso contendo cinco alarmes.

Se você definir o intervalo como zero, todos os eventos que coincidirem com umacondição dispararão um alarme. Para alarmes de alta frequência, um intervalo zeropode gerar diversos alarmes.

Status do monitor deintegridade

Selecione os tipos de alteração de status do dispositivo. Por exemplo, se vocêselecionar somente Crítico, não será notificado se houver uma alteração no status domonitor de integridade no nível de Aviso.

Correspondência deeventos interna

• Disparar quando o valor não for correspondente: selecione para disparar o alarmequando o valor não corresponder à sua configuração.

• Usar lista de observação: selecione se uma lista de observação contiver os valoresdesse alarme.

Valores com vírgulas devem estar em uma lista de observação ou entre aspas.

• Campo: selecione o tipo de dados que este alarme monitorará.

Para alarmes que disparam quando é gerado um evento do monitor de integridade.

• Valor(es): digite os valores específicos do tipo que você selecionou em Campo(limitado a 1.000 caracteres). Por exemplo, para IP de origem, insira os endereços IPde origem que fazem este alarme disparar.

Frequência máximade disparo dacondição

Selecione a quantidade de tempo permitida entre cada condição para evitar o excessode notificações.

Limite Somente tipo de condição Delta de evento: selecione o delta máximo permitido paraos eventos analisados antes de o alarme disparar.

Tipo Selecione o tipo de alarme, que determina os campos que você deve preencher.

6 Na guia Dispositivos, selecione quais dispositivos esse alarme monitora.

7 Na guia Ações, identifique o que acontece quando o alarme dispara.

Ação Descrição

Registrar evento emlog

Crie um evento no McAfee ESM.

Reconhecimentoautomático doalarme

Reconheça o alarme automaticamente, logo após ele ser disparado. Como resultado,o alarme não aparece no painel Alarmes, mas o sistema o adiciona à exibição Alarmesdisparados.



Ação Descrição

Alerta visual Gere uma notificação de alarme na parte inferior direita do console. Para incluir umanotificação de áudio, clique em Configurar --> Reproduzir som e selecione um arquivode áudio.

Criar caso Crie um caso para uma pessoa ou grupo selecionado. Clique em Configurar paraidentificar o proprietário do caso e selecionar quais campos incluir no resumo docaso.

Se você pretende escalonar alarmes, não crie casos.

Atualizar lista deobservação

Modifique as listas de observação, adicionando ou removendo valores com base nasinformações contidas em até 10 eventos de disparo do alarme. Clique em Configurare selecione qual campo do evento do disparo será adicionado ou removido na lista deobservação selecionada. Quando essas configurações alteram uma lista deobservação, a guia Ações, na exibição Alarme disparado, mostra a alteração.

Essa ação exige Correspondência de eventos interna como tipo de condição.

Enviar mensagem Envie um e-mail ou mensagens de texto para os destinatários selecionados.• Clique em Adicionar destinatário e selecione os destinatários da mensagem.

• Clique em Configurar para selecionar o modelo (de e-mail, mensagem de texto,SNMP ou syslog), o fuso horário e o formato de data para usar na mensagem.

O uso dos seguintes caracteres em nomes de alarmes pode causar problemas nomomento de enviar mensagens de texto: vírgula (,), aspas ("), parênteses ( ), barranormal ou invertida (/ \), ponto-e-vírgula (;), ponto de interrogação (?), símbolo dearroba (@), colchetes ([ ]), sinais de maior do que e menor do que (< >) e sinal deigual (=).

Gerar relatórios Gere um relatório, exibição ou consulta. Clique em Configurar e selecione umrelatório na página Configuração de relatório ou clique em Adicionar para criar um novorelatório.

Se você pretende enviar um relatório por e-mail como anexo, converse com seuadministrador para determinar o tamanho máximo dos anexos. Anexos de e-mailgrandes podem impedir o envio de um relatório.

Executar comandoremoto

Execute um comando remoto em qualquer dispositivo que aceite conexões SSH, comexceção dos dispositivos da McAfee no McAfee ESM. Clique em Configurar paraselecionar o tipo de comando e o perfil, o fuso horário e o formato de data, além dehost, porta, senha do nome de usuário e cadeia de comandos para a conexão SSH.

Se a condição de alarme for Correspondência de eventos interna, será possível rastrear

eventos específicos. Clique no ícone Inserir variável e selecione as variáveis.

Enviar para Remedy Envie até 10 eventos para o Remedy por alarme disparado. Clique em Configurar paraconfigurar as informações necessárias de comunicação com o Remedy: de e paradados, prefixo, palavra-chave e ID de usuário (EUID). Quando os eventos são enviadospara o Remedy, o McAfee ESM adiciona Eventos enviados para o Remedy à guia Ações naexibição Alarme disparado. Essa ação exige Correspondência de eventos interna comotipo de condição.



Ação Descrição

Atribuir marca comePO

Aplique marcas do McAfee ePolicy Orchestrator aos endereços IP que disparam essealarme. Clique em Configurar e selecione as seguintes informações:• Selecionar dispositivo ePO: dispositivo a ser usado para marcação

• Nome: marcas que você deseja aplicar (somente marcas disponíveis no dispositivoselecionado aparecem na lista).

• Selecionar o campo: campo no qual basear a marcação.

• Cliente de ativação: aplique as marcas imediatamente.


Lista negra Selecione quais endereços IP devem ir para a lista negra quando o alarme disparar.Clique em Configurar e selecione as seguintes informações:• Campo: selecione o tipo de endereço IP que você deseja incluir na lista negra.

Endereço IP inclui na lista negra os endereços IP de origem e destino.

• Dispositivo: selecione o dispositivo em que você deseja que o endereço seja incluídona lista negra. Global adiciona o dispositivo à Lista negra global.

• Duração: selecione por quanto tempo incluir endereços IP na lista negra.


Resumo de alarmepersonalizado

Personalize os campos incluídos no resumo de um alarme Correspondência de camposou Correspondência de eventos interna.

8 Na guia Escalonamento, identifique como escalonar o alarme quando ele não é reconhecido em certo tempo.

Escalonamento Descrição

Escalonar após Insira o tempo após o qual você deseja que o alarme seja escalonado.

Responsável escalonado Selecione uma pessoa ou um grupo para receber a notificação escalonada.

Gravidade escalonada Selecione a gravidade para o alarme depois que ele for escalonado.

Registrar evento em log Selecione se deseja registrar em log esse escalonamento como evento.

Alerta visual Selecione se a notificação é um alerta visual. Clique em Reproduzir som eselecione um arquivo se você deseja que um som acompanhe a notificaçãovisual.

Enviar mensagem Selecione se deseja enviar uma mensagem ao responsável. Clique em Adicionardestinatário, selecione o tipo de mensagem e selecione o destinatário.

Gerar relatórios Selecione se deseja gerar um relatório. Clique em Configurar para selecionar orelatório.

Executar comando remoto Selecione para executar um script em qualquer dispositivo que aceite conexõesSSH. Clique em Configurar e preencha host, porta, nome de usuário, senha ecadeia de comandos.

Copiar alarmesUse os alarme existentes como modelos para novos alarmes. Basta copiar e salvar o alarme com um nomediferente.







4 Selecione um alarme ativado, depois clique em Copiar.

A página Nome do alarme exibe o nome do alarme atual seguido de _copy.

Não é possível copiar alarmes desativados.

5 Altere o nome e clique em OK.

6 Para alterar as configurações do alarme, selecione o alarme copiado e clique em Editar.

Configurar alarmes de correlação para incluir eventos de origemPara incluir as informações de eventos de origem nos resultados de um alarme, configure uma Correspondênciade eventos interna ou Correspondência de campos que usa um evento de correlação como correspondência.





4 Clique na guia Configurações e, em seguida, clique em Modelos.

5 Na página Gerenciamento de modelos, clique em Adicionar e preencha as informações necessárias.

6 Na seção Corpo da mensagem, coloque o cursor onde deseja incluir as marcas e clique no ícone Inserir campo

, e selecione Bloco de eventos de origem.

7 Coloque o cursor dentro das marcas, clique no ícone Inserir campo novamente e selecione as informaçõesque deseja incluir quando o alarme de correlação for disparado.

O exemplo a seguir ilustra como fica um modelo de mensagem de alarme quando você insere campos paraendereço IP de origem, endereço IP de destino e gravidade de um evento:

Alarme: [$Nome do alarme]Responsável: [$Responsável pelo alarme]Data do disparo: [$Data do disparo] Resumo: [$Resumo do alarme] [$REPEAT_START] SigIDde correlação: [$ID da assinatura] Correlacionado pela última vez: [$Última vez][$SOURCE_EVENTS_START] Detalhes do evento de origem: Última vez: [$Última vez] SigID:[$ID da assinatura] Mensagem de regra: [$Mensagem de regra] Gravidade: [$Gravidademédia] Usuário de origem: [$%Origem do ID do usuário] IP de origem: [$IP de origem]Porta de origem: [$Porta de origem] Usuário de destino: [$%Destino do ID do usuário]IP de destino: [$IP de destino] Porta de destino: [$Porta de destino] Host: [$%ID do



host] Comando: [$%ID do comando] Aplicativo: [$%ID do aplicativo] Pacote: [$Dados dopacote] [$SOURCE_EVENTS_END] [$REPEAT_END]

Se um evento correlacionado não disparar o alarme, a mensagem não incluirá os dados.

Elementos lógicosAo adicionar um dispositivo, um banco de dados e uma regra de correlação ou um componente do McAfeeApplication Data Monitor, use a Lógica da expressão ou a Lógica de correlação para criar a estrutura da regra.

Elemento Descrição

AND Funciona da mesma forma que um operador lógico em uma linguagem de computador. Tudo oque está agrupado nesse elemento lógico deve ser verdadeiro para que a condição sejaverdadeira. Use essa opção caso queira que todas as condições desse elemento lógico sejamatendidas antes que uma regra seja disparada.

OR Funciona da mesma forma que um operador lógico em uma linguagem de computador. Somenteuma condição agrupada nesse elemento deve ser verdadeira para que essa condição sejaverdadeira. Use esse elemento caso queira que somente uma condição seja atendida antes dodisparo da regra.

SET Para regras ou componentes de correlação, SET permite definir as condições e selecionar comomuitas condições devem ser verdadeiras para disparar a regra. Por exemplo, se houver trêscondições no conjunto e duas delas precisarem ser atendidas para que a regra seja disparada, aleitura do conjunto será 2 de 3.

Cada um desses elementos tem um menu com pelo menos duas das opções a seguir:

• Editar: você pode editar as configurações padrão.

• Remover elemento lógico: você pode excluir o elemento lógico selecionado. Se ele tiver filhos, eles não serãoexcluídos e moverão para cima na hierarquia.

Isso não se aplica ao elemento raiz (o primeiro na hierarquia). Se você remover o elemento raiz, todos osfilhos também serão removidos.

• Remover elemento lógico e todos os seus filhos: você pode excluir o elemento selecionado e todos os filhos dahierarquia.

Quando você configura a lógica da regra, deve adicionar componentes para definir as condições da regra. Pararegras de correlação, você também pode adicionar parâmetros para controlar o comportamento da regra ou ocomponente quando ela é executada.

Criar alarmes UCAPLCrie alarmes que cumpram os requisitos da UCAPL (Unified Capabilities Approved Products List).

Antes de iniciar• Você precisa ter privilégios de administrador ou pertencer a um grupo de acesso com privilégios

de gerenciamento de alarme.

• Confira as etapas para Criar alarmes na página 106

Tarefa• Configure os tipos de alarmes aplicáveis:



Tipo de alarme Descrição

Limite ajustável defalha de entradaatingido

Dispare um alarme quando diversas falhas de entrada do mesmo usuárioatingirem um limite ajustável.1 Crie um alarme de Correspondência de eventos interna que coincida com ID de

assinatura.

2 Insira um valor de 306-36.

Limite de inatividadeatingido

Dispare um alarme quando uma conta de usuário estiver bloqueada por teratingido o limite de inatividade.1 Crie um alarme de Correspondência de eventos interna que coincida com ID de

assinatura.


Sessões simultâneaspermitidas atingidas

Dispare um alarme se o usuário tentar entrar no sistema depois que o númeropermitido de sessões simultâneas for atingido.1 Crie um alarme de Correspondência de eventos interna que coincida com ID de

assinatura.


Falha na verificaçãode integridade doarquivo do sistema

Dispare um alarme quando a verificação de integridade do arquivo do sistemafalhar.1 Crie um alarme de Correspondência de eventos interna que coincida com ID de

assinatura.


Os certificados estãoprestes a expirar

Dispare um alarme quando o Common Access Card (CAC) ou servidor Webestiverem prestes a expirar.1 Crie um alarme de Correspondência de eventos interna que coincida com ID de

assinatura.

2 Insira um valor de 306-50081, 306-50082, 306-50083, 306-50084.

O alarme dispara 60 dias antes de o certificado expirar e, depois, a cada semana.Não é possível alterar o número de dias.

Interceptação doSNMP enviadaquando o estado dosistema não aprovou

Configure uma interceptação do SNMP para que o alarme envie uma interceptaçãoao NMS quando detectar que o sistema não está mais operando em estadoaprovado ou seguro.1 Crie uma correspondência de alarme em qualquer condição, vá para a guia Ações

e selecione Enviar mensagem.

2 Clique em Adicionar destinatários | SNMP, selecione o destinatário, depois cliqueem OK.

3 No campo Enviar mensagem, clique em Configurar, clique em Modelos e emAdicionar.

4 Selecione Modelo SNMP no campo Tipo, insira o texto da mensagem e clique emOK.

5 Na página Gerenciamento de modelos, selecione o novo modelo e clique em OK.

6 Conclua o restante das configurações de alarme.



Tipo de alarme Descrição

Mensagem de Syslogenviada quando oestado do sistemanão aprovou

Configure uma mensagem do syslog para que o alarme envie uma mensagem dosyslog ao NMS quando detectar que o sistema não está mais operando em estadoaprovado ou seguro.1 Crie uma correspondência de alarme em qualquer condição, vá para a guia Ações

e selecione Enviar mensagem.

2 Clique em Adicionar destinatários | Syslog, selecione o destinatário, depois cliqueem OK.

3 No campo Enviar mensagem, clique em Configurar, clique em Modelos e emAdicionar.

4 Selecione Modelo de syslog no campo Tipo, insira o texto da mensagem e cliqueem OK.

5 Na página Gerenciamento de modelos, selecione o novo modelo e clique em OK.

6 Conclua o restante das configurações de alarme.

Falha do log desegurança aoregistrar eventosnecessários

Configure uma interceptação do SNMP para que o alarme notifique a Central deoperações de rede (NOC) apropriada em 30 segundos caso haja falha do log desegurança ao registrar eventos necessários.1 Acesse Propriedades do sistema | Configuração do SNMP | Interceptações do SNMP

ou Propriedades do dispositivo | Configuração do dispositivo | SNMP.

2 Selecione a interceptação da falha de registro de segurança, configure um oumais perfis para o envio das interceptações e clique em Aplicar.

O McAfee ESM envia interceptações do SNMP para o destinatário do perfil SNMPcom a mensagem Falha ao gravar no log de segurança.

Início ouencerramento defunções de auditoria

Configure uma interceptação do SNMP para que o alarme notifique quando asfunções de auditoria (como banco de dados, cpservice, IPSDBServer) foreminiciadas ou encerradas, acesse Interceptações do SNMP ou Configurações de SNMP eselecione Interceptações de banco de dados ativadas/desativadas. Configure um ou maisperfis para as interceptações serem enviadas e clique em Aplicar.

Existe uma sessãopara cada funçãoadministrativa

Dispare um alarme quando uma sessão administrativa existir para cada funçãoadministrativa definida.1 Crie um alarme de Correspondência de eventos interna que coincida com ID de

assinatura.

2 Insira os valores 306–38 para Administrador de auditoria, 306–39 paraAdministrador de criptografia e 306–40 para Usuário avançado. Além disso, épossível configurar alarmes separados.

Adicionar alarme de correspondência de camposConfigure alarmes para notificá-lo quando vários campos de evento corresponderem e o dispositivo receber eanalisar o evento.



• Verifique como usar elementos lógicos.






4 Clique em Adicionar, digite o nome do alarme e selecione o responsável. Depois, clique na guia Condição.

5 No campo Tipo, selecione Correspondência de campos e configure as condições do alarme.

a Arraste e solte o AND ou o OR para configurar a lógica da condição do alarme.

b Arraste e solte o ícone Corresponder ao componente sobre um elemento lógico, em seguida, preencha apágina Adicionar campo de filtro.

c No campo Frequência máxima de disparo da condição, selecione a quantidade de tempo permitida entrecada condição para evitar o excesso de notificações. Cada disparo contém somente o primeiro evento deorigem correspondente à condição do disparo, não os eventos que ocorreram no período de frequênciade disparo. Novos eventos que correspondem à condição de disparo não fazem com que o alarmedispare novamente até depois do período máximo de frequência de disparo.

Se você definir o intervalo como zero, todos os eventos que coincidirem com uma condição dispararão umalarme. Para alarmes de alta frequência, um intervalo zero pode produzir muitos alarmes.

6 Clique em Avançar e selecione os dispositivos a serem monitorados para o alarme. Esse tipo de alarmeoferece suporte a Receptores, ELMs (Enterprise Log Managers) de Receptores locais, combinações deReceptor/ELM, ACEs e ADMs (Application Data Monitors).

7 Clique nas guias Ações e Escalonamento e defina as configurações.


O alarme grava no dispositivo.

Se o alarme não gravar no dispositivo, será exibido um sinalizador indicando falta de sincronização ao lado dodispositivo na árvore de navegação do sistema. Clique no sinalizador e em Sincronizar alarmes.

Resumo personalizado para casos e alarmes disparadosSelecione os dados a serem incluídos no resumo do alarme e resumo de caso dos alarmes da Correspondênciade campos e Correspondência de evento interna.




3 Clique em Alarmes, depois em Adicionar ou Editar.

4 Na guia Condição, selecione o tipo Correspondência de campos ou Correspondência de evento interna.



5 Clique na guia Ações, Criar caso e, em seguida, Configurar. Depois, selecione os campos que serão incluídosno resumo de caso.

6 Clique em Personalizar resumo de alarme disparado, clique em e selecione os campos a serem incluídos noresumo do alarme disparado.

7 Digite as informações solicitadas para criar alarmes, depois clique em Concluir.

Criar modelos de mensagem de alarmeCrie modelos de mensagem de alarme para e-mails, SMS (mensagem de texto), protocolo SNMP (SimpleNetwork Management Protocol) ou syslog. Você pode associar os modelos a ações de alarme e destinatários demensagens específicos.





4 Clique na guia Configurações e em Modelos.

• Para criar modelos personalizados, clique em Adicionar.

• Para alterar um modelo personalizado, selecione-o e clique em Editar.

Você não pode editar modelos predefinidos.

• Para excluir um modelo personalizado, selecione-o e clique em Remover.

Não é possível excluir modelos predefinidos.

• Para copiar um modelo existente, selecione-o e clique em Copiar. Salve o modelo copiado com um novonome.

• Para definir um padrão para todas as mensagens de alarme, selecione-o e clique em Tornar padrão.


6 Na página Adicionar modelo, configure o modelo.

Opção Descrição

Tipo Selecione se o modelo é para um e-mail ou uma mensagem de texto.

Mensagens de texto (limitadas a 140 caracteres) são enviadas como e-mail para telefones edepois convertidas pela operadora em mensagens de texto.

Nome Digite o nome para este modelo.

Descrição Digite uma descrição do que o modelo incluirá.

Tornar padrão Use o modelo atual como padrão ao enviar mensagens.



Opção Descrição

Assunto Para um modelo de e-mail, selecione o assunto da mensagem. Clique no ícone Inserircampo e selecione as informações que você deseja incluir na linha de assunto damensagem.

Corpo damensagem

Selecione os campos que você deseja incluir no corpo da mensagem.

Para modelos de mensagens syslog, limite o corpo da mensagem a 950 bytes. O McAfeeESM não pode enviar mensagens de syslog superiores a 950 bytes.

• Exclua qualquer um dos campos incluídos por padrão se você não quiser que eles sejamincluídos na mensagem.

• Posicione o cursor no corpo, no local onde deseja inserir um campo de dados. Clique noícone Inserir campo acima do campo Assunto. Depois selecione o tipo de informação queesse campo deve exibir.

• Se você selecionar Bloco de repetição, o McAfee ESM adicionará a sintaxe necessária paraexecutar um loop dos registros. Insira os campos que você deseja incluir para cadaregistro entre os marcadores [$REPEAT_START] e [$REPEAT_END]. O McAfee ESM incluiessas informações na mensagem para até 10 registros.

• Configurar alarmes de correlação para incluir eventos de origem na página 111 Paraincluir eventos de origem em alarmes que usam um evento de correlação comocorrespondência ( ), clique no ícone Inserir campo e selecione Bloqueio de eventos deorigem.

Quando você seleciona Correspondência de eventos interna ou Correspondência de camposcomo tipo de alarme, o McAfee ESM inclui dados do campo de evento no e-mail. SelecioneCorrespondência de campos para alarmes orientados por origem de dados que sãoexecutados no receptor, não no McAfee ESM. Selecione alarmes de Correspondência deeventos interna, que são executados no McAfee ESM e forçam a execução de uma consultasempre que a frequência do alarme expira.

Adicionar alarmes de evento do monitor de integridadeCrie alarmes com base em eventos do monitor de integridade capazes de gerar um relatório de Resumo doevento do monitor de integridade.



• Analise os IDs de assinatura do monitor de integridade na página 118 disponíveis.

• Confira as etapas para Criar alarmes na página 106.

Tarefa1 Para configurar um alarme antes que um evento do monitor de integridade seja gerado:

a Configure um alarme Condição com o tipo Correspondência de eventos interna.

b Na linha Campo, selecione ID de assinatura.

c No campo Valores, insira a ID de assinatura para as regras do monitor de integridade.

d Preencha as configurações restantes do alarme.



2 Para configurar um alarme caso um evento de monitor de integridade exista:

a Na árvore de navegação do sistema, clique em . Em seguida, selecione uma exibiçãoque mostre o evento do monitor de integridade (Análise de evento ou Resumo padrão).

bClique no evento e, em seguida, clique em .

c Selecione Ações | Criar novo alarme de e clique em ID de assinatura.

d Preencha as configurações restantes do alarme.

IDs de assinatura do monitor de integridadeUse essas regras para criar um alarme que notifique quando um evento de regra do monitor de integridade forgerado. Essa lista descreve as regras do monitor de integridade e sua gravidade, dispositivo, tipo e IDs deassinatura.

Nome da regra ID deassinatura

Descrição Tipo Dispositivo Gravidade

Uma conexão física deinterface de rede foi feitaou removida

306-50080 Configurações dainterface de redemodificadas por umasessão SSH.

Monitor desoftware

McAfee ESM Média

Erro de RAID 306-50054 Erros de RAIDencontrados.

Monitor dehardware

Todos Alta

Conta desativada devidoà inatividade

306-35 Conta de usuáriodesativada devido àinatividade.

Monitor desoftware

McAfee ESM Média

Conta desativada devidoa número máx. de falhasna entrada

306-36 Conta de usuáriodesativada devido anúmero máx. de falhasde entrada.

Monitor desoftware

McAfee ESM Alta

Adicionar/editarcomando remoto

306-60 Comando remoto dealarme adicionado ouexcluído.

Monitor desoftware

McAfee ESM Baixa

Alerta de alteração deestado do coletor doAnalisador avançado desyslog

306-50029 O analisador de ASP foiinterrompido ouinicializado.

Monitor desoftware

Receiver Média

Processo do destiladordo ADM

306-50066 O mecanismo deextração de texto ADMPDF/DOC foiinterrompido ouinicializado.

Monitor desoftware

ADM Média

Incompatibilidade deconfiguração aprovada

146-7 Alteração no dispositivode descoberta de redeaprovada.

Monitor desoftware

McAfee ESM Baixa

Alteração naconfiguração de arquivo

306-3 Configurações dearquivamento do McAfeeESM alteradas.

Monitor desoftware

McAfee ESM Baixa

Alerta de alteração deestado do processo dearquivamento

306-50051 O processo dearquivamento doReceiver foi interrompidoou inicializado.

Monitor desoftware

ADM/REC/DBM

Média

Ativo vulnerável a evento 146-10,306-10

Evento de vulnerabilidadecriado.

Monitor desoftware

McAfee ESM Baixa





Entrada de usuárioadministrador deauditoria

306-38 Entrada do administradorde auditoria, evento daUCAPL.

Monitor desoftware

McAfee ESM Baixa

Alteração naconfiguração de backup

306-1 Definições daconfiguração de backupdo McAfee ESM alteradas.

Monitor desoftware

McAfee ESM Baixa

Backup realizado 306-2 Backup realizado nosistema.

Monitor desoftware

McAfee ESM Baixa

Alerta do analisador deBlue Martini

306-50071 O analisador de BlueMartini foi interrompidoou inicializado.

Monitor desoftware

Receiver Média

Ignorar alerta de estadoNIC

306-50001 O NIC entrou ou saiu dostatus de desvio.

Monitor desoftware

IPA/ADM Média

Certificado CAC expirou 306-50082 O certificado CAC doMcAfee ESM expirou.

Monitor desoftware

McAfee ESM Alta

O certificado CAC expiraem breve

306-50081 O certificado CAC doMcAfee ESM expirará embreve.

Monitor desoftware

McAfee ESM Média

Caso alterado 306-70 Caso alterado. Monitor desoftware

McAfee ESM Baixa

Status de casoadicionado/modificado/excluído

306-73 Status de caso alterado. Monitor desoftware

McAfee ESM Baixa

Alerta de alteração deestado do canal decomunicação

306-50013 O canal de controle foiinterrompido ouinicializado.

Monitor desoftware

Todos Média

Falha na captura daconfiguração (erro dedispositivo)

146-4 Erro de dispositivo dedescoberta de rede.

Monitor desoftware

McAfee ESM Baixa

Falha na captura daconfiguração (dispositivoinacessível)

146-3 Dispositivo de descobertade rede inacessível.

Monitor desoftware

McAfee ESM Baixa

Configuração capturada 146-5 Configuração dedescoberta de redeverificada com êxito.

Monitor desoftware

McAfee ESM Baixa

Falha na política deconfiguração

146-8 Não usada no sistema. Monitor desoftware

McAfee ESM Baixa

Aprovação da política deconfiguração


McAfee ESM Baixa

Alteração dasconfigurações daalocação de dados

306-7 Configurações daalocação de dados doMcAfee ESM alteradas.

Monitor desoftware

McAfee ESM Alta

Alerta de espaço livre emdisco das partições dedados

306-50005 Há pouco espaço livre emcada partição (porexemplo, hada_hd tem10% de espaço livre).

Monitor desoftware

Todos Média

Alteração dasconfigurações deretenção de dados

306-6 Configuração de retençãode dados do McAfee ESMalterada.

Monitor desoftware

McAfee ESM Alta





Alerta de estado dosserviços de detecção dobanco de dados

306-50036 O serviço de detecçãoautomática de DBM foiinterrompido ouinicializado.

Monitor desoftware

Todos Média

Alerta de alteração doestado de inspeçãocompleta de pacotes

306-50008 O mecanismo deinspeção profunda depacote no ADM foiinterrompido ouinicializado.

Monitor desoftware

Todos Média

Excluir comando remoto 306-61 Comando remoto dealarme removido.

Monitor desoftware

McAfee ESM Baixa

Eventos excluídos 306-74 Usuário excluiu eventosdo McAfee ESM.

Monitor desoftware

McAfee ESM Baixa

Fluxos excluídos 306-75 Usuário excluiu fluxos doMcAfee ESM.

Monitor desoftware

McAfee ESM Baixa

Adição de dispositivo 306-18 Novo dispositivoadicionado ao sistema.

Monitor desoftware

McAfee ESM Baixa

Exclusão de dispositivo 306-19 Dispositivo existenteexcluído do sistema.

Monitor desoftware

McAfee ESM Baixa

Dispositivopossivelmenteinoperante

146-2 Evento de descoberta derede informando que umdispositivo pode estarinoperante.

Monitor desoftware

McAfee ESM Baixa

Dispositivo inacessível 146-1 O dispositivo dedescoberta de redeadicionado ao McAfeeESM está inacessível.

Monitor desoftware

McAfee ESM Baixa

Alerta de falha daunidade de disco

306-50018 Verifica e confirma aintegridade de todos osdiscos rígidos (interna ouDAS).

Monitor dehardware

Todos Alta

Alerta de alteração deestado do processo dearquivamento do ELM

306-50045 O mecanismo decompactação do ELM foiinterrompido ouinicializado.

Monitor desoftware

ADM/REC/DBM

Média

FTP do ELM EDS 306-50074 O programa ELM SFTP foiinterrompido ouinicializado.

Monitor desoftware

ELM Média

Processamento dearquivo do ELM

306-50065 O mecanismo dereinserção do ELM foiinterrompido ouinicializado.Se houver falha de logpor algum motivo, eletentará a inserçãonovamente. Se houverfalha no processo dereinserção, essa regraserá disparada.

Monitor desoftware

ELM Média

Alerta de alteração deestado do ponto demontagem do ELM

306-50053 O armazenamentoremoto do ELM (CIFS,NFS, ISCSI, SAN) foiinterrompido ouinicializado.

Monitor desoftware

ELM Média





Alerta de alteração deestado do mecanismo deconsulta do ELM

306-50046 Processo de trabalhos doELM – Trabalhos do ELM,como consultas einserções, interrompidosou inicializados.

Monitor desoftware

ELM Média

Armazenamentoredundante no ELM

306-50063 O espelho do ELM foiinterrompido ouinicializado.

Monitor desoftware

ELM Média

Erro no banco de dadosdo sistema do ELM

306-50044 O banco de dados doELM foi interrompido ouinicializado.

Monitor desoftware

ELM Alta

Alerta de alteração deestado do coletor dee-mails

306-50040 O coletor do Cisco MARSfoi interrompido ouinicializado.

Monitor desoftware

Receiver Média

Marcas do EPO aplicadas 306-28 Marcas do McAfee ePOaplicadas.

Monitor desoftware

McAfee ESM Baixa

Erro na comunicaçãocom o ELM

306-50047 Falha na comunicaçãocom o ELM.

Monitor desoftware

ADM/REC/DBM

Alta

Erro na comunicaçãocom o SSH

306-50077 Problemas no dispositivo,como diferença deversão, alteração dachave.

Monitor desoftware

Todos Alta

Reinicialização do McAfeeESM

306-32 McAfee ESMreinicializado.

Monitor desoftware

McAfee ESM Média

Desligamento do McAfeeESM

306-33 McAfee ESM desligado. Monitor desoftware

McAfee ESM Média

Alerta do coletoreStreamer

306-50070 O coletor eStreamer foiinterrompido ouinicializado.

Monitor desoftware

Receiver Média

Alerta de alteração deestado do coletoreStreamer

306-50041 O coletor eStreamer foiinterrompido ouinicializado.

Monitor desoftware

Receiver Média

Executar comandoremoto

306-62 Comando remoto dealarme executado.

Monitor desoftware

McAfee ESM Baixa

Falha na entrada devidoa número máximo desessões simultâneasatingido

306-37 Falha ao entrar porque onúmero máximo desessões simultâneas foiatingido.

Monitor desoftware

McAfee ESM Alta

Falha ao formatar odispositivo SAN

306-50057 Falha na formatação doSAN no ELM; o usuáriodeve tentar novamente.

Monitor dehardware

McAfee ESM Alta

Falha de entrada dousuário

306-31 Houve falha na entradado usuário.

Monitor desoftware

McAfee ESM Média

Alerta de alteração deestado do coletor dearquivo

306-50049 O programa coletor demontagem foiinterrompido ouinicializado.

Monitor desoftware

Receiver Média

Arquivo excluído 306-50 Qualquer arquivo quepode ser adicionado ouremovido

Monitor desoftware

McAfee ESM Baixa





Alerta de alteração deestado do processo defiltragem

306-50050 O programa de filtragemno dispositivo foiinterrompido ouinicializado (regras defiltragem).

Monitor desoftware

Receiver Média

Alerta de alteração deestado do agregador dealerta do firewall

306-50009 O agregador de firewallno ADM foi interrompidoou inicializado.

Monitor desoftware

ADM Média

Falha na obtenção dedados VA

306-52 O McAfee ESM não pôdeobter dados de VA.

Monitor desoftware

McAfee ESM Média

Êxito na obtenção dedados VA

306-51 O McAfee ESM obtevedados de VA.

Monitor desoftware

McAfee ESM Baixa

Alerta interno do monitorde integridade

306-50027 O processo do monitorde integridade foiinterrompido ouinicializado.

Monitor desoftware

Todos Média

Alerta de alteração deestado do coletor HTTP

306-50039 O coletor HTTP foiinterrompido ouinicializado.

Monitor desoftware

Receiver Média

Alteração naconfiguração deindexação

306-8 Configurações deindexação do McAfeeESM alteradas.

Monitor desoftware

McAfee ESM Média

Chave SSH inválida 306-50075 Problemas nacomunicação dodispositivo com o ELM,como diferenças deversão, alteração dachave.

Monitor desoftware

Todos Alta

Alerta de alteração deestado do coletor IPFIX

306-50055 O coletor de IPFIX (fluxo)foi interrompido ouinicializado.

Monitor desoftware

Receiver Média

Entrada do usuárioadministrador da chave edo certificado

306-39 Entrada do administradorde criptografia, eventoUCAPL

Monitor desoftware

McAfee ESM Baixa

Alerta de espaço livre emdisco das partições delog

306-50004 Há pouco espaço livre napartição de log (/var).

Monitor desoftware

Todos Média

Alerta de alteração deestado do servidor dobanco de dados McAfeeEDB

306-50010 O banco de dados foiinterrompido ouinicializado.

Monitor desoftware

Todos Média

Alerta do coletor doMcAfee ePO

306-50069 O coletor do McAfee ePOfoi interrompido ouinicializado.

Monitor desoftware

Receiver Média

Alerta de alteração deestado do McAfee EventFormat

306-50031 O coletor do McAfeeEvent Format foiinterrompido ouinicializado.

Monitor desoftware

Receiver Média

Falha de comunicação dodispositivo do McAfeeSIEM

306-26 O McAfee ESM não podese comunicar com outrodispositivo.

Monitor desoftware

McAfee ESM Alta





Alerta do MicrosoftForefront ThreatManagement Gateway

306-50068 O coletor do ForefrontThreat ManagementGateway foi interrompidoou inicializado.

Monitor desoftware

Receiver Média

Alerta de alteração deestado de recuperaçãodo MS-SQL

306-50035 O coletor do MS SQL foiinterrompido ouinicializado (qualquerorigem de dados paraMSSQL).

Monitor desoftware

Receiver Média

Alerta de log de várioseventos

306-50062 O coletor do jEMAIL foiinterrompido ouinicializado.

Monitor desoftware

Receiver Média

Varredura do MVMiniciada

306-27 Varredura do MVMiniciada.

Monitor desoftware

McAfee ESM Baixa

Alerta de alteração deestado do coletorNetFlow

306-50024 O coletor NetFlow (fluxo)foi interrompido ouinicializado.

Monitor desoftware

Receiver Média

Nova conta de usuário 306-13 Novo usuário adicionadoao sistema.

Monitor desoftware

McAfee ESM Baixa

Alerta de alteração deestado do coletor doNFS/CIFS

306-50048 A montagem remotareferente a NFS ou CIFSfoi interrompida ouinicializada.

Monitor desoftware

Receiver Média

Alerta de alteração deestado do coletorNitroFlow

306-50026 O NitroFlow (fluxos dodispositivo) foiinterrompido ouinicializado.

Monitor desoftware

Receiver Média

Nenhuma chave SSHencontrada

306-50076 Problemas nacomunicação dodispositivo com o ELM,como diferenças deversão, alteração dachave.

Monitor desoftware

Todos Alta

Adicionar/editar listanegra do NSM

306-29 Entrada na lista negra doNSM adicionada oueditada.

Monitor desoftware

McAfee ESM Baixa

Excluir da lista negra doNSM

306-30 Entrada na lista negra doNSM excluída.

Monitor desoftware

McAfee ESM Baixa

Alerta de alteração deestado do recuperadorde OPSEC

306-50034 O coletor de OPSEC(Check Point) foiinterrompido ouinicializado.

Monitor desoftware

Receiver Média

Alerta do coletor doOracle IDM

306-50072 O coletor do Oracle IDMfoi interrompido ouinicializado.

Monitor desoftware

Receiver Média

Alerta de excesso deassinaturas

306-50012 O ADM entrou ou saiu domodo de excesso deassinaturas.

Monitor desoftware

ADM Média

Alerta do Coletor deplug-in/Analisador

306-50073 O Coletor de plug-in/Analisador foiinterrompido ouinicializado.

Monitor desoftware

Receiver Média





Adição de política 306-15 Política adicionada aosistema.

Monitor desoftware

McAfee ESM Baixa

Exclusão de política 306-17 Política excluída dosistema.

Monitor desoftware

McAfee ESM Baixa

Alteração de política 306-16 Política alterada nosistema.

Monitor desoftware

McAfee ESM Baixa

Incompatibilidade deconfiguração anterior

146-6 Configuração dedispositivo de descobertade rede alterada.

Monitor desoftware

McAfee ESM Baixa

Receiver de HA 306-50058 Algum processo de HA foiinterrompido ouinicializado (Script decontrole de HA,Corosync).

Monitor desoftware

Receiver Média

Configuração do Receiverde HA Opsec

306-50059 Não está em uso. Monitor desoftware

Receptor Baixa

Alerta de alteração deestado do ponto demontagem do NFSremoto

306-50020 A montagem NFS do ELMfoi interrompida ouinicializada.

Monitor desoftware

ELM Média

Alerta de espaço livre emdisco no ponto demontagem/compartilhamentoremoto

306-50021 Há pouco espaço livre noponto de montagemremoto.

Monitor desoftware

McAfee ESM Média

Alerta de alteração deestado decompartilhamento doSMB/CIFS remoto

306-50019 O ponto de montagemremoto de SMB/CIFS foiinterrompido ouinicializado.

Monitor desoftware

Receiver Média

Alerta de alteração deestado da Correlação derisco

306-50061 O mecanismo deCorrelação de risco foiinterrompido ouinicializado.

Monitor desoftware

ACE Média

Alerta de espaço livre emdisco das partições deraiz

307-50002 Há pouco espaço livrenas partições de raiz.

Monitor desoftware

Todos Média

Adição de regra 306-20 Regra adicionada aosistema, como ASP, filtroou correlação.

Monitor desoftware

McAfee ESM Baixa

Exclusão de regra 306-22 Regra excluída dosistema.

Monitor desoftware

McAfee ESM Baixa

Alteração de regra 306-21 Regra alterada nosistema.

Monitor desoftware

McAfee ESM Baixa

Falha na atualização deregra

306-9 Falha na atualização deregra do McAfee ESM.

Monitor desoftware

McAfee ESM Média

Alerta de alteração deestado de recuperaçãode SDEE

306-50033 O coletor do SDEE foiinterrompido ouinicializado.

Monitor desoftware

Receiver Média

Alerta de alteração deestado do coletor sFlow

306-50025 O coletor sFlow (fluxo) foiinterrompido ouinicializado.

Monitor desoftware

Receiver Média





Alerta de alteração deestado do coletor SNMP

306-50023 O coletor SNMP foiinterrompido ouinicializado.

Monitor desoftware

Receiver Média

Alerta de alteração deestado do coletor SQL

306-50038 O coletor SQL (antigoNFX) foi interrompido ouinicializado.

Monitor desoftware

Receiver Média

Alerta de alteração deestado do coletorSymantec AV

306-50056 O coletor Symantec AV foiinterrompido ouinicializado.

Monitor desoftware

Receiver Média

Alerta de alteração deestado do Coletor desyslog

306-50037 O coletor de Syslog foiinterrompido ouinicializado.

Monitor desoftware

Receiver Média

Entrada de usuárioadministrador do sistema

306-40 O administrador dosistema entrou nosistema.

Monitor desoftware

McAfee ESM Baixa

Falha na verificação deintegridade do sistema

306-50085 Não é sinalizado nenhumprograma ou processoestrangeiro não ISO emexecução no sistema.

Monitor desoftware

Todos Alta

Alerta de alteração deestado do registrador dosistema

306-50014 O processo de registroem log do sistema foiinterrompido ouinicializado.

Monitor desoftware

Todos Média

Tarefa (consulta) fechada 306-54 Tarefa do gerenciador detarefas fechada.

Monitor desoftware

McAfee ESM Baixa

Alerta de espaço livre emdisco nas partiçõestemporárias

306-50003 A partição temporária (/tmp) com pouco espaçoem disco.

Monitor desoftware

Todos Média

Alerta de alteração deestado do analisador delog de texto

306-50052 O processo do analisadorde texto foi interrompidoou inicializado.

Monitor desoftware

Receiver Média

Alteração de conta deusuário

306-14 Conta de usuárioalterada.

Monitor desoftware

McAfee ESM Baixa

Falha de entrada nodispositivo do usuário

306-50079 Houve falha na entradado usuário do SSH.

Monitor desoftware

McAfee ESM Baixa

Entrada no dispositivo dousuário


McAfee ESM Baixa

Saída do dispositivo dousuário

306-50078 Saída do usuário do SSH. Monitor desoftware

McAfee ESM Baixa

Logon do usuário 306-11 Usuário entrou nosistema.

Monitor desoftware

McAfee ESM Baixa

Saída de usuário 306-12 Usuário saiu do sistema. Monitor desoftware

McAfee ESM Baixa

Alerta de status domecanismo de dados deVA

306-50043 O mecanismo de VA(vaded.pl) foiinterrompido ouinicializado.

Monitor desoftware

Receiver Média

Adição de variável 306-23 Variável de políticaadicionada.

Monitor desoftware

McAfee ESM Baixa

Exclusão de variável 306-25 Variável de políticaexcluída.

Monitor desoftware

McAfee ESM Baixa





Alteração de variável 306-24 Variável de políticaalterada.

Monitor desoftware

McAfee ESM Baixa

Certificado de servidorWeb expirado

306-50084 O certificado de servidorWeb do ESM expirou.

Monitor desoftware

McAfee ESM Alta

O certificado de servidorWeb expirará em breve

306-50083 O certificado de servidorWeb do ESM expira embreve.

Monitor desoftware

McAfee ESM Média

Alerta do coletorWebsense

306-50067 O coletor Websense foiinterrompido ouinicializado.

Monitor desoftware

Receiver Média

Alerta de alteração deestado do coletor de Logde eventos WMI

306-50030 O coletor WMI foiinterrompido ouinicializado.

Monitor desoftware

Receiver Média

Adicionar alarmes a regras de políticaConfigure as regras de política com alarmes para notificá-lo quando as regras geram eventos.


Tarefa


2 Na barra de ferramentas da árvore de navegação do sistema, clique no ícone Editor de políticas .

3 Selecione o tipo de regra no painel Tipos de regras.

4 Selecione uma ou mais regras na área de exibição de regras.

5 Clique em e crie um alarme.

Criar interceptações do SNMP e ações de alarmesEnvie interceptações do SNMP como ação em um alarme.

Antes de iniciar

• Você precisa ter privilégios de administrador ou pertencer a um grupo de acesso com privilégiosde gerenciamento de alarme.

• Prepare o Receptor de interceptação do SNMP (somente necessário se você não tiver umReceptor de interceptação do SNMP).

Tarefa

1 Crie um perfil SNMP para informar ao McAfee ESM para onde enviar as interceptações do SNMP.

a No dashboard do McAfee ESM, clique em e selecione Configuração.

b Na árvore de navegação do sistema, selecione McAfee ESM e clique no ícone Propriedades .

c Clique em Gerenciamento de perfil, depois em Adicionar.



d Selecione Interceptação do SNMP como o Tipo de perfil.

e Preencha os campos restantes e clique em Aplicar.

2 Configure o SNMP no McAfee ESM.

a Em Propriedades do sistema | Configuração do SNMP, clique na guia Interceptações do SNMP.

b Selecione a porta, os tipos de interceptações a serem enviadas e o perfil adicionado na Etapa 1.

c Clique em Aplicar.

3 Defina um alarme com Interceptação do SNMP como ação.

a Em Propriedades do sistema, | clique em Alarmes e em Adicionar.

b Preencha as informações solicitadas nas guias Resumo, Condição e Dispositivos, selecionandoCorrespondência de eventos interna como o tipo de condição. Em seguida, clique na guia Ações .

c Selecione Enviar mensagem | Configurar para selecionar ou criar um modelo de mensagens do SNMP.

d Selecione Modelos do SNMP básicos no campo SNMP ou clique em Modelos. Selecione um modeloexistente ou clique em Adicionar para definir um novo modelo.

e Retorne para a página Configurações de alarme e prossiga com a configuração do alarme.

Adicionar alarmes de notificação de queda de energiaAlarmes podem notificá-lo quando as fontes de alimentação do McAfee ESM falharem.



• Definir interceptação SNMP para notificação de queda de energia na página 218




4 Clique em Adicionar, insira os dados solicitados na guia Resumo, depois clique na guia Condição.

5 No campo Tipo, selecione Correspondência de eventos interna.

6 No campo Campo, selecione ID de assinatura e digite 306-50086 no campo Valor(es).

7 Preencha as informações restantes em cada guia conforme necessário e clique em Concluir.

Um alarme é disparado quando há falha em uma fonte de energia.

Adicionar alarmes de delta de eventoOrigens de dados fora de sincronização podem gerar eventos com problemas de tempo. Configure alarmes dedelta de evento para notificá-lo de possíveis problemas de tempo de evento.

Antes de iniciarPossíveis problemas de tempo de evento podem ocorrer por várias razões:



• Fusos horários incorretos são definidos para o McAfee ESM ou origens de dados.

• O McAfee ESM ficou ativo por muito tempo e alguma falha o levou a ficar fora de sincronização.

• O McAfee ESM não está conectado à Internet.

• Os eventos estão fora de sincronização quando chegam ao receptor.

Você precisa ter privilégios de administrador ou pertencer a um grupo de acesso com privilégios degerenciamento de alarme.

Quando origens de dados fora de sincronização geram um evento, um sinalizador vermelho aparece ao lado doreceptor na árvore de navegação do sistema.



3 Configure alarmes quando origens de dados fora de sincronização gerarem eventos:

a Clique em Alarmes | Adicionar, digite as informações solicitadas na guia Resumo e clique na guiaCondição.

b Selecione Delta do evento no campo Tipo.

c Selecione com que frequência o McAfee ESM verifica a existência de origens de dados fora desincronização.

d Selecione a diferença de tempo que é necessária para que o alarme seja disparado.

e Preencha as informações das guias restantes.

4 Exiba, edite ou exporte origens de dados fora de sincronização:

a Na árvore de navegação do sistema, clique no receptor e no ícone Propriedades.

b Clique em Gerenciamento do receptor | Delta de tempo.

Gerenciar destinatários de alarmeIdentifique os destinatários de mensagens de alarme e configure como enviá-las usando e-mail, Short MessageServices (SMS), Simple Network Management Protocol (SNMP) ou syslog.



• Verifique se os perfis que você deseja usar existem.






4 Clique na guia Configurações e em Destinatários.

• Clique em E-mail para exibir ou atualizar endereços de e-mail de destinatários individuais.

• Clique em Usuários para exibir nomes de usuário e endereços de e-mail.

• Clique em SMS para exibir ou atualizar destinatários de mensagem de texto e seus endereços.

• Clique em SNMP para exibir ou atualizar as seguintes informações de SNMP:

Opção Descrição

Perfil Selecione um perfil de destinatário de SNMP existente na lista suspensa. Paraadicionar um perfil, clique em Perfil.

Tipo deinterceptaçãoespecífica

Selecione o tipo de interceptação específica. O tipo de interceptação geral é sempredefinido para 6, Específico do Enterprise.

OID empresarial Insira o identificador de objeto empresarial (OID) completo para enviar ainterceptação. Inclua desde o primeiro 1 até o número empresarial, incluindo todasas subárvores da empresa.

Conteúdo Incluir vínculos de dados informativos – A interceptação contém informações devínculos variáveis, incluindo o número de linhas do relatório processado, uma cadeiaque identifica a origem da interceptação, o nome da notificação que está gerando ainterceptação e a ID do McAfee ESM que está enviando a interceptação.Incluir somente dados de relatório – Os vínculos variáveis extras não são incluídos nainterceptação.

Formatação Cada interceptação do SNMP gerada a partir de um relatório contém uma linha dedados desse relatório.• Enviar cada linha do relatório como está: os dados da linha do relatório são enviados

como estão em um único vínculo variável. O sistema constrói os OIDs de vínculo dedados ao concatenar o Enterprise OID, o tipo de interceptação específico e umnúmero de autoincrementação que começa com 1.

• Analisar resultados e usar estes OIDs de vínculo: o sistema analisa a linha do relatórioe envia cada campo em um vínculo de dados separado.

Lista de OID devínculo

Analisar resultados e usar estes OIDs de vínculo: especifique os OIDs de vínculo de dadospersonalizados.• Se você selecionar essa opção, clique em Adicionar e digite o valor do OID

vinculado.

• Se você não especificar OIDs variáveis para todos os campos de dados no relatório,o McAfee ESM começará a incrementar a partir do último OID especificado na lista.

5 Clique em Syslog para exibir ou atualizar as seguintes informações de syslog:

Opção Descrição

IP do host e Porta Insira o endereço IP do host e a porta de cada destinatário.

Recurso e Gravidade Selecione o recurso e a gravidade da mensagem.

Gerenciar arquivos de áudio de alarmeFaça upload e download de arquivos de áudio para usá-los nos alertas de alarme.







4 Clique na guia Configurações e em Áudio.

5 Faça download, faça upload, remova ou reproduza arquivos de áudio.

O McAfee ESM inclui três arquivos de som pré-instalados. Você pode fazer upload de arquivos de áudiopersonalizados.

Como funcionam as listas de observaçãoUse listas de observação como filtros de informações ou condições de alarme.

As listas de observação podem ser globais ou compartilhadas com um usuário ou um grupo específico.

As listas de observação estáticas contêm valores importados ou que você insere.

As listas de observação dinâmicas contêm valores que resultam de expressões regulares ou critérios de pesquisade cadeia definidos.

As listas de observação podem incluir, no máximo, 1.000.000 valores, mas o McAfee ESM pode exibir somente25.000 valores. Se houver mais valores, o McAfee ESM notificará que há muitos valores a serem exibidos.

Para adicionar mais de 25.000 valores a uma lista de observação, exporte a lista existente para um arquivolocal, adicione os novos valores e importe a nova lista.

Se você configurar a lista de observação estática com valores que expiram, o sistema marcará a data/hora decada valor, que expira quando o tempo especificado é atingido, a menos que seja atualizado. Os valores sãoatualizados quando um alarme é disparado e eles são adicionados à lista de observação. Você também podeatualizar valores definidos para expirar acrescentando-os à lista em uma exibição.

Para listas de observação dinâmicas, você pode definir valores a serem atualizados periodicamente. O sistemaconsulta a origem usando os dados fornecidos e atualiza os valores no horário especificado.

Exibir detalhes de eventos de endereço IPSe você tiver uma licença do McAfee

®

Global Threat Intelligence™

(McAfee GTI) da McAfee, terá acesso à novaguia Detalhes da ameaça ao realizar uma pesquisa Detalhes do endereço IP. Quando você seleciona essa opção,detalhes sobre os endereços IP são retornados, incluindo dados de localização geográfica e gravidade de riscos.

Antes de iniciarVerifique se tem uma licença atual do McAfee GTI.

Tarefa1 No console do McAfee ESM, selecione uma exibição que inclua um componente de tabela, como Exibições de

eventos | Análise de eventos.

2Clique em um endereço IP, clique em , em qualquer componente que tiver um endereço IP e em Detalhesdo endereço IP.

7 Resposta a ameaçasComo funcionam as listas de observação


Listas de observação do McAfee GTIAs listas de observação do McAfee

®


(McAfee GTI) contêm mais de 130 milhões deendereços IP suspeitos e maliciosos e suas gravidades, reunidos pela McAfee. Use essas listas de observaçãopara disparar alarmes, filtrar dados em relatórios e exibições (como um filtro na correlação de regras) e comouma origem de pontuação para um Gerenciador de correlação de riscos em um dispositivo do McAfee ACE.

Para preencher IPs maliciosos do GTI e IPs suspeitos do GTI nas listas de observação, você deve comprar umalicença do McAfee

®


(McAfee GTI). Em seguida, após o download das regras, as listasdo McAfee GTI são adicionadas ao seu sistema.

Para fazer download das listas, é necessário ter uma conexão de Internet (não é possível fazer download off-line).O download pode demorar várias horas devido ao tamanho do banco de dados.

As listas do McAfee GTI não podem ser exibidas ou editadas, mas elas indicam se a lista está ativa (contémvalores) ou inativa (não contém valores).

Compartilhar listas de observação, relatórios e exibiçõesAtribua privilégios aos usuários e grupos para ver ou alterar exibições, listas de observação ou relatórios.

Tarefa1 Abra a página Permissões para listas de observação, relatórios ou exibições.

• Na página Propriedades do sistema, clique em Listas de observação, selecione uma lista de observação eclique em Compartilhar.

• Na página Propriedades do sistema, clique em Relatórios, selecione um relatório e clique emCompartilhar.

• No console, clique no ícone Gerenciar exibições, selecione uma exibição e clique em Compartilhar.

2 Selecione se as configurações serão ou não herdadas.

3 Se as configurações não forem herdadas, selecione os grupos ou usuários que poderão ver ou alterar ositens selecionados.

Se você selecionar Modificar, o sistema selecionará automaticamente Ler.

Adicionar listas de observaçãoUse listas de observação como filtros ou condições de alarme.

Antes de iniciarPara preencher IPs maliciosos do GTI e IPs suspeitos do GTI em uma lista de observação, você devecomprar uma licença do McAfee GTI.

Tarefa1 Acesse a página Listas de observação de uma destas formas:

• No dashboard, clique em e selecione Listas de observação.

• Na árvore de navegação do sistema, clique em Propriedades do sistema e em Listas de observação.

• Em um alarme de Correspondência de eventos interna, clique na guia Ações, selecione Atualizar lista deobservação e clique em Configurar.

2 Clique em Adicionar ou Adicionar nova lista de observação.

Resposta a ameaçasComo funcionam as listas de observação 7



Principal Nome Digite um nome para a lista de observação.

Estática ouDinâmica

Listas de observação estáticas consistem nos valores especificados por você.Listas de observação dinâmicas consistem em valores que resultam de critériosde pesquisa de expressão regular ou cadeia definidos por você.

Valores expiram Estática: selecione para inserir um carimbo de data/hora em cada valor nalista de observação para que ela expire quando especificado. Quando aduração que você especificar for atingida, ela expirará, a menos que sejaatualizada. Os valores são atualizados quando um alarme é disparado e elessão adicionados à lista de observação. Para atualizar os valores configuradospara expirar, anexe-os à lista com a opção Anexar à lista de observação nomenu de um componente de exibição.

Duração Estática: selecione o período pelo qual deseja que os valores sejam mantidos.O intervalo é de uma hora a 365 dias. Quando esse tempo passa, o valor éexcluído da lista de observação a menos que seja atualizado.

Ativaratualizaçõesautomáticas

Dinâmica: selecione se deseja que a lista seja atualizada automaticamente emuma hora especificada.

Atualizar Selecione a frequência com que a pesquisa será atualizada. A lista de valoresexistentes é substituída a cada vez que a pesquisa é executada.

Origem Selecione o tipo de origem da pesquisa. Os campos restantes na página variam com base notipo selecionado.

Cadeias do ESM Pesquisa a tabela StringMap, que contém cadeias encontradas em eventos.Insira a expressão regular ou os critérios de pesquisa de cadeias no campoPesquisar. As pesquisas diferenciam maiúsculas de minúsculas por padrão.Para executar uma pesquisa sem diferenciar maiúsculas de minúsculas,coloque a cadeia de pesquisa ou a expressão regular entre barras, seguida dei, como em /Exploração/i.

Nomes das regrasdo ESM

Pesquisa as mensagens de regras na tabela Regra, que contém uma pequenadescrição da regra. Insira a expressão regular ou os critérios de pesquisa decadeias no campo Pesquisar. As pesquisas diferenciam maiúsculas deminúsculas por padrão. Para executar uma pesquisa sem diferenciarmaiúsculas de minúsculas, coloque a cadeia de pesquisa ou a expressãoregular entre barras, seguida de i, como em /Exploração/i.

HTTP/HTTPS Preencha estes campos:

• Autenticação: selecione Básica se o site exigir nome de usuário e senha paraentrada. A configuração padrão é Nenhuma.

• Ignorar certificados inválidos: se o site que você estiver tentando pesquisartiver um URL https, selecione essa opção para ignorar certificados SSLinválidos.

• Método: se o site que você deseja pesquisar exigir um argumento ouconteúdo POST, selecione POST. A configuração padrão é GET.




McAfee ActiveResponse

Preencha estes campos:• Coletor: selecione o colector que deseja usar para efetuar pull de dados.

• Valor: selecione a coluna de dados recuperados que deseja incluir na listade observação.

• Or ou And: selecione se deseja que todos os filtros sejam aplicados aosdados (And) ou que somente um dos filtros seja aplicado (Or). Isso somentese aplica quando há dois ou mais filtros.

• Filtros: filtros que você deseja aplicar à pesquisa.

• Adicionar filtro: clique para adicionar outra linha de filtro. Pode haver, nomáximo, 5 filtros.

Análise Dados brutos Quando a opção HTTP/HTTPS for selecionada como o tipo de origem, exibaas primeiras 200 linhas do código-fonte no campo URL na guia Origem.Trata-se apenas de uma visualização do site, mas é suficiente para gravaruma expressão regular que seja correspondente. Uma atualização Executaragora ou agendada da lista de observação inclui todas as correspondênciasda pesquisa de expressão regular. Esse recurso aceita expressões regularescom sintaxe RE2, como (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}).

Linhas decabeçalho a serempuladas

Normalmente, um site da internet tem um código de cabeçalho que você nãoprecisa pesquisar. Especifique quantas linhas da parte superior do site vocêdeseja pular para que a pesquisa não inclua dados de cabeçalho.

Novo delimitadorde linha

Digite o que será usado no site para separar os valores. Esse campo tem opadrão \n, o qual indica que uma nova linha é o delimitador. O outrodelimitador mais comum é a vírgula.

Ignorar expressão Digite uma expressão regular que remova qualquer valor indesejado dosresultados da sua pesquisa de expressão regular.

Expressão regular (Obrigatório) Digite a lógica usada para encontrar uma correspondência eextrair os valores do site. Use essa opção para criar uma expressão quecorresponda a uma lista de endereços IP maliciosos ou somas de MD5listadas em um site.

Grupocorrespondente

Se a expressão regular contiver vários grupos correspondentes, selecione umgrupo na lista suspensa.

Valores Tipo Selecione um tipo que atribua os resultados da pesquisa a um tipo de campo.Esse tipo permite que a lista de observação seja usada em todo o sistema,por exemplo, para filtros ou alarmes. Você pode alterar essa configuração emuma lista de observação existente. Se ela tiver menos de 25.000 valores, oMcAfee ESM verificará se os tipos antigos e novos são compatíveis e retornaráum erro caso não sejam. Se ela tiver mais de 25.000 valores, você deveráconfirmar a compatibilidade.

Se for uma lista de observação dinâmica e você selecionar Cadeia comoorigem, o aplicativo não filtrará a pesquisa pelo tipo selecionado. Em vezdisso, a pesquisa retornará todas as cadeias correspondentes.




Valores No caso de uma lista de observação estática, importe um arquivo de valoresno formato separado-por-linha ou digite os valores, um valor por linha.

As listas de observação estáticas e dinâmicas têm um limite de 1.000.000valores.

No caso de uma lista de observação dinâmica, a tabela de valores serápreenchida com valores cada vez que uma pesquisa for executada.

Se houver mais de 25.000 valores na lista de observação, o campo Valoresindicará que há mais valores do que podem ser exibidos.

O Nome de usuário identifica quem pode acessar o banco de dados. Nocaso de LDAP, o nome de usuário deverá ser um nome de domíniototalmente qualificado sem espaços, como:

uid=bob,ou=Users,dc=example,dc=com

ou

[email protected]

Limpar valores Clique se você desejar excluir todos os itens da lista Valores.

Importar Clique para adicionar valores importados à lista Valores. Se houver mais de25.000 valores importados, uma mensagem indicará que nem todos osvalores importados podem ser exibidos.

Exportar Clique se você deseja exportar a lista de valores.

Executar agora Clique se você quiser executar a consulta agora. Os resultados preencherão acaixa Valores.

3 Clique em OK para adicionar a nova lista de observação à tabela de Listas de observação.

Criar listas de observação de regraUse listas de observação para agrupar regras que podem ser usadas como filtros ou condições de alarme quenotificam quando a regra ocorre em um evento. Essas listas de observação podem ser globais ou específicaspara usuários ou grupos do McAfee ESM.

Tarefa1 No painel Tipos de regras do Editor de políticas, selecione o tipo de regra e depois as regras que deseja ter

nessa lista de observação.

2 Clique em Operações e selecione a opção Criar nova lista de observação.

3 Digite um nome e certifique-se de que a opção Estática esteja selecionada.

4 Selecione o tipo de dado que será observado por essa lista de observação e escolha o responsável.

Um usuário com privilégios de administrador pode atribuir uma lista de observação a qualquer pessoa ougrupo no sistema. Se você não tiver privilégios de administrador, só poderá atribuir listas de observação avocê mesmo e a grupos dos quais é membro.



5 Para adicionar valores à lista de observação, siga um destes procedimentos:

• Para importar um arquivo de valores no formato separado-por-linha, clique em Importar e selecione oarquivo.

• Para adicionar valores individuais, digite um valor por linha na caixa Valores.

O número máximo de valores é 1.000.

6 Para receber um alarme quando um evento gerado contiver qualquer um dos valores na lista deobservação, clique em Criar alarme.

7 Clique em OK.

Adicionar regras a listas de observaçãoDepois de criar listas de observação, você pode adicionar os valores de regra usando a opção Anexar à lista deobservação .

Tarefa1 No painel Tipos de regras do Editor de políticas, selecione o tipo de regra.

2 Selecione as regras que você deseja anexar à lista de observação no painel de exibição de regras.

3 Clique no menu Operações e selecione Anexar à lista de observação.

4 Selecione a lista de observação à qual deseja anexar as regras e clique em OK.

Criar listas de observação de ameaça de IOCCrie listas de observação para efetuar pull de feeds de ameaça ou IOC (Indicator of Compromise) da Internet.Você pode visualizar os dados através da solicitação de HTTP e filtrar os dados usando expressões regulares.



3 Clique em Listas de observação e em Adicionar.

4 Preencha a guia Principal selecionando Dinâmica.

5 Clique na guia Origem e selecione HTTP/HTTPS no campo Tipo.

6 Preencha com as informações solicitadas nas guias Origem, Análise e Valores.

As primeiras 200 linhas do código-fonte html preenchem o campo Dados brutos na guia Análise. Trata-seapenas de uma visualização do site, mas é suficiente para gravar uma expressão regular que sejacorrespondente. Uma atualização Executar agora ou agendada da lista de observação inclui todas ascorrespondências da pesquisa de expressão regular. Esse recurso aceita expressões regulares de sintaxe RE2,como (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}), para que coincidam com um endereço IP.



Adicionar listas de observação Hadoop HBaseAdicione listas de observação usando Hadoop HBase como origem.




4 Na guia Principal, selecione Dinâmico e insira as informações solicitadas.

5 Na guia Origem, selecione Hadoop HBase (REST) no campo Tipos. Digite o nome de host, a porta e o nomeda tabela.

6 Na guia Consulta, preencha a coluna de pesquisa e as informações de consulta:

a Formate a Coluna de pesquisa como columnFamily:columnName

b Preencha a consulta com um filtro de mecanismo de varredura, no qual os valores são codificados porBase64. Por exemplo:

<Scanner batch="1024"><filter>{"type": "SingleColumnValueFilter","op": "EQUAL","family": " ZW1wbG95ZWVJbmZv","qualifier": "dXNlcm5hbWU=","latestVersion": true,"comparator": {"type": "BinaryComparator","value": "c2NhcGVnb2F0"}}</filter></Scanner>

7 Clique na guia Valores, selecione o tipo de valor e clique no botão Executar agora.

Criar listas de observação do McAfee Active ResponseConfigure listas de observação dinâmicas preenchidas com os resultados da pesquisa do McAfee ActiveResponse.





4 Preencha a guia Principal selecionando Dinâmica.



5 Na guia Origem, selecione McAfee Active Response no campo Tipo e insira as informações solicitadas.

6 Preencha as informações nas guias restantes e clique em Finalizar.

A lista de observação é adicionada e coleta os dados especificados nas pesquisas do McAfee Active Response.

O tipo McAfee Active Response não será listado se o McAfee ESM não efetuar pull dos coletores do McAfee ActiveResponse pelo DXL.

Como a lista negra global funcionaA lista negra bloqueia o tráfego que flui por um dispositivo de rede antes que o mecanismo de inspeçãoprofunda de pacote o analise. A lista negra global se aplica a todos os dispositivos de rede gerenciados peloMcAfee ESM.

Você pode configurar uma lista negra para dispositivos de rede individuais no McAfee ESM. Uma lista negraglobal apenas permite entradas permanentes na lista negra. Para configurar entradas temporárias, use a opçãoLista negra do dispositivo de rede.

Cada dispositivo de rede pode usar a lista negra global. O recurso fica desativado em todos os dispositivos atévocê ativá-lo.

O Editor de lista negra global permite que você:

• Origens bloqueadas — Corresponde ao endereço IP de origem do tráfego que passa pelo dispositivo.

• Destinos bloqueados — Corresponde ao endereço IP de destino do tráfego que passa pelo dispositivo.

• Exclusões: evita que a imunidade seja automaticamente adicionada a qualquer uma das listas negras. Vocêpode adicionar endereços IP críticos (por exemplo, DNS e outros servidores ou estações de trabalho dosadministradores de sistema) às exclusões para garantir que eles nunca sejam colocados automaticamentena lista negra, independentemente dos eventos que possam gerar.

Você pode configurar entradas em Origens bloqueadas e Destinos bloqueados para restringir o efeito da lista negraem uma porta de destino específica.

Ao adicionar entradas:

Resposta a ameaçasComo a lista negra global funciona 7


• Você pode configurar entradas de origem e destino bloqueadas para colocar todas as portas, ou uma portaespecífica, na lista negra.

• Configure entradas que usam uma faixa de endereços IP mascarada com a porta definida como qualquer(0), e a duração deve ser permanente.

• Depois de digitar um endereço IP ou um nome de host, o botão ao lado desse controle terá as opçõesResolver ou Pesquisar com base no valor inserido. Se a opção for Resolver, clique nela para resolver o nomede host inserido, preencher o campo Endereço IP com essas informações e mover o nome de host para ocampo Descrição. Caso contrário, clique em Pesquisar para realizar uma pesquisa de endereço IP e preenchero campo Descrição com os resultados dessa pesquisa.

Alguns sites usam mais de um endereço IP ou têm endereços IP que nem sempre são iguais. Não dependadessa ferramenta para garantir o bloqueio de sites.

Configurar uma lista negra globalConfigure uma lista negra global para bloquear o tráfego específico em todos os dispositivos da rede queoferecem suporte a listas negras.

Tarefa1 Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Lista negra global.

2 Selecione a guia Origens bloqueadas, Destinos bloqueados ou Exclusões e gerencie as entradas da lista negra.

• Para Exclusões, gerencie a lista de endereços IP que nunca devem ser colocados na lista negraautomaticamente, por exemplo, servidores DNS e outros, ou a estação de trabalho do administrador dosistema.

• O padrão é zero (0), que permite qualquer porta. Digite um número de porta caso queira restringir oefeito da lista negra a uma porta de destino específica.

3 Selecione os dispositivos da rede que dão suporte à lista negra global.

Adicionar entradas na lista negra para o McAfee Network SecurityManagerO McAfee Network Security Manager aplica listas negras pelos sensores.

Antes de iniciarVocê deve ser um superusuário para utilizar a função de lista negra.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades de NSM, clique em Lista negra e selecione um

sensor.

2 Para aplicar as entradas da lista negra global a esse sensor, selecione Incluir lista negra global.

Caso haja endereços IP duplicados, o endereço da lista negra global sobrescreverá o endereço do McAfeeNetwork Security Manager.

Depois que você selecionar essa opção, só poderá excluir itens manualmente.

3 Clique em Adicionar, preencha as informações solicitadas e clique em OK.

A entrada ficará visível na lista negra até que sua duração expire.

7 Resposta a ameaçasComo a lista negra global funciona


Gerenciar entradas de lista negra removida do McAfee NetworkSecurity ManagerAs entradas iniciadas no McAfee ESM que ainda não expiraram, mas não retornam entradas da lista negra quevocê consulta no McAfee Network Security Manager, são exibidas com o status Removido e um ícone desinalizador.

Essa condição ocorrerá se você remover a entrada, mas não iniciar a remoção no McAfee ESM. Essa entradapode ser adicionada ou excluída da lista negra.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades de NSM e clique em Lista negra.

2 Selecione a entrada removida na lista de entradas da lista negra e clique em Adicionar ou Excluir.

3 Clique em Aplicar ou OK.

Como os casos funcionamUse casos para rastrear o trabalho e investigar possíveis ameaças.

Em exibições do dashboard, crie casos com base nos eventos que você deseja investigar.

Você pode adicionar detalhes relacionados ao contexto e eventos para as notas de caso e rastrear o trabalhoinvestigativo. Quando resolvido, feche o caso e crie alarmes que se apliquem às informações não cobertasnesse caso.

Adicionar casosRastreie as ações executadas em resposta a eventos.

Antes de iniciarVocê precisa ter privilégios de administrador ou pertencer a um grupo de acesso com privilégios degerenciamento de casos.

Tarefa1 Crie um novo caso usando o Gerenciamento de casos ou um menu de contexto.

• No dashboard, clique em , clique em Gerenciamento de casos e, em seguida, clique no ícone Adicionarcaso .

•No dashboard, selecione um evento, clique no ícone do menu e clique em Ações | Criar um novo caso.

É exibido um resumo de casos abertos no lado esquerdo do dashboard.

2 Preencha as informações solicitadas e clique em OK.

Investigar casos abertosNo dashboard, você pode rastrear o trabalho relacionado a casos abertos.

Antes de iniciarVocê precisa ter direitos de administrador ou pertencer a um grupo de acesso com permissão degerenciamento de casos.

Resposta a ameaçasComo os casos funcionam 7


Tarefa1 Para visualizar casos abertos no dashboard, clique em e selecione Painel de investigação.


2 Use a seta suspensa para expandir o caso que você deseja investigar. Siga um destes procedimentos:

• Para alterar os detalhes do caso (gravidade, responsável, valores ou notas) no dashboard, clique emEditar. Faça suas alterações e clique em Salvar.

• Para visualizar os detalhes do caso, clique em Exibir no gerenciamento de casos.

3 Feche o Painel de investigação.

Casos de alteraçãoVocê pode alterar detalhes do caso ou encerrar casos. As alterações são registradas nas notas de caso. Casosencerrados não aparecem mais no painel Casos, mas são exibidos na lista Gerenciamento de casos com o statusalterado para Fechado.

Antes de iniciarVerifique se você tem um dos seguintes privilégios de casos:

• Administrador de gerenciamento de casos para alterar qualquer caso no sistema.

• Usuário de gerenciamento de casos para alterar apenas casos atribuídos a você.

Tarefa1 No dashboard, clique em e selecione Gerenciamento de casos.

2 Acesse Detalhes do caso de uma destas formas:

• Para selecionar um caso atribuído a você, selecione-o no painel Casos e clique no ícone Editar caso .

• Para selecionar um caso não atribuído a você, clique no ícone Abrir gerenciamento de casos e selecioneo caso relevante. Em seguida, clique no ícone Editar caso .

3 Você pode alterar os casos da seguinte maneira:

• Clique no ícone Atribuir eventos a um caso ou ao Remedy e selecione Adicionar eventos a um caso.

•Clique no ícone do Menu , destaque Ações e clique em Adicionar eventos a um caso.

• Para definir um status do caso um padrão, clique em Adicionar ou em Editar. Depois, clique em Padrão eescolha o status padrão.

• Selecione casos que você deseja que apareçam no painel Casos no dashboard.

4 Clique em OK para salvar as alterações.

Exibir casosGerencie todos os casos, estejam eles abertos ou encerrados no momento.

Antes de iniciarVocê precisa ter privilégios de administrador ou pertencer a um grupo de acesso com privilégio degerenciamento de casos.

7 Resposta a ameaçasComo os casos funcionam


Tarefa1 No dashboard, clique em e selecione Painel de investigação.


2 Use a seta suspensa para expandir o caso que deseja exibir e clique em Exibir no Gerenciamento de casos.

Será aberta a exibição Detalhes do caso, listando todos os casos do sistema.

3 Analise os dados.

Opção Definição

Resumo Resume o caso (até 255 caracteres).

ID do caso Exibe um número exclusivo gerado pelo sistema (não pode ser alterado) atribuído aocaso quando foi adicionado.

Responsável Lista os usuários ou grupos aos quais o caso foi atribuído. Lista todos os usuários egrupos de usuários que possuem direitos de gerenciamento de casos.

assumir Permite que você reatribua o caso para si mesmo.

Gravidade Lista as gravidades de caso:

1 a 20 = verde

21 a 40 = azul

41 a 60 = amarelo

61 a 80 = marrom

81 a 100 = vermelho

Organização (Opcional) Exibe a organização à qual foi atribuído o caso. Para adicionar umaorganização, clique em Organização e em Adicionar

Status Exibe o status atual do caso. Os status predefinidos incluem:Aberto (padrão) e Fechado.É possível adicionar status.

Criação Exibe a data em que o caso foi criado

Última atualização Exibe a data em que o caso foi alterado

Notas Rastreia as ações realizadas, o que inclui: tipo de ação ou alteração realizada, data e ahora e nome de usuário.Para as alterações, são registrados os valores antigos e os novos. Por exemplo:

---- Gravidade alterada em 22/04/2009 às 9h39antigo: baixonovo: alto

As seguintes ações são registradas automaticamente:• Caso aberto • A gravidade é alterada

• Caso fechado • A organização é alterada

• Alterações no resumo • Eventos são alterados

• O caso é reatribuído

Histórico Relaciona os usuários que acessaram o caso.



Opção Definição

Tabela Mensagem Lista os eventos associados ao caso. Para ver os detalhes de um evento, clique noevento na tabela e em Mostrar detalhes.

Caso de e-mail Permite que você envie o caso por e-mail a um endereço especificado.

Casos de e-mailConfigure o sistema para enviar uma mensagem de e-mail automaticamente para o responsável pelo casosempre que um caso for adicionado ou reatribuído. Você também pode enviar uma notificação de caso pore-mail manualmente e incluir notas de caso e detalhes do evento.

Antes de iniciar• Verifique se você tem privilégios de Administrador de gerenciamento de casos.

• Configure endereços de e-mail para os usuários no McAfee ESM.

Tarefa1 Envie um caso por e-mail automaticamente.

a No painel Casos, clique em .

b Clique em .

c Selecione Enviar e-mail quando um caso for atribuído e clique em Fechar.

2 Envie um caso por e-mail manualmente.

a No painel Casos, selecione o caso que deseja enviar por e-mail e clique em .

b Em Detalhes do caso, clique em Enviar o caso por e-mail e preencha os campos De e Para.

c Selecione se deseja incluir as notas e anexar um arquivo CSV dos detalhes do evento.

d Digite qualquer nota que desejar incluir na mensagem de e-mail e clique em Enviar.

Gerar relatórios de gerenciamento de casosO McAfee ESM oferece 6 relatórios de gerenciamento de casos padrão.



3 Clique em Relatórios | Adicionar.

4 Complete as seções 1, 2 e 3.

5 Na seção 4, selecione Consultar CSV.



6 Na seção 5, selecione o relatório de gerenciamento de casos para executar:

• Resumo de gerenciamento de casos — Inclui números de ID de caso, a gravidade atribuída aos casos, seustatus, usuários aos quais eles foram atribuídos, organizações nas quais foram atribuídos (se houver),data e hora em que os casos foram adicionados, data e hora em que os casos foram atualizados (setiverem sido fechados) e resumos dos casos.

• Detalhes de gerenciamento de casos: inclui todas as informações no relatório Resumo de gerenciamento decasos, assim como os números das IDs dos eventos ligados aos casos e as informações incluídas nasseções de notas dos casos.

• Tempo para resolução de caso: mostra o tempo gasto decorrido entre as alterações de status (por exemplo,o diferencial entre o carimbo de data/hora Aberto e o carimbo de data/hora Fechado). Por padrão, elelista os casos com o status Fechado de acordo com o número da ID do caso, bem como gravidade,organização, data de Criação, última atualização, resumo e diferença de horário.

• Casos por responsável — Inclui o número de casos atribuídos a um usuário ou grupo.

• Casos por organização — Inclui o número de casos por organização.

• Casos por status — Inclui o número de casos por tipo de status.

7 Complete a seção 6 e clique em Salvar.

Os relatórios selecionados aparecem na lista Relatórios.



8 Backup e restauração

Conteúdo Como fazer backup e restaurar trabalhos Manter arquivos Backup e restauração no modo FIPS Fazer backup de configurações do sistema Fazer backup das configurações do ELM Restaurar configurações Restaurar arquivos de configuração do dispositivo Recuperação de dados do ELM

Como fazer backup e restaurar trabalhosVocê pode fazer backup de definições de configuração do McAfee ESM de maneira automática ou manual. Seocorrer falha de sistema ou perda de dados, você poderá restaurar a configuração do McAfee ESM.

Um backup padrão salva todas as configurações, inclusive as de política e de arquivos SNMP, de rede e SSH.Quando você adiciona dispositivos, o sistema automaticamente permite que o backup e a restauração ocorrama cada 7 dias.

Um backup incremental armazena arquivos de configuração compactados do McAfee ESM em um local dearmazenamento local ou remoto. Você pode configurar um backup incremental de eventos, fluxos e logs paraas últimas 24 horas (desde a último carimbo de data/hora de backup).

Para restaurar o sistema, selecione os arquivos de backup no McAfee ESM, em um computador local ou em umlocal remoto para reverter as configurações para um estado anterior. As alterações realizadas nasconfigurações após o backup são perdidas.

Por exemplo, se você executar um backup diário e desejar restaurar as configurações dos últimos três dias,selecione os três últimos arquivos de backup. O sistema adiciona eventos, fluxos e logs dos três últimosarquivos de backup aos eventos, fluxos e logs que estão atualmente no McAfee ESM. O sistema, em seguida,substitui todas as configurações pelas configurações do backup mais recentes.

8


Manter arquivosGaranta que seus backups, atualizações de software e logs de alarme e relatório estejam atualizados mantendoseus arquivos correspondentes.


2 Clique em Manutenção de arquivo.

3 Selecione um tipo de arquivo e destaque o arquivo correspondente.

Para confirmar se você selecionou o arquivo correto, clique em Detalhes para analisar as informações sobre oarquivo.

4 Opte por fazer download, upload, remover ou atualizar o arquivo.


Backup e restauração no modo FIPSFaça backup e restauração das informações de comunicação para dispositivos do McAfee ESM no modo FIPS.

Basicamente, você poderá usá-lo se uma falha exigir substituição do McAfee ESM. Se as informações decomunicação não forem exportadas antes da falha, a comunicação com o dispositivo não poderá serrestabelecida. Esse método exporta e importa o arquivo .prk.

A chave privada do McAfee ESM primário é usada pelo McAfee ESM secundário para estabelecer comunicaçãocom o dispositivo inicialmente. Quando a comunicação é estabelecida, o McAfee ESM secundário copia suachave pública para a tabela de chaves autorizadas do dispositivo. Em seguida, o McAfee ESM secundário apagaa chave privada do McAfee ESM primário e inicia a comunicação com seu próprio par de chaves públicas ouprivadas.

Tarefa1

1 Exportar o arquivo .prk do McAfee ESM primário

a Na árvore de navegação do sistema do McAfee ESM primário, selecione o dispositivo com asinformações de comunicação que você deseja fazer backup e clique no ícone Propriedades.

b Selecione Gerenciamento de chaves e clique em Exportar chave.

c Selecione Backup da chave privada SSH e clique em Avançar.

d Digite e confirme uma senha e defina a data de expiração.

Após a data de expiração, a pessoa que importa a chave não conseguirá comunicar-se com o dispositivoaté que outra chave seja exportada com uma data de expiração futura. Se você selecionar Nunca expira, achave nunca expirará se for importada para outro McAfee ESM.

e Clique em OK e selecione o local onde deverá ser salvo o arquivo .prk criado pelo McAfee ESM.

f Saia do McAfee ESM primário.

8 Backup e restauraçãoManter arquivos


2 Adicione um dispositivo ao McAfee ESM secundário e importe o arquivo .prk.

a Na árvore de navegação do sistema do dispositivo secundário, selecione o nó de nível do sistema ou ogrupo ao qual deseja adicionar o dispositivo.

b Na barra de ferramentas de ações, clique em Adicionar dispositivo.

c Selecione o tipo de dispositivo que deseja adicionar e clique em Avançar.

d Insira um nome para o dispositivo que seja exclusivo no grupo e clique em Avançar.

e Insira o endereço IP de destino do dispositivo, insira a porta de comunicação da FIPS e clique emAvançar.

f Clique em Importar chave, navegue até o arquivo .prk exportado anteriormente e clique em Fazer upload.

g Digite a senha especificada quando essa senha foi exportada inicialmente.

h Saia do McAfee ESM secundário.

Fazer backup de configurações do sistemaEspecifique quando e como você deseja que o sistema faça backup das configurações do McAfee ESM. Vocêpode configurar backups automáticos definindo a frequência e o horário do backup, o conteúdo do backup eonde armazenar os arquivos de backup. Ou você pode fazer backup das configurações manualmente.

Antes de iniciarOs backups são compatíveis apenas com a versão atual do dispositivo. Não é possível instalar umbackup de uma versão anterior em um dispositivo do McAfee ESM atualizado.

Por padrão, o McAfee ESM automaticamente faz backup de suas configurações do McAfee ESM a cada 7 dias. Olocal padrão de backup reside no dispositivo do McAfee ESM.


2 Clique em Gerenciamento do ESM e, em seguida, clique na guia Manutenção.

3 Clique em Backup.

4 Defina as configurações para o backup e clique em OK.

Para conservar o espaço de armazenamento e garantir a capacidade de restaurar configurações e dadosconfiáveis, programe os dados e registre em log os backups para uma plataforma de armazenamento dehost secundária.

Opção Definição

Frequência debackup

Quando você adiciona dispositivos do McAfee ESM, o sistema permite que a funçãoBackup e restauração realize um backup a cada 7 dias.É possível alterar a frequência ou desativar o backup.

Backup de dadospara

Selecione o que você deseja incluir no backup.

Backup e restauraçãoFazer backup de configurações do sistema 8


Opção Definição

Local de backup Selecione onde você deseja que o backup seja salvo:• ESM: salvo no McAfee ESM.

• Local remoto: ele é salvo no local definido nos campos que ficam ativos. Se vocêsalvar uma cópia do McAfee ESM e de todos os dados do sistema manualmente,deverá selecionar essa opção.

Quando você fizer backup em um CIFS (Common Internet File System), use umabarra (/) no Caminho remoto.

Fazer backup agora Faça backup manual das configurações e dos eventos, fluxos e logs (se selecionados)do McAfee ESM. Clique em Fechar quando o sistema concluir o backup com êxito.

Fazer backup das configurações do ELMFaça backup das configurações atuais do ELM (Enterprise Log Manager) para poder restaurá-las caso ocorrafalha do sistema ou perda de dados. Todas as configurações, incluindo o banco de dados de logs do ELM, sãosalvas. Não é realizado backup dos logs reais armazenados no ELM.

Antes de iniciarEspelhe os dispositivos que armazenam os dados do log no ELM e espelhe o banco de dados degerenciamento do ELM. O recurso de espelhamento fornece backup dos dados do log em temporeal.


2 Na árvore de navegação do sistema, selecione o ELM e clique no ícone Propriedades .

3 Selecione Informações do ELM e clique em Backup e restauração.

4 Indique a frequência de backup e a localização. Em seguida, teste a conexão.

Restaurar configuraçõesQuando o McAfee ESM falhar, restaure as configurações para um estado anterior.

Antes de iniciarFaça backup de configurações do McAfee ESM regularmente.


2 Clique em Gerenciamento do ESM | Manutenção | Restaurar backup.

3 Selecione o tipo de restauração que você precisa executar.

4 Selecione o arquivo que deseja restaurar ou insira as informações do local remoto e clique em OK.

8 Backup e restauraçãoFazer backup das configurações do ELM


A restauração de um backup pode levar muito tempo, com base no tamanho do arquivo de restauração. OMcAfee ESM ficará offline até que toda a restauração seja concluída. Durante esse tempo, o McAfee ESMtentará se reconectar a cada 5 minutos.

Restaurar arquivos de configuração do dispositivoRestaure arquivos de configuração de SSH, rede, SNMP e outros cujo backup tenha sido feito no McAfee ESMpara cada dispositivo.

Antes de iniciarFaça backup de arquivos de configuração de dispositivo no McAfee ESM.

Tarefa1 Na árvore de navegação do sistema, clique no dispositivo e no ícone Propriedades .

2 Clique na opção Configuração do dispositivo, em Restaurar configuração e em Sim.

Recuperação de dados do ELMPara recuperar dados do Enterprise Log Manager (ELM), é preciso criar trabalhos de verificação de integridadee de pesquisa.

Execute um trabalho de verificação de integridade para determinar se os arquivos definidos foram alteradosdesde que foram originalmente. armazenados. Isso pode servir de alerta de alterações não autorizadas dearquivos críticos de conteúdo ou do sistema. Os resultados dessa verificação mostram quais arquivos foramalterados. Se nenhum arquivo foi alterado, o sistema notifica que a verificação foi bem-sucedida.

É possível concluir até 50 pesquisas e trabalhos de verificação de integridade ao mesmo tempo. Quando hámais de 50 trabalhos no sistema, ele indica que sua pesquisa não pode ser executada. Você pode excluir aspesquisas existentes no sistema para que ele possa realizar novas pesquisas. Trabalhe com o administrador dosistema para excluir as pesquisas existentes ou trabalhos de verificação de integridade para executar suapesquisa.

A execução de pesquisas complexas por longos períodos pode fazer com que o processo de pesquisa pare defuncionar. Considere a possibilidade de dividir essas pesquisas em períodos menores.

Depois que você inicia uma pesquisa, ele continua e, execução até que ser concluída ou até atingir um limitedefinido.

Backup e restauraçãoRestaurar arquivos de configuração do dispositivo 8


8 Backup e restauraçãoRecuperação de dados do ELM


9 Ajuste da configuração

Conteúdo Como funciona o McAfee Application Data Monitor Como funciona o McAfee® Database Event Monitor Como o McAfee ePolicy Orchestrator funciona como um dispositivo Receptores de eventos Dispositivos de log Como dispositivos virtuais funcionam Como funcionam as configurações de mensagem Gerenciamento de interfaces de rede Origens de dados Como a avaliação de vulnerabilidade funciona Como funcionam o SNMP e o MIB Configurações gerais de dispositivo

Como funciona o McAfee Application Data MonitorO McAfee Application Data Monitor rastreia o uso de dados confidenciais na rede, analisando protocolossubjacentes, a integridade das sessões e o conteúdo dos aplicativos.

Quando o McAfee Application Data Monitor detecta uma violação, ele preserva todos os detalhes da sessão doaplicativo para usar na resposta a incidentes e perícias ou para exigências de auditoria de conformidade. Aomesmo tempo, o McAfee Application Data Monitor fornece visibilidade das ameaças que se passam poraplicativos legítimos.

O McAfee Application Data Monitor pode detectar quando informações confidenciais são transmitidas emanexos de e-mail, mensagens instantâneas, transferências de arquivos, publicações em HTTP ou outrasaplicações. Personalize os recursos de detecção do McAfee Application Data Monitor definindo seus própriosdicionários de informações confidenciais e pessoais. Assim, o McAfee Application Data Monitor pode detectaresses tipos de dados confidenciais, alertar a equipe apropriada e registrar a transgressão em log para manteruma trilha de auditoria.

O McAfee Application Data Monitor monitora, decodifica e detecta anomalias nos seguintes protocolos deaplicativo:

• Transferência de arquivo: FTP, HTTP, SSL (configuração e certificados somente)

• E-mail: SMTP, POP3, NNTP, MAPI

• Bate-papo: MSN, AIM/Oscar, Yahoo, Jabber, IRC

• Webmail: Hotmail, Hotmail DeltaSync, Yahoo mail, AOL Mail, Gmail

9


• P2P: Gnutella, bitTorrent

• Shell: SSH (detecção somente), Telnet

O McAfee Application Data Monitor aceita expressões de regras e as testa em relação ao tráfego monitorado,inserindo registros na tabela de eventos do banco de dados para cada regra disparada. Ele armazena o pacoteque disparou a regra no campo de pacote da tabela de eventos. Além disso, adiciona metadados no nível deaplicativo às tabelas dbsession e de consulta do banco de dados para cada regra disparada. Ele armazena umarepresentação em texto da pilha do protocolo no campo de pacote da tabela de consultas.

O McAfee Application Data Monitor pode gerar os seguintes tipos de evento:

• Metadados - o McAfee Application Data Monitor gera um evento de metadados para cada transação narede e inclui detalhes, como endereços, protocolo, tipo de arquivo, nome de arquivo. O McAfee ApplicationData Monitor insere os eventos de metadados na tabela de consulta e agrupa os eventos pela tabela desessão. Por exemplo, quando uma sessão do FTP transfere três arquivos, o McAfee Application DataMonitor os agrupa.

• Anomalia de protocolo - As anomalias de protocolo são codificadas nos módulos de protocolo e incluemeventos, como um pacote TCP (Protocolo de controle de transmissão) que é curto demais para conter umcabeçalho válido e um servidor SMTP (Simple Mail Transfer Protocol) retorna um código de respostainválido. Os eventos de anomalia de protocolo são raros; o McAfee Application Data Monitor os coloca natabela de eventos.

• Disparo de regra – As expressões de regra geram eventos de disparo de regra, detectando anomalias nosmetadados gerados pelo mecanismo ICE (Internet Communications Engine). Esses eventos podem incluiranomalias, como protocolos usados fora do horário normal ou uma comunicação inesperada entre umservidor SMTP e o FTP. Os eventos de disparo de regra são raros; o McAfee Application Data Monitor oscoloca na tabela de eventos.

A tabela de eventos contém um registro de cada anomalia de protocolo detectada ou evento de gatilho deregra. Os registros de evento são vinculados às tabelas de sessão e de consulta por meio da ID de sessão, emque estão disponíveis mais detalhes sobre as transferências na rede (eventos de metadados) que dispararam oevento. Além disso, cada evento é vinculado à tabela de pacotes em que estão disponíveis os dados brutos dopacote que disparou o evento.

A tabela de sessões contém um registro para cada grupo de transferências na rede relacionadas (por exemplo,um grupo de transferências de arquivos do FTP na mesma sessão). Os registros de sessão são vinculados àtabela de consultas por meio da ID de sessão em que estão disponíveis mais detalhes sobre cada uma dastransferências na rede (eventos de metadados). Além disso, se uma transferência na sessão causar umaanomalia de protocolo ou disparar uma regra, haverá um vínculo para a tabela de eventos.

A tabela de consultas contém um registro de cada evento de metadados (transferências de conteúdo queocorrem na rede). Os registros de consulta são vinculados à tabela de sessões com a ID de sessão. Se atransferência na rede representada pelo registro dispara uma anomalia de protocolo ou regra, há um vínculocom a tabela de eventos. Também há um vínculo com a tabela de pacotes que usa o campo de texto no qualuma representação textual do protocolo ou da pilha de conteúdo completos são encontrados.

Definir o fuso horário do McAfee Application Data MonitorO sistema usa o fuso horário que você definiu para o McAfee Application Data Monitor para avaliar regras.

O fuso horário padrão é definido como GMT, mas o código do McAfee Application Data Monitor espera que odispositivo seja configurado conforme seu fuso horário. Defina o seu fuso horário para que as regras usem oseu disparo de hora, não o fuso horário GMT.

9 Ajuste da configuraçãoComo funciona o McAfee Application Data Monitor


Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do ADM e clique em Configuração do ADM.

2 Clique em Fuso horário e selecione seu fuso horário.

3 Clique em OK.

Exibir senha na Visualização de sessãoO Visualizador de sessão permite que você veja os detalhes das últimas 25.000 consultas do McAfeeApplication Data Monitor em uma sessão. Algumas regras de eventos podem ser relacionadas a senhas. Vocêpode selecionar se as senhas serão exibidas no Visualizador de sessão.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do ADM e clique em Configuração do ADM.

Por padrão, as senhas não são exibidas.

2 Clique em Senhas, selecione Ativar log de senhas e clique em OK.

Gerenciar regras de seleção do McAfee Application Data MonitorO sistema usa as regras de seleção como filtros para determinar quais pacotes um dispositivo virtual processa. Épossível adicionar, editar e excluir regras de seleção.

Coloque regras que correspondam à maioria dos pacotes pela primeira vez na ordem. Isso reduz o númeromédio de vezes em que um pacote é analisado, reduzindo, portanto, a utilização de CPU.



3 Clique em Dispositivos virtuais e em Adicionar.

4 Adicione, edite, remova ou altere a ordem das regras de seleção na tabela.

Pode haver até quatro filtros de interface do McAfee Application Data Monitor. Cada filtro só pode seraplicado a um dispositivo virtual do McAfee Application Data Monitor por vez.

Sintaxe de regras do McAfee® Application Data MonitorAs regras do McAfee Application Data Monitor fornecem um conjunto de literais (números, cadeias, expressõesregulares, endereços IP, endereços MAC e boolianos) semelhante a expressões C.

Os termos de cadeia podem ser comparados com literais de cadeia e Regex para testar seu conteúdo, mas elestambém podem ser comparados com números para testar seu comprimento. Somente é possível comparartermos numéricos, de endereço IP e endereço MAC com o mesmo tipo de valor literal. A única exceção é quetudo pode ser tratado como booliano para testar sua existência. Alguns termos podem ter vários valores, porexemplo, a regra a seguir seria disparada para arquivos PDF dentro de arquivos .zip: tipo = = aplicativo/zip &&tipo = = aplicativo/pdf.

Ajuste da configuraçãoComo funciona o McAfee Application Data Monitor 9


Tabela 9-1 Operadores

Operador Descrição Exemplo

&& Elemento lógico AND protocol = = http && type = = image/gif

|| Elemento lógico OR time.hour < 8 || time.hour > 18

^ ^ Elemento lógico XOR email.from = = "[email protected]" ^^email.to = = "[email protected]"

! NOT unário ! (protocol = = http | | protocol = = ftp)

= = É igual a type = = application/pdf

! = Não é igual a srcip ! = 192.168.0.0/16

> Maior que objectsize > 100M

> = Maior ou igual a time.weekday > = 1

< Menor que objectsize < 10 K

< = Menor ou igual a time.hour < = 6

Tabela 9-2 Literais

Literal Exemplo

Número 1234, 0x1234, 0777, 16K, 10M, 2G

Cadeia "uma cadeia"

Regex /[A-Z] [a-z]+/

IPv4 1.2.3.4, 192.168.0.0/16, 192.168.1.0/255.255.255.0

MAC aa:bb:cc:dd:ee:ff

Bool verdadeiro, falso

Tabela 9-3 Compatibilidade do tipo de operador

Tipo Operadores Notas

Número = =, ! =, >, > =, <, < =

Cadeia = =, ! = Comparar conteúdo de cadeia com Cadeia/Regex

Cadeia >, > =, <, <= Comparar tamanho da cadeia

IPv4 = =, ! =

MAC = =, ! =

Bool = =, ! = A comparação com verdadeiro/falso também é compatível com a comparaçãoimplícita com verdadeiro, por exemplo, a comparação a seguir testa se o termoemail.bcc ocorre: email.bcc

Tabela 9-4 Gramática de regex

Operadores básicos

| Alternação (ou)

* Zero ou mais

+ Um ou mais

? Zero ou um



Tabela 9-4 Gramática de regex (continuação)

Operadores básicos

( ) Agrupamento (a | b)

{ } Intervalo de repetição {x} ou {,x} ou {x,} ou {x,y}

[ ] Intervalo [0-9a-z] [abc]

[^ ] Intervalo exclusivo [^abc] [^0-9]

. Qualquer caractere

\ Caractere de escape

Caracteres de escape

\d Dígito [0-9]

\D Não dígito [^0-9]

\e Caracteres de escape (0x1B)

\f Avanço de página (0x0C)

\n Avanço de linha (0x0A)

\r Retorno de carro (0x0D)

\s Espaço em branco

\S Não é espaço em branco

\t Tabulação (0x09)

\v Tabulação vertical (0x0B)

\w Palavra [A-Za-z0-9_]

\W Não é palavra

\x00 Representação hexadecimal

\0000 Representação octal

^ Início de linha

S Fim de linha

As âncoras de início e fim de linha (^ e $) não funcionam para objcontent.

Classes de caractere POSIX

[:alunum:] Dígitos e letras

[:alpha:] Somente letras

[:ascii:] Caracteres ASCII

[:blank:] Espaço e tabulação

[:cntrl:] Caracteres de controle




[:digit:] Dígitos

[:graph:] Caracteres visíveis

[:lower:] Letras minúsculas

[:print:] Caracteres e espaços visíveis

[:punct:] Pontuação e símbolos

[:space:] Todos os caracteres com espaço em branco

[:upper:] Caracteres em maiúsculas

[:word:] Caracteres de palavra

[:xdigit:] Dígito hexadecimal

Tipos de termo de regra do McAfee® Application Data MonitorAs regras do McAfee Application Data Monitor contêm termos que podem ser endereços IP, endereços MAC,números, cadeias ou um booliano.

Além disso, há dois tipos extras de literal: expressões regulares e listas. Um termo de tipo específico somentepode ser comparado com um literal do mesmo tipo ou uma lista de literais do mesmo tipo (ou uma lista delistas de...).

Exceções a essa regra são:

• Um termo de cadeia pode ser comparado com um literal numérico para testar o tamanho. A seguinte regraserá disparada se uma senha contiver menos de oito caracteres (a senha é um termo de cadeia): Senha < 8

• Um termo de cadeia pode ser comparado com uma expressão regular. A seguinte regra será disparada seuma senha contiver somente letras minúsculas: senha == /^[a-z]+$/

• Todos os termos podem ser testados com literais boolianos para verificar se eles ocorrem. A seguinte regraserá disparada se um e-mail contiver um endereço CC (email.cc é um termo de cadeia): e-mail.cc ==verdadeiro

Tipo Descrição de formato

Endereços IP • Os literais de endereço IP são gravados em notação quádrupla pontilhada padrão e nãoficam entre aspas: 192.168.1.1

• Os endereços IP podem ter uma máscara gravada em notação CIDR padrão. Não deve havernenhum espaço em branco entre o endereço e a máscara: 192.168.1.0/24

• Os endereços IP podem também ter máscaras gravadas na forma longa:192.168.1.0/255.255.255.0

EndereçosMAC

• Os literais de endereço MAC são gravados usando notação padrão, como os endereços IP,eles não ficam entre aspas: aa:bb:cc:dd:ee:ff

Números • Todos os números nas regras do McAfee Application Data Monitor são números inteiros de32 bits. Eles podem ser gravados em decimal: 1234

• Eles podem ser gravados em hexadecimal: 0xabcd

• Eles podem ser gravados em octal: 0777

• Eles podem ter um multiplicador anexado para multiplicar por 1024 (K), 1048576 (M) ou1073741824 (G): 10 M




Cadeias • As cadeias ficam entre aspas duplas: "esta é uma cadeia"

• As cadeias podem usar sequências de caracteres de escape C padrão: "\tEsta é uma \"cadeia\" que contém\x20sequências de caracteres de escape\n"

• Na comparação de um termo com uma cadeia, o termo inteiro deve corresponder à cadeia.Se uma mensagem de e-mail tiver um endereço de origem de algué[email protected], aseguinte regra não será disparada: e-mail.de == “@algumlugar.com”

• Para corresponder somente uma parte do termo, em vez disso, use um literal de expressãoregular. Os literais de cadeia devem ser usados quando possível, porque são mais eficazes.

Todos os termos de URL e endereço de e-mail são normalizados antes da correspondência, porisso, não é necessário considerar itens com comentários nos endereços de e-mail.

Boolianos • Os literais boolianos são verdadeiros e falsos.




Expressõesregulares

• Os literais de expressão regular usam a mesma notação como linguagens, como Javascript ePerl, colocando a expressão regular entre barras: /[a-z]+/

• Siga as expressões regulares com sinalizadores modificadores padrão, embora "i" seja oúnico reconhecido no momento (não diferencia maiúsculas de minúsculas): /[a-z]+/i

• Use a sintaxe POSIX Extended para literais de expressão regular. Atualmente, as extensõesPerl funcionam para todos os termos, exceto para o termo de conteúdo, mas isso poderámudar em versões futuras.

• Na comparação de um termo com uma expressão regular, a expressão regular corresponde aqualquer subcadeia dentro do termo, a menos que operadores âncora sejam aplicados naexpressão regular. A seguinte regra é disparada quando um e-mail é visto com um endereço“algué[email protected]”: e-mail.de == /@algumlugar.com/

Listas • Os literais de lista consistem em um ou mais literais entre colchetes e separados por vírgula:[1, 2, 3, 4, 5]

• As listas podem conter qualquer tipo de literal, inclusive outras listas: [192.168.1.1,[10.0.0.0/8, 172.16.128.0/24]]

• As listas devem conter somente um tipo de literal. Não é válido misturar cadeias e números,cadeias e expressões regulares, endereços IP e endereços MAC.

• Quando uma lista é usada com qualquer operador relacional que não seja diferente de (!=), aexpressão será verdadeira se o termo corresponder a algum literal da lista. A seguinte regraserá disparada se o endereço IP de origem corresponder a algum endereço IP da lista: Srcip== [192.168.1.1, 192.168.1.2, 192.168.1.3]

• Isso equivale a: Srcip == 192.168.1.1 || srcip == 192.168.1.2 || srcip == 192.168.1.3

• Quando usada com o operador diferente de (!=), a expressão será verdadeira se o termo nãocorresponder a todos os literais da lista. A seguinte regra será disparada se o endereço IP deorigem não for 192.168.1.1 ou 192.168.1.2: Srcip != [192.168.1.1, 192.168.1.2]

• Isso equivale a: Srcip != 192.168.1.1 && srcip != 192.168.1.2

• As listas também podem ser usadas com outros operadores relacionais, embora isso nãofaça muito sentido. A seguinte regra será disparada se o tamanho do objeto for superior a100 ou se for superior a 200: objectsize > [100, 200]

• Isso equivale a: objectsize > 100 || objectsize > 200

Referências de métrica de regra do McAfee® Application Data MonitorUse as seguintes referências de métrica ao adicionar regras do McAfee Application Data Monitor.

Para propriedades comuns e anomalias comuns, o valor do tipo parâmetro que você pode inserir para cada umé exibido entre parênteses após a referência da métrica.

Propriedades comuns

Propriedade ou termo Descrição

Protocolo (número) O protocolo do aplicativo (HTTP, FTP, SMTP)

Conteúdo do objeto (cadeias) O conteúdo de um objeto (texto dentro de um documento, mensagemde e-mail, mensagem de bate-papo). A correspondência de conteúdonão está disponível para dados binários. Mas os objetos bináriospodem ser detectados usando o Tipo de objeto (objtype)

Tipo de objeto (número) Especifica o tipo de conteúdo conforme determinado pelo McAfeeApplication Data Monitor (Documentos do Office, Mensagens, Vídeos,Áudio, Imagens, Arquivos, Executáveis)

Tamanho do objeto (número) Tamanho do objeto. Os multiplicadores numéricos K, M e G podem seradicionados após o número (10 K, 10 M, 10 G)




Objeto do Hash (cadeia) O hash do conteúdo (atualmente MD5)

Endereço IP de origem do objeto(número)

O endereço IP de origem do conteúdo. O endereço IP pode serespecificado como 192.168.1.1, 192.168.1.0/24,192.168.1.0/255.255.255.0

Endereço IP de destino do objeto(número)

O endereço IP de destino do conteúdo. O endereço IP pode serespecificado como 192.168.1.1, 192.168.1.0/24,192.168.1.0/255.255.255.0

Porta de origem do objeto (número) A porta TCP/UDP de origem do conteúdo

Porta de destino do objeto (número) A porta TCP/UDP de destino do conteúdo

Endereço v6 do endereço IP deorigem do objeto (número)

O endereço IPv6 de origem do conteúdo

Endereço IPv6 de destino do objeto(número)

O endereço IPv6 de destino do conteúdo

Endereço MAC de origem do objeto(nome Mac)

O endereço MAC de origem do conteúdo (aa:bb:cc:dd:ee:ff)

Endereço MAC de destino do objeto(nome Mac)

O endereço MAC de destino do conteúdo (aa:bb:cc:dd:ee:ff)

Endereço IP de origem do fluxo(IPv4)

Endereço IP de origem do fluxo. O endereço IP pode ser especificadocomo 192.168.1.1, 192.168.1.0/24, 192.168.1.0/255.255.255.0

Endereço IP de destino do fluxo(IPv4)

Endereço IP de destino do fluxo. O endereço IP pode ser especificadocomo 192.168.1.1, 192.168.1.0/24, 192.168.1.0/255.255.255.0

Porta de origem do fluxo (número) Porta TCP/UDP de origem do fluxo

Porta de destino do fluxo (número) Porta TCP/UDP de destino do fluxo

Endereço IPv6 de origem do fluxo(número)

Endereço IPv6 de origem do fluxo

Endereço IPv6 de destino do fluxo(número)

Endereço IPv6 de destino do fluxo

Endereço MAC de origem do fluxo(nome Mac)

Endereço MAC de origem do fluxo

Endereço MAC de destino do fluxo(nome Mac)

Endereço MAC de destino do fluxo

VLAN (número) ID da LAN virtual

Dia da semana (número) O dia da semana. Os valores válidos são de 1 a 7; em que 1 ésegunda-feira.

Hora do dia (número) A hora do dia definida como GMT. Os valores válidos são de 0 a 23.

Tipo de conteúdo declarado (cadeia) Tipo de conteúdo conforme especificado pelo servidor. Na teoria, Tipode objeto (objtype) é sempre o tipo real e o Tipo de conteúdo declarado(content-type) não é confiável, porque ele pode ser falsificado peloservidor/aplicativo.

Senha (cadeia) Senha usada pelo aplicativo na autenticação.

URL (cadeia) URL do site. Aplica-se somente ao protocolo HTTP.

Nome do arquivo (cadeia) Nome do arquivo que está sendo transferido.

Nome de exibição (cadeia)

Nome do host (cadeia) Nome do host especificado na pesquisa de DNS.



Anomalias comuns

• Usuário desconectado (booliano)

• Erro de autorização (booliano)

• Êxito na autorização (booliano)

• Falha na autorização (booliano)

Propriedades específicas de protocoloAlém de fornecer propriedades que são comuns na maioria dos protocolos, o McAfee Application Data Monitorfornece propriedades específicas de protocolo que podem ser usadas com regras do McAfee Application DataMonitor.

Exemplos de propriedades específicas de protocolo

Essas propriedades se aplicam a estas tabelas:

* Somente detecção ** Sem descriptografia, captura certificados X.509 e dados criptografados *** Via módulo RFC822

Tabela 9-5 Módulos de protocolo de transferência de arquivo

FTP HTTP SMB* SSL**

Nome de exibiçãoNome do arquivo

Nome do host

URL

Nome de exibição

Nome do arquivo

Nome do host

Referenciador

URL

Todos os cabeçalhos HTTP

Nome de exibição

Nome do arquivo

Nome do host

Nome de exibição

Nome do arquivo

Nome do host

Tabela 9-6 Módulos de protocolo de e-mail

DeltaSync MAPI NNTP POP3 SMTP

Cópia oculta***

Com cópia***

Nome de exibição

De***

Nome do host

Assunto***

Para***

Cco

Com cópia

Nome de exibição

De

Nome do host

Assunto

Para

Nome de usuário

Cópia oculta***

Com cópia***

Nome de exibição

De***

Nome do host

Assunto***

Para***

Cópia oculta***

Com cópia***

Nome de exibição

De***

Nome do host

Assunto***

Para***

Nome de usuário

Cópia oculta***

Com cópia***

Nome de exibição

De***

Nome do host

Para***

Assunto***



Tabela 9-7 Módulos de protocolo de Webmail

AOL Gmail Hotmail Yahoo

Nome do anexo

Cópia oculta***

Com cópia***

Nome de exibição

Nome do arquivo

Nome do host

De***

Assunto***

Para***

Nome do anexo

Cópia oculta***

Com cópia***

Nome de exibição

Nome do arquivo

Nome do host

De***

Assunto***

Para***

Nome do anexo

Cópia oculta***

Com cópia***

Nome de exibição

Nome do arquivo

Nome do host

De***

Assunto***

Para***

Nome do anexo

Cópia oculta***

Com cópia***

Nome de exibição

Nome do arquivo

Nome do host

De***

Assunto***

Para***

Anomalias de protocoloAlém de propriedades comuns e propriedades específicas de protocolo, o McAfee

®

Application Data Monitordetecta centenas de anomalias em protocolos de transporte, de aplicativos e de nível inferior. Todas aspropriedades de anomalia de protocolo são de tipo Booliano e estão disponíveis na página Componente daexpressão quando você está adicionando uma regra do McAfee

®

Application Data Monitor.

Tabela 9-8 Endereço IP

Período Descrição

ip.too-small O pacote do endereço IP é pequeno demais para conter um cabeçalho válido.

ip.bad-offset O deslocamento de dados do endereço IP ultrapassa o final do pacote.

ip.fragmented O pacote do endereço IP é fragmentado.

ip.bad-checksum A soma de verificação do pacote do endereço IP não corresponde aos dados.

ip.bad-length O campo de totlen do pacote do endereço IP ultrapassa o final do pacote.

Tabela 9-9 TCP


tcp.too-small O pacote TCP é pequeno demais para conter um cabeçalho válido.

tcp.bad-offset O deslocamento de dados do pacote TCP ultrapassa o final do pacote.

tcp.unexpected-fin Sinalizador FIN de TCP definido em estado não estabelecido.

tcp.unexpected-syn Sinalizador SYN de TCP definido em estado estabelecido.

tcp.duplicate-ack Dados de ACKs do pacote TCP que já foram confirmados.

tcp.segment-outsidewindow O pacote TCP está fora da janela (janela menor do módulo TCP, não ajanela real).

tcp.urgent-nonzero-withouturg- flag O campo de urgência TCP é diferente de zero, mas o sinalizador URGnão foi definido.



Tabela 9-10 DNS


dns.too-small O pacote DNS é pequeno demais para conter um cabeçalho válido.

dns.question-name-past-end O nome da pergunta DNS ultrapassa o final do pacote.

dns.answer-name-past-end O nome da resposta DNS ultrapassa o final do pacote.

dns.ipv4-address-length-wrong Endereço IPv4 da resposta DNS não tem 4 bytes de comprimento.

dns.answer-circular-reference A resposta DNS contém referência circular.

Como funcionam os dicionários do McAfee Application Data MonitorAo gravar regras para o McAfee Application Data Monitor, use dicionários que convertam chaves capturadas narede para um valor definido. Ou liste chaves sem um valor que assumam como padrão Booliano verdadeiroquando as chaves estiverem presentes.

Os dicionários do McAfee Application Data Monitor permitem que você especifique chaves de um arquivorapidamente, sem precisar gravar uma regra individual para cada palavra. Por exemplo, configure uma regrapara selecionar e-mails com palavras específicas, compile um dicionário com palavras impróprias e importeesse dicionário. Você pode criar uma regra como a seguinte para verificar a existência de e-mails com conteúdoque inclua uma das palavras do dicionário:

protocol == email && naughtyWords[objcontent]

Ao gravar regras com o editor de regras do McAfee Application Data Monitor, você pode selecionar o dicionáriode referência da regra.

Os dicionários aceitam até milhões de entradas.

A adição de um dicionário a uma regra envolve as seguintes etapas:

1 Configurar e salvar um dicionário que lista as chaves e, se necessário, os valores.

2 Gerenciar o dicionário no McAfee ESM.

3 Atribuir o dicionário a uma regra.

Configuração de dicionários do McAfee Application Data MonitorUm dicionário é um arquivo de texto sem formatação que consiste em uma entrada por linha. Existemdicionários de coluna única e de coluna dupla. As colunas duplas incluem uma chave e um valor.

As chaves podem ser IPv4, MAC, número, expressão regular e cadeia. Os tipos de valor são booliano, IPv4, IPv6,MAC, número e cadeia. Um valor é opcional e assumirá booliano verdadeiro como padrão, se não houver valorpresente.

Os valores em um dicionário de coluna única ou dupla devem ser um dos tipos compatíveis com o McAfeeApplication Data Monitor: cadeia, expressão regular, número, IPv4, IPv6 ou MAC. Os dicionários do McAfeeApplication Data Monitor devem seguir estas diretrizes de formatação:



Tipo Regras de sintaxe Exemplos Conteúdocorrespondente

Cadeia • As cadeias devem estar entreaspas duplas

• As aspas duplas de uma cadeiadevem ser seguidas porcaracteres de escape com barrasinvertidas antes de cada umadas aspas

“Conteúdo inválido”

“Ele disse: \”Conteúdo inválido\””

Conteúdo inválido

Ele disse: “Conteúdoinválido”

Expressãoregular

• As expressões regulares ficamentre barras simples

• As barras e os caracteres deexpressão regular reservadosdentro da expressão regulardevem ser seguidos porcaracteres de escape com barrasinvertidas

/[Aa]gora/

/ agora/i

/ [0–9]{1,3}\.[0–9]{1,3}\.[0–9]\.[0–9]/

/1\/2 de todos/

Agora ou agora

Agora ou agora

Endereços IP:

1.1.1.1

127.0.0.1

1/2 de todos

Números • Valores decimais (0-9)

• Valores hexadecimais (0x0-9a-f)

• Valores octal (0-7)

Valor decimal

Valor hexadecimal

Valor octais

123

0x12ab

0127

Boolianos • Podem ser verdadeiros ou falsos

• Tudo em minúsculas

Literais boolianos verdadeiro

falso

IPv4 • Podem ser escritos em notaçãoquádrupla pontilhada padrão

• Podem ser escritos em notaçãoCIDR

• Podem ser escritos em formatolongo com máscaras completas

192.168.1.1

192.168.1.0/24

192.168.1.0/255.255.255.0

192.168.1.1

192.168.1.[0–255]

192.168.1.[0–255]

As seguintes informações se aplicam aos dicionários:

• Listas (vários valores separados por vírgula dentro de colchetes) não são permitidas nos dicionários.

• Uma coluna pode ser composta somente por um único tipo de McAfee Application Data Monitorcompatível. Isso significa que tipos diferentes (cadeia, regex, IPv4) não podem ser misturados ecorrespondidos dentro de um único arquivo de dicionário do McAfee Application Data Monitor.

• Eles podem conter comentários. Todas as linhas que começam com o caractere de jogo da velha (#) sãoconsideradas um comentário em um dicionário do McAfee Application Data Monitor.

• Os nomes podem conter somente caracteres alfanuméricos e sublinhados, com tamanho máximo de 20caracteres.

• Não há suporte para as listas neles.

• Eles precisam ser editados ou criados fora do McAfee ESM com um editor de texto de sua escolha. Elespodem ser importados ou exportados do McAfee ESM para facilitar a modificação ou a criação dedicionários do McAfee Application Data Monitor.



Dicionários de referência do McAfee Application Data MonitorAo importar dicionários do McAfee Application Data Monitor para o McAfee ESM, veja-os ao gravar regras.

Antes de iniciarImporte o dicionário do McAfee Application Data Monitor para o McAfee ESM.


2 Na árvore de navegação do sistema, selecione o ADM e abra o Editor de políticas.

3 Em Tipos de regras, selecione ADM do Editor de políticas.

4 Clique em Nova | regra de ADM.

5 Adicione as informações solicitadas e arraste e solte um elemento lógico para a área Lógica da expressão.

6 Arraste e solte o ícone Componente da expressão para o elemento lógico.

7 Configure o componente da expressão, selecionando o Dicionário de ADM.

Exemplos de dicionário do McAfee Application Data MonitorO McAfee Application Data Monitor pode relacionar o conteúdo do objeto ou outras métricas ou propriedadesa um dicionário de coluna única indicando verdadeiro ou falso (existe ou não existe no dicionário).

Tabela 9-11 Exemplos de dicionário de coluna única

Tipo de dicionário Exemplo

Dicionário de cadeia com palavras despam comuns

“Cialis”

“cialis”

“Viagra”

“viagra”

“site adulto”

“Site adulto”

“compre já! não perca tempo!”

Dicionário de expressão regular parapalavras-chave de autorização

/(password|passwd|pwd)[â-z0-9]{1,3}(admin|login|password|user)/i

/(customer|client)[â-z0-9]{1,3}account[â-z0-9]{1,3}number/i

/fund[â-z0-9]{1,3}transaction/i

/fund[â-z0-9]{1,3}transfer[â-z0-9]{1,3}[0–9,.]+/i



Tabela 9-11 Exemplos de dicionário de coluna única (continuação)


Dicionário de cadeia com valores dohash para executáveis inválidosconhecidos

"fec72ceae15b6f60cbf269f99b9888e9"

"fed472c13c1db095c4cb0fc54ed28485"

"feddedb607468465f9428a59eb5ee22a"

"ff3cb87742f9b56dfdb9a49b31c1743c"

"ff45e471aa68c9e2b6d62a82bbb6a82a"

"ff669082faf0b5b976cec8027833791c"

"ff7025e261bd09250346bc9efdfc6c7c"

Endereços IP de ativos críticos 192.168.1.12

192.168.2.0/24

192.168.3.0/255.255.255.0

192.168.4.32/27

192.168.5.144/255.255.255.240

Tabela 9-12 Exemplos de dicionário de coluna dupla


Dicionário de cadeia compalavras de spam e categoriascomuns

“Cialis” “medicamento”

“cialis” “medicamento”

“Viagra” “medicamento”

“viagra” “medicamento”

“site adulto” “adulto”

“Site adulto” “adulto”

“compre já! não perca tempo!” “scam”

Dicionário de expressão regularpara palavras-chave deautorização e categorias

/(password|passwd|pwd)[â-z0-9]{1,3}(admin|login|password|user)/i“credentials”

/(customer|client)[â-z0-9]{1,3}account[â-z0-9]{1,3}number/i “pii”

/fund[â-z0-9]{1,3}transaction/i “sox”

/fund[â-z0-9]{1,3}transfer[â-z0-9]{1,3}[0–9,.]+/i “sox”



Tabela 9-12 Exemplos de dicionário de coluna dupla (continuação)


Dicionário de cadeia com valoresdo hash para executáveisinválidos conhecidos ecategorias

"fec72ceae15b6f60cbf269f99b9888e9" “trojan”

"fed472c13c1db095c4cb0fc54ed28485" “Malware”

"feddedb607468465f9428a59eb5ee22a" “Virus”

"ff3cb87742f9b56dfdb9a49b31c1743c" “Malware”

"ff45e471aa68c9e2b6d62a82bbb6a82a" "Adware"

"ff669082faf0b5b976cec8027833791c" “trojan”

"ff7025e261bd09250346bc9efdfc6c7c" “Virus”

Endereços IP de ativos e gruposcríticos

192.168.1.12 “Ativos críticos”

192.168.2.0/24 “LAN”

192.168.3.0/255.255.255.0 “LAN”

192.168.4.32/27 “DMZ”

192.168.5.144/255.255.255.240 “Ativos críticos”

Gerenciar dicionários do McAfee Application Data MonitorApós configurar e salvar um dicionário do McAfee Application Data Monitor, você deve importá-lo para oMcAfee ESM. Você pode também exportar, editar ou excluir o dicionário.

Tarefa1 No Editor de políticas, clique em Ferramentas e selecione Gerenciador de dicionários do ADM.

Gerenciar Dicionários de ADM lista os dicionários padrão (rede de bots, foullanguage, icd9_desc, e spamlist) etodos os dicionários que foram importados para o sistema.

2 Execute uma das ações disponíveis e clique em Fechar.

Quando você exclui um dicionário, qualquer tentativa de distribuir um conjunto de regras que contém regrasque consultam esse dicionário falha na compilação. Se esse dicionário for atribuído a uma regra, regrave aregra para que ela não consulte o dicionário, ou não conclua a exclusão. Se houver discrepância entre o quevocê selecionou nos campos Tipo de chave e Tipo de valor e o que está contido no arquivo, o sistemaindicará dados inválidos.

Como funciona o McAfee® Database Event MonitorO McAfee Database Event Monitor consolida a atividade de banco de dados em um repositório de auditoriacentral e fornece normalização, correlação, análise e geração de relatórios dessa atividade. Se a atividade doservidor de banco de dados ou da rede coincidir com padrões conhecidos que indiquem acesso de dadosmaliciosos, o McAfee Database Event Monitor gerará um alerta. Além disso, todas as transações serãoregistradas em log para serem usadas na conformidade.

O McAfee Database Event Monitor permite gerenciar, editar e ajustar regras de monitoramento de banco dedados na mesma interface que fornece análise e geração de relatórios. Você pode ajustar perfis demonitoramento de banco de dados específicos facilmente (as regras que serão impostas, as transações queserão registradas em log), reduzindo os falsos positivos e melhorando a segurança como um todo.

9 Ajuste da configuraçãoComo funciona o McAfee® Database Event Monitor


O McAfee Database Event Monitor faz auditoria de maneira não invasiva das interações de seus usuários eaplicativos com seus bancos de dados, monitorando pacotes de rede semelhantes a sistemas de detecção deintrusão. Para garantir que você possa monitorar todas as atividades de servidor de banco de dados na rede,coordene a distribuição inicial do McAfee Database Event Monitor com suas equipes de rede, segurança,conformidade e bancos de dados.

Suas equipes de rede usam portas de expansão em switches, “taps” (derivações) de rede ou hubs para replicartráfego de banco de dados. Esse processo permite que você escute ou monitore o tráfego nos servidores debanco de dados e crie um Log de auditoria.

Sistema operacional Banco de dados Dispositivo

Windows (todas as versões) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008, 2012

Windows, UNIX/Linux (todas asversões)

Oracle² Oracle 8.x, 9.x, 10 g, 11 g (c), 11 gR2³

Sybase 11.x, 12.x, 15.x

DB2 8.x, 9.x, 10.x

Informix (disponível na versão8.4.0 e versões posteriores)

11.5


MySQL Sim, 4.x, 5.x, 6.x

PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x

Teradata 12.x, 13.x, 14.x

Cache do InterSystems 2011.1.x

UNIX/Linux (todas as versões) Greenplum 8.2.15

Vertica 5.1.1-0

Mainframe DB2/zOS Todas as versões

AS400 DB2 Todas as versões

1 A compatibilidade da descriptografia de pacote com o Microsoft SQL Server está disponível na versão 8.3.0e versões posteriores.

2 A compatibilidade com a descriptografia de pacote com o Oracle está disponível na versão 8.4.0 e versõesposteriores.

3 O Oracle 11 g está disponível na versão 8.3.0 e versões posteriores.

As informações a seguir se aplicam a esses servidores e versões:

• Há compatibilidade com versões de 32 bits e 64 bits de sistemas operacionais e plataformas de banco dedados.

• O MySQL é compatível somente com plataformas Windows de 32 bits.

• A descriptografia de pacote é compatível com MSSQL e Oracle.

Ajuste da configuraçãoComo funciona o McAfee® Database Event Monitor 9


Atualizar licença do McAfee Database Event MonitorO dispositivo McAfee Database Event Monitor é fornecido com uma licença padrão. Se você alterar os recursosdo McAfee Database Event Monitor, a McAfee enviará uma nova licença em uma mensagem de e-mail e vocêprecisará atualizá-la.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Configuração do DEM.

2 Clique em Licença | Atualizar licença, e cole no campo as informações enviadas para vocês pela McAfee.

3 Clique em OK.

O sistema atualiza a licença e informa quando está concluído.

4 Distribua a política para o McAfee Database Event Monitor.

Configurar o McAfee Database Event MonitorConfigure o McAfee Database Event Monitor para reduzir a carga.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Configuração do DEM.

2 Quando o dispositivo McAfee Database Event Monitor e seus arquivos de configuração estiverem fora desincronização, clique em Sincronizar arquivos para gravar os arquivos de configuração no dispositivo.

3 Clique em Avançado, em seguida, defina as seguintes configurações:

Opção Definição

Nível de detalhes doarquivo de log

Defina o nível de detalhes de log enviado pelo agente para o gerenciador:Informações, Avisar e Depurar.

Se você selecionar Depurar, as informações serão detalhadas e poderão consumirmuito espaço em disco.

Porta de Registro doagente e Porta deserviço do agente

Altere as portas padrão de serviço e de Registro do agente. Essas são as portasusadas para comunicação com o agente.

Usar criptografia Selecione criptografar ou não criptografar as informações enviadas pelo agentepara o gerenciador. Esse log é descriptografado quando recebido.

IP do servidor Kerberos Insira o endereço IP do servidor Kerberos se desejar recuperar nomes de usuárioda análise de protocolo para autenticação de banco de dados do Kerberos usandoa segurança integrada do Windows.

Várias configurações de endereços IP, porta e VLAN podem ser especificadasusando o seguinte formato: IIP;PORTA;VLAN;IP;PORTA (por exemplo,10.0.0.1;88;11,10.0.0.2;88;12). O IPv6 também é compatível usando-se o mesmoformato.

Memória compartilhada Escolha o tamanho de buffer para processar eventos do banco de dados. Oaumento do tamanho do buffer proporciona um desempenho melhor.

Repositório de eventos Selecione o local do qual os eventos são recuperados. Se você selecionar Arquivo,o arquivo no dispositivo local será lido e esses eventos serão analisados. Se vocêselecionar EDB, os eventos serão coletados do banco de dados.



4 Desmarque qualquer uma destas opções:

Opção Definição

Captura de pacote doFirewall da McAfee

Oferece uma forma mais rápida de analisar dados do banco de dados.

Rastreamento de transação Rastreia as transações do banco de dados e ajusta as alteraçõesautomaticamente. Desmarque para aumentar a velocidade.

Rastreamento de identidadedo usuário

Rastreia as identidades do usuário quando elas não são propagadas para obanco de dados, pois nomes de usuário genéricos estão sendo usados paraacessar o banco de dados. Desmarque para aumentar a velocidade.

Máscaras de dadosconfidenciais

Impede a exibição não autorizada de dados confidenciais substituindo asinformações confidenciais por uma cadeia genérica definida pelo usuário,chamada de máscara. Desmarque para aumentar a velocidade.

Auditoria do host local Realiza a auditoria dos hosts locais para rastrear caminhos de acessodesconhecidos no banco de dados e enviar eventos em tempo real.Desmarque para aumentar a velocidade.

Análise de consultas Realiza inspeções de consultas. Desmarque para aumentar a velocidade.

Captura da primeira linhade resultados

Permite exibir a primeira linha de resultados de uma consulta quando vocêrecupera um pacote de um evento e a gravidade de uma instrução foiconfigurada para menos de 95. Desmarque para aumentar a velocidade.

Suporte a variável devínculo

Reutiliza a variável de vínculo do Oracle várias vezes sem envolver asobrecarga de quando o comando é analisado novamente cada vez que éexecutado.

5 Para aplicar as definições de configuração ao dispositivo do McAfee Database Event Monitor, clique emAplicar.

Definir ações para eventos do McAfee Database Event MonitorDefina ações e operações do McAfee

®

Database Event Monitor para eventos, que o dispositivo usa para filtrarregras e políticas de acesso a dados. Defina operações para ações padrão e personalizadas.

O McAfee Database Event Monitor vem com as seguintes ações e operações padrão:

• nenhuma • scripts

• ignorar • redefinir

• descartar

Se você selecionar Script como a operação, um nome de alias (SCRIPT ALIAS) será necessário, selecionando oscript real (SCRIPT NAME) que precisa ser executado quando o evento crítico ocorrer. O script recebe duasvariáveis de ambiente, ALERT_EVENT e ALERT_REASON. ALERT_EVENT, que contém uma lista de métricasseparadas por vírgula. O McAfee Database Event Monitor oferece um script bash de amostra /home/auditprobe/conf/sample/process_alerts.bash para mostrar como a ação de criticidade pode ser capturada emum script.

Ao trabalhar com ações e operações, considere o seguinte:

• As ações são exibidas em ordem de prioridade.

• Nenhuma ação de evento ocorre (como enviar uma interceptação do SNMP ou página), a não ser que vocêespecifique isso como ações de alerta.



• Quando uma regra se qualifica para mais de um nível de alerta, somente o nível mais alto de alerta éacionável.

• Eventos são gravados em um arquivo de eventos, independentemente da ação. A única exceção é aoperação Descartar.

Consulte também Adicionar ações do DEM na página 170

Adicionar ações do DEMSelecione ações do DEM (Database Event Monitor) para regras no Editor de políticas.

Tarefa1 Na árvore de navegação do sistema, clique no ícone Editor de políticas e em Ferramentas | Gerenciador de

ação do DEM.

Ações do DEM existentes aparecem em ordem de prioridade.

Não é possível alterar a ordem de prioridade das ações padrão. A operação padrão de uma açãopersonalizada é Nenhum.

2 Clique em Adicionar e insira um nome e uma descrição para a ação.

Não é possível excluir uma ação personalizada depois que ela é adicionada.

3 Clique em OK.

Consulte também Definir ações para eventos do McAfee Database Event Monitor na página 169

Editar ações personalizadas do DEMDepois que você adiciona ações à lista de gerenciamento de ação do DEM (Database Event Monitor), podealterar seu nome ou prioridade.

Tarefa1 Na árvore de navegação do sistema, clique no ícone Editor de políticas e clique em Ferramentas |

Gerenciador de ações do DEM.

2 Clique na ação personalizada a ser alterada e siga um destes procedimentos:

• Para alterar a ordem de prioridade, clique nas setas para cima ou para baixo até que esteja na posiçãocorreta.

• Para alterar o nome ou a descrição, clique em Editar.

3 Clique em OK para salvar suas configurações.



Definir operações para ações de DEMTodas as ações de regra têm operações padrão. Quando você adiciona uma ação personalizada do DatabaseEvent Monitor (DEM), a operação padrão é Nenhuma. Você pode alterar a operação de qualquer ação paraIgnorar, Descartar, Script ou Redefinir.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Gerenciamento de ação.

2 Realce a ação e clique em Editar.

Não é possível excluir uma ação personalizada nem alterar a ordem de prioridade das ações padrão.

3 Altere a operação da ação de regra da seguinte maneira:

Opção Definição

Operação Selecione o que deseja que essa ação faça se a regra acionar um evento. As opções são:• Nenhuma — Não fazer nada.

• Ignorar — Mantém o evento no banco de dados, mas não aparece na interface dousuário.

• Descartar — Não mantém o evento no banco de dados ou mostra na interface do usuário.

• Script — Executa um script que você define.

• Redefinir — Tenta quebrar a conexão do banco de dados enviando pacotes TCP RST parao cliente e o servidor.

Nome doscript

Se você selecionar Script como a operação, defina o nome do script. Se não houver scriptsna lista suspensa, clique em Nome do script e selecione um arquivo de script na páginaGerenciamento do arquivo de script.

4 Clique em OK.

Referências de métrica da regra do DEMAqui está uma lista de referências de métrica para expressões de regra do DEM que estão disponíveis napágina Componente da expressão quando você adiciona uma regra DEM.

Nome Definição Tipos de banco de dados

Nome do aplicativo O nome que identifica o tipo de banco de dados ao quala regra se aplica.

MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PIServer,InterSystems Cache

Hora de início Data e hora iniciais da consulta. MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,Teradata, PIServer,InterSystems Cache

Desvio da hora deinício

Captura os desvios do relógio do servidor. MSSQL, Oracle, DB2, Sybase,MySQL, PostgreSQL, Teradata,PIServer, InterSystems Cache

IP de cliente Endereço IP do cliente. MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,Teradata, PIServer,InterSystems Cache

Nome do cliente Nome da máquina do cliente. MSSQL, Oracle, DB2, Sybase,Informix, PIServer,InterSystems Cache




PID do cliente ID do processo atribuída pelo sistema operacional aoprocesso do cliente.

MSSQL, DB2, Sybase, MySQL

Porta do cliente Número da porta da conexão de soquete do cliente. MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,Teradata, PIServer,InterSystems Cache

Nome do comando Nome do comando MySQL. MSSQL, Oracle, DB2, Sybase,Informix

Tipo de comando Tipo de comando MySQL: DDL, DML, Show ouReplication.

MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,Teradata, PIServer,InterSystems Cache

Dados de entrada Número total de bytes no pacote de consulta deentrada.


Dados de saída Número total de bytes nos pacotes de resultados desaída.


Nome do banco dedados

Nome do banco de dados sendo acessado. MSSQL, DB2, Sybase, MySQL,Informix, PostgreSQL, PIServer,InterSystems Cache

Hora de término Fim da data e hora de conclusão da consulta. MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,Teradata, PIServer,InterSystems Cache

Mensagem de erro Contém o texto da mensagem associada às variáveisSQLCODE e SQLSTATE na estrutura de dados da Área decomunicação SQL (SQLCA), que oferece informações arespeito do sucesso ou da falha de declarações SQLsolicitadas.

DB2, Informix

Número damensagem

Um número de mensagem exclusivo atribuído peloservidor de banco de dados a cada erro.

MSSQL, Oracle, Sybase, MySQL,Informix, PostgreSQL, Teradata,InterSystems Cache

Gravidade damensagem

Número do nível de gravidade entre 10 e 24, o queindica o tipo e a gravidade do problema.

MSSQL, Sybase, Informix

Texto da mensagem Texto completo da mensagem. MSSQL, Oracle, Sybase, MySQL,Informix, PostgreSQL, Teradata,InterSystems Cache

Hora de rede Tempo gasto para enviar o conjunto de resultados devolta para o cliente (response_time -server_response_time).


Nome do cliente doNT

O nome da máquina Windows pela qual o usuário fezlogin.

MSSQL

Nome de domínio doNT

O domínio do Windows pelo qual o usuário fez login. MSSQL

Nome do usuário doNT

Nome de login do usuário do Windows. MSSQL




Nome do objeto MSSQL, Oracle, DB2, Sybase,MySQL, Informix

Nome do usuário doOSS

Oracle

Nome do pacote Um pacote contém estruturas de controle para executardeclarações SQL. Os pacotes são produzidos durante apreparação do programa e criados usando osubcomando BIND PACKAGE do DB2.

DB2

Pacotes de entrada Número de pacotes que compõe a consulta. MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,Teradata, PIServer,InterSystems Cache

Pacotes de saída Número de pacotes que compõe o conjunto deresultados de retorno.


Senha MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,InterSystems Cache

Tamanho da senha MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,InterSystems Cache

Tamanho dobloqueio de consulta

O bloco de consulta é a unidade básica de transmissãode dados de consultas e de conjuntos de resultados. Aespecificação do tamanho do bloqueio de consultapermite que o solicitante, que pode ter restrições derecursos, controle a quantidade de dados retornada emdeterminado momento.

DB2, Informix

Status de saída daconsulta

Status de saída de uma consulta. MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,Teradata, InterSystems Cache

Número da consulta Um número exclusivo atribuído a cada consulta peloagente de monitoração AuditProbe, começando comzero na primeira consulta e incrementando por um.

MSSQL, Oracle, DB2, Sybase,MySQL, PostgreSQL, Teradata,PIServer, InterSystems Cache

Texto da consulta A consulta SQL real enviada pelo cliente. MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,Teradata, PIServer,InterSystems Cache

Tipo de consulta Um número inteiro atribuído a diferentes tipos deconsulta.

MSSQL, Oracle, Sybase

Nome real dousuário

Nome de login do usuário cliente.

Conteúdo deresposta

MSSQL, Oracle, DB2, Sybase,MySQL, Informix

Tempo de resposta Tempo de resposta de ponta a ponta da consulta(server_response_time + network_time).

MSSQL, Oracle, Sybase, MySQL,Informix, PostgreSQL, Teradata,InterSystems Cache




Linhas de retorno Número de linhas no conjunto de resultados deretorno.

MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,Teradata, PIServer,InterSystems Cache.

Sinalizador desegurança

Métrica do sinalizador de segurança, cujo valor estádefinido como 1 (TRUSTED) ou 2 (UNTRUSTED) quandoos critérios do arquivo de políticas especificados peloadministrador são cumpridos. Valor de 3 indica que oscritérios do arquivo de políticas não foram cumpridos.Valor de 0 indica que o monitoramento de segurançanão foi ativado.

MSSQL, Oracle, DB2, Sybase,MYSQL, Informix, PostgreSQL,Teradata, PIServer,InterSystems

Mecanismo desegurança

O mecanismo de segurança usado para validar aidentidade do usuário (por exemplo, ID e senha dousuário).

DB2

IP de servidor Endereço IP do host do servidor de banco de dados. MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,Teradata, InterSystems Cache

Nome do servidor Este é o nome do servidor. O nome do host é atribuídocomo o nome de servidor por padrão.

MSSQL, Oracle, DB2, Sybase,Informix, PIServer,InterSystems Cache

Porta do servidor Número da porta do servidor. MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,Teradata, InterSystems Cache

Tempo de respostado servidor

Resposta inicial do servidor de banco de dados àconsulta do cliente.


Código de gravidade DB2

SID Identificador do sistema Oracle. Oracle, Informix, PostgreSQL,Teradata, PIServer,InterSystems Cache

SPID ID de processo do sistema de banco de dados atribuídaa cada conexão/sessão única.

MSSQL, Sybase

Código de SQL Sempre que uma declaração SQL é executada, o clienterecebe um SQLCODE, que é um código de retorno queoferece informações adicionais específicas do DB2sobre um erro ou um aviso SQL:• SQLCODE EQ 0, indica que a execução foi

bem-sucedida.

• SQLCODE GT 0, indica que a execução foibem-sucedida com um aviso.

• SQLCODE LT 0, indica que a execução não foibem-sucedida.

• SQLCODE EQ 100, indica que não foram encontradosdados.

O significado de SQLCODEs diferente de 0 e 100 variade acordo com o determinado produto implementandoo SQL.

Comando SQL Tipo de comando SQL.




Estado de SQL DB2 SQLSTATE é um código de retorno adicional queoferece programas de aplicativos com códigos deretorno comuns para condições de erro comunsencontradas entre os sistemas de bancos de dadosrelacionais da IBM.

DB2

Nome do usuário Nome de login do usuário do banco de dados. MSSQL, Oracle, DB2, Sybase,MySQL, Informix, PostgreSQL,Teradata, PIServer,InterSystems Cache

Como funcionam as regras do McAfee Database Event MonitorO McAfee

®

Database Event Monitor captura e normaliza informações de pacotes de rede.

Crie regras do McAfee®

Database Event Monitor usando expressões lógicas e regulares para estabelecer acorrespondência entre padrões a fim de monitorar mensagens de aplicativos ou bancos de dados praticamentesem falsos positivos. Os dados normalizados (métricas) variam para cada aplicativo, pois alguns protocolos emensagens de aplicativos são mais completos do que outros. Crie expressões de filtro com cuidado, nãoapenas em termos de sintaxe, mas também garantindo que o sistema ofereça suporte à métrica.

O McAfee®

Database Event Monitor contém as regras padrão (conforme listado abaixo).

As regras de conformidade padrão monitoram eventos de banco de dados significativos, como entrada/saída,atividade do tipo DBA, como alterações de DDL, atividades suspeitas e ataques a bancos de dados, quenormalmente são necessários para cumprir os requisitos de conformidade. Ative ou desative cada regra padrãoe defina o valor do parâmetro de cada regra definido pelo usuário.

Tipos de regras Descrição

Banco de dados Regras padrão para cada tipo de banco de dados compatível e normas comuns, como SOX,PCI, HIPAA e FISMA.

Ative ou desative as regras padrão e configure parâmetros definidos pelo usuário para cadaregra.

Protocolos e mensagens de aplicativo variam, o que significa que dados normalizados(métricas) podem variar de acordo com cada aplicativo.

As regras podem incluir operadores lógicos e de expressão regular. Uma expressão de regrapode ser aplicada a uma ou mais métricas disponíveis para o aplicativo.

Acesso a dados Regras que rastreiam caminhos de acesso desconhecidos no banco de dados e enviamalertas em tempo real.

Crie regras de acesso a dados para rastrear violações comuns em ambientes de banco dedados, como desenvolvedores de aplicativos que acessam sistemas de produção usandoIDs de entrada no aplicativo.



Tipos de regras Descrição

Descoberta Regras que identificam uma lista de exceção de servidores de bancos de dados, dos tiposcompatíveis com o McAfee ESM, que estão na rede, mas não estão sendo monitorados.

As regras de descoberta permitem que os administradores de segurança descubram novosservidores de bancos de dados adicionados ao ambiente e portas de ouvinte ilegais abertaspara acessar dados dos bancos de dados. Regras de descoberta são regras prontas, quenão podem ser adicionadas ou editadas. Quando você ativa a opção de descoberta emservidores de banco de dados, o sistema usa essas regras para procurar servidores debanco de dados que estão na rede, mas que não estão listados no dispositivo do McAfee®

Database Event Monitor.

Rastreamentode transação

Regras que rastreiam as transações de banco de dados e ajustam automaticamente asalterações.

Por exemplo, use essas regras para automatizar as alterações de banco de dados derastreamento e reconciliação com pedidos de serviços autorizado em seu sistema detíquetes de alteração.

Por exemplo:O DBA executa o procedimento armazenado de marca de início (spChangeControlStartneste exemplo) no banco de dados que executa o trabalho antes de iniciar, de fato, otrabalho autorizado. O rastreamento de transação permite que o DBA inclua até trêsparâmetros de cadeia opcionais como argumentos para a marca na sequência correta:1 ID

2 Nome ou iniciais do DBA

3 Comentário

Por exemplo, spChangeControlStart ‘12345’, ‘mshakir’, ‘reindexing app’Quando o sistema observa a execução do procedimento spChangeControlStart, ele registraem log a transação e os parâmetros (ID, Nome, Comentário) como informações especiais.

Depois que o trabalho é concluído, o DBA executa o procedimento armazenado da marcade fim (spChangeControlEnd) e, como opção, inclui um parâmetro de ID, que precisa serigual ao da ID na marca de início. Quando o sistema observa a marca de início (e a ID), elepode associar todas as atividades entre a marca de início (que tem a mesma ID) e a marcade fim como uma transação especial. Você pode relatar por transação e pesquisar pela ID,que pode ser o número de controle da alteração.

Use o rastreamento de transação para registrar em log o início e o fim de uma execução detransação ou iniciar e confirmar declarações para relatar por transação, e não por consulta.

Configurar regras de acesso a dadosConfigure regras de acesso para rastrear caminhos de acesso desconhecidos no banco de dados e enviareventos em tempo real. Por exemplo, rastreie violações comuns em ambientes de banco de dados, como oacesso dos desenvolvedores de aplicativo a sistemas de produção por meio de IDs de entrada de aplicativos.

Tarefa1 No painel Tipos de regras no Editor de políticas, selecione DEM | Acesso a dados.


• Clique em Novo e em Regra de acesso a dados.

• Selecione a regra no painel de exibição de regras e clique em Editar | Modificar.

3 Preencha as informações e clique em OK.



Como trabalhar com máscaras de dados confidenciaisAs máscaras de dados confidenciais impedem a exibição não autorizada de dados, substituindo as informaçõesconfidenciais por cadeias genéricas, chamadas de máscara. Quando você adiciona um dispositivo do McAfeeDatabase Event Monitor, o sistema adiciona máscaras de dados confidenciais padrão ao banco de dados doMcAfee ESM. Você também pode adicionar ou alterar as máscaras.

As máscaras padrão incluem:

• Nome da máscara confidencial: máscara de número de cartão de crédito

Expressão: ((4\d{3})|(5[1-5]\d{2})|(6011))-?\d{4}-?\d{4}-?\d{4}|3[4,7]\d{13}

Índice de subcadeia: \0

Padrão de máscara: ####-####-####-####

• Nome de máscara confidencial: mascarar os 5 primeiros caracteres do número do seguro social

Expressão: (\d\d\d-\d\d)-\d\d\d\d


Padrão de máscara: ###-##

• Nome de máscara confidencial: mascarar a senha de usuário na instrução SQL

Expressão: create\s+user\s+(\w+)\s+identified\s+by\s+(\w+)


Padrão de máscara: ********

Gerenciar máscaras de dados confidenciaisPara proteger as informações confidenciais do McAfee ESM, adicione, altere ou remova máscaras de dadosconfidenciais.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Máscaras de dados

confidenciais.

2 Selecione uma opção e insira as informações necessárias.

• Atribua um nome à máscara de dados confidenciais.

• Digite uma expressão REGEX que esteja de acordo com a sintaxe PCRE (Perl-Compatible RegularExpression).

• Selecione uma opção.

Opções são adicionadas com base no número de parênteses () usados na expressão. Para um conjuntode parênteses, as opções são \0 e \1. Se você selecionar \0, a cadeia completa será substituída pelamáscara. Se você selecionar \1, somente as cadeias serão substituídas pela máscara.

• Digite o padrão de máscara que precisa aparecer no local do valor original.

3 Clique em OK e clique em Gravar para adicionar as configurações ao DEM.



Gerenciamento da identificação do usuárioCapture o nome de usuário real, se ele existe em algum lugar da consulta, usando padrões REGEX.

Quando você adiciona um dispositivo DEM, o sistema adiciona regras do identificador definidas ao banco dedados do McAfee ESM.

• Nome da regra do identificador: obter o nome do usuário na instrução SQL

Expressão: select\s+username=(\w+)

Aplicativo: Oracle


• Nome da regra do identificador: obter o nome do usuário no procedimento armazenado

Expressão: sessionStart\s+@appname='(\w+)', @username='(\w+)',

Aplicativo: MSSQL


A correlação de usuário avançado é possível pela correlação dos acessos de DEM, aplicativo, servidor Web,sistema e gerenciamento de entrada e de identidade ao McAfee ESM.

Adicionar regras do identificador de usuárioPara associar as consultas do banco de dados aos indivíduos, use regras existentes de identificador de usuárioou adicione regras.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Gerenciamento de

identificador.

2 Clique em Adicionar e insira as informações solicitadas:

• Digite um nome para a regra do identificador.

• Digite uma expressão REGEX que esteja de acordo com a sintaxe PCRE.

O operador REGEX implementa a biblioteca PCRE para a correspondência de padrão usando a mesmasemântica do Perl 5. A sintaxe geral é: <"nome da métrica"> REGEX <"padrão">.

• Selecione o aplicativo (tipo de banco de dados) onde as informações foram observadas.

• Selecione uma subcadeia.

Opções são adicionadas com base no número de parênteses () usados na expressão. Se houver umconjunto de parênteses, suas opções são: \0 e \1.

3 Clique em OK e em Gravar para gravar as configurações no DEM.

Sobre servidores de banco de dadosOs servidores de banco de dados monitoram a atividade do banco de dados. Se a atividade em um servidor debanco de dados corresponder a um padrão conhecido que indique o acesso de dados maliciosos, um alertaserá gerado. Cada DEM pode monitorar um máximo de 255 servidores de banco de dados.

No momento, o DEM é compatível com os seguintes servidores e versões de banco de dados.



Sistema operacional Banco de dados Appliance do DEM

Windows (todas as versões) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008, 2012


Oracle² Oracle 8.x, 9.x, 10g, 11g³, 11g R2

Sybase 11.x, 12.x, 15.x

DB2 8.x, 9.x, 10.x

Informix (consulte a nota 4) 11.5

MySQL Sim, 4.x, 5.x, 6.x

PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x

Teradata 12.x, 13.x, 14.x

Cache do InterSystem 2011.1.x

UNIX/Linux (todas as versões) Greenplum 8.2.15

Vertica 5.1.1-0

Mainframe DB2/zOS Todas as versões

AS 400 DB2 Todas as versões

1 A compatibilidade da descriptografia de pacote com o Microsoft SQL Server está disponível nas versões8.3.0 e versões posteriores.

2 A compatibilidade com a descriptografia de pacote com a Oracle está disponível nas versões 8.4.0 e versõesposteriores.

3 O Oracle 11g está disponível na versão 8.3.0 e versões posteriores.

4 A compatibilidade com Informix está disponível na versão 8.4.0 e versões posteriores.

• Há compatibilidade com versões de 32 bits e 64 bits de sistemas operacionais e plataformas de banco dedados.

• O MySQL é compatível somente com plataformas Windows de 32 bits.

• A descriptografia de pacote é compatível com MSSQL e Oracle.

Gerenciar servidores de banco de dadosGerencie configurações de todos os servidores de banco de dados do dispositivo Database Event Monitor(DEM). É possível associar, no máximo, 255 servidores de banco de dados a cada dispositivo DEM.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Servidores de banco de dados.

2 Selecione uma das opções disponíveis.

Opção Definição

Ativado Selecione se deseja que o DEM processe os dados deste servidor de banco dedados. Se estiver desativado, as configurações serão salvas no McAfee ESM parauso posterior.

Lista dearmazenamento

Clique e selecione uma lista de armazenamento se desejar que os dados recebidossejam enviados para o dispositivo ELM.

Zona Se houver zonas definidas no sistema, selecione a zona à qual deseja atribuir esseservidor de banco de dados. Para adicionar uma zona ao sistema, clique em Zona.



Opção Definição

Tipo de banco dedados

Selecione o tipo de banco de dados. Os campos restantes variam com base no quevocê seleciona neste campo.

O DEM implementa o driver PI JDBC para se conectar ao sistema PI. O PI SQL DataAccess Server (DAS) serve como um gateway entre o driver PI JDBC e o PI OLEDB. Eleoferece comunicações seguras de rede (https) com o PI JDBC e executa consultascomo um consumidor (cliente) PI OLEDB.

Nome do Servidor debanco de dados

Digite um nome para este servidor de banco de dados.

Se tiver selecionado PIServer no campo Tipo de banco de dados, este campo seráNome de origem de dados DAS, que é o nome do servidor PI acessado pelo gatewayData Access Server (DAS). Ele deve ser exatamente conforme especificado naconfiguração DAS. Pode ser o mesmo do nome de host DAS se o servidor DASestiver instalado no mesmo host do servidor PI.

URL do dispositivo Se tiver uma disponível, digite o endereço da URL na qual é possível exibirinformações do servidor de banco de dados. Se o endereço da URL inserido incluiro endereço de um aplicativo de terceiros, anexe variáveis ao endereço da URLclicando no ícone de variáveis .

Endereço IP Insira um único endereço IP para esse servidor de banco de dados ou DAS nocampo de endereço IP. Esse campo aceita um único endereço IP na anotação deponto IPv4. Não são aceitas máscaras nesses endereços IP.

Grupo de prioridade Atribua o servidor de banco de dados a um grupo de prioridade. Isso permite quevocê balanceie a carga dos dados processados pelo DEM. Você pode exibir umalista dos servidores de banco de dados e dos grupos de prioridades aos quais elespertencem na tabela Servidores de banco de dados.

ID da LAN virtual Digite o ID da LAN virtual, se necessário. Se você digitar o valor "0", ele representarátodas as VLANs.

Opção de codificação Selecione uma das opções disponíveis: Nenhum, UTF8 e BIG5.

Selecionar opçõesespeciais

Selecione uma das seguintes (opções disponíveis dependendo do tipo de banco dedados selecionado):• Redirecionamento de porta deverá ser especificado se você estiver monitorando um

servidor Oracle em execução em uma plataforma Windows.

• A opção Servidor usa pipes nomeados precisa estar selecionada se o servidor debanco de dados usar o protocolo SMB de pipes nomeados. O nome de pipepadrão para MSSQL é \\.\pipe\sql\query e a porta padrão é a 445.

• A opção Portas dinâmicas precisa estar selecionada se o servidor de banco dedados tiver portas dinâmicas TCP ativadas. Insira um número de porta para oservidor de banco de dados ou DAS no campo Porta. A porta é a porta de serviçodo servidor de banco de dados na qual ele escuta conexões. Números de portapadrão comuns são: 1433 para Microsoft SQL Server (MSSQL), 1521 para Oracle,3306 para MySQL, 5461 para Data Access Server (DAS) e 50000 para DB2/UDB.

Autenticação Kerberos Selecione se desejar que o SQL server execute a autenticação Kerberos.

Tipo de criptografiaRSA

Selecione Nenhuma ou RSA.

Nível de criptografiaRSA

Selecione a opção apropriada com base em sua escolha de criptografia forçada:Descriptografar pacotes de entrada se Criptografia forçada for Não; Descriptografartodos os pacotes se Criptografia forçada for Sim.



Opção Definição

Chave RSA Clique em Procurar e selecione o arquivo Chave RSA ou copie a chave do arquivo ecole-a no campo Chave RSA.

O console do McAfee ESM aceita somente certificados RSA no formato dearquivo .pem sem senha.

Nome de usuário Digite o nome de usuário de entrada do DAS de PI. Como o DAS de PI está instaladono Windows, ele usa a segurança integrada do Windows. O nome de usuárioprecisa ser especificado como domínio\entrada.

Senha Digite a senha do nome de usuário DAS.

Recuperar logs dearquivos

Selecione se deseja que o banco de dados de Arquivos do servidor PI seja sondadoem busca de alterações ao ponto ALL.

Pontos a seremmonitorados

Digite uma lista de pontos separados por vírgulas para que somente esses pontossejam monitorados.

3 Clique em OK.

Gerenciar notificações de descoberta do banco de dadosO Database Event Monitor (DEM) pode identificar uma lista de exceções de servidores de banco de dados nãomonitorados, permitindo descobrir os servidores de banco de dados nas portas de ouvinte ilegais ou doambiente abertas para acessar os dados dos bancos de dados. Quando ativado, você recebe notificações eescolhe se quer adicionar o servidor aos que são monitorados em seu sistema.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Servidores de banco de dados

| Ativar.

2 Clique em OK para fechar as Propriedades do DEM .

3 Para exibir as notificações, clique no dispositivo DEM na árvore de navegação do sistema e selecioneExibições de eventos | Análise de eventos.

4Para adicionar o servidor a seu sistema, selecione a exibição Análise de eventos e clique no ícone Menu eselecione Adicionar servidor.

Como o McAfee ePolicy Orchestrator funciona como um dispositivoVocê pode adicionar um dispositivo do McAfee ePO ao McAfee ESM, com seus aplicativos listados comodispositivos secundários na árvore de navegação do sistema. Após a autenticação, você poderá acessaralgumas funções no McAfee ESM e atribuir marcas do McAfee ePO a endereços IP de origem ou destinodiretamente e a eventos gerados por alarmes.

Você deve associar o McAfee ePO com o McAfee Event Receiver porque os eventos recebidos por pull doreceptor, e não do McAfee ePO.

Você deve ter permissões de leitura no banco de dados mestre e no banco de dados do McAfee ePO para usar oMcAfee ePO.

Se o dispositivo do McAfee ePO tiver um servidor McAfee®

Threat Intelligence Exchange (TIE), o sistema oadicionará automaticamente quando você adicionar o dispositivo do McAfee ePO ao McAfee ESM.

Ajuste da configuraçãoComo o McAfee ePolicy Orchestrator funciona como um dispositivo 9


Inicie o McAfee ePO no McAfee ESMSe houver uma origem de dados ou dispositivo McAfee ePolicy Orchestrator McAfee ePO no McAfee ESM e oendereço IP do McAfee ePO estiver na rede local, você poderá iniciar o McAfee ePO no McAfee ESM.

Antes de iniciarAdicione uma origem de dados ou dispositivo McAfee ePO ao McAfee ESM.

Tarefa1 No dashboard, abra uma exibição.

2 Selecione um resultado que retorna dados de IP de origem ou de destino.

3No menu do componente , clique em Ações | Iniciar o ePO.

• Se você tiver apenas uma origem de dados ou dispositivo McAfee ePO no sistema e selecionar um IP deorigem ou de destino, o McAfee ePO será iniciado.

• Se você tiver várias origens de dados ou dispositivos McAfee ePO no sistema, selecione um(a) que desejaacessar e o McAfee ePO será iniciado.

Atribuir marcas do McAfee ePolicy Orchestrator (McAfee ePO) aendereços IPAtribua marcas do McAfee ePO a eventos gerados por alarmes e exibições se alarmes tiverem a marca doMcAfee ePO. Você também pode selecionar uma ou mais marcas e aplicá-las a endereços IP.

Antes de iniciarVerifique se você tem os seguintes privilégios do McAfee ePO: Aplicar, excluir e limpar marcas eAgentes de ativação; exibir log de atividades do agente:

Tarefa1 Na árvore de navegação de sistemas, selecione Propriedades de ePO e clique em Marcação.

2 Forneça as informações solicitadas e clique em Atribuir.

• Digite um nome do host ou um endereço IP (aceita lista delimitada por vírgula) e selecione uma ou maismarcas na lista Marcas.

• Selecione para ativar o aplicativo e aplicar as marcas imediatamente.

• Clique em Atribuir para aplicar as marcas selecionadas ao endereço IP.

Autenticação de dispositivo McAfee ePOA autenticação é necessária antes de usar as marcações ou ações do McAfee ePO.

Há dois tipos de autenticação:

• Conta global individual – Se você pertencer a um grupo com acesso ao dispositivo do McAfee ePO, poderáusar esses recursos depois de inserir as credenciais globais.

• Separar conta para cada dispositivo por usuário — Você precisa de privilégios para exibir o dispositivo naárvore de dispositivos.

Quando você usar ações ou marcações, use o método selecionado de autenticação. O sistema solicitacredenciais válidas, que devem ser salvas para futuras comunicações com o dispositivo.

9 Ajuste da configuraçãoComo o McAfee ePolicy Orchestrator funciona como um dispositivo


Configuração de autenticação de conta separada

A autenticação de conta global é a configuração padrão. Há duas etapas a serem realizadas para configurar aautenticação de conta separada.

1 Verifique se a opção Requer autenticação do usuário está selecionada ao adicionar o dispositivo McAfee ePOao McAfee ESM ou ao definir suas configurações de conexão.

2 Insira suas credenciais.

Aquisição de dados do McAfee Risk AdvisorVocê pode especificar vários servidores McAfee ePO para obter dados do McAfee Risk Advisor. Os dados sãoobtidos por meio de uma consulta no banco de dados do SQL Server do McAfee ePO.

A consulta do banco de dados gera uma lista de pontuação comparativa entre IP e reputação e fornece valoresconstantes para a reputação baixa e valores de reputação alta. O sistema mescla todos McAfee ePO e McAfeeRisk Advisor; os IPs duplicados recebem a pontuação mais alta. O sistema envia a lista mesclada com valoresbaixos e altos para quaisquer dispositivos do McAfee Advanced Correlation Engine (ACE) usados para pontuaros campos SrcIP e DstIP.

Quando você adiciona o McAfee ePO, o sistema pergunta se você deseja configurar os dados do McAfee RiskAdvisor. Se você clicar em Sim, o sistema criará e implementará uma origem de enriquecimento de dados eduas regras de pontuação de ACE (se aplicável). Para usar as regras de pontuação, é necessário criar umgerenciador de correlação de risco.

Integração do McAfee® Threat Intelligence Exchange (TIE)O McAfee

®

Threat Intelligence Exchange (TIE) verifica a reputação de programas executáveis nos pontos deextremidade conectados a esses arquivos.

Quando você adiciona um dispositivo do McAfee ePO ao McAfee ESM, o sistema detecta automaticamente seum servidor Threat Intelligence Exchange está conectado ao dispositivo. Se estiver, o McAfee ESM começará aescutar os eventos de log e DXL.

Pode ocorrer um atraso quando o McAfee ESM se conecta ao DXL.

Quando o sistema detectar um servidor Threat Intelligence Exchange, o sistema adicionará listas deobservação, enriquecimento de dados e regras de correlação do Threat Intelligence Exchange automaticamentee permitirá alarmes do Threat Intelligence Exchange. Você receberá uma notificação visual, que inclui um linkpara o resumo de alterações. O sistema também notificará se o servidor Threat Intelligence Exchange foradicionado ao servidor McAfee ePO depois que o dispositivo for adicionado ao McAfee ESM.

Depois que o Threat Intelligence Exchange gera eventos, você pode ver o histórico de execução e selecionarquais providências serão tomadas em relação aos dados maliciosos.

Regras de correlação

O sistema otimiza regras de correlação para dados do Threat Intelligence Exchange. Elas geram eventos quevocê pode pesquisar e classificar.

• Threat Intelligence Exchange — A reputação do McAfee GTI foi alterada de limpa para suja

• Threat Intelligence Exchange — Arquivo malicioso (SHA-1) encontrado em um número cada vez maior dehosts

• Threat Intelligence Exchange — Nome de arquivo malicioso encontrado em um número cada vez maior dehosts

• Threat Intelligence Exchange — Vários arquivos maliciosos encontrados em um único host

Ajuste da configuraçãoComo o McAfee ePolicy Orchestrator funciona como um dispositivo 9


• Threat Intelligence Exchange — A reputação do Threat Intelligence Exchange foi alterada de limpa para suja

• Threat Intelligence Exchange — Aumento de arquivos maliciosos encontrado em todos os hosts

Alarmes

O McAfee ESM tem dois alarmes que podem ser disparados quando o sistema detecta eventos importantes doThreat Intelligence Exchange.

• Limite de arquivos incorretos do TIE excedido é disparado a partir da regra de correlação TIE – Arquivomalicioso (SHA-1) encontrado em um número cada vez maior de hosts.

• Arquivo desconhecido do TIE executado é disparado a partir de um evento específico do Threat IntelligenceExchange e adiciona informações à lista de observação de IPs de origem de dados do TIE.

Lista de observação

A lista de observação IPs de origem de dados do TIE mantém uma lista de sistemas que dispararam o alarmeArquivo desconhecido do TIE executado. É uma lista de observação estática sem expiração.

Histórico de execução do Threat Intelligence Exchange

Você pode exibir o histórico de execução de qualquer evento do Threat Intelligence Exchange, que inclui umalista dos endereços IP que tentaram executar o arquivo. Selecione um item e realize qualquer uma destasações:

• Criar uma lista de observação. • Adicionar as informações a uma lista negra.

• Anexar as informações a uma lista deobservação.

• Exportar as informações para um arquivo .csv.

• Crie um alarme.

Exibir histórico de execução do Threat Intelligence Exchange e configurar açõesO histórico de execução do McAfee

®

Threat Intelligence Exchange (TIE) exibe os sistemas que executaram oarquivo associado aos eventos selecionados.

Antes de iniciarDeve existir um dispositivo do McAfee ePolicy Orchestrator com um servidor Threat IntelligenceExchange anexado no McAfee ESM.

Tarefa1 Na árvore de navegação do sistema, clique no dispositivo McAfee ePolicy Orchestrator.

2 Na lista suspensa de exibições, selecione Exibições de eventos | Análise de eventos e clique no evento.

3Clique em e selecione Ações | Histórico de execução do TIE.

4 Exiba os sistemas que executaram o arquivo do Threat Intelligence Exchange.

5 Para adicionar esses dados ao seu fluxo de trabalho, clique em um sistema e no menu suspenso Ações eselecione uma opção para abrir o dispositivo McAfee ESM.

6 Configure a ação selecionada.

9 Ajuste da configuraçãoComo o McAfee ePolicy Orchestrator funciona como um dispositivo


Receptores de eventos

Conteúdo Security Device Event Exchange (SDEE) Reinicialize os receptores secundários de alta disponibilidade Redefinir dispositivos de alta disponibilidade Alternar funções do receptor de alta disponibilidade Substituir receptores com falha Exibir estatísticas de taxa de transferência do Receiver

Security Device Event Exchange (SDEE)O formato SDEE (Security Device Event Exchange) descreve como representar eventos gerados por vários tiposde dispositivos de segurança. A especificação SDEE indica que os eventos do SDEE são transportados com osprotocolos HTTP ou HTTPS. Os servidores HTTP que usam o SDEE para fornecer informações de eventos aclientes são chamados de provedores de SDEE; os iniciadores de solicitações de HTTP são chamados de clientesde SDEE.

A Cisco definiu algumas extensões para o padrão SDEE, chamando-o de padrão CIDEE. O Receptor pode agircomo um cliente SDEE que solicita dados CIDEE gerados pelos sistemas de prevenção a intrusões.

O SDEE usa o modelo de pull, significando que periodicamente o receptor contata o provedor de SDEE e solicitaos eventos gerados desde a solicitação do último evento. Toda vez que o receptor solicita eventos do provedorde SDEE, o sistema processa e armazena esses eventos no banco de dados de eventos do receptor, pronto pararecuperação do McAfee ESM.

Adicione provedores de SDEE a receptores como origens de dados. Para isso, basta selecionar a Cisco como ofornecedor e IOS IPS (SDEE) como o modelo de origem de dados.

O receptor extrai o seguinte dos eventos SDEE/CIDEE:

• Endereços IP de origem e destino

• Portas de origem e destino

• Protocolo

• Hora do evento

• Contagem de eventos (o CIDEE fornece um formulário de agregação de eventos, que o Receptor cumpre)

• ID de assinatura e subID

• O ID do evento do McAfee ESM é calculado a partir do ID de assinatura do SDEE e do ID de subassinatura doCIDEE, usando a seguinte fórmula: ID do ESMI = (ID do SDEE * 1000) + ID de subassinaturado CIDEEPortanto, se o ID de assinatura do SDEE for 2000 e o ID de subassinatura do CIDEE for 123, o ID de eventodo McAfee ESM será 2000123.

• VLAN

• Gravidade

• Descrição do evento

• Conteúdo do pacote (se disponível).

Se o receptor estiver se conectando ao provedor de SDEE pela primeira vez, o sistema usará a data e horaatuais como ponto de partida para a solicitação de eventos. Futuras conexões solicitarão todos os eventosdesde o último pull bem-sucedido.

Ajuste da configuraçãoReceptores de eventos 9


Reinicialize os receptores secundários de alta disponibilidadeSe, por algum motivo, o Receptor secundário sair de serviço, reinstale-o e reinicialize-o em seguida.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do Receptor para o Receptor primário e clique

em Configuração do receptor | Interface | Receptor HA.

2 Confira se o endereço IP correto está no campo IP de gerenciamento secundário.

3 Clique em Reinicializar secundário.

Redefinir dispositivos de alta disponibilidadePara redefinir os receptores de alta disponibilidade para o estado em que estavam antes de terem sidoconfigurados como dispositivos de alta disponibilidade, faça-o no console do McAfee ESM ou, se a comunicaçãocom o receptor falhar, no menu LCD.

• Siga um destes procedimentos:

• Redefinir um receptor no McAfee ESM

Ambos os receptores reiniciam após um tempo limite de cinco minutos, retornando os endereços MACpara seus valores originais.

1 Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Configuração doreceptor | Interface.

2 Desmarque a opção Instalar alta disponibilidade e clique em OK.

3 Clique em Sim na página de aviso e em Fechar.

• Redefinir o Receptor primário ou secundário no menu LCD

1 No menu LDC do Receptor, pressione X.

2 Pressione a seta até a opção Desativar HA ser exibida.

3 Pressione a seta da direita uma vez para exibir Desativar primário na tela LCD.

4 Para redefinir o Receptor primário, pressione a marca de seleção.

5 Para redefinir o Receptor secundário, pressione a seta para baixo uma vez e depois a marca deseleção.

Alternar funções do receptor de alta disponibilidadeO processo de alternância iniciado pelo usuário permite alternar as funções dos Receptores primário esecundário.

Talvez você precise fazer isso ao fazer upgrade de um Receptor, preparar um Receptor para ser devolvido aofabricante ou mover os cabos de um Receptor. Essa alternância minimiza o volume de dados perdidos.

Se um coletor (incluindo o dispositivo McAfee ePO) estiver associado a um Receptor-HA e esse receptor falhar, ocoletor não poderá se comunicar com o Receptor-HA até que as alternâncias entre os dois associe o novoendereço MAC do receptor com failover ao endereço IP compartilhado. Isso pode levar de alguns minutos aalguns dias, dependendo da configuração de rede atual.

9 Ajuste da configuraçãoReceptores de eventos


Tarefa1 Na árvore de navegação do sistema, selecione o dispositivo do Receptor-HA e clique no ícone Propriedades

.

2 Selecione Alta disponibilidade | Failover. Ocorre o seguinte:

• O McAfee ESM instrui o receptor secundário a começar a usar o endereço IP da origem de dadoscompartilhado e a coletar dados.

• O receptor secundário emite um comando CRM (Cluster Resource Manager) para alternar o endereço IPcompartilhado e o MAC, e inicia os coletores.

• O McAfee ESM efetua pull de todos os dados de fluxo e alerta do receptor primário.

• O McAfee ESM seleciona o receptor secundário como o principal e seleciona o receptor primário como osecundário.

Substituir receptores com falhaSe um receptor secundário tiver algum problema de integridade que não possa ser solucionado, talvez sejanecessário substituí-lo. Quando você receber o novo receptor, instale-o. Depois que os endereços IP foremdefinidos e os cabos conectados, você poderá retornar o receptor ao cluster de alta disponibilidade.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do receptor do receptor de alta disponibilidade e

clique em Interface da | Configuração do receptor.

2 Clique na guia Receptor HA e verifique se a opção Instalar alta disponibilidade está marcada.

3 Verifique se os endereços IP estão corretos e clique em Reinicializar secundário.

4 Se um receptor de alta disponibilidade fica inoperante por algum motivo, a gravação das origens de dados,as configurações globais, as configurações de agregação e outras parecem falhar e é exibida umamensagem de erro de SSH. As configurações são distribuídas para o receptor que ainda está funcionando,mas uma mensagem de erro é exibida porque ele não consegue sincronização com o receptor que estáinoperante. Política, mas, não distribua. Siga um destes procedimentos:

• Aguardar para distribuir a política até um Receptor secundário estar disponível e sincronizado.

• Remover o Receptor do modo HA, o que gera dois a cinco minutos de inatividade do cluster de HA, o queimpede a coleta de eventos.

Exibir estatísticas de taxa de transferência do ReceiverExiba as estatísticas de uso do receptor, que incluem as taxas de origem de dados de saída (análise) e deentrada (coletor) dos últimos 10 minutos, da última hora e das últimas 24 horas.

Antes de iniciarVerifique se você tem o privilégio de Gerenciamento de dispositivos.

Tarefa1 Na árvore de navegação do sistema, selecione um Receiver e clique no ícone Propriedades .

2 Clique em Gerenciamento do receptor | Exibir estatísticas | Taxa de transferência.

Ajuste da configuraçãoReceptores de eventos 9


3 Exiba as estatísticas do Receptor.

Se as taxas de entrada ultrapassarem a taxa de saída em 15 por cento, o sistema sinalizará essa linha comocrítico (nas últimas 24 horas) ou como aviso (na última hora).

4 Filtre a origem de dados selecionando as opções Tudo, Crítico ou Aviso.

5 Selecione a unidade de medição para exibir a métrica em número de kilobytes (KBs) ou número deregistros.

6 Para atualizar os dados automaticamente a cada 10 segundos, marque a caixa de seleção Atualizaçãoautomática .

7 Classifique os dados clicando no título da coluna relevante.

Dispositivos de log

Conteúdo Configurar a comunicação com o ELM Definir lista de log padrão Gerenciar registros Exibir os registros de mensagens e as estatísticas do dispositivo Exibir logs do sistema ou do dispositivo

Configurar a comunicação com o ELMSe você pretende enviar dados desse dispositivo para o ELM, identifique o endereço IP do ELM e sincronize odispositivo com o ELM.



3 Atribua um IP ou sincronize os dispositivos.

• Clique em Configuração de <dispositivo>, clique em IP de ELM e digite um novo IP.

• Se o dispositivo ou o ELM tiverem sido substituídos, clique em Sincronizar dispositivo. A sincronização doELM restabelece a comunicação SSH entre os dois dispositivos, usando a chave do novo dispositivo comas configurações anteriores.

Definir lista de log padrãoConfigure dispositivos para enviar seus dados de evento ao ELM, configurando listas de log padrão.

Os dispositivos não enviam eventos ao ELM até que seu período de agregação tenha expirado.

9 Ajuste da configuraçãoDispositivos de log


Tarefa



3 Clique em Configuração | Log.

Opção Definição

Configuração de log Selecione Log para ativá-lo.

Log Clique para acessar Opções de log do ELM.

Página Opções de log do ELM Selecione a lista de armazenamento no ELM onde os dados serãoregistrados.

Dispositivo - associação com oELM

Se você não selecionou o ELM onde os dados serão registrados, confirmeque deseja fazê-lo.

Depois de fazer essa associação, você não poderá alterá-la.

Página Selecionar ELM para log Se você tiver mais de um ELM no sistema, selecione aquele em quedeseja que os dados sejam registrados.

Página Selecionar Endereço IPdo ELM

Selecione o endereço IP pelo qual deseja que o dispositivo se comuniquecom o ELM.

Não há listas do ELM Se você não tem nenhuma lista de armazenamento do ELM, vá paraPropriedades do ELM | Listas de armazenamento para adicioná-las.

Gerenciar registrosSelecione os eventos que deseja salvar no log de eventos.

Tarefa

1 Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Gerenciamento de ESM.

2 Clique em Gerenciar logs e selecione os tipos de evento que deseja registrar.

Exibir os registros de mensagens e as estatísticas do dispositivoVocê pode exibir as mensagens geradas pelo sistema e as estatísticas sobre o desempenho do dispositivo oubaixar um arquivo .tgz com informações de status do dispositivo.

Tarefa



3 Clique em <dispositivo> Gerenciamento.

4 Selecione uma opção.

• Clique em Exibir log para ver as mensagens do sistema, em seguida, clique em Fazer download do arquivointeiro para baixar os dados.

• Clique em Exibir estatísticas para ver as estatísticas do desempenho do dispositivo, como interface daEthernet, ifconfig e filtro iptables.

• Clique em Dados do dispositivo para baixar um arquivo .tgz que contém dados de status do dispositivo.

Ajuste da configuraçãoDispositivos de log 9


Exibir logs do sistema ou do dispositivoOs logs do sistema ou do dispositivo rastreiam eventos nos dispositivos. Abra os logs para ver uma listadetalhada de eventos por dispositivo ou do McAfee ESM.

Tarefa


2 Exiba os logs do sistema.

a Na árvore de navegação do sistema, selecione McAfee ESM e clique no ícone Propriedades .

b Em Propriedades do sistema, clique em Log do sistema.

c Defina um intervalo de tempo, selecione se deseja incluir partições arquivadas e clique em Exibir.

Na página Log do sistema, você pode refinar as seleções de dados ou exportar os dados para um arquivode texto sem formatação.

3 Exiba logs de dispositivo.

a Na árvore de navegação do sistema, selecione o dispositivo e clique no ícone Propriedades .

b Clique em Log do dispositivo.

c Defina um intervalo de tempo, selecione se deseja incluir partições arquivadas e clique em Exibir.

Na página Log do dispositivo, você pode refinar as seleções de dados ou exportar os dados para umarquivo de texto sem formatação.

Como dispositivos virtuais funcionamUse dispositivos virtuais para monitorar tráfego, comparar padrões de tráfego e gerar relatórios.

Objetivo e benefícios

Use dispositivos virtuais para:

• Comparar padrões de tráfego com conjuntos de regras. Por exemplo, configure dispositivos virtuais paraanalisar portas de tráfego da Web e definir políticas em que seja possível ativar ou desativar diferentesregras.

• Gerar relatórios. Usar um dispositivo virtual dessa maneira é como ter uma configuração automática defiltro.

• Monitorar vários caminhos de tráfego de uma vez. Usando um dispositivo virtual, é possível ter políticasseparadas para cada caminho de tráfego e classificar tráfegos diferentes em diferentes políticas.

O número de dispositivos virtuais que você pode adicionar a um McAfee Application Data Monitor variaconforme o modelo.

Como o McAfee ESM usa regras de seleção

O McAfee ESM usa regras de seleção como filtros para determinar os pacotes que um dispositivo virtualprocessa.

Para que um pacote corresponda a uma regra de seleção, todos os critérios de filtro definidos pela regra devemser preenchidos. Se as informações do pacote corresponderem a todos os critérios do filtro para uma únicaregra de seleção, ele será processado pelo dispositivo virtual que contém a regra de seleção correspondente.

9 Ajuste da configuraçãoComo dispositivos virtuais funcionam


Caso contrário, ele será passado para o dispositivo virtual seguinte na ordem. O próprio McAfee ApplicationData Monitor o processa, como padrão, caso nenhuma regra de seleção corresponda a nenhum dispositivovirtual.

Notas sobre dispositivos virtuais IPv4:

• O sistema classifica todos os pacotes para uma única conexão baseado somente no primeiro pacote daconexão. Se o primeiro pacote de uma conexão corresponder a uma regra de seleção para o terceirodispositivo virtual, todos os pacotes subsequentes dessa conexão irão para o terceiro dispositivo virtual.Isso acontece mesmo que os pacotes correspondam a um dispositivo virtual que esteja em posição maisalta na lista.

• O sistema classifica pacotes inválidos (um pacote que não configure uma conexão ou parte de uma conexãoestabelecida) no dispositivo base. Por exemplo, você tem um dispositivo virtual que procura pacotes comuma porta de origem ou de destino igual a 80. Quando um pacote inválido entra por uma porta 80, osistema o classifica no dispositivo base, e não no dispositivo virtual que procura o tráfego da porta 80.Portanto, é possível ver eventos no dispositivo base que aparentemente deveriam ter ido para umdispositivo virtual.

A ordem em que o sistema lista as regras de seleção é importante, pois quando um pacote corresponde a umaregra pela primeira vez, o sistema automaticamente encaminha esse pacote para o dispositivo virtual paraprocessamento. Por exemplo, você adiciona 4 regras de seleção e a quarta na ordem é o filtro que dispara commaior frequência. Isso significa que cada pacote deve passar por outros filtros desse dispositivo virtual antes dechegar à regra de seleção disparada com maior frequência. Para aumentar a eficiência do processamento,mantenha o filtro disparado com maior frequência em primeiro lugar na ordem, e não em último.

Ordem dos dispositivos virtuais

O sistema compara os pacotes que entram no dispositivo McAfee Application Data Monitor às regras deseleção de cada dispositivo virtual na ordem em que os dispositivos virtuais são configurados. Portanto, aordem na qual o sistema verifica os dispositivos virtuais é importante. O pacote só chega às regras de seleçãopara o segundo dispositivo virtual se ele não corresponder a nenhuma regra de seleção no primeirodispositivo.

Dispositivos virtuais do McAfee Application Data Monitor

Os dispositivos virtuais do McAfee Application Data Monitor monitoram o tráfego em uma interface. Podehaver até quatro filtros de interface do McAfee Application Data Monitor no sistema. Cada filtro pode seraplicado a somente 1 dispositivo virtual por vez. Se um filtro estiver atribuído a um dispositivo virtual doMcAfee Application Data Monitor, ele não aparecerá na lista de filtros disponíveis até que seja removido dodispositivo.

Adicionar dispositivos virtuaisVocê pode adicionar dispositivos virtuais aos dispositivos do McAfee Application Data Monitor e definir regrasque determinam os pacotes que cada dispositivo virtual processa.

Antes de iniciarVerifique se os dispositivos do McAfee Application Data Monitor oferecem suporte a dispositivosvirtuais.

Tarefa1 Na árvore de navegação do sistema, selecione um dispositivo do McAfee Application Data Monitor e clique

no ícone Propriedades .

2 Clique em Dispositivos virtuais | Adicionar.

Ajuste da configuraçãoComo dispositivos virtuais funcionam 9


3 Insira as informações solicitadas e clique em OK:

• Nomeie o dispositivo virtual e insira o endereço do URL onde é possível exibir essas informações do

dispositivo virtual, caso haja algum configurado. Clique no ícone Variáveis se precisar adicionar umavariável ao endereço.

• Ative o dispositivo.

• Se existir um ELM em seu sistema e você quiser registrar em log dados recebidos por esse dispositivovirtual no ELM, selecione a lista de armazenamento.

• Se as zonas existirem, selecione a zona para esse dispositivo.

• Defina e determine a ordem das regras de seleção para o dispositivo.

4 Clique em Gravar para adicionar configurações ao dispositivo.

Como funcionam as configurações de mensagemAntes de enviar mensagens via e-mail, mensagem de texto (SMS), syslog ou SNMP, você deve primeiro conectaro McAfee ESM com seu servidor de e-mail. Em seguida, você pode identificar os destinatários da mensagem.

O McAfee ESM envia notificações de alarme usando o protocolo SNMP v1. O SNMP usa o protocolo UDP (UserDatagram Protocol) como o protocolo de transporte para passar dados entre gerenciadores e agentes.

Em uma configuração do SNMP, agentes como o McAfee ESM, encaminham eventos a servidores SNMP(normalmente chamados de Estação de Gerenciamento de Rede [NMS]) usando pacotes de dados conhecidoscomo interceptações. Outros agentes na rede podem receber relatórios de eventos da mesma maneira querecebem notificações. Devido às limitações de tamanho dos pacotes de interceptação do SNMP, o McAfee ESMenvia cada linha do relatório em uma interceptação separada.

O syslog também pode enviar relatórios de CSV gerados pelo McAfee ESM. O syslog envia uma linha pormensagem de syslog de relatórios de CSV de consultas, em que os dados de cada linha dos resultados daconsulta são organizados em campos separados por vírgula.

Conectar servidor de e-mailDefina as configurações para conectar o McAfee ESM ao servidor de e-mail, para enviar alarmes e mensagensde relatório.




9 Ajuste da configuraçãoComo funcionam as configurações de mensagem


3 Clique em Configurações de e-mail e insira as informações solicitadas para conectar o servidor de e-mail.

Opção Descrição

Host e Porta Insira o host e a porta do seu servidor de e-mail.

Usar TLS Selecione se você desejar usar o protocolo de criptografia TLS.

Nome de usuário e senha Digite o nome de usuário e a senha para acessar o servidor de e-mail.

Título Digite um título genérico para todas as mensagens de e-mail enviadas do servidorde e-mail, por exemplo, o endereço IP do McAfee ESM, para identificar qualdispositivo do McAfee ESM gerou a mensagem.

De Digite o seu nome.

Configurar destinatários Adicione, edite ou remova destinatários de mensagens

4 Envie um e-mail de teste para verificar as configurações.

5 Clique em Aplicar ou OK para salvar as configurações.

Gerenciar destinatários de mensagemVocê pode definir os destinatários das mensagens de alarme ou de relatório e agrupar endereços de e-mailpara enviar mensagens a vários destinatários ao mesmo tempo.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Configurações de e-mail.

2 Clique em Configurar destinatários e selecione a guia na qual deseja adicioná-los.

3 Clique em Adicionar e adicione as informações solicitadas.

4 Clique em OK.

Gerenciar grupos de e-mailAgrupe os destinatários de e-mail para poder enviar uma mensagem a diversos destinatários de uma só vez.

Antes de iniciarVerifique se existem destinatários e respectivos endereços de e-mail.

Tarefa1 Na árvore de navegação do sistema, clique no sistema e no ícone Propriedades .

2 Clique em Configurações de e-mail e, em seguida, em Configurar destinatários | Grupos de e-mail.

3 Clique em Adicionar, Editar ou Remover para gerenciar a lista de grupos de destinatários.

4 Forneça as informações solicitadas e clique em OK.

Definir configurações do servidor RemedySe tiver um sistema Remedy configurado, você deverá definir as configurações do Remedy para que o McAfeeESM possa se comunicar com ele.

Antes de iniciarConfiguração de seu sistema Remedy.

Ajuste da configuraçãoComo funcionam as configurações de mensagem 9




3 Clique em Configurações personalizadas | Remedy.

4 Na página Configuração do Remedy, insira as informações de seu sistema Remedy e clique em OK.

Opção Definição

Host Digite o host do sistema Remedy.

Porta Altere o número da porta, se necessário.

Usar TLS Selecione se você desejar usar o TLS como protocolo de criptografia.

Nome de usuário e senha Digite as credenciais do sistema Remedy, se necessário.

Endereços De e Para Digite os endereços de e-mail dos remetentes e destinatários do Remedy.

Gerenciamento de interfaces de redeNa comunicação com os dispositivos, são usadas as interfaces públicas e privadas dos caminhos de tráfego.Isso significa que o dispositivo estará invisível na rede, já que não requer um endereço IP.

Interface de gerenciamento

Como alternativa, os administradores de rede podem configurar uma interface de gerenciamento comendereços IP para comunicação entre o McAfee ESM e o dispositivo. Estes recursos do dispositivo requerem ouso de uma interface de gerenciamento:

• Controle total de cartões de rede de desvio

• Uso de sincronização de hora NTP

• Syslog gerado pelo dispositivo

• Notificações SNMP

Dispositivos equipados com pelo menos uma interface de gerenciamento fornecem ao dispositivo umendereço IP. Com um endereço IP, o McAfee ESM pode acessar diretamente os dispositivos, sem odirecionamento da comunicação para um outro nome de host ou endereço IP de destino.

Não conecte a interface de rede de gerenciamento a uma rede pública, já que ela estará visível para a redepública e sua segurança pode estar comprometida.

Vínculo de interface do McAfee ESM

O McAfee ESM tenta ativar automaticamente o modo de NIC vinculado quando detecta duas interfaces degerenciamento que usam o mesmo endereço IP. Quando o modo vinculado é ativado, as duas interfaces sãoatribuídas ao mesmo endereço IP e MAC. O modo de vinculação usado é o modo 0 (round-robin), que fornecetolerância a falhas.

Para desativar o vínculo de NIC, altere o endereço IP de uma das interfaces, de forma que elas deixem de sercorrespondentes. Em seguida, o sistema automaticamente desativa o modo de NIC vinculado.

9 Ajuste da configuraçãoGerenciamento de interfaces de rede


Configurar interfaces de redeDefina configurações de interface para determinar como o McAfee ESM se conecta a cada dispositivo.

Tarefa1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades .

2 Clique na opção Configuração do dispositivo e depois em Interface.

3 Insira os dados conforme solicitado e clique em Aplicar.

Todas as alterações são enviadas por push para o dispositivo e têm efeito imediatamente. Depois que asalterações são aplicadas, o dispositivo é reinicializado, o que causará a perda de todas as sessões.

Opção Definição

Configuração daplaca de rede dedesvio

Configure a placa de rede de desvio para que o dispositivo transmita todo o tráfego,inclusive tráfego malicioso. Dispositivos no modo de detecção de intrusão não possuemrecursos de desvio e, portanto, apresentam o status Operação normal.

Coletar fluxos (Opcional) Selecione se deseja coletar fluxos do tráfego de ida e volta no dispositivo.

ELM EDS SFTP Se você tiver privilégios de usuário de Acesso SFTP do ELM, poderá exibir e fazerdownload de arquivos de log do ELM armazenados para os dispositivos. Se você tiverprivilégios de Gerenciamento de dispositivos, poderá alterar a porta para acessar osarquivos no campo ELM EDS SFTP.

Não use estas portas: 1, 22, 111, 161, 695, 1333, 1334, 10617 ou 13666.

Use essa configuração com um dos seguintes clientes FTP: WinSCP 5.11, Filezilla,CoreFTP LE ou FireFTP.

HOME_NET Digite os endereços IPs pertencentes à sua organização que determinem a direção dotráfego de fluxo que o dispositivo coletará.

Interfaces Selecione as interfaces a serem usadas e digite os endereços IP para o tipo IPv4 ou IPv6.Se você digitar um endereço IPv4, adicione também o endereço da máscara de rede. Sevocê digitar um endereço IPv6, inclua a máscara de rede no endereço, ou você receberáuma mensagem de erro.Para permitir que o dispositivo seja usado a partir de várias redes (limitado a MGT 1<interface primária> e MGT 2 <primeira interface suspensa> somente), adicione maisinterfaces.

Para ativar a vinculação de NIC, selecione Gerenciamento no primeiro campo, depoisdigite o mesmo endereço IP e máscara de rede como NIC principal (primeira linha nacaixa de diálogo).

Modo IPv6 Selecione se o modo IPv6 deve ser ativado.

• Desligado: O modo IPv6 não está ativado. Os campos IPv6 são desativados.

• Automático: o modo IPv6 está ativado. Cada host determina seu endereço com baseno conteúdo de anúncios recebidos do usuário. Ele usa o padrão IEEE EUI-64 paradefinir a parte do ID de rede do endereço. Os campos IPv6 são desativados.

• Manual: o modo IPv6 está ativado. Os campos IPv6 são ativados.

Porta SSH Selecione a porta pela qual o sistema permite acesso entre McAfee ESM e osdispositivos.

4 Defina as configurações de rede avançadas para o dispositivo selecionado (os campos variam de acordocom o dispositivo selecionado).

Ajuste da configuraçãoGerenciamento de interfaces de rede 9


Opção Definição

Mensagens ICMP Selecione uma das seguintes opções para ICMP.

Redirecionar: caso esta opção seja selecionada, o McAfee ESM ignorará mensagensredirecionadas.Destino inacessível: se esta opção for selecionada, o McAfee ESM gerará uma mensagemquando não for possível entregar um pacote ao destino por motivos que não sejam ocongestionamento.

Ativar ping: se esta opção for selecionada, o McAfee ESM enviará uma mensagem deResposta de eco para uma Solicitação de eco enviada a um endereço IPv6 multicast/anycast.

Configurações deIPMI

Para gerenciar remotamente os dispositivos do McAfee ESM pelo cartão IPMI quandouma NIC de IPMI for conectada a um switch, adicione as configurações de IPMI.

• Ativar configurações de IPMI — Selecione para ter acesso aos comandos da IPMI.

• VLAN, Endereço IP, Máscara de rede, Gateway — Insira as configurações para definir arede para a porta IPMI.

Adicionar VLANs e aliasesAdicione redes virtuais de área local (VLANs) e aliases a uma interface ACE ou ELM. Os aliases são endereços IPe pares de máscaras de rede atribuídos que você adiciona quando tem um dispositivo de rede que possui maisde um endereço IP.

Tarefa1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades , em seguida

clique na Configuração do dispositivo.

2 Na seção Interfaces da guia Rede, clique em Configuração, depois em Avançado.

3 Clique em Adicionar VLAN, insira as informações solicitadas e clique em OK.

Opção Definição

VLAN O número que identifica a VLAN no sistema.

DHCP Permite que os serviços do DHCP em ambientes que não sejam na nuvem. O DHCP é útilse você precisar redefinir os endereços IP da rede.

Se você estiver usando um ELM redundante, a redundância será interrompida se oendereço IP do dispositivo redundante for alterado.

IPv4 ou IPv6 IPv4 é selecionado por padrão. Se o IPv6 estiver definido como Manual ou Automático napágina Configurações de rede, o botão de seleção IPv6 estará ativado.

Endereço IP O endereço IP da VLAN.

Máscara de rede A máscara de rede de IPv4 (desativada se o endereço IP estiver no formato IPv6).



4 Selecione a VLAN onde deseja adicionar o alias e clique em Adicionar alias.

Opção Definição

VLAN A VLAN em que o alias se encontra. Esse campo é preenchido previamente com o númeroda VLAN à qual o alias está sendo adicionado. Se for a VLAN Desmarcada, o número será 0.

Versão de IP Mostra se o endereço IP está no formato IPv4 ou IPv6.

Endereço IP O endereço IP do alias.

Máscara de rede A máscara de rede (se o endereço IP estiver no formato IPv4).

5 Insira as informações solicitadas e clique em OK.

Adicionar rotas estáticasUma rota estática é um conjunto de instruções sobre como alcançar um host ou uma rede que não estejamdisponíveis pelo gateway padrão.


2 Clique em Configuração | Interfaces.

3 Ao lado da tabela Rotas estáticas, clique em Adicionar.

4 Insira as informações e clique em OK.

Definir configurações de redeConfigure o modo como o McAfee ESM se conecta à rede adicionando o gateway do servidor e os endereços IPdo servidor DNS, definindo as configurações do servidor proxy, configurando o SSH e adicionando rotasestáticas.



3 Clique em Configurações de rede.

4 Defina as configurações na guia Principal.

Opção Definição

Interface 1, Interface 2 Define as interfaces disponíveis. Pelo menos uma interface deve ser ativada.

Rede local Define a rede local, incluindo os endereços IP ou as sub-redes. Os valores sãoseparados por vírgulas.

Ativar SSH(não disponível nomodo FIPS)

Permite a comunicação segura via SSH.

O McAfee ESM e os dispositivos usam uma versão de SSH habilitada para FIPS. Osclientes SSH OpenSSH, Putty, dropbear, Cygwin ssh, WinSCP e TeraTerm foramtestados e funcionam. Caso esteja usando o Putty, a versão 0.62 é compatível evocê pode fazer download em http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html.

Porta SSH A porta usada para conexões de SSH.



Opção Definição

Gerenciar chaves deSSH

Se você tiver ativado conexões de SSH, os sistemas listados poderão se comunicarpela porta de SSH. Se uma ID de sistema for excluída da lista, a comunicação serádesativada.

Configurações de IPv6 • Desligado: o modo IPv6 está desativado.

• Automático: os campos IPv6 primário e IPv6 secundário serão desativados. Cadahost determina seu endereço com base no conteúdo de anúncios recebidos dousuário. Ele usa o padrão IEEE EUI-64 para definir a parte do ID de rede doendereço.

• Manual: os campos IPv6 primário e IPv6 secundário são ativados.

5 Selecione a guia Avançado e configure as mensagens do protocolo ICMP (Internet Control Message Protocol)e da IPMI (Intelligent Platform Management Interface).

Opção Definição

Mensagens ICMP • Redirecionar: o McAfee ESM ignora mensagens redirecionadas.

• Destino inacessível: o McAfee ESM gera uma mensagem quando não for possívelentregar um pacote ao destino por motivos que não sejam o congestionamento.

• Ativar PING: o McAfee ESM envia uma mensagem de Resposta de eco em resposta auma mensagem de Solicitação de eco enviada a um endereço IPv6 multicast/anycast.

Configurações deIPMI

Define a placa de IPMI para gerenciar dispositivos do McAfee ESM se houver uma NICde IPMI conectada a um switch.• Ativar configurações de IPMI: permite o acesso aos comandos de IPMI.

• VLAN, Endereço IP, Máscara de rede, Gateway: configura a rede para a porta de IPMI.

6 Se sua rede usar um servidor proxy, selecione a guia Proxy e configure a conexão com o McAfee ESM.

Opção Definição

IPv4 ou IPv6 Em dispositivos, se você possui uma interface usando um endereçoIPv6, pode selecionar IPv6. Caso contrário, IPv4 será selecionado.

Endereço IP, Porta, Nome de usuário,Senha

Informações necessárias para se conectar ao servidor proxy.

Autenticação básica Implementa a verificação de autenticação básica.



7 Selecione a guia Tráfego e clique em Adicionar para definir um valor de saída de dados máximo para umarede e a máscara para controlar a taxa na qual o tráfego de saída é enviado.

Opção Definição

Coluna Rede Mostra os endereços das redes em que o sistema controla o tráfego desaída.

Coluna Máscara (Opcional) Mostra as máscaras dos endereços de rede.

Coluna Taxa de transferênciamáxima

Exibe a taxa de transferência máxima que você definiu para cada rede.

8 Para adicionar ou editar rotas estáticas, selecione a guia Rotas estáticas e, em seguida, clique em Adicionar ouEditar.

Rota estática é um conjunto especificado de instruções sobre como atingir um host ou uma rede nãodisponíveis por meio do gateway padrão. Quando você adiciona uma rota estática, a alteração é enviada porpush para o McAfee ESM e tem efeito imediatamente quando você clica em Aplicar. Depois que asalterações são aplicadas, o McAfee ESM é reinicializado, levando à perda de todas as sessões.

Opção Definição

IPv4 ou IPv6 Determina se essa rota estática buscará o tráfego de IPv4 ou IPv6.

Rede O endereço IP de rede dessa rota.

Máscara A máscara de rede.

Gateway O endereço IP do gateway dessa rota.

Configurar o controle de tráfego de redeDefina um valor máximo de saída de dados para uma rede e máscara para controlar a taxa de envio do tráfegode saída para cada dispositivo.

A limitação do tráfego pode causar perdas de dados.


2 Clique em Configurações de rede e na guia Tráfego.

3 Para adicionar controles a um dispositivo, clique em Adicionar, insira o endereço de rede e máscara, defina ataxa em quilobits (KB), megabits (MB) ou gigabits (GB), selecione a taxa por segundo para enviar tráfego eclique em OK.

Se você definir a máscara como zero (0), todos os dados enviados serão controlados.

4 Clique em Aplicar.

Configurações de rede para portas IPMIConfigure portas IPMI no McAfee ESM ou seus dispositivos para executar as seguintes ações:

• Conecte o NIC (Network interface controller) do IPMI em um switch para que ele fique disponível para osoftware IPMI.

• Acesse uma KVM (Kernel-based Virtual Machine) baseada em IPMI.

• Defina a senha de IPMI do usuário padrão.

• Acesse os comandos IPMI, como ligar e status de energia.



• Redefina a placa IPMI.

• Realize uma redefinição a quente e a frio.

Configurar a porta IPMI no McAfee ESM ou nos dispositivosConfigure a rede da porta IPMI para configurar o IPMI no McAfee ESM ou em seus dispositivos.

Antes de iniciarO sistema deve incluir um NIC IPMI.

Tarefa1 Na árvore de navegação do sistema, selecione o sistema ou qualquer um dos dispositivos e clique no ícone

Propriedades do sistema .

2 Acesse a guia Configurações de rede Avançado.

• Em McAfee ESM, clique em Configurações de rede | Avançado.

• Em um dispositivo, clique na opção Configuração e em Interfaces | Avançado

3 Selecione Ativar configurações de IPMI e digite a VLAN, o endereço IP, a máscara de rede e o gateway do IPMI.

Se Ativar configurações de IPMI estiver esmaecido no BIOS do dispositivo, será necessário atualizar o BIOS dosistema. Instale o SSH no dispositivo e abra o arquivo /etc/areca/system_bios_update/Contents‑README.txt.


Ao fazer upgrade do dispositivo, uma mensagem pode recomendar que você altere a senha ou recodifique odispositivo para configurar o IPMI.

Configurar o controle de tráfego de redeDefina um valor de saída de dados máximo para uma rede e máscara para controlar a taxa de envio do tráfegode saída. As opções são KB (quilobits), MB (megabits) e GB (gigabits) por segundo.

A limitação do tráfego pode causar perdas de dados.



3 Clique em Configurações de rede e selecione a guia Tráfego.

A tabela listará os controles existentes.

4 Adicione os controles de um dispositivo.

a Clique em Adicionar.

b Defina o endereço, a máscara e a taxa de transferência da rede.

Se você definir a máscara como zero (0), todos os dados enviados serão controlados.



Trabalhar com nomes de hostAssocie os nomes de host do dispositivo a seus endereços IP correspondentes. Adicione, edite, remova,pesquise, atualize e importe nomes de host, além de definir em quanto tempo o nome do host aprendidoautomaticamente expira.

Na exibição dos dados de um evento, você pode mostrar os nomes de host associados aos endereços IP do

evento, clicando no ícone Mostrar nomes de host , localizado na parte inferior dos componentes da exibição.

Se os eventos existentes não estiverem marcados com um nome de host, o sistema fará uma busca na tabelade hosts do McAfee ESM e marcará os endereços IP com seus respectivos nomes de host. Se os endereços IPnão estiverem na tabela de hosts, o sistema realizará uma pesquisa de DNS (Sistema de Nomes de Domínio)para localizar os nomes de host. Os resultados da pesquisa são mostrados na exibição e adicionados à tabelade hosts.

Na tabela de hosts, esses dados são marcados como Aprendidos automaticamente e expiram depois do períododesignado no campo As entradas expiram após, localizado abaixo da tabela de hosts, em Propriedades do sistema |Hosts. Se os dados já tiverem expirado, outra pesquisa de DNS será realizada na próxima vez que vocêselecionar a opção Mostrar nomes de host em uma exibição.

A tabela de hosts lista os nomes de host adicionados e aprendidos automaticamente e seus endereços IP. Épossível adicionar informações à tabela de hosts manualmente, digitando cada um dos nomes de host eendereços IP ou importando uma lista delimitada por tabulação de nomes de host e endereços IP. Quanto maisdados forem adicionados dessa maneira, menos tempo será gasto em pesquisas de DNS. Se você adicionar umnome do host manualmente, ele não expirará, mas poderá ser editado ou removido.

Gerenciar nomes de hostRealize as ações necessárias para gerenciar nomes de host, por exemplo, adicionar, editar, importar, removerou pesquisar. Também é possível definir o tempo de expiração para hosts aprendidos automaticamente.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Hosts.

2 Selecione uma opção e digite a informação solicitada.

• Ao adicionar um host, você pode digitar um nome de host de até 100 caracteres e endereços IP emnotação válida de IPv4 ou IPv6, incluindo uma máscara.

• Altere ou exclua os nomes de host existentes.

• Ao configurar as informações de uma rede interna, você pode pesquisar o nome de host para umendereço IP.

• Importe uma lista delimitada por tabulação de endereços IP e nomes de host.

• Defina o período durante o qual você deseja que os nomes de host aprendidos automaticamentepermaneçam na tabela. Se você não quiser que eles expirem, selecione zero (0) em todos os campos.


Importar uma lista de nomes de hostImporte um arquivo de texto que contenha endereços IP e os respectivos nomes de host.

Antes de iniciarCrie o arquivo delimitado por tabulação com nomes de host e endereços IP.



Cada registro do arquivo deve ser listado em uma linha independente, com o endereço IP primeiro emanotação IPv4 ou IPv6. Por exemplo:

102.54.94.97 rhino.acme.com

08c8:e6ff:0100::02ff x.acme.com

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do sistema, depois clique em Hosts | Importar.

2 Navegue até o arquivo de texto e clique em Fazer upload. Se o arquivo contiver endereços IP já incluídos natabela de hosts com um nome do host diferente, a página Duplicados listará os registros que estãoduplicados.

• Para alterar o nome do host da tabela para o nome que consta no arquivo de texto, selecione-o nacoluna Usar e clique em OK.

• Para manter os dados de host existentes, não marque a caixa de seleção, e clique em OK.

Dados inseridos manualmente não expiram. O sistema adiciona os novos dados de host à tabela de host.A coluna Aprendidos automaticamente desses dados Informa Não.

Configurar o protocolo DHCP (Dynamic Host Configuration Protocol)Use o protocolo DHCP em redes IP para distribuir, de maneira dinâmica, os parâmetros de configuração derede, como endereços IP para interfaces e serviços.

Quando você configura o McAfee ESM para distribuição na nuvem, o sistema ativa o DHCP automaticamente eatribui um endereço IP.

Quando não estiver na nuvem, você poderá ativar e desativar serviços do DHCP no McAfee ESM, receptor nãoHA, ACE e ELM, caso tenha privilégios de Gerenciamento de dispositivos. Isso é útil quando você precisaredefinir os endereços IP da sua rede.

O sistema desativa aliases quando o DHCP é ativado.

Tarefa1 Na árvore de navegação do sistema, selecione o dispositivo e clique no ícone Propriedades .


• Para o McAfee ESM, clique em Configurações de rede e na guia Principal.

• Para um dispositivo, selecione a opção Configuração do dispositivo, clique em Interfaces e na guia Rede.

3 Clique em Configuração no campo Interface 1 e selecione DHCP.

Para dispositivos que não sejam Receptores, é necessário reiniciar o servidor McAfee ESM.

4 Clique em Adicionar VLAN, digite o número de VLAN e selecione DHCP.

5 Clique em OK e em Aplicar.

Para dispositivos que não sejam Receptores, é necessário reiniciar o servidor McAfee ESM.



Coleta da Camada 7 no McAfee Network Security ManagerOs dados da Camada 7 são preenchidos no banco de dados do McAfee Network Security Manager depois que oevento do NSM é gravado em seu banco de dados. Eles não entram no sistema como parte do evento.

Para efetuar pull das informações da Camada 7 pelo NSM, você pode atrasar o pull do evento para que osdados da Camada 7 sejam incluídos. Esse atraso se aplica a todos os eventos do NSM, não apenas aosassociados aos dados da Camada 7.

Você pode definir esse atraso ao realizar três ações no NSM:

• Adicionar um dispositivo NSM da McAfee ao console

• Configurar um dispositivo NSM

• Adicionar uma origem de dados do NSM

Adição de um dispositivo McAfee Network Security Manager

Ao adicionar o dispositivo McAfee Network Security Manager ao McAfee ESM, selecione Ativar coleta da Camada7 e defina o atraso no Assistente de adição de dispositivo.

Configuração de dispositivo McAfee Network Security Manager

Depois de adicionar um dispositivo McAfee Network Security Manager ao McAfee ESM, defina as configuraçõesde conexão do dispositivo. Você pode selecionar Ativar coleta da Camada 7 e definir o atraso.

Adição de origem de dados do McAfee Network Security Manager

Para adicionar uma origem de dados do McAfee Network Security Manager a um Receptor, selecione McAfeeem Fornecedor da origem de dados e Network Security Manager - SQL Pull (ASP) em Modelo da origem de dados.Você pode selecionar Ativar coleta da Camada 7 e definir o atraso.

Origens de dados

Conteúdo Localize os clientes de origem de dados Mover origens de dados para outro sistema Migrar origens de dados para outros receptores Importar uma lista de origens de dados

Localize os clientes de origem de dadosVocê pode ter mais de 65.000 clientes. Use a pesquisa para localizar um cliente de origem de dados específico.


2 Na árvore de navegação do sistema, selecione o receptor e clique no ícone Propriedades .

3 Clique em Clientes de | origens de dados.

4 No campo Pesquisar, insira as informações que deseja procurar e clique em Pesquisar.

Ajuste da configuraçãoOrigens de dados 9


Mover origens de dados para outro sistemaMova as origens de dados de receptores protegidos para receptores em locais desprotegidos em sistemasdiferentes. Selecione as origens de dados a serem movidas, salve-as, assim como seus dados brutos, em umlocal remoto, em seguida, importe as origens para outro receptor.

Antes de iniciarVerifique se você possui direitos de gerenciamento de dispositivo em ambos os receptores.

Existem limitações para a exportação de informações de origens de dados:

• Não é possível transportar origens de dados de fluxo (por exemplo, IPFIX, NetFlow ou sFlow).

• Os eventos de origem dos eventos correlacionados não são exibidos.

• Se você alterar as regras de correlação do segundo receptor, o mecanismo de correlação não processaráessas regras. Quando você transporta dados de correlação, o sistema insere esses eventos do arquivo.

Tarefa1 Na árvore de navegação do sistema, clique em Propriedades do receptor.

2 Para selecionar as origens de dados e o local remoto, faça o seguinte:

a Selecione a origem de dados e clique em Editar.

b Clique em Avançado e selecione Exportar no formato NitroFile.

Os dados são exportados para um local remoto e configurados com o uso de um perfil. Agora, o sistemacopia os dados brutos gerados por essa origem de dados para o local de compartilhamento remoto.

3 Para criar o arquivo de dados brutos, faça o seguinte:

a Acesse o local de compartilhamento remoto onde os dados brutos são salvos.

b Salve os dados brutos que foram gerados em um local que permita mover o arquivo para o segundoReceptor (como um pen-drive que você leva para o local não protegido).

4 Para criar um arquivo que descreva as origens de dados, faça o seguinte:

a Selecione a origem de dados e clique em Importar.

b Localize o arquivo das origens de dados que foi movido e clique em Fazer upload.

c Na lista Perfil de compartilhamento remoto, selecione o local onde você salvou os arquivos de dadosbrutos. Se o perfil não estiver na lista, clique em Perfil de compartilhamento remoto e adicione o perfil.

As origens de dados são adicionadas ao segundo receptor e os dados brutos são acessados por meio doperfil de compartilhamento remoto.

5 Para importar arquivos de dados brutos e de origem de dados, faça o seguinte:

a Na árvore de navegação do sistema do segundo receptor, acesse Origens de dados e clique em Importar.

b Localize o arquivo das origens de dados que foi movido e clique em Fazer upload.

c Na lista Perfil de compartilhamento remoto, selecione o local onde você salvou os arquivos de dadosbrutos. Se o perfil não estiver na lista, clique em Perfil de compartilhamento remoto e adicione o perfil.

6 Clique em OK.

9 Ajuste da configuraçãoOrigens de dados


Migrar origens de dados para outros receptoresRealoque ou redistribua as origens de dados entre receptores no mesmo sistema.Migre origens de dados para novos receptores e equilibre as origens de dados entre receptores. Ou, se vocêsubstituir o receptor, poderá transferir suas origens de dados do receptor atual para o novo.


2 Na árvore de navegação do sistema, selecione o receptor e clique no ícone Propriedades .

3 Clique em Origens de dados.

4 Selecione as origens de dados que serão migradas e clique em Migrar.

5 Selecione o novo Receptor no campo Receptor de destino e clique em OK.

Importar uma lista de origens de dadosImporte uma lista de origens de dados (em formato .csv), eliminando a necessidade de adicionar, editar ouremover cada origem de dados.

Use esta opção nas seguintes situações:

• Para importar dados brutos da origem de dados de um Receptor em um local protegido para um Receptorem um local não protegido.

• Para editar as origens de dados em um Receptor adicionando origens de dados à lista existente e editandoou removendo origens de dados existentes. Se isso for o que você precisa fazer, siga as etapas a seguir.

Tarefa1 Exporte uma lista de origens de dados que estão atualmente no Receptor.

a Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origens de dados.

b Clique em Exportar e em Sim para confirmar o download.

c Selecione o local do download, altere o nome do arquivo, se necessário, e clique em Salvar.

d Acesse e abra esse arquivo.

2 Adicione, edite ou remova as origens de dados da lista.

a Na coluna A, especifique se vai adicionar, editar ou remover a origem de dados.

b Para adicionar ou editar origens de dados, insira as informações nas colunas da planilha.

Não é possível editar a política ou o nome da origem de dados.

c Salve as alterações efetuadas na planilha.

Não é possível editar uma origem de dados para ser de uma origem de dados cliente ou vice e versa.

3 Importe a lista para o Receptor.

a Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origens de dados.

b Clique em Importar, selecione o arquivo e clique em Fazer upload.

Não é possível alterar a política ou o nome da origem de dados.

Ajuste da configuraçãoOrigens de dados 9


c Para importar as alterações, clique em OK.

d Se houver erros na formatação das alterações, um Registro de mensagens descreve o erros.

e Clique em Fazer download de todo o arquivo e clique em Sim.

f Selecione o local para salvar o download, altere o nome do arquivo se necessário e clique em Salvar.

g Abra o arquivo obtido por download.

h Corrija os erros, salve e feche o arquivo.

i Feche Log de mensagens e Importar origens de dados, clique em Importar e selecione o arquivo que foisalvo.

j Clique em OK.

Como a avaliação de vulnerabilidade funcionaA avaliação de vulnerabilidade (VA) no DEM e no Receptor permite que você integre dados que podem serrecuperados de muitos fornecedores de VA.

Você pode usar os dados de VA de várias maneiras.

• Determine a gravidade de um evento com base na vulnerabilidade conhecida do terminal a esse evento.

• Defina o sistema para que detecte automaticamente os ativos e seus atributo (sistema operacional eserviços).

• Crie e manipule a associação de grupos de ativos definidos pelo usuário.

• Acesse o resumo e faça uma busca detalhada das informações dos ativos da rede.

• Altere a configuração do Editor de políticas, como ativar as assinaturas do MySQL se for descoberto algumativo executando o MySQL.

Use as exibições predefinidas ou personalizadas para acessar os dados de VA gerados pelo sistema.

Se você criar uma exibição que inclua o componente número total de vulnerabilidades, contagem ou discagem,poderá haver uma contagem aumentada de vulnerabilidades. Isso ocorre porque o feed do MTIS (McAfee ThreatIntelligence Services) está adicionando ameaças com base na vulnerabilidade original relatada pela origem de VA.

A McAfee mantém regras que mapeiam sigIDs da McAfee para VINs para referências à ID de CVE (CommonVulnerabilities and Exposures), ID de BugTraq, ID de OSVDB (Open Source Vulnerability Database) e/ou ID deSecunia. Esses fornecedores relatam IDs de CVE e BugTraq em suas vulnerabilidades.

Obtenha as credenciais do McAfee Vulnerability ManagerPara conectar o McAfee Vulnerability Manager ao McAfee ESM, é preciso ter as credenciais do McAfeeVulnerability Manager (por exemplo, o certificado e a senha).

Tarefa1 No servidor que está executando o Foundstone Certificate Manager, execute o Foundstone Certificate

Manager.exe.

2 Clique na guia Criar certificados SSL.

3 No campo Endereço de host, digite o nome do host ou o endereço IP do sistema que hospeda a interface daWeb para o McAfee Vulnerability Manager e clique em Resolver.

9 Ajuste da configuraçãoComo a avaliação de vulnerabilidade funciona


4 Clique em Criar certificado usando Nome Comum para gerar a senha e um arquivo zip.

5 Faça upload do arquivo zip e copie a senha gerada.

Executar varreduras do McAfee Vulnerability ManagerConfigure o McAfee ESM para executar varreduras de vulnerabilidade do McAfee Vulnerability Manager. UmaAPI verifica a existência de credenciais de entrada e preenche a lista de varredura com base nessas credenciais,a cada 60 segundos.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do MVM e clique em Varreduras.

2 Clique em Nova varredura e insira as informações solicitadas.

Opção Definição

Endereço IP/Faixa Insira o endereço, faixa ou URL de IP para executar a varredura.

Nome da varredura (Opcional) Digite um nome para a varredura. Se você não inserir um nome, o McAfeeVulnerability Manager usará o nome padrão QuickScan_nn (nn = seu nome).

Modelo (Opcional) Selecione o modelo de varredura, que é o nome de uma configuração devarredura existente. Se você não selecionar um nome, será usado o padrão.

Mecanismo (Opcional) Selecione o mecanismo de varredura. Se você não selecionar um nome, seráusado o padrão.

3 Clique em OK.

Definir perfis de sistema de VA para eEye REMDefina perfis de avaliação de vulnerabilidade (VA) para usar adicionando uma fonte de eEye REM.

Tarefa1 Na árvore de navegação do sistema, selecione um dispositivo DEM ou receptor e clique no ícone

Propriedades .

2 Clique em Vulnerability Assessment | Adicionar.

3 No campo Tipo de origem VA, selecione eEye REM.

4 Clique em Usar perfil de sistema.

5 Clique em Adicionar e selecione Vulnerability Assessment no campo Tipo de perfil.

6 No campo Agente do perfil, selecione a versão de SNMP deste perfil.

Os campos na página são ativados de acordo com a versão selecionada.


Arquivos de log do Qualys QualysGuard estão limitados a 2 GB.

Ajuste da configuraçãoComo a avaliação de vulnerabilidade funciona 9


Adicionar origens de VAPara se comunicar com origens de avaliação de vulnerabilidade (VA), adicione-as ao sistema, adicioneparâmetros de comunicação ao fornecedor de VA, agende os parâmetros de frequência de recuperação dosdados e altere cálculos de gravidade.

Tarefa1 Na árvore de navegação do sistema, selecione um dispositivo DEM ou receptor e clique no ícone

Propriedades .

2 Clique em Vulnerability Assessment.

3 Adicione, edite, remova ou recupere origens de VA e grave as alterações no dispositivo.

Opção Definição

ID do cliente Digite o número da ID do cliente Frontline. Esse campo é obrigatório para oDigital Defense Frontline.

Nome da empresa No FusionVM, insira o nome da empresa que deve passar pela varredura. Sevocê deixar esse campo em branco, o sistema varrerá todas as empresas aoqual o usuário pertence. Separe vários nomes de empresas por vírgulas.

Recuperação de dados (Qualys QualysGuard) Selecione o método para recuperar dados de VA. HTTP/HTTPS é o padrão. As outras opções são SCP, FTP, NFS, CIFS e Upload manual.

O limite de tamanho para upload manual de um arquivo de log do QualysQualysGuard é 2 GB.

Domínio Digite o domínio do sistema Windows (opcional, a menos que seu controladorde domínio ou servidor existam em um domínio).

Diretório do arquivo devarredura exportado

Diretório onde os arquivos de varredura exportados residem

Formato do arquivo devarredura exportado

Formato do arquivo de varredura exportado (XML, NBE)

Diretório de instalação O local onde o Saint foi instalado no servidor. O diretório de instalação para ummecanismo de varredura de appliance Saint é

/usr/ local/sm /

Endereço IP • Para eEye REM: o endereço IP do servidor eEye que envia informações sobreinterceptações

• Para eEye Retina: o endereço IP do cliente que armazena os arquivos devarredura exportados (.rtd)

• Para Nessus, OpenVAS, LanGuard e Rapid7 Metasploit Pro: o endereço IP docliente que armazena os arquivos de varredura exportados

• Para NGS: o endereço IP do sistema que armazena os relatórios Squirrel

• Para Rapid7, Lumension, nCircle e Saint: o endereço IP do respectivo servidor

Diretório de montagem Se você selecionar nfs no campo Método, o sistema adicionará campos deDiretório de montagem. Insira o diretório de montagem definido na configuraçãodo nfs.

Método O método usado para recuperar os arquivos de varredura exportados(montagem SCP, FTP, NFS ou CIFS). O LanGuard sempre usa CIFS.



Opção Definição

Senha • Para Nessus, OpenVAS, LanGuard e Rapid7 Metasploit Pro: a senha do SCP ouFTP.

• Para NGS: a senha para os métodos SCP e FTP.

• Para Qualys e FusionVM: a senha para o Qualys Front Office ou o nome deusuário do Fusion VM.

• Para Rapid7 Nexpose, Lumension, nCircle e Saint: a senha a ser usada ao seconectar ao servidor Web.

• Para Digital Defense Frontline: a senha da interface da Web.

Porta A porta de escuta do servidor Web Rapid7 Nexpose, Lumension, nCircle ouSaint. O padrão para o Rapid7 Nexpose é 3780, para o Lumension é 205, para onCircle é 443, para o Saint é 22.

Nome do projeto/área detrabalho

Nome de um projeto ou área de trabalho específica, ou deixe o campo embranco para utilizar todos os projetos ou áreas de trabalho.

Endereço IP do proxy O endereço IP do proxy HTTP.

Senha do proxy Senha para o nome de usuário do proxy.

Porta do proxy A porta de escuta para o proxy HTTP.

Nome de usuário do proxy Um nome de usuário para o proxy.

URL do servidor Qualysou FusionVM

O URL do servidor Qualys ou FusionVM para consulta.

Caminho remoto e nomede compartilhamento

Para Nessus com método CIFS, OpenVAS, eEye Retina, Metasploit Pro, LanGuarde NGS.

Você pode usar as barras "\" ou "/" no nome do caminho (por exemplo,

Programa Files\CIFS\va

ou

/Program Files/CIFS/va)

Agendar receptor ouRecuperação de dados doDEM

Indique a frequência de recuperação de dados de VA do Receptor ou do DEM:• Diariamente: selecione a hora em que deseja que os dados sejam recuperados

todos os dias.

• Semanalmente: selecione o dia da semana e a hora em que deseja que osdados sejam recuperados.

• Mensalmente: selecione o dia do mês e a hora em que deseja que os dadossejam recuperados.

Se você não quiser que os dados sejam recuperados em um horáriopredefinido, selecione Desativado.

O eEye REM não oferece suporte à recuperação de dados da origem; portanto,os dados devem ser recuperados do Receptor ou DEM.

Agendar recuperação dedados de VA

Indique a frequência de recuperação de dados de VA da origem de VA.

Sessão Saint: a sessão de onde os dados são coletados. Para incluir todas as sessões,digite Todas.

Senha de autenticação doSNMP

Se você selecionar authNoPriv ou authPriv no campo Nível de segurança do SNMP,esse campo será ativado. Insira a senha para o protocolo de autenticaçãoselecionado no campo Protocolo de autenticação do SNMP.



Opção Definição

Protocolo de autenticaçãodo SNMP

Se você selecionar authNoPriv ou authPriv no campo Nível de segurança do SNMP,esse campo será ativado. Selecione o tipo de protocolo para essa origem: MD5ou SHA1 (SHA1 e SHA referem-se ao mesmo tipo de protocolo). Verifique se asua configuração do Servidor de eventos do REM corresponde à opçãoselecionada.

Comunidade do SNMP A comunidade do SNMP definida quando você configurou o Servidor de eventosdo REM.

Senha de privacidade doSNMP

Se você selecionar authPriv no campo Nível de segurança do SNMP, esse camposerá ativado. Insira a senha para o protocolo de privacidade DES ou AES. Nomodo FIPS, AES é a única opção disponível.

Protocolo de privacidadedo SNMP

Se você selecionar authPriv no campo Nível de segurança do SNMP, esse camposerá ativado e você poderá selecionar DES ou AES. No modo FIPS, AES é a únicaopção disponível.

Nível de segurança doSNMP

Nível de segurança para esta origem:

• noAuthNoPriv: nenhum protocolo de autenticação ou protocolo deprivacidade

• authNoPriv: existe um protocolo de autenticação, mas não um protocolo deprivacidade

• authPriv: existem protocolos de autenticação e de privacidade.

Os campos de autenticação e privacidade do SNMP serão ativados com base nonível de segurança selecionado. Verifique se a sua configuração do Servidor deeventos do REM corresponde à opção selecionada.

Nome de usuário do SNMP Nome de segurança na Configuração do Servidor de eventos do REM

Versão do SNMP A versão do SNMP para a origem. Os campos do SNMP são ativados com basena versão selecionada.

ID do mecanismo doSNMPv3

(Opcional) O ID do mecanismo do SNMPv3 do remetente de interceptações seum perfil SNMPv3 for usado.

Senha de sudo (Opcional) Digite a senha exigida para acessar o diretório de instalação do Saint.

Tempo limite Esse campo permite que você use o valor padrão de tempo limite para umaorigem ou forneça um valor específico de tempo limite. Você pode aumentar ovalor do tempo limite para permitir um tempo maior para a recuperação dosdados de VA. Quando um valor é fornecido, ele é usado para todas ascomunicações.

Token (Opcional) Token de autenticação que pode ser definido nas Configuraçõesglobais do Metasploit.

URL URL do servidor Digital Defense Frontline.

Usar proxy HTTP Se você optar por usar o proxy HTTP, os campos Endereço IP do proxy, Porta doproxy, Nome de usuário do proxy e Senha do proxy serão ativados.

Usar modo passivo Se você selecionar ftp no campo Método, esse campo será ativado. Depois,selecione quando usar o modo passivo.

Usar sudo Selecione essa opção se você tiver acesso ao diretório de instalação do Saint edesejar usar esse acesso.

Usar perfil de sistema(eEye REM)

Selecione se deseja usar um perfil definido anteriormente. Essa opção serádesativada em todos os campos SNMP. Quando você seleciona um dos perfis desistema existentes, os campos são preenchidos com as informações do perfilselecionado.



Opção Definição

Nome de usuário Se você estiver usando o modo de autenticação do Windows para o SQL Server,insira o nome de usuário da caixa do Windows. Caso contrário, insira o nome deusuário do SQL Server.

• Para Nessus, OpenVAS e Rapid7 Metasploit Pro: o nome de usuário do SCP ouFTP.

• Para NGS: o nome de usuário para os métodos SCP e FTP.

• Para Qualys ou FusionVM: o nome de usuário do Front Office ou FusionVMcom o qual executar a autenticação.

• Para Rapid7 Nexpose, Lumension, nCircle e Saint: o nome de usuário a serusado ao se conectar ao servidor Web.

• Para Digital Defense Frontline: o nome de usuário da interface da Web.

Nome da origem de VA Nome dessa origem

Expressão curinga Expressão curinga usada para descrever o nome dos arquivos de varreduraexportados. A expressão curinga pode usar um asterisco (*) ou um ponto deinterrogação (?) com a definição padrão de caractere curinga em um nome dearquivo.

Se você tiver arquivos NBE e XML, especifique se deseja arquivos NBE ou XMLnesse campo (por exemplo, *.NBE ou *.XML). Se você usar somente umasterisco (*), ocorrerá um erro.


Recuperar dados de VAVocê pode recuperar dados de avaliação de vulnerabilidade imediata ou agendada (VA) de uma origem dedados. A recuperação de dados eEye REM não pode ser imediata; precisa ser agendada.


2 Na árvore de navegação do sistema, selecione o DEM ou o Receptor e clique no ícone Propriedades .

3 Clique em Avaliação de vulnerabilidade.

4 Selecione a origem de VA e uma destas opções:

• Para recuperar imediatamente, clique em Recuperar. O trabalho é executado em segundo plano e vocêserá informado se a recuperação for bem-sucedida.

• Para agendar a recuperação, clique em Editar. Selecione a frequência e opte por gravar as alterações nodispositivo.

5 Clique em OK.

6 Se você não conseguir recuperar os dados de VA, verifique o seguinte:



Este recurso... Causas...

Nessus, OpenVAS eRapid7 MetasploitPro

• Diretório vazio.

• Erro nas configurações.

• Os dados no diretório já foram recuperados, portanto, não são atuais.

Qualys, FusionVM eRapid7 Nexpose

Os dados no diretório já foram recuperados, portanto, não são atuais.

Nessus Se você sobrescreveu um arquivo do Nessus ao fazer upload de um outro arquivonovo do Nessus file no site do FTP, a data do arquivo permanecerá igual. Portanto,quando você realizar uma recuperação de VA, nenhum dado será retornado,porque será entendido como dado antigo. Para evitar essa situação, exclua o antigoarquivo do Nessus do site do FTP antes de fazer upload do novo ou use um nomediferente para o arquivo do qual fez upload.

7Para exibir os dados, clique no ícone do Gerenciador de ativos e selecione a guia Avaliação devulnerabilidade.

Como funcionam o SNMP e o MIBDefina configurações para enviar interceptações de conexão interrompida e conexão restabelecida e deinicialização a frio e a quente no McAfee ESM e em cada dispositivo. Recupere tabelas de interface e de sistemaII da MIB (Base de informações de gerenciamento) e permita a descoberta do McAfee ESM com o comandosnmpwalk.

O SNMPv3 é compatível com as opções NoAuthNoPriv, AuthNoPriv e AuthPriv, usando MD5 ou SHA (SecureHash Algorithm) para autenticação e DES (Data Encryption Standard) ou AES (Advanced Encryption Standard)para criptografia. MD5 e DES não estão disponíveis no modo de conformidade FIPS.

É possível fazer solicitações SNMP ao McAfee ESM para obter informações de integridade do McAfee ESM e doMcAfee Event Receiver. As interceptações do SNMPv3 podem ser enviadas ao McAfee ESM para adicionar à listanegra de um ou mais de seus dispositivos gerenciados. Você também pode configurar todos os dispositivospara enviar interceptações de conexão e de inicialização para destinos de sua escolha.

SNMP e MIB da McAfeeOs produtos da McAfee podem ser acessados pelo SNMP. A MIB da McAfee define os OIDs (identificadores deobjeto) para cada objeto ou característica de interesse.

A MIB define grupos de objeto para:

• Alertas — o McAfee ESM pode gerar e enviar interceptações de alerta usando o Encaminhamento deeventos. Um receptor pode receber interceptações de alerta configurando uma origem de dados SNMPMcAfee.

• Fluxos: um Receptor pode receber interceptações de fluxo ao configurar uma origem de dados SNMP.

• Solicitações de integridade do McAfee ESM: o McAfee ESM pode receber e responder a solicitações deintegridade referentes a si próprio e aos dispositivos que ele gerencia.

• Lista negra: o McAfee ESM pode receber entradas de definição de interceptações para listas negras e listasde quarentena, que ele aplica aos dispositivos que gerencia.

A MIB da McAfee também define convenções textuais (tipos enumerados) para valores, como:

• A ação executada quando um alerta foi recebido

• Estado e direção do fluxo

9 Ajuste da configuraçãoComo funcionam o SNMP e o MIB


• Tipos de origem de dados

• Ações da lista negra

A MIB da McAfee MIB está sintaticamente em conformidade com a SMI (Structure of Management Information)do SNMPv2. Os produtos da McAfee que usam o SNMP podem ser configurados para funcionar com SNMPv1,SNMPv2c r SNMPv3, incluindo autenticação e controle de acesso.

As solicitações de integridade são feitas com a operação GET de SNMP. A operação GET de SNMP é usada poraplicativos de gerenciador de SNMP para recuperar valores dos objetos gerenciados mantidos pelo agenteSNMP (nesse caso, o McAfee ESM). Os dispositivos geralmente executam uma solicitação GET do SNMPfornecendo o nome do host do McAfee ESM e OIDs, com a instância específica do OID.

O McAfee ESM responde preenchendo os vínculos do identificador de objeto com os resultados de solicitaçãode integridade.

As tabelas a seguir mostram o significado dos OIDs do McAfee ESM e do receptor.

Tabela 9-13 Integridade do McAfee ESM

OID de solicitação e resposta Unidades Valor da resposta Significado

1.3.6.1.4.1.23128.1.3.1.1 Percentual 4 Carregamento de CPU instantâneo depercentual combinado

1.3.6.1.4.1.23128.1.3.1.2 MB 3518 RAM total

1.3.6.1.4.1.23128.1.3.1.3 MB 25 RAM disponível

1.3.6.1.4.1.23128.1.3.1.4 MB 1468006 Espaço HDD total particionado parabanco de dados do McAfee ESM

1.3.6.1.4.1.23128.1.3.1.5 MB 1363148 Espaço HDD disponível para banco dedados do McAfee ESM

1.3.6.1.4.1.23128.1.3.1.6 segundos desde1970-1-100:00:0.0 (GMT)

1283888714 Hora atual do sistema no McAfee ESM

1.3.6.1.4.1.23128.1.3.1.7 8.4.2 Versão e carimbo de compilação doMcAfee ESM

1.3.6.1.4.1.23128.1.3.1.8 4EEE:6669 ID da máquina do McAfee ESM

1.3.6.1.4.1.23128.1.3.1.9 McAfee ESM Número do modelo do McAfee ESM

Tabela 9-14 Integridade do Receptor


1.3.6.1.4.1.23128.1.3.3.1.x Receptor Nome do Receptor

1.3.6.1.4.1.23128.1.3.3.2 .x 2689599744 Identificador único do McAfeeESM do Receptor

1.3.6.1.4.1.23128.1.3.3.3.x 1 Indica que a comunicação com oReceptor está disponível (1) ouindisponível (0)

1.3.6.1.4.1.23128.1.3.3.4.x OK Indica o status do Receptor

1.3.6.1.4.1.23128.1.3.3.5.x percentual 2 Carregamento de CPUinstantâneo de percentualcombinado

Ajuste da configuraçãoComo funcionam o SNMP e o MIB 9


Tabela 9-14 Integridade do Receptor (continuação)


1.3.6.1.4.1.23128.1.3.3.6.x MB 7155 RAM total

1.3.6.1.4.1.23128.1.3.3.7.x MB 5619 RAM disponível

1.3.6.1.4.1.23128.1.3.3.8.x MB 498688 Espaço de HDD totalparticionado para banco dedados do Receptor

1.3.6.1.4.1.23128.1.3.3.9.x MB 472064 Espaço de HDD livre disponívelpara banco de dados doReceptor

1.3.6.1.4.1.23128.1.3.3.10.x segundos desde1970-1-100:00:0.0 (GMT)

1283889234 Hora do sistema atual noReceptor

1.3.6.1.4.1.23128.1.3.3.11.x 7.1.3 20070518091421a Versão e buildstamp do Receptor

1.3.6.1.4.1.23128.1.3.3.12.x 5EEE:CCC6 ID da máquina do Receptor

1.3.6.1.4.1.23128.1.3.3.13.x Receptor Número do modelo do Receptor

1.3.6.1.4.1.23128.1.3.3.14.x alertas porminuto

1 Taxa de alertas (por minuto) nosúltimos 10 minutos

1.3.6.1.4.1.23128.1.3.3.15.x fluxos por minuto 2 Velocidade de fluxos (porminuto) nos últimos 10 minutos

x = ID de dispositivo. Para acessar uma lista de IDs de dispositivo, acesse Propriedades do sistema | Configuração doSNMP, depois clique em Exibir IDs de dispositivo.

Os eventos, os fluxos e as entradas de lista negra são enviados usando solicitações de informe ouinterceptações do SNMP. Uma interceptação de alerta enviada pelo McAfee ESM configurado para fazerEncaminhamento de evento é ilustrada a seguir:

Identificador de objeto Valor Significado

1.3.6.1.4.1.23128.1.1.1 780 ID de alerta do McAfee ESM

1.3.6.1.4.1.23128.1.1.2 6136598 ID de alerta de dispositivo

1.3.6.1.4.1.23128.1.1.4 2 ID de dispositivo

1.3.6.1.4.1.23128.1.1.5 10.0.0.69 Endereço IP de origem

1.3.6.1.4.1.23128.1.1.6 27078 Porta de origem

1.3.6.1.4.1.23128.1.1.7 AB:CD:EF:01:23:45 MAC de origem

1.3.6.1.4.1.23128.1.1.8 10.0.0.68 Endereço IP de destino

1.3.6.1.4.1.23128.1.1.9 37258 Porta de destino

1.3.6.1.4.1.23128.1.1.10 01:23:45:AB:CD:EF MAC de destino

1.3.6.1.4.1.23128.1.1.11 17 Protocolo

1.3.6.1.4.1.23128.1.1.12 0 VLAN



Identificador de objeto Valor Significado

1.3.6.1.4.1.23128.1.1.13 Direção de fluxo 1

1.3.6.1.4.1.23128.1.1.14 20 Contagem de eventos

1.3.6.1.4.1.23128.1.1.15 1201791100 Primeira vez

1.3.6.1.4.1.23128.1.1.16 1201794638 Última vez

1.3.6.1.4.1.23128.1.1.17 288448 Última vez (microssegundos)

1.3.6.1.4.1.23128.1.1.18 2000002 ID de assinatura

1.3.6.1.4.1.23128.1.1.19 ANOMALIA recebida alta paraalta

Descrição da assinatura

1.3.6.1.4.1.23128.1.1.20 5 Ação realizada

1.3.6.1.4.1.23128.1.1.21 1 Gravidade

1.3.6.1.4.1.23128.1.1.22 201 Tipo de origem de dados ou resultado

1.3.6.1.4.1.23128.1.1.23 0 ID de assinatura normalizado

1.3.6.1.4.1.23128.1.1.24 0:0:0:0:0:0:0:0 Endereço IP de origem IPv6

1.3.6.1.4.1.23128.1.1.25 0:0:0:0:0:0:0:0 Endereço IP de destino IPv6

1.3.6.1.4.1.23128.1.1.26 Aplicativo

1.3.6.1.4.1.23128.1.1.27 Domínio

1.3.6.1.4.1.23128.1.1.28 Host

1.3.6.1.4.1.23128.1.1.29 Usuário (origem)

1.3.6.1.4.1.23128.1.1.30 Usuário (destino)

1.3.6.1.4.1.23128.1.1.31 Comando

1.3.6.1.4.1.23128.1.1.32 Objeto

1.3.6.1.4.1.23128.1.1.33 Número de sequência

1.3.6.1.4.1.23128.1.1.34 Indica se foi gerado em ambiente confiável ounão confiável

1.3.6.1.4.1.23128.1.1.35 ID da sessão que gerou o alerta

Os números significam:

• 1.3.6.1.4.1.23128 — O número empresarial atribuído pela IANA da McAfee

• O número final (1-35) — Para relatar as várias características do alerta



Como as interceptações do SNMP funcionam com origens de dadosAs interceptações do SNMP permitem que as origens de dados aceitem as interceptações do SNMP padrão dequalquer dispositivo de rede gerenciável que tenha a capacidade de enviar interceptações do SNMP.

As interceptações do SNMP padrão incluem:

• Falha de autenticação • Desvincular

• Partida a frio • Vinculação e partida a quente

• Perda de vizinho EGP

Para enviar interceptações do SNMP através do IPv6, você deve indicar o endereço IPv6 como um endereço deconversão IPv4. Por exemplo, a conversão de 10.0.2.84 em IPv6 fica assim:

2001:470:B:654:0:0:10.0.2.84 ou 2001:470:B:654::A000:0254



Definir configurações do SNMPDefina as configurações usadas para o tráfego de entrada e saída do SNMP. Somente os usuários sem espaçosem seus nomes de usuário podem executar consultas do SNMP.


2 Clique em Configuração do SNMP.

3 Insira as informações solicitadas e clique em OK.


Solicitações doSNMP

Porta de solicitação Selecione a porta por onde o tráfego passa.

Aceitar Selecione os tipos de interceptação a serem aceitas.

Permitir SNMPv1/2c Selecione se deseja permitir tráfego SNMP versão 1 e versão 2e digite o tipo de comunidade.

Permitir SNMPv3 Selecione se deseja permitir o tráfego SNMP versão 3 eselecione o nível de segurança, o protocolo de autenticação e oprotocolo de privacidade.

Endereços IPconfiáveis

Exiba os endereços IP que o McAfee ESM permite. O endereçoIP pode incluir uma máscara.

Exibir IDs dedispositivo

Exibir uma lista de IDs de dispositivos que você pode usar aoenviar solicitações do SNMP.

Exibir MIB Exiba a MIB da McAfee, que define os identificadores de objeto(OIDs) para cada objeto ou característica de interesse.

Interceptações doSNMP

Porta deinterceptação

Defina a porta pela qual passa o tráfego de interceptações afrio/quente, assim como a entrada da lista negra e o tráfego deconexão interrompida/restabelecida.

Interceptações de linkativado/desativado

Selecione para enviar interceptações de Conexão interrompidae Conexão restabelecida. Se essa opção estiver selecionada evocê usar várias interfaces, o sistema o notificará quando umainterface for interrompida ou restabelecida.

O sistema permite o tráfego de interceptação a frio/quenteautomaticamente. As interceptações de inicialização a friosão geradas sempre que o serviço SNMP é reiniciado. Oserviço SNMP pode ser reiniciado depois que você fazalterações de configuração de SNMP, altera usuários ougrupos, os usuários entram com autenticação remota ou oMcAfee ESM é reinicializado e o cpservice é reiniciado.Reiniciar o sistema gera uma interceptação de partida aquente.

Interceptações debanco de dadosativadas/desativadas

Selecione para enviar interceptações do SNMP quando o bancode dados (cpservice, IPSDBServer) for interrompido ourestabelecido.

Interceptação de falhade log de segurança

Selecione para enviar interceptações do SNMP quando osistema não gravar logs na tabela de logs.

Falha geral dehardware

Para evitar desligamento devido à falta de energia, selecioneessa opção para ser notificado quando as fontes dealimentação falharem para hardware geral ou DAS.

Destinos Selecione os nomes de perfil de sistema dos quais você desejareceber notificações.



Definir interceptação SNMP para notificação de queda de energiaSelecione uma interceptação de SNMP para ser notificado de falhas gerais em hardware e quedas de energiano DAS para impedir que o sistema desligue devido a uma queda de energia.



• Prepare o Receptor de interceptação de SNMP (somente necessário se você não tiver umReceptor de interceptação de SNMP).



3 Clique em Configuração do SNMP, depois clique na guia Interceptações de SNMP.

4 Em Porta de interceptação, digite 162, depois selecione Falha geral de hardware, e clique em Editar perfis.

5 Clique em Adicionar e insira as informações solicitadas, como estas:

• Tipo de perfil — Selecione Interceptação de SNMP.

• Endereço IP — Digite o endereço para onde deseja enviar a interceptação.

• Porta — Digite 162.

• Nome da comunidade — Digite Público.

Lembre-se do que você digitar nos campos Porta e Nome da comunidade.

6 Clique em OK, depois clique em Fechar na página Gerenciador de perfis.

O perfil é adicionado à tabela Destinos.

7 Selecione o perfil na coluna Usar, depois clique em OK.

Quando houver falha no fornecimento de energia, uma interceptação de SNMP será enviada e um sinalizadorde status de integridade aparecerá ao lado do dispositivo na árvore de navegação do sistema.

Configurar notificações SNMPPara configurar notificações de SNMP geradas pelo dispositivo, defina quais interceptações de SNMP devem serenviadas e os destinos das interceptações.

Se você configurar o SNMP em um Receptor de alta disponibilidade (HA), as interceptações do Receptor primáriopassarão pelo endereço IP compartilhado. Portanto, ao configurar os ouvintes, configure um deles para oendereço IP compartilhado.



3 Clique em Configuração do SNMP.



4 Selecione a guia Solicitações do SNMP e defina as configurações.

Tabela 9-15 Definições de opções

Opção Definição

Solicitações do SNMP Porta de solicitação

Aceitar Define as solicitações a serem aceitas.

Permitir SNMPv1 Permite tráfego do SNMP versão 1 e versão 2 e define a cadeia da comunidade.

Permitir SNMPv3 Permite o tráfego do SNMP versão 3 e seleciona o nível de segurança, o protocolode autenticação e o protocolo de privacidade.

Endereços IP confiáveis Mostra os endereços IP que o dispositivo permite ou considera confiáveis. Vocêpode adicionar novos endereços e editar ou remover endereços existentes. Oendereço IP pode incluir uma máscara.

Um endereço IP confiável deve estar presente.

Exibir MIB Exiba a MIB da McAfee, que define os identificadores de objeto (OIDs) para cadaobjeto ou característica de interesse.

5 Selecione a guia Interceptações do SNMP e defina as configurações.

Opção Definição

Porta de interceptação Define a porta pela qual passa o tráfego de interceptações a frio/quente, assimcomo a entrada da lista negra e o tráfego ativado/desativado.

Interceptações de linkativado/desativado

Envia interceptações de link ativado/desativado. Se você selecionar esse recursoe estiver usando várias interfaces, será notificado quando uma interface cair equando ela retornar.

O tráfego de interceptações a frio/quente é permitido automaticamente. Umainterceptação de partida a frio é gerada quando há um encerramento brusco ouuma reinicialização brusca. Uma interceptação de partida a quente é geradaquando você reinicializa o sistema.

Interceptações de bancode dados ativadas/desativadas

Envia uma interceptação do SNMP quando o banco de dados (cpservice,IPSDBServer) está ativado ou desativado.

Interceptação de falha delog de segurança

Envia uma interceptação do SNMP quando um log não está gravado na tabela delogs.

Destinos Define os nomes de perfil dos sistemas para os quais você deseja enviarnotificações. A tabela mostra todos os perfis de interceptações do SNMPdisponíveis no sistema. Você pode editar essa lista clicando em Editar perfis.

Efetue pull da MIB do McAfee ESMExiba os objetos e as notificações de interface com o McAfee ESM.

Os objetos e as notificações definidos nesta MIB são usados para enviar solicitações:

• Para um McAfee ESM que solicita informações do status de integridade para o próprio McAfee ESM ou paradispositivos do Receptor

• Para um dispositivo solicitar suas informações de status de integridade.


2 Selecione a guia Solicitações do SNMP e clique em Exibir MIB.



Configurações gerais de dispositivo

Conteúdo Encontrar detalhes específicos do dispositivo Instalar um certificado SSL Gerar chave SSH novamente Gerenciar vários dispositivos Gerenciar URLs de dispositivos Sincronizar dispositivos com o McAfee ESM Iniciar, interromper, reinicializar ou atualizar um dispositivo Parar a atualização automática da árvore de sistemas do McAfee ESM Definir perfis para informações comuns e comandos remotos Excluir nós de dispositivo duplicados Mascarar endereços IP Fazer upgrade de dispositivos primários ou redundantes Gerenciar consultas de tarefa Ajudar a hora do sistema Common Event Format (CEF)

Encontrar detalhes específicos do dispositivoUse estas informações quando precisar saber as características do dispositivo. Por exemplo, o Suporte técnicopode solicitar essas informações durante a solução de problemas.


2 Para atualizar o status do dispositivo, clique em na árvore de navegação do sistema.

9 Ajuste da configuraçãoConfigurações gerais de dispositivo



Informações específicas do dispositivo serão exibidas:

Opção Definição

ID da máquina Número de identificação do dispositivo. Para reativar seu sistema, o suporte daMcAfee usará esse número para enviar-lhe o arquivo correto.

Número de série Número de série do dispositivo

Modelo Número do modelo do dispositivo

Versão Versão do software em execução no dispositivo no momento

Compilação Número de compilação da versão do software

Relógio (GMT) Data e hora em que o dispositivo foi aberto ou atualizado pela última vez

Sincronizar relógio dodispositivo

Sincroniza o relógio desse dispositivo com o relógio do McAfee ESM

Zona Zona a qual o dispositivo foi atribuída, se houver. Se você clicar em Zona, oGerenciador de políticas de zonas será aberto.

Política Estado atual da política neste dispositivo. Se você clicar em Política, o Editor depolíticas será aberto.

Status O status dos processos no dispositivo e o status do FIPS após a execução de umautoteste de FIPS (se seu dispositivo estiver em execução no modo FIPS).

4 Para exibir estatísticas de desempenho, logs e estatísticas de interface de rede, clique em Gerenciamento de<dispositivo> e em Exibir estatísticas.

Instalar um certificado SSLO McAfee ESM é fornecido com um certificado de segurança autoassinado (SSL) padrão para esm.mcafee.local.A maioria dos navegadores da Web não pode avisar que não é possível verificar a autenticidade do certificado.Quando você obtém o par de certificados de chave SSL para seu McAfee ESM, deve instalá-lo.

Tarefa1 Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Gerenciamento de ESM.

2 Na guia Gerenciamento de chaves, clique em Certificado.

3 Faça as seleções e clique em Fechar.

Opção Definição

Fazer upload docertificado

Instale o certificado, chave e arquivos em cadeia opcionais, caso os tenha. Vocêserá solicitado a fazer upload do arquivo .crt, depois do arquivo .key e, finalmente,dos arquivos em cadeia.

Certificadoautoassinado

Gere e instale um certificado de segurança autoassinado para o McAfee ESM.• Clique em Gerar, insira as informações em Gerenciar certificado e clique em OK.

• Clique em Gerar.

Ajuste da configuraçãoConfigurações gerais de dispositivo 9


Opção Definição

Solicitação decertificado assinado

Gere uma solicitação de certificado a ser enviada a uma autoridade de certificaçãopara assinatura.• Clique em Gerar, insira as informações em Gerenciar certificado e clique em OK.

• Faça download do arquivo .zip, que contém um arquivo .crt e um arquivo .key.

• Extraia o arquivo .crt e envie-o para a autoridade de certificação.

Gerar certificadosMcAfee padrãonovamente

Gere novamente o certificado original.

Gerar chave SSH novamenteGere novamente o par de chaves SSH pública ou privada para se comunicar com todos os dispositivos.

Tarefa1 Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Gerenciamento de ESM.

2 Na guia Gerenciamento de chaves, clique em Gerar SSH novamente.

3 Clique em Sim.

Quando o sistema gerar novamente uma nova chave, essa chave substituirá o par de chaves antigo em todosos dispositivos gerenciados pelo McAfee ESM.

Gerenciar vários dispositivosInicie, interrompa, reinicie ou atualize o software em vários dispositivos de uma vez.


2 Na árvore de navegação do sistema, use Ctrl + clique e Shift + clique para selecionar os dispositivos quedeseja gerenciar.

3 Clique no ícone Gerenciamento de vários dispositivos na barra de ferramentas de ações.

4 Selecione a operação que deseja executar e os dispositivos nos quais ela será executada e clique em Iniciar.

Gerenciar URLs de dispositivosVocê pode configurar um URL para abrir a partir de links nas exibições de Análise de evento e Análise de fluxo deum dispositivo.

Antes de iniciarCertifique-se de que o URL esteja funcionando.



3 Clique em Configurações personalizadas | Links do dispositivo.



4 Na página Links de dispositivo personalizados, selecione o dispositivo e clique em Editar.

5 Insira um URL (máximo de 512 caracteres).

6 Se o URL contém o endereço de um aplicativo de terceiros, e você precisa anexar variáveis ao URL, cliqueonde você deseja inseri-las, clique no ícone de variável e selecione a variável.

7 Acesse a página de informações clicando no ícone Abrir URL do dispositivo , na parte inferior dasexibições Análise de evento e Análise de fluxo do dispositivo.

Sincronizar dispositivos com o McAfee ESMSe for necessário substituir o McAfee ESM, sincronize-o para restaurar as configurações. Se você não tiver umbackup atual do banco de dados, deverá também sincronizar as configurações da origem de dados, dodispositivo virtual e do servidor de banco de dados com o McAfee ESM para que eles possam retomar o pull deeventos.



3 Clique em <rótulo do dispositivo> Configuração | Sincronizar dispositivo.

4 Quando a sincronização for concluída, clique em OK.

Iniciar, interromper, reinicializar ou atualizar um dispositivoEssas ações podem ser úteis durante a manutenção ou solução de problemas.



3 Selecione <dispositivo> Informações.

4 Clique em Iniciar, Parar, Reinicializar ou Atualizar.

Parar a atualização automática da árvore de sistemas do McAfee ESMA árvore de sistemas do McAfee ESM é atualizada automaticamente a cada cinco minutos. Se necessário,interrompa essa atualização automática.

Antes de iniciarVerifique se você tem privilégios de Gerenciamento de sistemas para alterar essa configuração.

Tarefa1 Na árvore de sistemas, selecione o dispositivo e clique no ícone Propriedades .

Durante a atualização, não é possível selecionar dispositivos na árvore.

2 Clique em Configurações personalizadas, depois desmarque a opção Atualização automática na árvore desistemas.



Você pode atualizar manualmente a árvore de sistemas clicando no ícone Atualizar dispositivos na barra deferramentas de ações da árvore de sistema.

Definir perfis para informações comuns e comandos remotosCompartilhe informações comuns para tráfego baseado em syslog, como encaminhamento de eventos,configuração de origem de dados, descoberta de rede, avaliação de vulnerabilidade, interceptações do SNMP ecompartilhamento remoto. Defina os perfis do tráfego baseado em syslog para poder compartilharinformações comuns. Também é possível adicionar perfis de comando remoto (URL ou Script) para exibiçõesou alarmes.

Tarefa1 No dashboard do McAfee ESM, clique em e selecione Propriedades do sistema. Depois clique em

Gerenciamento de perfil.

2 Na guia Perfis de sistema, defina o perfil. Campos variam com base no Tipo de perfil que você selecionar.

3 Na guia Comando remoto, defina um perfil de execução para exibições ou alarmes. Os scripts podem fazerreferência a variáveis das consultas ou do evento.

Use as configurações de comando remoto para executar comandos nos dispositivos que aceitam conexõesSSH, exceto nos dispositivos do McAfee ESM.

Excluir nós de dispositivo duplicadosNós de dispositivo duplicados podem aparecer na árvore de navegação do sistema. Para evitar confusão,exclua os nós de dispositivo duplicados.


2 No painel de navegação do sistema, clique na lista suspensa de tipo de exibição.

3 Selecione o ícone Editar ao lado da exibição que inclui os dispositivos duplicados.

4 Desmarque um dos dispositivos duplicados e clique em OK.

Mascarar endereços IPMascare endereços IP para dados de eventos enviados no encaminhamento de eventos ou a um McAfee ESMprincipal.


2 Clique em Gerenciamento do ESM | Hierarquia do ESM.

3 Para mascarar dados, selecione Ofuscar para dispositivos do McAfee ESM.

4 Selecione os campos que deseja mascarar.



5 Selecione as configurações da rede local.

• Para garantir que a ocultação seja executada sempre da mesma maneira, insira uma semente no campoValor de semente ou clique em Gerar para gerar uma semente aleatória. Isso é útil se você ofuscarendereços IP em vários dispositivos do McAfee ESM e desejar manter os valores sincronizados.

• Selecione para ocultar endereços IP dentro e fora da rede local. Isso se estende aos tipos personalizadosde endereço IP, como os endereços IPv4 e IPv6.

• Insira uma lista dos endereços IP ou sub-redes incluídos na rede local, separados por vírgulas (máximode 2.000 caracteres).

Se a rede local ultrapassar 2.000 caracteres, consolide várias sub-redes em uma rede local menor com anotação CIDR (Classless Inter-Domain Routing).

Depois de feita essa configuração, se um McAfee ESM primário solicitar um pacote de um McAfee ESMsecundário, o sistema mascarará os dados selecionados.

Fazer upgrade de dispositivos primários ou redundantesFaça upgrade de dispositivos primários ou redundantes.

Tarefa1 Desative a coleta de eventos, fluxos e logs.

a Na árvore de navegação de sistemas, selecione Informações do sistema e clique em Eventos, fluxos e logs.

b Desmarque a opção Verificação automática a cada.

2 Atualize o dispositivo primário.

3 Atualize o dispositivo redundante.

4 Ative a coleta de eventos, fluxos e logs selecionando a opção Verificação automática a cada mais uma vez.

Gerenciar consultas de tarefaO Gerenciador de tarefas exibe uma lista de consultas que estão em execução no McAfee ESM. É possível exibirseu status e excluir qualquer uma que afete o desempenho do sistema.


2 Clique em Gerenciamento do ESM, clique na guia Manutenção e, em seguida, clique em Gerenciador de tarefas.

3 Você pode realizar as seguintes tarefas:

• Fechar relatório, exibir, adicionar à lista de observação, executar e exportar alarmes e consultas de APIexternas no sistema. Não é possível fechar consultas do sistema.

• Por padrão, a lista é atualizada automaticamente a cada cinco segundos. Se você selecionar umaconsulta e a lista for atualizada automaticamente, ela permanecerá selecionada e os detalhes serãoatualizados. As consultas concluídas não aparecem na lista.

• Selecionar e copiar os dados na área Detalhes da consulta.

• Classificar as colunas da tabela.

• identifica consultas que você pode fechar.



Ajudar a hora do sistema

Conteúdo Ajudar a hora do sistema Sincronizar relógios do dispositivo Configurar o protocolo NTP (Network Time Protocol) Exibir o status dos servidores de protocolo NTP (Network Time Protocol)

Ajudar a hora do sistemaA data e hora do sistema são carimbadas nas atividades geradas por McAfee ESM e seus dispositivos. Selecioneum relógio do sistema ou servidores NTP para garantir que o sistema use uma referência constante de horapara sincronizar os carimbos de data e hora.

Antes de iniciarSe você pretende sincronizar a hora do sistema usando servidores NTP, verifique se os servidoresexistem e se você possui as chaves de autorização e os IDs de chave.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do sistema e verifique se Informações do sistema

está selecionado.

2 Clique em Relógio do sistema (GMT), defina as configurações e clique em OK.

Opção Definição

Definir o Horário do sistemaESM (GMT) como

Selecione esta opção para definir o relógio do sistema como a hora deGreenwich (GMT) em vez de sincronizar com servidores NTP.

Usar servidor(es) NTP parasincronização de hora

Selecione essa opção para usar servidores NTP para sincronizar a hora dosistema em vez de usar o relógio do sistema.

Coluna Servidor NTP Adicione os endereços IP de servidores NTP. Você pode adicionar até 10servidores.

Os endereços de servidor NTP nos dispositivos ADM ou DBM devem serendereços IP.

Colunas Chave deautenticação e ID da chave

Digite a chave de autenticação e o ID de chave para cada servidor NTP.

Status Clique para exibir o status dos servidores NTP na lista. Se você alterar a listade servidores, clique em OK para salvar as alterações e feche a página. Emseguida, reabra a página antes de clicar em Status.

Sincronizar relógios do dispositivoSincronize os relógios do dispositivo com a hora do sistema McAfee ESM para que os dados gerados pelosvários sistemas reflitam os mesmos carimbos de data e hora.

Tarefa1 Na árvore de navegação do sistema, selecione Propriedades do sistema ou Propriedades do dispositivo e clique

em Sincronizar no campo Sincronizar relógio do dispositivo.

2 Clique em Atualizar para atualizar os dados em Informações do sistema ou Informações do dispositivo.



Configurar o protocolo NTP (Network Time Protocol)Gerencie os servidores NTP (Network Time Protocol) do dispositivo e indique se deseja usar servidores NTPpara sincronização de hora.


2 Clique em Configuração | NTP.


Opção Definição

Usar servidor(es) NTPpara sincronização dehora

Selecione essa opção para usar servidores NTP para sincronizar a hora dodispositivo em vez de usar o relógio do sistema.

Tabela Exiba os servidores NTP padrão e qualquer outro que tenha sido adicionado aodispositivo.

Coluna Servidor NTP Adicione os endereços IP para servidores NTP que você deseja adicionar aodispositivo clicando na coluna. Você pode adicionar até 10 servidores.

Os endereços de servidor NTP nos dispositivos de classe IPS devem serendereços IP.

Colunas Chave deautenticação e ID dachave

Digite a chave de autenticação e o ID da chave para cada servidor NTP (entre emcontato com seu administrador de rede caso não tenha essas informações).

Status Clique para exibir o status dos servidores NTP na lista. Se você alterar a lista deservidores, clique em OK para salvar as alterações e feche a página; abra apágina novamente antes de clicar em Status.

Exibir o status dos servidores de protocolo NTP (Network Time Protocol)Veja o status dos servidores de protocolo NTP (Network Time Protocol) no McAfee ESM.

Antes de iniciarAdicione servidores NTP ao McAfee ESM ou dispositivos.

As alterações levam até 10 minutos para serem exibidas.

Tarefa1 Na árvore de navegação do sistema, siga um destes procedimentos:

• Selecione Propriedades do sistema | Informações do sistema e clique em Relógio do sistema.

• Na árvore de navegação do sistema, selecione um dispositivo, clique no ícone Propriedades e selecioneConfiguração | NTP.

2 Clique em Status, exiba os dados do servidor NTP e clique em Fechar.



Opção Definição

Coluna ServidorNTP

Lista os endereços IP dos servidores NTP. Estas marcações podem aparecer antes doendereço:• * – Servindo sendo consultado no

momento• x – Registrador falso de origem

• + – Selecionado, incluído noconjunto final

• . – Selecionado do fim da lista decandidatos

• # – Selecionado, distância excede ovalor máximo

• - – Descartado por algoritmo docluster

• o – Selecionado, PPS (Pulso PorSegundo) usado

Coluna Acessível Sim significa que o servidor é acessível e não significa que ele não é acessível.

ColunaAutenticação

• nenhum indica que não existem credenciais

• incorreto indica credenciais incorretas

• Sim indica credenciais corretas

Coluna Condição A condição corresponde à marca na coluna Servidor NTP.• candidato indica uma possível escolha

• sys.peer indica a escolha atual

• rejeição indica que ele não pode ser alcançado. Se todos os servidores estiveremmarcados como rejeição, é possível que a configuração de NTP esteja sendoreiniciada.

Common Event Format (CEF)Atualmente, o ArcSight converte eventos de 270 origens de dados em CEF (Common Event Format) usandoconectores inteligentes. O CEF é um padrão de interoperabilidade para dispositivos que geram eventos ou logs.

A mensagem é formatada com o uso de um prefixo comum, composto de campos delimitados por uma barra(|). O prefixo é obrigatório, e todos os campos especificados precisam estar presentes. Campos adicionais sãoespecificados na extensão. O formato é:

CEF:Versão|Fornecedor do dispositivo|Produto do dispositivo|Versão do dispositivo|IDdeclasseEventoDispositivo|Nome|Gravidade|Extensão

A parte da extensão da mensagem é um espaço reservado para campos adicionais. Veja a seguir definiçõespara os campos com prefixo:

• Versão: um número inteiro que identifica a versão do formato do CEF.

Os consumidores de eventos usam essas informações para determinar o que o campo representa. Nomomento, somente a versão 0 (zero) está estabelecida no formato acima.

• Fornecedor do dispositivo, Produto do dispositivo e Versão do dispositivo: cadeias que identificam, comexclusividade, o tipo de dispositivo remetente.

Dois produtos não podem usar o mesmo par de dispositivo-fornecedor e dispositivo-produto. Osprodutores de eventos garantem que eles atribuam pares com nomes exclusivos.



• DeviceEventClassId - identificador exclusivo por tipo de evento (pode ser uma cadeia de caracteres ou umnúmero inteiro).

DeviceEventClassId identifica o tipo de evento relatado. Cada assinatura ou regra que detecta certaatividade tem uma deviceEventClassId exclusiva atribuída. Esse é um requisito para outros tipos dedispositivos também, e ajuda os mecanismos de correlação a lidar com os eventos.

• Nome: cadeia que descreve o evento, como Varredura de portas

• Gravidade : inteiro (entre 0 e 10, em que 10 indica o evento mais importante) que reflete a importância doevento.

• Extensão: coleção de pares de chave-valor, em que as chaves não são parte de um conjunto predefinido.

Eventos podem conter qualquer número de pares de chave-valor em qualquer ordem, separados porespaços. Se um campo tiver um espaço, como um nome de arquivo, isso não é problema, e ele poderá serregistrado em log da mesma maneira. Por exemplo: fileName=c:\Program Files\ArcSight é umtoken válido.

Esta mensagem de amostra é exibida:

Sep 19 08:26:10 zurich CEF:0|security|threatmanager|1.0|100|worm successfully stopped|10|src=10.0.0.1 dst=2.1.2.2 spt=1232

Se você usa o NetWitness, seu dispositivo precisa ser configurado corretamente para enviar o CEF ao Receptor.Por padrão, quando se usa o NetWitness, o formato CEF é este:

CEF:0|Netwitness|Informer|1.6|{name}|{name}|Medium | externalId={#sessionid}proto={#ip.proto} categorySignificance=/Normal categoryBehavior=/Authentication/VerifycategoryDeviceGroup=/OS categoryOutcome=/Attempt categoryObject=/Host/Application/Service act={#action} deviceDirection=0 shost={#ip.host} src={#ip.src}spt={#tcp.srcport} dhost={#ip.host} dst={#ip.dst} dport={#tcp.dstport}duser={#username} dproc=27444 fileType=security cs1={#did} cs2={#password} cs3=4 cs4=5cn1={#rid} cn2=0 cn3=0

O formato correto requer que você coloque dport acima de dpt.



10 Gerenciamento de ativos

Conteúdo Como o Gerenciador de ativos funciona Como funciona o Scorecard

Como o Gerenciador de ativos funcionaO Gerenciador de ativos fornece um local centralizado onde você pode descobrir, criar manualmente e importarativos.

Um ativo é qualquer dispositivo com um endereço IP adicionado ao McAfee ESM. O Gerenciador de ativospermite que você gerencie os ativos em sua rede.

Você pode criar um grupo que contenha um ou mais ativos. É possível executar estas operações em todo ogrupo:

• Alterar os atributos de todos os ativos em um grupo.

Essa alteração não é permanente. Se você adicionar um ativo a um grupo alterado, ele não herdará asconfigurações anteriores automaticamente.

• Usar operações de arrastar e soltar.

• Renomear grupos.

Os grupos de ativos permitem categorizar ativos de formas que fiquem indisponíveis com a marcação deativos. Por exemplo, caso você deseje criar um grupo de ativos para cada prédio em seu campus. O ativoconsiste em um endereço IP e uma coleção de marcas. As marcas descrevem o sistema operacional no qual oativo está em execução e um conjunto de serviços pelos quais o ativo é responsável.

As marcas de ativo são definidas de duas maneiras:

• Quando o sistema recupera um ativo.

• Quando o usuário adiciona ou edita um ativo.

Caso as marcas sejam definidas pelo sistema, elas serão atualizadas cada vez que o ativo for recuperado, setiverem sido alteradas. Caso as marcas sejam definidas pelo usuário, elas não serão atualizadas pelo sistemaquando o ativo for recuperado, mesmo que tenham sido alteradas. Se você adicionar ou editar as marcas deum ativo, mas desejar que elas sejam atualizadas pelo sistema quando o ativo for recuperado, clique emRedefinir. Você deve fazer isso toda vez que fizer alterações nas configurações da marca.

10


O gerenciamento de configurações faz parte das normas de conformidade padrão, como PCI, HIPPA e SOX. Elepermite que você monitore todas as alterações feitas na configuração de seus roteadores e switches,prevenindo vulnerabilidades no sistema. No McAfee ESM, o recurso de gerenciamento de configuraçõespermite que você:

• Defina a frequência com que os dispositivos devem ser sondados.

• Selecione os dispositivos descobertos para verificação de configurações.

• Identifique um arquivo de configuração recuperado como padrão para o dispositivo.

• Exiba os dados de configuração, faça download dos dados para um arquivo e compare as informações deconfiguração de dois dispositivos.

Gerenciar ativosAtivo é qualquer dispositivo na rede que tenha um endereço IP. Você pode criar ativos, modificar suas marcas,criar grupos de ativos, adicionar origens de ativos e atribuir um ativo a um grupo de ativos. Você também podemanipular os ativos aprendidos com um dos fornecedores de avaliação de vulnerabilidade.

Antes de iniciarVocê precisa ter direitos de administrador ou pertencer a um grupo de acesso com permissão degerenciamento de dispositivos.

Tarefa1 No dashboard, clique em e selecione Gerenciador de ativos.

2 Selecione a guia Ativo.

Será exibida uma lista de ativos.

3 Para classificar a lista, clique nos cabeçalhos de coluna.

4

Para ver os detalhes de um ativo, selecione o ativo e clique no ícone de ativos .

5 Para atribuir um ativo a um grupo, arraste e solte-o do painel de Ativos para um grupo de ativos.

6 Configure os ativos.

Tabela 10-1 Opções do menu principal

Opção Definição

Novo | Grupo Adicione um grupo de ativos. Digite um nome para o grupo e selecione seunível crítico.

Novo | Ativo Adicione um ativo.

Novo | Grupo de filtros deativos

Adicione um grupo de filtros de ativos. Essa opção será acessível somente seesse for o primeiro item adicionado à árvore de ativos ou se você realçar umgrupo existente.

10 Gerenciamento de ativosComo o Gerenciador de ativos funciona


Tabela 10-1 Opções do menu principal (continuação)

Opção Definição

Arquivo | Importar do arquivo Importe um arquivo .csv para o local selecionado na lista de ativos.Formate os dados do ativo no arquivo .csv desta forma:

Hostname, IPAddress, Mask, ZoneName, UsrSeverity,UseCalcSeverity, TagCount, TagGroupName:TagNameAdicione um TagGroupName:TagName para cada marca que você tem(TagCount). Cada ativo precisa ficar em sua própria linha.

Arquivo | Exportar paraarquivo

Exporte os arquivos de ativos selecionados.

Editar | Modificar Altere o ativo ou o grupo de ativos selecionado.

Editar | Usar no cálculo derisco ou Ignorar no cálculo derisco

Defina se vai usar o ativo no cálculo do risco geral da empresa. Usar no cálculode risco é a configuração padrão.

Editar | Excluir Exclua o grupo ou o ativo selecionado. Se você selecionar um grupo, precisarádecidir se deseja excluir o grupo e seus ativos ou somente o grupo. Se vocêselecionar somente o grupo, os ativos serão reatribuídos para a pasta Nãoatribuído.

Ferramentas | Criar servidorde banco de dados do DEM

Adicione um ativo como um servidor de banco de dados a um dispositivo DEMno sistema.

Ferramentas | Criar origem dedados do Receptor

Adicione um ativo como uma origem de dados a um Receptor no sistema.

Marcação Para definir seus atributos e fazê-los funcionar como filtros, adicione marcasao ativo selecionado.

Tabela 10-2 Criar um novo ativo

Opção Definição

Endereço IP O endereço IP desse ativo.

Endereço MAC (Opcional) Digite o endereço MAC desse ativo.

GUID (Opcional) Digite o identificador exclusivo global desse ativo.

Sistema operacional (Opcional) Selecione o sistema operacional desse ativo.

Zona A zona na qual se encontra esse ativo.

Se uma zona for atribuída a um ativo ou grupo de ativos, os usuários que nãotiverem permissão para a zona em questão não terão acesso a esses ativos.

Nível crítico Selecione o nível crítico desse ativo para sua empresa: 1 = nível crítico mais baixo,100 = nível crítico mais alto. O nível crítico e a gravidade de uma ameaça sãousados para calcular a gravidade geral do evento para a sua empresa.

Tabela de marcas Marcas desse ativo.

Marca de nova categoria Adicione uma nova categoria à lista de marcas. Digite um nome para a categoria eselecione se ela será usada no cálculo de gravidade do evento.

Nova marca Adiciona uma nova marca. Digite um nome para a marca a selecione se ela seráusada no cálculo de gravidade do evento.

Editar marca Abre a marca selecionada para edição.

Remover marca Exclui a marca selecionada.

Gerenciamento de ativosComo o Gerenciador de ativos funciona 10


Tabela 10-3 Configurações avançadas de ativo novo

Opção Definição

Usar nível crítico deste ativo Use sempre o nível crítico atribuído ao ativo ao calcular a gravidade do evento.

Usar nível crítico geralcalculado

Use sempre o nível crítico mais alto ao calcular a gravidade do evento.

Se você selecionar essa opção e tiver alterado a classificação no campo Nívelcrítico, os botões Calcular e Grupos serão ativados.

Calcular Calcula a gravidade geral, que é adicionada ao campo Calcular.

Grupos Veja uma lista dos grupos aos quais esse ativo pertence e o nível crítico de cadagrupo.

Redefinir O sistema define automaticamente as marcas desse ativo.

Tabela 10-4 Criar um novo grupo de filtros de ativos

Opção Definição

Nome O nome do grupo de filtros de ativos.

Endereço/Máscara IP O endereço IP ou endereço/máscara desse grupo.

Zona Atribui o grupo a uma zona. Se a zona desejada não estiver listada, clique em Zonapara adicioná-la.

Nível crítico O nível crítico desse grupo. Essa configuração representa o nível crítico do ativopara a sua operação.

Lista de marcas As marcas aplicadas como filtros a esse grupo. Você pode definir um grupo defiltros com base na existência de uma ou mais marcas de ativo. As marcasdefinidas não definem o conjunto exclusivo de marcas que um ativo deve ter. Oativo pode ter outras marcas e continuar a ser membro do grupo de filtros.

Marca de nova categoria Adiciona uma categoria à lista de marcas. Digite um nome para a categoria eselecione se ela será usada no cálculo de gravidade do evento.

Nova marca Adicione uma marca. Digite um nome para a marca a selecione se ela será usadano cálculo de gravidade do evento.

Editar marca Permite editar a marca selecionada.

Remover marca Exclui a marca selecionada.

Definir ativos antigosO grupo Ativos antigos do Gerenciador de ativos permite que você armazene ativos que não foram detectados emum período especificado.

Tarefa1

Clique no ícone de início rápido do Asset Manager .

2 Na guia Ativo, clique duas vezes no grupo Ativos antigos da lista de ativos.

3 Selecione o número de dias desde a última detecção de ativo antes de movê-lo para a pasta Ativos antigos eclique em OK.

Gerenciar origens de ativosRecupere dados do seu Active Directory, se você tiver um, ou de um servidor Altiris usando as Origens de ativos.O Active Directory permite filtrar dados de eventos selecionando os usuários ou grupos recuperados noscampos de filtro de consulta de exibição Usuário de origem ou Usuário de destino, aumentando sua capacidade de



fornecer dados de conformidade para requisitos, como o PCI. O Altiris e o Active Directory recuperam ativos,como computadores com endereços IP, e os adicionam à tabela de ativos. O Active Directory normalmente nãoarmazena informações de endereço IP. O sistema usa DNS para consultar o endereço assim que obtém o nomedo Active Directory. Caso o sistema não consiga encontrar o endereço do computador, este não é adicionado àtabela Ativos. Por esse motivo, o servidor DNS no sistema precisa conter as informações de DNS doscomputadores do Active Directory. É possível adicionar endereços IP ao Active Directory. Se você fizer isso,altere o atributo networkAddress nos objetos do seu computador para que o sistema use esses endereços IPem vez de consultar o DNS.

Antes de iniciarPara recuperar ativos no Altiris, você precisa ter privilégios de Gerenciador de ativos no console degerenciamento Altiris.

Tarefa1

Clique no ícone de início rápido do Gerenciador de ativos e clique na guia Origens de ativos.

A árvore Origens de ativos mostra os dispositivos do McAfee ESM e os Receptores no sistema, além de suasorigens de ativos atuais.

O McAfee ESM pode ter somente uma origem de ativos, enquanto os Receptores podem ter várias.

2 Selecione um dispositivo e escolha uma das ações disponíveis.

Opção Definição

Ativado Selecione se desejar ativar a recuperação automática. Se não for selecionada, aindaserá possível recuperar os dados manualmente clicando em Recuperar na páginaOrigens de ativos. Se a opção for marcada, os dados serão recuperados no intervaloespecificado no campo Recuperar dados.

Tipo Selecione se for uma origem de ativos Active Directory ou Altiris.

Nome Digite um nome para a origem do ativo

Zona Para atribuir uma origem de dados a uma zona, selecione-a.

Prioridade Selecione a prioridade que deseja que a origem de ativos tenha se ela descobrir umativo ao mesmo tempo que a Avaliação de vulnerabilidade ou a Descoberta de rede.

Endereço IP Digite o endereço IP dessa origem de ativos.

Porta Selecione a porta dessa origem de ativos.

Usar TLS ou UsarSSL

Selecione se desejar usar um protocolo de criptografia para os dados. O ActiveDirectory usa TLS; o Altiris usa SSL.

Nome de usuário Digite o nome de usuário necessário para acessar a origem de ativos.

Senha Digite a senha necessária para acessar a origem de ativos.

Base de pesquisa Para o Active Directory, digite o nome distinto do objeto onde deseja que apesquisa por ativos seja iniciada (dc=mcafee,dc=com).

Informações de proxy Para o Altiris, digite o endereço IP, a porta usada para ouvir, o nome de usuárioProxy e a senha do servidor proxy.

Recuperar dados Para recuperar os dados automaticamente, selecione a frequência.

Conectar Clique para testar a conexão com o servidor Altiris.



Gerenciar ameaças conhecidasSelecione quais ameaças conhecidas deverão ser usadas em cálculos de risco. Cada ameaça tem umaclassificação de gravidade. Essa classificação e a classificação de nível crítico dos seus ativos são usadas paracalcular a gravidade geral de uma ameaça para o seu sistema.


2 Selecione a guia Gerenciamento de ameaças.

3 Selecione uma ameaça conhecida e siga um destes procedimentos:

• Clique em Detalhes da ameaça para exibir os detalhes da ameaça.

• Se a coluna Calcular risco informar Sim, e você não desejar que ela seja usada em cálculos de risco,clique em Desativar.

• Se a coluna Calcular risco informar Não, e você desejar que ela seja usada em cálculos de risco, clique emAtivar.

Gerenciar origens de avaliação de vulnerabilidadeAs origens da Avaliação de vulnerabilidade permitem a comunicação com os dados de fornecedores de VA e arecuperação desses dados.


2 Selecione a guia Avaliação de vulnerabilidade.

3 Adicione, edite, remova ou recupere origens de VA e grave-as no dispositivo.

Opção Definição

ID do cliente Digite o número da ID do cliente Frontline. Esse campo é obrigatório para oDigital Defense Frontline.

Nome da empresa No FusionVM, insira o nome da empresa que deve passar pela varredura. Seesse campo for deixado em branco, todas as empresas às quais o usuáriopertence serão varridas. Se você inserir mais de uma empresa, separe os nomescom uma vírgula.

Recuperação de dados (Qualys QualysGuard) Selecione o método para recuperar dados de VA. HTTP/HTTPS é o padrão. As outras opções são SCP, FTP, NFS, CIFS e Upload manual.

O limite de tamanho para upload manual de um arquivo de log do QualysQualysGuard é 2 GB.

Domínio Digite o domínio do computador Windows (opcional, a menos que o controladorou servidor do seu domínio exista em um domínio).

Diretório do arquivo devarredura exportado

O diretório onde os arquivos de varredura exportados são armazenados.

Formato do arquivo devarredura exportado

O formato do arquivo de varredura exportado (XML, NBE).

Diretório de instalação O local onde o Saint foi instalado no servidor. O diretório de instalação para ummecanismo de varredura de appliance Saint é /usr/local/sm/.



Opção Definição

Endereço IP • eEye REM: o endereço IP do servidor eEye que envia informações sobreinterceptações.

• eEye Retina: o endereço IP do cliente que armazena os arquivos de varreduraexportados (.rtd).

• McAfee® Vulnerability Manager: o endereço IP do servidor no qual ele estáinstalado.

• Nessus, OpenVAS, LanGuard e Rapid7 Metasploit Pro: o endereço IP do clienteque armazena os arquivos de varredura exportados.

• NGS: o endereço IP do sistema que armazena os relatórios Squirrel.

• Rapid7, Lumension, nCircle e Saint: o endereço IP do respectivo servidor.

Diretório de montagem Se você selecionar nfs no campo Método, os campos de Diretório de montagemserão adicionados. Insira o diretório de montagem definido na configuração donfs.

Método O método a ser usado para recuperar os arquivos de varredura exportados(montagem SCP, FTP, NFS ou CIFS). O LanGuard sempre usa CIFS.

Senha • McAfee® Vulnerability Manager: se você estiver usando o modo deautenticação do Windows para SQL Server, a senha do computador Windows.Caso contrário, a senha do SQL Server.

• Nessus, OpenVAS, LanGuard e Rapid7 Metasploit Pro: a senha do SCP ou FTP.

• NGS: a senha para os métodos SCP e FTP.

• Qualys e FusionVM: a senha para o Qualys Front Office ou o nome de usuáriodo Fusion VM.

• Rapid7 Nexpose, Lumension, nCircle e Saint: a senha a ser usada na conexãocom o servidor Web.

• Digital Defense Frontline: a senha da interface da Web.

Porta A porta de escuta do servidor Web Rapid7 Nexpose, Lumension, nCircle, McAfee®

Vulnerability Manager ou Saint. O padrão para o Rapid7 Nexpose é 3780, para oLumension é 205, para o nCircle é 443, para o McAfee® Vulnerability Manager é1433 e para o Saint é 22.

Nome do projeto/área detrabalho

Nome de um projeto ou área de trabalho específica, ou deixe o campo embranco para utilizar todos os projetos ou áreas de trabalho.

Endereço IP do proxy Endereço IP do proxy HTTP.

Senha do proxy Senha para o nome de usuário do proxy.

Porta do proxy Porta de escuta para o proxy HTTP.

Nome de usuário do proxy Nome de usuário para o proxy.

URL do servidor Qualysou FusionVM

URL do servidor Qualys ou FusionVM para consulta.

Caminho remoto e nomede compartilhamento

Nessus com método CIFS, OpenVAS, eEye Retina, Metasploit Pro, LanGuard eNGS.

Você pode usar barras ou barras invertidas no nome do caminho (por exemplo,Arquivos de Programas\CIFS\va ou /Arquivos de Programas/CIFS/va).



Opção Definição

Agendar receptor ouRecuperação de dados doDEM

Indique a frequência com que deseja que os dados de VA sejam recuperadospelo Receptor ou pelo DEM:• Diariamente — hora para recuperar dados todos os dias.

• Semanalmente — dia da semana e a hora em que os dados serão recuperados.

• Mensalmente — dia do mês e a hora em que os dados serão recuperados.

Se você não deseja recuperar dados em um horário predefinido, selecioneDesativado.

O eEye REM não oferece suporte à recuperação de dados da origem; portanto,os dados devem ser recuperados do Receptor ou DEM.

Agendar recuperação dedados de VA

Indique a frequência com a qual você deseja que os dados de VA sejamrecuperados da origem de VA.

Sessão Saint: a sessão de onde os dados são coletados. Para incluir todas as sessões,digite Todas.

Senha de autenticação doSNMP

Se você selecionar authNoPriv ou authPriv no campo Nível de segurança do SNMP,esse campo será ativado. Insira a senha para o protocolo de autenticaçãoselecionado no campo Protocolo de autenticação do SNMP.

Protocolo de autenticaçãodo SNMP

Se você selecionar authNoPriv ou authPriv no campo Nível de segurança do SNMP,esse campo será ativado. Selecione o tipo de protocolo para essa origem: MD5ou SHA1 (SHA1 e SHA referem-se ao mesmo tipo de protocolo). Verifique se asua configuração do Servidor de eventos do REM corresponde à opçãoselecionada.

Comunidade do SNMP Comunidade SNMP definida quando você configurou o Servidor de eventos doREM.

Senha de privacidade doSNMP

Se você selecionar authPriv no campo Nível de segurança do SNMP, esse camposerá ativado. Insira a senha para o protocolo de privacidade DES ou AES. Nomodo FIPS, AES é a única opção disponível.

Protocolo de privacidadedo SNMP

Se você selecionar authPriv no campo Nível de segurança do SNMP, esse camposerá ativado e você poderá selecionar DES ou AES. No modo FIPS, AES é a únicaopção disponível.

Nível de segurança doSNMP

O nível de segurança que você deseja definir para essa origem.

• noAuthNoPriv: nenhum protocolo de autenticação ou protocolo de privacidade

• authNoPriv: existe um protocolo de autenticação, mas não um protocolo deprivacidade

• authPriv: existem protocolos de autenticação e de privacidade.

Os campos de autenticação e privacidade do SNMP serão ativados com base nonível de segurança selecionado. Verifique se a sua configuração do Servidor deeventos do REM corresponde à opção selecionada.

Nome de usuário doSNMP

O nome de segurança na Configuração do Servidor de eventos do REM.

Versão do SNMP A versão do SNMP para a origem. Os campos do SNMP são ativados com basena versão selecionada.

ID do mecanismo doSNMPv3

(Opcional) O ID do mecanismo do SNMPv3 do remetente de interceptações, sefor usado um perfil do SNMPv3.

Senha de sudo (Opcional) Digite a senha exigida para acessar o diretório de instalação do Saint.



Opção Definição

Tempo limite Este campo permite que você use o valor padrão de tempo limite para umaorigem ou forneça um valor específico de tempo limite. Isso é útil quando vocêtem muitos dados de VA de um fornecedor e a configuração padrão de tempolimite não permite que você retorne os dados parcial ou totalmente. Você podeaumentar o valor do tempo limite para permitir um tempo maior para arecuperação dos dados de VA. Quando um valor é fornecido, ele é usado paratodas as comunicações.

Token (Opcional) Token de autenticação que pode ser definido nas Configuraçõesglobais do Metasploit.

URL Digite o URL do servidor Digital Defense Frontline.

Usar proxy HTTP Se você optar por usar o proxy HTTP, os campos Endereço IP do proxy, Porta doproxy, Nome de usuário do proxy e Senha do proxy serão ativados.

Usar modo passivo Se você selecionar ftp no campo Método, esse campo será ativado. Selecionequando o modo passivo deve ser usado.

Usar sudo Selecione essa opção se você tiver acesso ao diretório de instalação do Saint edesejar usar esse acesso.

Usar perfil de sistema(eEye REM)

Selecione se deseja usar um perfil definido anteriormente. Se você selecionaresta opção, todos os campos SNMP serão desativados. Quando você selecionaum dos perfis de sistema existentes, os campos são preenchidos com asinformações do perfil selecionado.

Nome de usuário Digite o nome de usuário do McAfee® Vulnerability Manager. Se você estiverusando o modo de autenticação do Windows para o SQL Server, digite o nomede usuário da caixa Windows. Caso contrário, ele será o nome de usuário do SQLServer.

• Nessus, OpenVAS e Rapid7 Metasploit Pro: o nome de usuário do SCP ou FTP.

• NGS: o nome de usuário para os métodos SCP e FTP.

• Qualys ou FusionVM: o nome de usuário do Front Office ou FusionVM com oqual será feita a autenticação.

• Rapid7 Nexpose, Lumension, nCircle e Saint: o nome de usuário a ser usadona conexão com o servidor Web.

• Digital Defense Frontline: o nome de usuário da interface da Web.

Nome da origem de VA Digite o nome desta origem.

Expressão curinga Uma expressão curinga usada para descrever o nome dos arquivos de varreduraexportados. A expressão curinga pode usar um asterisco (*) ou um ponto deinterrogação (?) com a definição padrão de "caractere curinga" no nome de umarquivo.

Se você tiver arquivos NBE e XML, é preciso especificar se deseja arquivos NBEou XML neste campo (por exemplo, *.NBE ou *.XML). Se você usar somente umasterisco (*), ocorrerá um erro.

Gerenciamento de zonasUse zonas para organizar dispositivos e os eventos gerados por eles em agrupamentos relacionados porlocalização geográfica e endereço IP.

Por exemplo, se você tem escritórios nas costas leste e oeste e deseja que os eventos gerados em cadaescritório sejam agrupados, adicione duas zonas. Em seguida, atribua os dispositivos cujos eventos precisamser agrupados para cada uma das zonas. Para agrupar os eventos de cada escritório por endereços IPespecíficos, adicione subzonas a cada uma das zonas.



Gerenciar zonasAs zonas categorizam seus dispositivos e origens de dados por localização geográfica ou ASN. Adicione zonas,individualmente ou importando um arquivo exportado de outro sistema. Em seguida, atribua as origens dedados ou dispositivos às zonas.


2 Selecione a guia Gerenciamento de zonas.

3 Adicione uma zona ou subzona, edite ou remova zonas existentes ou importe e exporte configurações dezona.

4 Implemente alterações e clique em OK

Adicionar zonasAdicione zonas individualmente usando o recurso Adicionar zona ou importe um arquivo exportado de outrosistema.


2 Selecione a guia Gerenciamento de zona.

3 Clique em Adicionar zona.

4 Insira as informações solicitadas, atribua dispositivos à zona e clique em OK.

Opção Definição

Nome Digite um nome para essa zona.

Usar como atribuição dezona padrão

Selecione se desejar que essa atribuição de zona seja o padrão para os eventosgerados pelos dispositivos atribuídos a essa zona que não se encaixam em umade suas subzonas.

Localização geográfica Para usar a localização geográfica para definir os limites dessa zona, clique noícone Filtro e selecione a localização que deseja incluir na zona.

ASN Para definir os limites da zona usando ASN, que identifica cada rede na Internetde maneira exclusiva, insira os números nesse campo.

Dispositivos atribuídos Selecione os dispositivos que deseja atribuir a essa zona.

5 Para adicionar subzonas a uma zona, selecione a zona relevante e clique em Adicionar subzona. Insira osdetalhes da subzona, como nome, descrição, faixa de endereços IP e localização geográfica ou informaçõesde ASN.

Exportar configurações de zonaExporte configurações de zona de um McAfee ESM e as importe para outro McAfee ESM.





3 Clique em Exportar e selecione o tipo de arquivo que deseja exportar:

• Exportar arquivo de definição de zona: inclui as configurações de zonas e suas subzonas correspondentes

• Exportar dispositivo para arquivo de atribuição de zona : inclui dispositivos e zonas atribuídos a essesdispositivos

4 Clique em OK e selecione o arquivo para fazer download.

Importar configurações de zonaImporte as configurações de zona de um arquivo no estado em que estão ou edite os dados antes deimportá-los.

Antes de iniciarExporte um arquivo de configurações de zona de um McAfee ESM para que ele possa serimportado para outro McAfee ESM.

Tarefa1 Abra o arquivo de configurações de zona que deseja importar.

• Um arquivo de definição de zona importado contém oito colunas: Comando, Nome da zona, Nome dopai, Localização geográfica, ASN, Padrão, IPStart e IPStop.

• Um arquivo de atribuição de dispositivo à zona importado contém três colunas: Comando, Nome dodispositivo e Nome da zona.

2 Insira comandos na coluna Comando para especificar a ação a ser tomada para cada linha quando forimportada.

• add — Importe os dados na linha como estão.

• edit — (somente arquivo de definição de zona) Importe os dados com as alterações feitas.

Para alterar uma faixa de subzonas, remova a faixa existente e adicione a faixa com as alterações. Não épossível editar diretamente a faixa de subzonas.

• remove — Exclua a zona correspondente a essa linha do McAfee ESM.

3 Salve as alterações e feche o arquivo.

4 No dashboard, clique em e selecione Gerenciador de ativos.


6 Clique em Importar e selecione o tipo de arquivo de importação.

• Importar arquivo de definição de zona - inclui as configurações de zonas e suas subzonas correspondentes

• Importar arquivo de atribuição de dispositivo à zona - inclui dispositivos e zonas atribuídos a essesdispositivos

7 Clique em OK, localize o arquivo a ser importado e clique em Fazer upload.

O sistema indica os erros detectados no arquivo.

8 Se houver erros, corrija as informações e tente novamente.

9 Distribua as mudanças para atualizar os dispositivos.



Configurar grupos de benchmarkGerencie a quantidade de informações exibidas no Scorecard agrupando benchmarks relacionados. Aexpansão e o recolhimento de grupos oferece contexto e ajuda você a gerenciar a exibição de dados doScorecard.

Tarefa1 No menu principal, selecione Scorecard.

2 Abra o menu do usuário (três pontos verticais) no painel Grupos de benchmark.

3 Crie, edite ou exclua grupos conforme necessário.

Ativo, ameaça e avaliação de riscoO MTIS (McAfee Threat Intelligence Services) e as origens de avaliação de vulnerabilidade no seu sistema geramuma lista de ameaças conhecidas. O McAfee ESM usa a gravidade de ameaças e o nível crítico de cada um dosseus ativos para calcular o nível de risco para a empresa.

Asset Manager

Ao adicionar um ativo ao Gerenciador de ativos, você atribui um nível de criticidade para representar o nívelcrítico do ativo para sua operação. Por exemplo, se um computador gerenciar a configuração da empresa e elenão tiver backup, o nível crítico será alto. Se dois computadores gerenciarem a configuração, cada um com umbackup, o nível crítico será consideravelmente mais baixo.

Você pode selecionar se deseja usar ou ignorar um ativo em cálculo de risco para a sua empresa no menuEditar da guia Ativo.

Gerenciamento de ameaças

A guia Gerenciamento de ameaças no Gerenciador de ativos mostra uma lista de ameaças conhecidas, suagravidade, o fornecedor e se elas são usadas no cálculo de risco. Você pode ativar ou desativar ameaçasespecíficas para que sejam ou não usadas para calcular risco. Você também pode exibir os detalhes dasameaças na lista. Esses detalhes incluem recomendações de como lidar com a ameaça e medidas defensivasque você pode usar.

Exibições predefinidas

As exibições predefinidas resumem e exibem um ativo, uma ameaça e dados de risco:

• Resumo das ameaças do ativo — Exibe os principais ativos por pontuação de risco e níveis de ameaça e níveisde ameaça por risco.

• Resumo das ameaças recentes — Exibe as ameaças recentes por fornecedor, risco, ativo e produtos deproteção disponíveis.

• Resumo de vulnerabilidade — Exibe vulnerabilidades por ameaças e ativos.

Exibições personalizadas

Use o Assistente de consulta para configurar exibições personalizadas que mostram os dados necessários.

• Nos componentes Controle de discagem e Contagem, você pode exibir a pontuação de risco média daempresa e a pontuação de risco total da empresa.

• Nos componentes Gráfico de pizza, Gráfico de barras e Lista, você pode exibir os ativos em risco, proteçãocontra ameaças do produto, ameaça por ativo, ameaça por risco e ameaça por fornecedor.

• No componente Tabela, você pode exibir ativos, ameaças mais recentes, ativos principais por pontuação derisco e principais ativos por pontuação de risco.



Como funciona o ScorecardO McAfee ESM Scorecard mostra quais ativos (pontos de extremidade) atendem aos requisitos de configuraçãoda sua organização (benchmarks).

1 Configure o McAfee ePO com o McAfee Policy Auditor para fazer a auditoria dos ativos do sistema (pontosde extremidade).

2 Os benchmarks contêm regras que determinam se os ativos atendem às configurações necessárias. OMcAfee Policy Auditor define os benchmarks e a frequência a serem usados na auditoria de ativos.

O McAfee Policy Auditor alimenta os resultados da auditoria para o McAfee ePO.

3 O McAfee Event Receiver efetua pull dos resultados da auditoria do McAfee ePO.

4 O McAfee Event Receiver compartilha dados da auditoria com o McAfee ESM.

5 O McAfee ESM Scorecard mostra:

• Resumos executivos dos ativos da organização (pontos de extremidade) e os resultados de benchmark

• Dados de scorecard filtrados por ativos específicos ou dados de resultado de benchmark

• Percentual de benchmarks nos quais os ativos passaram

• Estatísticas da pontuação média de benchmark

• Quantos ativos a pontuação representa

Gerenciamento de ativosComo funciona o Scorecard 10


• Tendências ao longo do tempo

As linhas de tendência são exibidas somente quando há, pelo menos, dois pontos de dados, queconsistem em cerca de duas semanas de dados.

• Como os ativos e benchmarks estão vinculados

Configurar o ScorecardDefina os dados exibidos no Scorecard.

Antes de iniciarConfirme se o McAfee ePO está instalado com o McAfee Policy Auditor em execução.

Tarefa1 No dashboard do McAfee ESM, clique em e selecione Scorecard.

2 Escolha os ativos e os benchmarks a serem exibidos no Scorecard.

aNo painel Grupos de benchmark ou Grupos de ativos, clique em .

b Clique em Configurações e selecione o que deseja exibir.

Ao selecionar os dados do Scorecard, considere o volume de dados e seu impacto no desempenho.Benchmarks contêm conjuntos de regras e exibem um ponto de dados para várias regras. As regraspodem exibir uma grande quantidade de dados.

3 Defina como os dados são exibidos no Scorecard:

• Para calcular tendências ao longo do tempo, escolha um período entre 1 semana e 12 meses.

Use períodos curtos para identificar tendências altamente instáveis. Use períodos mais longos paraidentificar desvios dos benchmarks padrão.

•Para ativar/desativar a direção do vínculo entre ativos e benchmarks, clique em .

Por padrão, os dados de benchmark são vinculados aos ativos.

• Para alternar entre a exibição de texto e gráfico, clique no ícone de hash ou de gráfico de barras.

• Para detalhar uma regra ou ativo específico, clique na seta ao lado do nome de grupo.

• Para exibir dados de uma determinada regra, grupo ou ativo, selecione-o.

Somente os dados da regra, do grupo ou do ativo selecionados são mostrados na tabela vinculada.

Configurar exibições de Scorecard executivoDefina o que você deseja ver em um resumo visual de ativos ou benchmarks de sua organização.


10 Gerenciamento de ativosComo funciona o Scorecard


Tarefa

1 No dashboard do McAfee ESM, clique em e selecione Scorecard.

2 Na lista suspensa Exibição de scorecard, escolha a Exibição executiva por benchmark ou por ativo.

3 Clique em para escolher os grupos a serem exibidos nessa exibição.

É possível exibir, no máximo, 12 grupos.

4 Especifique os limites de gravidade para mostrar os níveis de conformidade de regra na exibição.

Filtrar dados do ScorecardFiltre dados do Scorecard para mostrar apenas os detalhes de ativo ou benchmark que você deseja ver.


Tarefa


2 Clique na barra de filtro e adicione campos ou valores através dos quais você deseja filtrar.

A barra de filtro é compatível com os seguintes operadores:e, igual, não é igual a, contém, não contém

3 Clique em .

4 Para atualizar os dados exibidos, clique em .

5 Para remover o filtro e atualizar os dados, selecione Limpar e atualizar.

Relatar dados do ScorecardExporte dados do Scorecard para um arquivo CSV, que você pode usar para relatar benchmarks e ativos de suaorganização.

Antes de iniciarConfirme se foi efetuado pull dos resultados da auditoria no Scorecard do McAfee ePO com oMcAfee Policy Auditor.

Tarefa


2 Filtre os dados do Scorecard, conforme necessário.

O sistema gera um arquivo CSV com os dados associados ao grupo selecionado e os filtros aplicados.

• Para filtrar por campos ou valores específicos, use a barra de filtro.

• Para mostrar os dados de um grupo específico, clique com o botão direito do mouse nesse benchmarkou grupo de ativos.

• Para mostrar os eventos relacionados a um ativo em particular, clique com o botão direito do mouse emum ativo específico e escolha a opção Resumir por.

Gerenciamento de ativosComo funciona o Scorecard 10


3 Clique em Exportar.

4 Formate o arquivo CSV de acordo com suas necessidades de geração de relatórios.

10 Gerenciamento de ativosComo funciona o Scorecard


11 Definição de políticas e regras

Conteúdo Como as regras e políticas do McAfee ESM funcionam Gerenciar políticas Configurar trilhas de auditoria do banco de dados Como funcionam as variáveis Tipos de regras do McAfee ESM Definir excesso de assinaturas do pacote Exibir o status de atualização de política Como trabalhar com regras Definir ações de substituição para regras obtidas por download Níveis de gravidade Exibir histórico de alteração de política Distribuir alterações de política Ativar Copiar pacote para regras

Como as regras e políticas do McAfee ESM funcionamAs Políticas permitem detectar tráfego malicioso ou anômalo e variáveis que funcionam como parâmetros pararegras. Para orientar o comportamento dos dispositivos do McAfee ESM, use o Editor de políticas para criarmodelos de política e personalizar políticas individuais.Os modelos de políticas e as configurações de política de dispositivo podem herdar valores de seus pais. Aherança permite que as configurações de política do dispositivo sejam infinitamente configuráveis, mantendoao mesmo tempo um nível de simplicidade e facilidade de uso. Cada política quando criada adiciona umaentrada na Árvore de políticas.

Ao operar no modo FIPS, não atualize as regras por meio do servidor de regras. Em vez disso, atualize-asmanualmente.

Ícone Descrição

Política

Dispositivo fora de sincronização

Dispositivo preparado

Dispositivo atualizado

O servidor de regras da McAfee mantém todas as regras, variáveis e pré-processadores com valores ou usospredefinidos. A Política padrão herda seus valores e configurações das definições mantidas pela McAfee e é aancestral de todas as outras políticas. Por padrão, as configurações de todas as demais políticas e dispositivosherdam seus valores da Política padrão.

11


Tipos de regras listados no Editor de políticas variam de acordo com o dispositivo selecionado na árvore denavegação do sistema. O sistema exibe a hierarquia de política para o dispositivo selecionado. Você pode filtraras regras para exibir somente as que atenderem aos seus critérios. Ou marque as regras para definir suasfunções.

Gerenciar políticasGerencie as políticas do sistema realizando ações na Árvore de políticas.

Antes de iniciarVocê precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios deadministração de políticas.

Tarefa1 No dashboard, clique em e selecione Editor de políticas.

2 No console do McAfee ESM, clique no ícone Editor de políticas e no ícone Árvore de políticas .

3 Use a Árvore de políticas para:

• Consultar as regras associadas a políticas

• Criar uma hierarquia de políticas

Você só pode arrastar e soltar dispositivos nas políticas.

• Pesquisar políticas ou dispositivos usando filtros ou marcas

• Renomear, excluir, copiar ou substituir políticas

As configurações de política copiadas são aplicadas às políticas substituídas, mas o nome permaneceinalterado.

• Mover políticas para diferentes dispositivos

• Importar políticas

Se você estiver importando várias políticas, a primeira sobrescreverá a selecionada, e o sistema inseriráas políticas subsequentes como filhos do nó atual, mantendo intacta a respectiva relação hierárquica.Essa opção não altera o nome da política selecionada.

• Exportar políticas

• Em virtude da possível dependência de regras personalizadas nas variáveispersonalizadas, você não pode exportar regras personalizadas sem exportar também asvariáveis personalizadas.

• A hierarquia de políticas é nivelada, significando que o sistema compacta as configuraçõesem um nível de política, com precedência das configurações da política mais imediata,item por item. Por exemplo, se você seleciona um dispositivo, o sistema exporta as duaspolíticas acima da política selecionada. Para exportar uma política pai, é preciso selecionarseu filho. Além disso, as configurações de política têm precedência sobre as da política paiquando o arquivo é compactado em um nível de política.

11 Definição de políticas e regrasGerenciar políticas


Configurar trilhas de auditoria do banco de dadosConfigure uma trilha de auditoria para rastrear o acesso e as alterações feitas no banco de dados ou tabelasassociadas aos eventos de banco de dados específicos. O relatório de conformidade do McAfee ESM lista trilhasde auditoria associadas a cada evento.

Antes de iniciarPara gerar eventos de trilha de auditoria, adicione:

• Regras de acesso a dados

• Relatório de trilhas de auditoria de usuário privilegiado


2 No painel Tipos de regras, selecione DEM | Acesso a dados.

3 Realce DEM - Regra de modelo - Acesso de usuário confiável da faixa de IP.

4 Clique em Editar | Copiar e clique em Editar | Colar.

5 Altere o nome e as propriedades da nova regra.

a Realce a regra e selecione Editar | Modificar.

b Atribua um nome à regra e digite o nome de usuário.

c Selecione o tipo de ação Não confiável e clique em OK.

6 Clique no ícone Distribuição .

7 Configure o relatório:

a Em Propriedades do sistema, clique em Relatórios | Adicionar.

b Preencha as seções 1 até 3 e 6.

c Na seção 4, selecione PDF de relatório ou HTML de relatório

d Na seção 5, selecione Conformidade | SOX | Trilhas de auditoria de usuário privilegiado (banco de dados).

e Clique em Salvar.

8 Para gerar o relatório, clique em Executar agora.

Como funcionam as variáveisUma variável é uma configuração global ou um marcador de posição para informações específicas do usuárioou do local e usada por regras.

Adicionar ou alterar as variáveis requer amplo conhecimento do formato Snort.

Use variáveis para fazer com que as regras se comportem de maneira específica, o que pode variar dedispositivo para dispositivo. O McAfee ESM tem muitas variáveis predefinidas, mas também permite adicionarvariáveis personalizadas. Ao adicionar uma regra, essas variáveis são exibidas como opções na lista suspensapara o tipo de campo selecionado no campo Tipo na página Nova variável.

Definição de políticas e regrasConfigurar trilhas de auditoria do banco de dados 11


Cada variável possui um valor padrão, mas é recomendável que você defina alguns valores que correspondamao ambiente específico de cada dispositivo. Nomes de variáveis não podem conter espaços. Use um sublinhado(_) para representar espaços. Para maximizar a eficácia do dispositivo, é importante definir a variávelHOME_NET para a rede doméstica protegida pelo dispositivo específico.

Esta tabela mostra uma lista de variáveis comuns e seus valores padrão.

Nomes de variáveis Descrição Padrão Descrição padrão

EXTERNAL_NET Todos fora da rede protegida !$HOME_NET Porta 80

HOME_NET Espaço de endereço da rede local protegida:(10.0.0.0/80)

Qualquer O mesmo queHOME_NET

HTTP_PORTS Portas de servidor Web: 80 ou 80:90 para umintervalo entre 80 e 90

80 Qualquer porta, excetoHTTP_PORTS

HTTP_SERVE RS Endereços dos servidores Web: 192.168.15.4or [192.168.15.4,172.16.61.5]

$HOME_NET O mesmo queHOME_NET

SHELLCODE_PORTS Qualquer uma, menos portas de servidorWeb

!$HTTP_PORTS O mesmo queHOME_NET

SMTP Endereços de servidor de e-mail $HOME_NET O mesmo queHOME_NET

SMTP_SERVERS Endereços de servidor de e-mail $HOME_NET O mesmo queHOME_NET

SQL_SERVERS Endereços de servidores SQL DB $HOME_NET O mesmo queHOME_NET

TELNET_SERVERS Endereços de servidores telnet $HOME_NET O mesmo queHOME_NET

Você pode alterar as variáveis do sistema e adicionar, alterar ou excluir variáveis personalizadas.

Atribua tipos a variáveis personalizadas para filtrar regras para geração de relatórios. Os tipos determinam ocampo no qual as variáveis estão disponíveis ao adicionar ou alterar uma regra. Os tipos de variáveis sãoglobais, e as alterações aparecem em todos os níveis de política.

Gerenciar variáveisAo selecionar o tipo de regra da variável no Editor de políticas, você pode executar várias ações para gerenciarvariáveis personalizadas e predefinidas.

Tarefa1 Clique no ícone Editor de políticas.

2 No painel Tipos de regras, selecione Variável.


• Adicione uma categoria selecionando Nova | Categoria.

• Adicione variáveis personalizadas selecionando a categoria, clique em Nova, selecione Variável e definaas configurações solicitadas.

11 Definição de políticas e regrasComo funcionam as variáveis


• Altere as variáveis selecionando-as, selecione Editar e clique em Modificar ou Excluir.

Quando o tipo de variável é definido para outro diferente de Nenhum tipo selecionado e vinculado, não épossível alterar o valor.

• Importe variáveis selecionando Arquivo e clique em Importar | variáveis. Clique em Importar, procure efaça upload do arquivo.

O arquivo de importação deve ser um arquivo .txt contendo as informações a seguir neste formato:NomedaVariável;ValordaVariável; NomedaCategoria (opcional); Descrição (opcional). Se um campo estiverausente, é preciso que haja um ponto e vírgula em seu lugar para servir como um espaço reservado.

4 No painel de exibição de regras, selecione a categoria e clique em Novo.

5 Selecione Variável e defina as configurações solicitadas.

Detectar anomalias do protocolo TCP e sequestro de sessãoVocê pode detectar e alertar sobre anomalias do protocolo TCP e verificar a existência de sequestro de sessãoTCP usando a variável do pré-processador Stream5.


2 No painel Tipos de regras, clique em Variável.

3 No painel Variáveis, expanda o grupo pré-processador e clique duas vezes em STREAM5_TCP_PARAMS.

4 Na página Modificar variável, adicione uma das seguintes opções ao campo Valor:

• Para detectar e alertar sobre anomalias do protocolo TCP, adicione detect_anomalies após políticaprimeiro.

• Para verificar a existência de sequestro de sessão TCP, adicione detect_anomaliescheck_session_hijacking após política primeiro.

Tipos de regras do McAfee ESMO McAfee ESM inclui vários tipos de regras que permitem proteger seu ambiente.

• Regras do McAfee Application Data Monitor: detectam padrões de tráfego maliciosos ao detectar anomaliasem protocolos de aplicativo e transporte.

• Regras do Analisador avançado de syslog (ASP): identificar onde os dados residem em eventos específicosde mensagem, como IDs de assinatura, endereços IP, portas, nomes de usuário e ações.

• Regras de correlação - interpretar padrões nos dados correlacionados.

• Regras de origem de dados: detectar problemas com as informações da origem de dados enviadas aosreceptores.

• Regras do McAfee Database Event Monitor: monitoraram eventos de banco de dados, como entrada/saída,atividade do tipo DBA, atividades suspeitas e ataques de bancos de dados que normalmente sãonecessários para cumprir requisitos de conformidade.

• Regras do McAfee ESM: geraram relatórios de conformidade ou auditoria relacionados a eventos do McAfeeESM.

Definição de políticas e regrasTipos de regras do McAfee ESM 11


• Regras de filtro: permitem que você especifique a ação a ser executada nos dados do McAfee EventReceiver.

• Regras de rastreamento de transação: rastrear transações do banco de dados e reconciliar as alteraçõesautomaticamente, por exemplo, registrar em log o início e o término de uma execução de transação e iniciare vincular declarações a relatórios por transação em vez de consultas.

• Regras de eventos do Windows - gerar eventos relacionados ao Windows.

Os ícones indicam onde uma regra herda seu uso.

Ícone Descrição

Indica a configuração padrão que herda o uso do pai

Indica a cadeia de herança interrompida nesse nível. Herança desativada nesse momento.

A atual utilização da regra é adotada quando a herança é interrompida.

Indica a cadeia de herança interrompida nesse nível. Os itens abaixo deste ponto não herdam maisnada.

Indica um valor personalizado. Defina um valor que não seja o padrão.

Regras do McAfee Application Data MonitorO McAfee Application Data Monitor é uma série de appliances de rede equipados com o mecanismo de Inspeçãoprofunda de pacote (DPI) de ICE.

O Mecanismo ICE é uma biblioteca de software e coleção de módulos de plug-in de conteúdo e protocolo queidentifica e extrai conteúdo do tráfego bruto da rede em tempo real. Ele pode remontar e decodificartotalmente o conteúdo no nível de aplicativo, transformando os fluxos de pacote de rede criptografados emconteúdo de fácil leitura, como se fossem lidos em um arquivo local.

O mecanismo de ICE é capaz de identificar protocolos e tipos de conteúdo automaticamente sem anecessidade de contar com números de porta TCP fixos ou extensões de arquivo. Mecanismo de ICE nãodepende de assinaturas para realizar análises e decodificação. Em vez disso, seus módulos implementamanalisadores completos para cada tipo de conteúdo ou protocolo, o que resulta em identificação precisa edecodificação de conteúdo, permitindo que o conteúdo seja identificado e extraído mesmo quando écompactado ou codificado de outra forma. Portanto, ele não passa através da rede em texto não criptografado.

Como resultado dessa identificação e decodificação altamente precisa, o mecanismo de ICE oferece umaexibição exclusivamente detalhada do tráfego da rede. Por exemplo, o mecanismo de ICE poderia receber umfluxo de documento PDF que percorreu a rede dentro de um arquivo zip, como um anexo codificado BASE-64para um e-mail SMTP de um servidor proxy SOCKS.

Esse reconhecimento de aplicativos e documentos permite que o McAfee Application Data Monitor forneça umcontexto de segurança valioso. Ele pode detectar ameaças que não são facilmente detectadas por um IDS ouIPS tradicional, como:

• Vazamento de informações e documentos confidenciais ou violações de políticas de comunicação.

• Tráfego de aplicativos não autorizado (por exemplo, quem está usando Gnutella?).

• Aplicativos usados de maneira inesperada (por exemplo, HTTPS em porta não padrão).

• Documentos possivelmente maliciosos (por exemplo, o documento não corresponde à sua extensão).

• Nova geração de explorações (por exemplo, documento PDF com um executável incorporado).

11 Definição de políticas e regrasTipos de regras do McAfee ESM


O McAfee Application Data Monitor detecta padrões de tráfego maliciosos detectando anomalias emprotocolos de transporte e aplicativo (por exemplo, uma conexão RPC está incorreta ou a porta de destino TCPé 0).

Aplicativos e protocolos compatíveis

O McAfee Application Data Monitor pode monitorar aplicativos e protocolos (como os que estão listadosabaixo) e, em seguida, decodificar e detectar anomalias.

• Protocolos de rede de nível inferior: TCP/IP, UDP, RTP, RPC, SOCKS, DNS e outros

• E-mail: MAPI, NNTP, POP3, SMTP, Microsoft Exchange

• Bate-papo: MSN, AIM/Oscar, Yahoo, Jabber, IRC

• Webmail: como AOL Webmail, Hotmail, Yahoo! E-mail do Mail, Gmail, Facebook

• P2P: Gnutella, bitTorrent

• Shell: SSH (detecção somente), Telnet

• Mensagens instantâneas: AOL, ICQ, Jabber, MSN, SIP e Yahoo

• Protocolos de transferência de arquivo: FTP, HTTP, SMB e SSL

• Protocolos de compactação e extração: BASE64, GZIP, MIME, TAR, ZIP e outros

• Arquivamentos: arquivos RAR, ZIP, BZIP, GZIP, Binhex e arquivos UU-encoded

• Pacotes de instalação: pacotes Linux, gabinetes InstallShield, gabinetes Microsoft

• Arquivos de imagem: GIFs, JPEGs, PNGs, TIFFs, AutoCAD, Photoshop, Bitmaps, Visio, Digital RAW e ícones doWindows

• Arquivos de áudio: WAV, MIDI, RealAudio, Dolby Digital AC-3, MP3, MP4, MOD, RealAudio, SHOUTCast emuito mais

• Arquivos de vídeo: AVI, Flash, QuickTime, Real Media, MPEG-4, Vivo, Digital Video (DV), Motion JPEG e muitomais

• Outros aplicativos e arquivos: bancos de dados, planilhas, fax, aplicativos Web, fontes, arquivos executáveis,aplicativos do Microsoft Office, jogos e até ferramentas de desenvolvimento de software

• Outros protocolos: impressora de rede, acesso ao shell, VoIP e ponto a ponto

Principais conceitos

• Objeto : item individual de conteúdo. Um e-mail é um objeto, mas também é um contêiner de objeto, já quetem um corpo de mensagem (ou dois) e anexos. Uma página HTML é um objeto que pode conter objetosadicionais, como imagens. Um arquivo .zip e todos os arquivos em seu interior são objetos. O McAfeeApplication Data Monitor descompacta o contêiner e trata cada objeto interno como seu próprio objeto.

• Transação: um wrapper da transferência de um objeto (conteúdo). Uma transação contém, pelo menos, umobjeto; no entanto, se esse objeto for um contêiner, como o arquivo .zip, uma única transação poderáconter vários objetos.

• Fluxo: conexão de rede TCP ou UDP. Um fluxo pode conter muitas transações.



Gerenciar regras personalizadasUse regras predefinidas como modelos para criar regras personalizadas.

Tarefa• Em Editor de políticas, execute uma das seguintes ações:

• Exibir regras personalizadas existentes:

1 Selecione a guia Filtro no painel Filtros/Marcação.

2 Clique na barra Avançado na parte inferior do painel.

3 No campo Origem, selecione definido pelo usuário.

4 Clique em Executar consulta.

• Copie e cole as regras.

• Altere as regras personalizadas.

• Exclua as regras personalizadas.

Adicionar regras personalizadasUse expressões regulares e lógicas para adicionar bancos de dados ou regras de correlação personalizadas doMcAfee Application Data Monitor.


2 Clique em Novo e selecione o tipo de regra que deseja adicionar.

3 Defina regras de banco de dados:

Opção Definição

Nome Digite um nome descritivo para a regra.

Gravidade Selecione uma configuração de gravidade.

ID de normalização Altere a ID normalizada padrão.

Marcas Selecione marcas que definem as categorias às quais a regra pertence.

Tipo Selecione o tipo de regra.

Ação padrão Selecione a ação de alerta que essa regra dispara.

Área Lógica da expressão Arraste e solte componentes e elementos lógicos nessa área para definira lógica da regra.

Elementos lógicos AND e OR Arraste e solte esses elementos na área Lógica da expressão para definir alógica da regra.

Ícone Componente da expressão Arraste e solte o ícone para definir os detalhes dos elementos lógicos.

Descrição Digite a descrição da regra, que aparece no Editor de políticas.



4 Defina regras de correlação:

Opção Definição

Nome Digite um nome descritivo para a regra.

Gravidade Selecione uma configuração de gravidade.

ID de normalização Altere a ID normalizada padrão.

Marcas Selecione marcas que definem as categorias às quais a regra pertence.

Agrupar por Crie uma lista de campos para agrupar eventos conforme eles entramno mecanismo de correlação.

Área Lógica de correlação Arraste e solte componentes e elementos lógicos nessa área para definira lógica da regra.

Parâmetros Personalize instâncias de uma regra e reutilização de componentes.

Elementos lógicos AND, OR eSET

Arraste e solte esses elementos na área Lógica de correlação para definira lógica da regra.

Ícones Corresponder aocomponente, Componente dedesvio e Regras/Componentes

Arraste e solte os componentes para definir os detalhes dos elementoslógicos.

Descrição Adicione a descrição da regra, que aparece no Editor de políticas.

5 Defina campos e valores aos quais os eventos devem corresponder para disparar uma regra de correlação:

Opção Definição

Eventos,Fluxos

Selecione o tipo de dados ao qual serão aplicados os filtros. Você podeselecionar os dois.

Adicionar Adicione os filtros desse componente.

Opçõesavançadas

Número devalores distintos...

Selecione se um número específico de valores precisar ocorrer em umcampo específico antes que o componente seja disparado.• Valores distintos: clique no ícone Valor padrão para selecionar o

número de valores que deve ocorrer.

• Campo monitorado: clique no ícone Valor padrão para selecionar ocampo em que os valores devem ocorrer.

Esse componentedeverá dispararsomente se...

Selecione se desejar que o componente dispare somente se ascorrespondências não ocorrerem no período especificado no campoJanela de tempo no nível de portão.

Substituir grupopor

Selecione para personalizar o agrupamento dos eventos em uma regrade correlação. Se houver uma regra que agrupe por um campoespecífico, você poderá substituir um de seus componentes paracorresponder a um campo que você especificar na página Configurargrupo por substituições. Clique em Configurar para definir o campo desubstituição.

6 Defina configurações de componente da expressão:

Opção Definição

Não Selecione para excluir os valores selecionados.

Período Selecione a referência de métrica para essa expressão.

Descrição Digite uma descrição do componente.

Dicionário Se você desejar que essa regra consulte um dicionário do McAfee Application DataMonitor que está no McAfee ESM, selecione-a na lista suspensa.



Opção Definição

Operador Selecione o operador relacional.McAfee Application Data Monitor

• Igual a = • Maior ou igual a >=

• Não é igual a != • Menor que ou igual a <=

• Maior que > • Menor que <

Banco de dados do McAfee Database Event Monitor

• EQ - Igual a • NB - Não está entre

• BT - Entre • NE - Diferente de

• GE - Maior ou igual a • NGT - Não é maior que

• GT - Maior que • NLE - Não é menor que

• LE - Menor que ou igual a • REGEXP - Expressão regular

• LT - Menor que

Correspondervalores

Selecione se a regra será disparada quando qualquer um dos valores corresponder aopadrão definido ou somente se todos os valores corresponderem ao padrão.

Valor Selecione as variáveis para filtrar.• Se o ícone de variáveis estiver ao lado do campo, clique nele e selecione as variáveis.

• Se não houver nenhum ícone, digite o valor seguindo as instruções contidas nocampo Entrada válida.

Insira o valor para filtrar.

Entrada válida Exiba as dicas dos valores que podem ser inseridos no campo Valor .

Editar elementos lógicosVocê pode alterar as configurações padrão dos elementos lógicos AND, OR e SET.

Tarefa1 No editor de regra, arraste e solte um elemento lógico na área Lógica da expressão ou Lógica de correlação.

2 Clique no ícone Menu do elemento que deseja editar e clique em Editar.

3 Altere as configurações e clique em OK.

Sintaxe de regras do McAfee® Application Data MonitorAs regras do McAfee Application Data Monitor fornecem um conjunto de literais (números, cadeias, expressõesregulares, endereços IP, endereços MAC e boolianos) semelhante a expressões C.

Os termos de cadeia podem ser comparados com literais de cadeia e Regex para testar seu conteúdo, mas elestambém podem ser comparados com números para testar seu comprimento. Somente é possível comparartermos numéricos, de endereço IP e endereço MAC com o mesmo tipo de valor literal. A única exceção é quetudo pode ser tratado como booliano para testar sua existência. Alguns termos podem ter vários valores, porexemplo, a regra a seguir seria disparada para arquivos PDF dentro de arquivos .zip: tipo = = aplicativo/zip &&tipo = = aplicativo/pdf.



Tabela 11-1 Operadores

Operador Descrição Exemplo

&& Elemento lógico AND protocol = = http && type = = image/gif

|| Elemento lógico OR time.hour < 8 || time.hour > 18

^ ^ Elemento lógico XOR email.from = = "[email protected]" ^^email.to = = "[email protected]"

! NOT unário ! (protocol = = http | | protocol = = ftp)

= = É igual a type = = application/pdf

! = Não é igual a srcip ! = 192.168.0.0/16

> Maior que objectsize > 100M

> = Maior ou igual a time.weekday > = 1

< Menor que objectsize < 10 K

< = Menor ou igual a time.hour < = 6

Tabela 11-2 Literais

Literal Exemplo

Número 1234, 0x1234, 0777, 16K, 10M, 2G

Cadeia "uma cadeia"

Regex /[A-Z] [a-z]+/

IPv4 1.2.3.4, 192.168.0.0/16, 192.168.1.0/255.255.255.0

MAC aa:bb:cc:dd:ee:ff

Bool verdadeiro, falso

Tabela 11-3 Compatibilidade do tipo de operador

Tipo Operadores Notas

Número = =, ! =, >, > =, <, < =

Cadeia = =, ! = Comparar conteúdo de cadeia com Cadeia/Regex

Cadeia >, > =, <, <= Comparar tamanho da cadeia

IPv4 = =, ! =

MAC = =, ! =

Bool = =, ! = A comparação com verdadeiro/falso também é compatível com a comparaçãoimplícita com verdadeiro, por exemplo, a comparação a seguir testa se o termoemail.bcc ocorre: email.bcc

Tabela 11-4 Gramática de regex

Operadores básicos

| Alternação (ou)

* Zero ou mais

+ Um ou mais

? Zero ou um



Tabela 11-4 Gramática de regex (continuação)

Operadores básicos

( ) Agrupamento (a | b)

{ } Intervalo de repetição {x} ou {,x} ou {x,} ou {x,y}

[ ] Intervalo [0-9a-z] [abc]

[^ ] Intervalo exclusivo [^abc] [^0-9]

. Qualquer caractere

\ Caractere de escape

Caracteres de escape

\d Dígito [0-9]

\D Não dígito [^0-9]

\e Caracteres de escape (0x1B)

\f Avanço de página (0x0C)

\n Avanço de linha (0x0A)

\r Retorno de carro (0x0D)

\s Espaço em branco

\S Não é espaço em branco

\t Tabulação (0x09)

\v Tabulação vertical (0x0B)

\w Palavra [A-Za-z0-9_]

\W Não é palavra

\x00 Representação hexadecimal

\0000 Representação octal

^ Início de linha

S Fim de linha

As âncoras de início e fim de linha (^ e $) não funcionam para objcontent.


[:alunum:] Dígitos e letras

[:alpha:] Somente letras

[:ascii:] Caracteres ASCII

[:blank:] Espaço e tabulação

[:cntrl:] Caracteres de controle




[:digit:] Dígitos

[:graph:] Caracteres visíveis

[:lower:] Letras minúsculas

[:print:] Caracteres e espaços visíveis

[:punct:] Pontuação e símbolos

[:space:] Todos os caracteres com espaço em branco

[:upper:] Caracteres em maiúsculas

[:word:] Caracteres de palavra

[:xdigit:] Dígito hexadecimal

Exemplos de dicionário do McAfee Application Data MonitorO McAfee Application Data Monitor pode relacionar o conteúdo do objeto ou outras métricas ou propriedadesa um dicionário de coluna única indicando verdadeiro ou falso (existe ou não existe no dicionário).

Tabela 11-5 Exemplos de dicionário de coluna única


Dicionário de cadeia com palavras despam comuns

“Cialis”

“cialis”

“Viagra”

“viagra”

“site adulto”

“Site adulto”

“compre já! não perca tempo!”

Dicionário de expressão regular parapalavras-chave de autorização

/(password|passwd|pwd)[â-z0-9]{1,3}(admin|login|password|user)/i

/(customer|client)[â-z0-9]{1,3}account[â-z0-9]{1,3}number/i

/fund[â-z0-9]{1,3}transaction/i

/fund[â-z0-9]{1,3}transfer[â-z0-9]{1,3}[0–9,.]+/i



Tabela 11-5 Exemplos de dicionário de coluna única (continuação)


Dicionário de cadeia com valores dohash para executáveis inválidosconhecidos

"fec72ceae15b6f60cbf269f99b9888e9"

"fed472c13c1db095c4cb0fc54ed28485"

"feddedb607468465f9428a59eb5ee22a"

"ff3cb87742f9b56dfdb9a49b31c1743c"

"ff45e471aa68c9e2b6d62a82bbb6a82a"

"ff669082faf0b5b976cec8027833791c"

"ff7025e261bd09250346bc9efdfc6c7c"

Endereços IP de ativos críticos 192.168.1.12

192.168.2.0/24

192.168.3.0/255.255.255.0

192.168.4.32/27

192.168.5.144/255.255.255.240

Tabela 11-6 Exemplos de dicionário de coluna dupla


Dicionário de cadeia compalavras de spam e categoriascomuns

“Cialis” “medicamento”

“cialis” “medicamento”

“Viagra” “medicamento”

“viagra” “medicamento”

“site adulto” “adulto”

“Site adulto” “adulto”

“compre já! não perca tempo!” “scam”

Dicionário de expressão regularpara palavras-chave deautorização e categorias

/(password|passwd|pwd)[â-z0-9]{1,3}(admin|login|password|user)/i“credentials”

/(customer|client)[â-z0-9]{1,3}account[â-z0-9]{1,3}number/i “pii”

/fund[â-z0-9]{1,3}transaction/i “sox”

/fund[â-z0-9]{1,3}transfer[â-z0-9]{1,3}[0–9,.]+/i “sox”



Tabela 11-6 Exemplos de dicionário de coluna dupla (continuação)


Dicionário de cadeia com valoresdo hash para executáveisinválidos conhecidos ecategorias

"fec72ceae15b6f60cbf269f99b9888e9" “trojan”

"fed472c13c1db095c4cb0fc54ed28485" “Malware”

"feddedb607468465f9428a59eb5ee22a" “Virus”

"ff3cb87742f9b56dfdb9a49b31c1743c" “Malware”

"ff45e471aa68c9e2b6d62a82bbb6a82a" "Adware"

"ff669082faf0b5b976cec8027833791c" “trojan”

"ff7025e261bd09250346bc9efdfc6c7c" “Virus”

Endereços IP de ativos e gruposcríticos

192.168.1.12 “Ativos críticos”

192.168.2.0/24 “LAN”

192.168.3.0/255.255.255.0 “LAN”

192.168.4.32/27 “DMZ”

192.168.5.144/255.255.255.240 “Ativos críticos”

Tipos de termo de regra do McAfee® Application Data MonitorAs regras do McAfee Application Data Monitor contêm termos que podem ser endereços IP, endereços MAC,números, cadeias ou um booliano.

Além disso, há dois tipos extras de literal: expressões regulares e listas. Um termo de tipo específico somentepode ser comparado com um literal do mesmo tipo ou uma lista de literais do mesmo tipo (ou uma lista delistas de...).

Exceções a essa regra são:

• Um termo de cadeia pode ser comparado com um literal numérico para testar o tamanho. A seguinte regraserá disparada se uma senha contiver menos de oito caracteres (a senha é um termo de cadeia): Senha < 8

• Um termo de cadeia pode ser comparado com uma expressão regular. A seguinte regra será disparada seuma senha contiver somente letras minúsculas: senha == /^[a-z]+$/

• Todos os termos podem ser testados com literais boolianos para verificar se eles ocorrem. A seguinte regraserá disparada se um e-mail contiver um endereço CC (email.cc é um termo de cadeia): e-mail.cc ==verdadeiro


Endereços IP • Os literais de endereço IP são gravados em notação quádrupla pontilhada padrão e nãoficam entre aspas: 192.168.1.1

• Os endereços IP podem ter uma máscara gravada em notação CIDR padrão. Não deve havernenhum espaço em branco entre o endereço e a máscara: 192.168.1.0/24

• Os endereços IP podem também ter máscaras gravadas na forma longa:192.168.1.0/255.255.255.0

EndereçosMAC

• Os literais de endereço MAC são gravados usando notação padrão, como os endereços IP,eles não ficam entre aspas: aa:bb:cc:dd:ee:ff




Números • Todos os números nas regras do McAfee Application Data Monitor são números inteiros de32 bits. Eles podem ser gravados em decimal: 1234

• Eles podem ser gravados em hexadecimal: 0xabcd

• Eles podem ser gravados em octal: 0777

• Eles podem ter um multiplicador anexado para multiplicar por 1024 (K), 1048576 (M) ou1073741824 (G): 10 M

Cadeias • As cadeias ficam entre aspas duplas: "esta é uma cadeia"

• As cadeias podem usar sequências de caracteres de escape C padrão: "\tEsta é uma \"cadeia\" que contém\x20sequências de caracteres de escape\n"

• Na comparação de um termo com uma cadeia, o termo inteiro deve corresponder à cadeia.Se uma mensagem de e-mail tiver um endereço de origem de algué[email protected], aseguinte regra não será disparada: e-mail.de == “@algumlugar.com”

• Para corresponder somente uma parte do termo, em vez disso, use um literal de expressãoregular. Os literais de cadeia devem ser usados quando possível, porque são mais eficazes.

Todos os termos de URL e endereço de e-mail são normalizados antes da correspondência, porisso, não é necessário considerar itens com comentários nos endereços de e-mail.

Boolianos • Os literais boolianos são verdadeiros e falsos.




Expressõesregulares

• Os literais de expressão regular usam a mesma notação como linguagens, como Javascript ePerl, colocando a expressão regular entre barras: /[a-z]+/

• Siga as expressões regulares com sinalizadores modificadores padrão, embora "i" seja oúnico reconhecido no momento (não diferencia maiúsculas de minúsculas): /[a-z]+/i

• Use a sintaxe POSIX Extended para literais de expressão regular. Atualmente, as extensõesPerl funcionam para todos os termos, exceto para o termo de conteúdo, mas isso poderámudar em versões futuras.

• Na comparação de um termo com uma expressão regular, a expressão regular corresponde aqualquer subcadeia dentro do termo, a menos que operadores âncora sejam aplicados naexpressão regular. A seguinte regra é disparada quando um e-mail é visto com um endereço“algué[email protected]”: e-mail.de == /@algumlugar.com/

Listas • Os literais de lista consistem em um ou mais literais entre colchetes e separados por vírgula:[1, 2, 3, 4, 5]

• As listas podem conter qualquer tipo de literal, inclusive outras listas: [192.168.1.1,[10.0.0.0/8, 172.16.128.0/24]]

• As listas devem conter somente um tipo de literal. Não é válido misturar cadeias e números,cadeias e expressões regulares, endereços IP e endereços MAC.

• Quando uma lista é usada com qualquer operador relacional que não seja diferente de (!=), aexpressão será verdadeira se o termo corresponder a algum literal da lista. A seguinte regraserá disparada se o endereço IP de origem corresponder a algum endereço IP da lista: Srcip== [192.168.1.1, 192.168.1.2, 192.168.1.3]

• Isso equivale a: Srcip == 192.168.1.1 || srcip == 192.168.1.2 || srcip == 192.168.1.3

• Quando usada com o operador diferente de (!=), a expressão será verdadeira se o termo nãocorresponder a todos os literais da lista. A seguinte regra será disparada se o endereço IP deorigem não for 192.168.1.1 ou 192.168.1.2: Srcip != [192.168.1.1, 192.168.1.2]

• Isso equivale a: Srcip != 192.168.1.1 && srcip != 192.168.1.2

• As listas também podem ser usadas com outros operadores relacionais, embora isso nãofaça muito sentido. A seguinte regra será disparada se o tamanho do objeto for superior a100 ou se for superior a 200: objectsize > [100, 200]

• Isso equivale a: objectsize > 100 || objectsize > 200

Referências de métrica de regra do McAfee® Application Data MonitorUse as seguintes referências de métrica ao adicionar regras do McAfee Application Data Monitor.

Para propriedades comuns e anomalias comuns, o valor do tipo parâmetro que você pode inserir para cada umé exibido entre parênteses após a referência da métrica.

Propriedades comuns


Protocolo (número) O protocolo do aplicativo (HTTP, FTP, SMTP)

Conteúdo do objeto (cadeias) O conteúdo de um objeto (texto dentro de um documento, mensagemde e-mail, mensagem de bate-papo). A correspondência de conteúdonão está disponível para dados binários. Mas os objetos bináriospodem ser detectados usando o Tipo de objeto (objtype)

Tipo de objeto (número) Especifica o tipo de conteúdo conforme determinado pelo McAfeeApplication Data Monitor (Documentos do Office, Mensagens, Vídeos,Áudio, Imagens, Arquivos, Executáveis)

Tamanho do objeto (número) Tamanho do objeto. Os multiplicadores numéricos K, M e G podem seradicionados após o número (10 K, 10 M, 10 G)




Objeto do Hash (cadeia) O hash do conteúdo (atualmente MD5)

Endereço IP de origem do objeto(número)

O endereço IP de origem do conteúdo. O endereço IP pode serespecificado como 192.168.1.1, 192.168.1.0/24,192.168.1.0/255.255.255.0

Endereço IP de destino do objeto(número)

O endereço IP de destino do conteúdo. O endereço IP pode serespecificado como 192.168.1.1, 192.168.1.0/24,192.168.1.0/255.255.255.0

Porta de origem do objeto (número) A porta TCP/UDP de origem do conteúdo

Porta de destino do objeto (número) A porta TCP/UDP de destino do conteúdo

Endereço v6 do endereço IP deorigem do objeto (número)

O endereço IPv6 de origem do conteúdo

Endereço IPv6 de destino do objeto(número)

O endereço IPv6 de destino do conteúdo

Endereço MAC de origem do objeto(nome Mac)

O endereço MAC de origem do conteúdo (aa:bb:cc:dd:ee:ff)

Endereço MAC de destino do objeto(nome Mac)

O endereço MAC de destino do conteúdo (aa:bb:cc:dd:ee:ff)

Endereço IP de origem do fluxo(IPv4)

Endereço IP de origem do fluxo. O endereço IP pode ser especificadocomo 192.168.1.1, 192.168.1.0/24, 192.168.1.0/255.255.255.0

Endereço IP de destino do fluxo(IPv4)

Endereço IP de destino do fluxo. O endereço IP pode ser especificadocomo 192.168.1.1, 192.168.1.0/24, 192.168.1.0/255.255.255.0

Porta de origem do fluxo (número) Porta TCP/UDP de origem do fluxo

Porta de destino do fluxo (número) Porta TCP/UDP de destino do fluxo

Endereço IPv6 de origem do fluxo(número)

Endereço IPv6 de origem do fluxo

Endereço IPv6 de destino do fluxo(número)

Endereço IPv6 de destino do fluxo

Endereço MAC de origem do fluxo(nome Mac)

Endereço MAC de origem do fluxo

Endereço MAC de destino do fluxo(nome Mac)

Endereço MAC de destino do fluxo

VLAN (número) ID da LAN virtual

Dia da semana (número) O dia da semana. Os valores válidos são de 1 a 7; em que 1 ésegunda-feira.

Hora do dia (número) A hora do dia definida como GMT. Os valores válidos são de 0 a 23.

Tipo de conteúdo declarado (cadeia) Tipo de conteúdo conforme especificado pelo servidor. Na teoria, Tipode objeto (objtype) é sempre o tipo real e o Tipo de conteúdo declarado(content-type) não é confiável, porque ele pode ser falsificado peloservidor/aplicativo.

Senha (cadeia) Senha usada pelo aplicativo na autenticação.

URL (cadeia) URL do site. Aplica-se somente ao protocolo HTTP.

Nome do arquivo (cadeia) Nome do arquivo que está sendo transferido.

Nome de exibição (cadeia)

Nome do host (cadeia) Nome do host especificado na pesquisa de DNS.



Anomalias comuns

• Usuário desconectado (booliano)

• Erro de autorização (booliano)

• Êxito na autorização (booliano)

• Falha na autorização (booliano)

Propriedades específicas de protocoloAlém de fornecer propriedades que são comuns na maioria dos protocolos, o McAfee Application Data Monitorfornece propriedades específicas de protocolo que podem ser usadas com regras do McAfee Application DataMonitor.

Exemplos de propriedades específicas de protocolo

Essas propriedades se aplicam a estas tabelas:

* Somente detecção ** Sem descriptografia, captura certificados X.509 e dados criptografados *** Via módulo RFC822

Tabela 11-7 Módulos de protocolo de transferência de arquivo

FTP HTTP SMB* SSL**

Nome de exibiçãoNome do arquivo

Nome do host

URL

Nome de exibição

Nome do arquivo

Nome do host

Referenciador

URL

Todos os cabeçalhos HTTP

Nome de exibição

Nome do arquivo

Nome do host

Nome de exibição

Nome do arquivo

Nome do host

Tabela 11-8 Módulos de protocolo de e-mail

DeltaSync MAPI NNTP POP3 SMTP

Cópia oculta***

Com cópia***

Nome de exibição

De***

Nome do host

Assunto***

Para***

Cco

Com cópia

Nome de exibição

De

Nome do host

Assunto

Para

Nome de usuário

Cópia oculta***

Com cópia***

Nome de exibição

De***

Nome do host

Assunto***

Para***

Cópia oculta***

Com cópia***

Nome de exibição

De***

Nome do host

Assunto***

Para***

Nome de usuário

Cópia oculta***

Com cópia***

Nome de exibição

De***

Nome do host

Para***

Assunto***



Tabela 11-9 Módulos de protocolo de Webmail

AOL Gmail Hotmail Yahoo

Nome do anexo

Cópia oculta***

Com cópia***

Nome de exibição

Nome do arquivo

Nome do host

De***

Assunto***

Para***

Nome do anexo

Cópia oculta***

Com cópia***

Nome de exibição

Nome do arquivo

Nome do host

De***

Assunto***

Para***

Nome do anexo

Cópia oculta***

Com cópia***

Nome de exibição

Nome do arquivo

Nome do host

De***

Assunto***

Para***

Nome do anexo

Cópia oculta***

Com cópia***

Nome de exibição

Nome do arquivo

Nome do host

De***

Assunto***

Para***

Anomalias de protocoloAlém de propriedades comuns e propriedades específicas de protocolo, o McAfee

®

Application Data Monitordetecta centenas de anomalias em protocolos de transporte, de aplicativos e de nível inferior. Todas aspropriedades de anomalia de protocolo são de tipo Booliano e estão disponíveis na página Componente daexpressão quando você está adicionando uma regra do McAfee

®

Application Data Monitor.

Tabela 11-10 Endereço IP


ip.too-small O pacote do endereço IP é pequeno demais para conter um cabeçalho válido.

ip.bad-offset O deslocamento de dados do endereço IP ultrapassa o final do pacote.

ip.fragmented O pacote do endereço IP é fragmentado.

ip.bad-checksum A soma de verificação do pacote do endereço IP não corresponde aos dados.

ip.bad-length O campo de totlen do pacote do endereço IP ultrapassa o final do pacote.

Tabela 11-11 TCP


tcp.too-small O pacote TCP é pequeno demais para conter um cabeçalho válido.

tcp.bad-offset O deslocamento de dados do pacote TCP ultrapassa o final do pacote.

tcp.unexpected-fin Sinalizador FIN de TCP definido em estado não estabelecido.

tcp.unexpected-syn Sinalizador SYN de TCP definido em estado estabelecido.

tcp.duplicate-ack Dados de ACKs do pacote TCP que já foram confirmados.

tcp.segment-outsidewindow O pacote TCP está fora da janela (janela menor do módulo TCP, não ajanela real).

tcp.urgent-nonzero-withouturg- flag O campo de urgência TCP é diferente de zero, mas o sinalizador URGnão foi definido.



Tabela 11-12 DNS


dns.too-small O pacote DNS é pequeno demais para conter um cabeçalho válido.

dns.question-name-past-end O nome da pergunta DNS ultrapassa o final do pacote.

dns.answer-name-past-end O nome da resposta DNS ultrapassa o final do pacote.

dns.ipv4-address-length-wrong Endereço IPv4 da resposta DNS não tem 4 bytes de comprimento.

dns.answer-circular-reference A resposta DNS contém referência circular.

Regras de origem de dadosAs regras de origem de dados têm ações padrão definidas. O McAfee Event Receiver atribui isso ao subtipo deevento associado à regra. A lista de regras de origem de dados inclui regras predefinidas e aprendidasautomaticamente.

O McAfee Event Receiver aprende automaticamente as regras da origem de dados conforme processa asinformações enviadas para ele pelas origens de dados associadas ao McAfee Event Receiver.

A opção Origem de dados no painel Tipos de regras fica visível somente quando você seleciona uma política, umaorigem de dados, um Analisador avançado de syslog ou um McAfee Event Receiver na árvore de navegação dosistema. A área da descrição na parte inferior da página oferece informações detalhadas sobre a regraselecionada. Todas as regras têm uma configuração de gravidade que define a prioridade associada a umaregra, o que afeta como os alertas gerados por essas regras são mostrados para fins de geração de relatórios.

Definir ações de regras de origem de dadosDefina o valor do subtipo de evento por regra de origem de dados, ou seja, você pode definir ações de regrapadrão para dashboards, relatórios, regras de análise ou alarmes com valores diferentes, por exemplo, oresultado de uma regra de acesso seletiva (permitir/negar).

Tarefa1 No console do McAfee ESM, clique no ícone do Editor de políticas e selecione Receptor | Origem de dados

no painel Tipos de regras.

2 Clique na coluna Subtipo da regra que você precisar alterar e selecione a nova ação.

• Selecione ativar para preencher o subtipo do evento com a ação padrão, alertar.

• Selecione desativar se não desejar coletar eventos da regra correspondente.

• Selecione qualquer outra ação para preencher o subtipo do evento com essa ação.

Gerenciar regras de origem de dados aprendidas automaticamenteExiba e altere as regras de origem de dados aprendidas automaticamente.

Tarefa1 No Editor de políticas, selecione Receptor | Origem de dados.

2 No painel Filtros/Marcação, clique na barra Avançado na parte inferior do painel.

3 Na lista suspensa Origem, selecione definido pelo usuário e clique no ícone Executar consulta .



4 Selecione a regra que deseja alterar ou excluir, clique em Editar e selecione Modificar ou Excluir regrasaprendidas automaticamente.

• Se você selecionou Modificar, altere o nome, a descrição ou a ID normalizada da regra e clique em OK.

• Se você selecionou Excluir regras aprendidas automaticamente, selecione a opção correta e clique em OK.

Regras de filtragemAs regras de filtragem permitem especificar a ação a ser tomada quando os dados definidos são recebidos peloReceiver.

Ordem de dados

As regras de filtragem são gravadas no Receiver nesta ordem de dados:

1 Todas as regras não "genéricas".

a interromper = verdadeiro, analisar = falso e registrar em log = falso

b interromper = verdadeiro, analisar = verdadeiro e registrar em log = verdadeiro

c interromper = verdadeiro, analisar = verdadeiro e registrar em log = falso

d interromper = verdadeiro, analisar = falso e registrar em log = verdadeiro

2 Todas as regras "genéricas"

Ordem de regras

Se tiver direitos de Administrador de políticas, você poderá definir a ordem de execução das regras de filtragem.Em seguida, essas regras são executadas na ordem mais eficiente para gerar os dados necessários.

Adicionar regras de filtroAdicione regras de filtro ao Editor de políticas.

Antes de iniciarVerifique se você tem privilégios de administrador de política.

Tarefa1 No Editor de políticas, selecione Receptor | Filtro.

2 Selecione Novo e clique em Regra de filtragem.

3 Preencha os campos e clique em OK

Opção Definição

Marcas Clique em Selecionar e escolha marcas para definir as categorias às quais a regrapertence.

Nome Digite um nome para a regra.

ID normalizado (Opcional) Clique no ícone ID normalizado e selecione qualquer ID normalizadoadicional.

Gravidade (Opcional) Altere a configuração de gravidade da regra.

Corresponder tudo Selecione se você deseja que a regra seja gravada sem cadeias de PCRE ou deconteúdo. Se você selecionar essa opção, as ações que especificar na seção Ação a sertomada em relação à regra serão executadas em todos os dados recebidos.



Opção Definição

Cadeias de conteúdo (Opcional) Digite as cadeias de conteúdo para filtrar os dados que estão sendorecebidos. Quando os dados recebidos corresponderem a essas cadeias de conteúdo,será executada a ação especificada.• Para adicionar uma cadeia, clique em Adicionar e insira a cadeia.

• Para editar ou remover uma cadeia, selecione a cadeia.

PCRE (Opcional) Digite um único PCRE para filtrar os dados que estão sendo recebidos.Quando os dados recebidos corresponderem a esse PCRE, será executada a açãoespecificada nessa caixa de diálogo.

Não diferenciamaiúsculas deminúsculas

Selecione se você deseja adicionar um modificador de não diferenciação demaiúsculas de minúsculas para que o conteúdo de PCRE seja correspondido,independentemente de conter maiúsculas ou minúsculas.

Ação Selecione as ações que serão tomadas quando os dados recebidos corresponderemàs cadeias de PCRE e de conteúdo, ou em todos os dados recebidos se forselecionada a opção Corresponder tudo. É possível selecionar quantas ações foremnecessárias.

Descrição (Opcional) Digite uma descrição da regra, que aparece no campo Descrição do Editorde políticas quando a regra é selecionada.

4 Para ativar a regra, selecione-a no painel de exibição de regras, clique na configuração da coluna Ação eclique em ativado.

Gerenciar regras de rastreamento de transaçãoAs regras de rastreamento de transação rastreiam transações do banco de dados e reconciliam as alteraçõesautomaticamente, além de registrar o início e término de uma execução de transação e iniciar e vinculardeclarações a relatórios por transação em vez de consultas.

Tarefa

1 No Editor de políticas, selecione DEM | Rastreamento de transação.


• Clique em Novo e em Regra de rastreamento de transação.

• Selecione a regra no painel de exibição de regras e clique em Editar | Modificar.

3 Preencha as informações e clique em OK.

Opção Definição

Tipo Selecione o tipo de regra de rastreamento de transação.

Nome da regra Digite um nome para a regra. O nome deve ser exclusivo e conter somentecaracteres alfanuméricos, sublinhados (_) e espaços.

Marca de início deconsulta

Digite a consulta SQL a ser executada antes de alterar o banco de dados (porexemplo, spChangeControlStart).

Marca de interrupção deconsulta

Digite a consulta SQL a ser executada depois de alterar o banco de dados (porexemplo, spChangeControlEnd).

Marcas Clique em Selecionar, selecione as marcas que deseja associar a essa regra eclique em OK.

ID normalizadoPara alterar o padrão, clique no ícone e selecione o ID.

Gravidade Selecione a configuração de gravidade.

Descrição Digite uma descrição da regra.



Regras de eventos do WindowsAs regras de eventos do Windows são usadas para gerar eventos relacionados ao Windows.Elas são regras de origens de dados para eventos do Windows, e estão separadas do tipo de regra de origem dedados porque são um caso de uso comum. O McAfee define essas regras; você não pode adicionar, alterar ouexcluí-las, mas pode alterar suas configurações de propriedade.

Definir excesso de assinaturas do pacoteO Excesso de assinaturas define como o McAfee ESM manipulará os pacotes se a capacidade do dispositivo forexcedida. Em cada caso, o pacote é registrado como um evento. Você pode configurar a política padrão paraoperar em modo de somente alerta ou no modo de excesso de assinaturas. Você também pode exibir o statusdas atualizações de regras e iniciar uma atualização.

Tarefa1 No Editor de políticas, clique no ícone Configurações .

2 No campo Modo de excesso de assinaturas, clique em Atualizar.

3 No campo Valor, insira a funcionalidade.

a Aprovação (aprovação ou 1): permite que os pacotes que seriam descartados sejam aprovados semvarredura.

b Descarte (descarte ou 0): descarta os pacotes que excedem a capacidade do dispositivo.

c Para aprovar ou descartar um pacote sem gerar um evento, insira spass ou sdrop.

4 Clique em OK.

Alterar o Modo de excesso de assinaturas afeta os dispositivos primário e secundário (dispositivos virtuais). Paraque essa alteração tenha efeito, você deve alterar o modo no dispositivo primário.

Exibir o status de atualização de políticaDetermine quando distribuir atualizações de política examinando o status de atualização de política dosdispositivos McAfee ESM.

Tarefa1 No Editor de políticas, clique no ícone Configurações .

2 No campo Status , exiba o número de dispositivos atualizados, desatualizados e programados para umadistribuição automática.

3 Clique em Fechar.

Como trabalhar com regras

Conteúdo Gerenciar regras Importar regras Importar variáveis

11 Definição de políticas e regrasDefinir excesso de assinaturas do pacote


Regras de exportação Filtrar regras existentes Exibir assinaturas de regra Recuperar atualizações de regra Limpar status de regra atualizada Comparar arquivos de regra Exibir o histórico de alterações de regra Atribuir marcas a regras ou ativos

Gerenciar regrasAs regras de ADM, DEM, Inspeção de pacote detalhada, Analisador de syslog avançado e Correlação podem serexibidas, copiadas e coladas. As regras personalizadas desses tipos podem ser modificadas ou excluídas. Asregras padrão podem ser modificadas, mas precisam ser salvas como novas regras personalizadas.

Tarefa1 No painel Tipos de regras do Editor de políticas, selecione o tipo de regra com o qual deseja trabalhar.

2 Para ver as regras personalizadas:

a Selecione a guia Filtro no painel Filtros/Marcação.

b Na parte inferior do painel, clique na barra Avançado.

c Para exibir uma regra Genérica - Analisador avançado de syslog, desmarque o campo ID do tipo dedispositivo.

d No campo Origem, selecione definido pelo usuário e clique em Executar consulta .

3 Para copiar e colar uma regra:

a Selecione uma regra predefinida ou personalizada.

b Selecione Editar | Copiar e depois Editar | Colar.

A regra que você copiou será adicionada à lista de regras atuais com o mesmo nome e configurações.

Quanto às regras de filtro e de ASP, a ordem da regra é copiada como parte do processo de cópia.

c Verifique se a ordenação da nova regra não afetará negativamente a análise de dados (Operações |Ordenar regras de ASP) ou (Operações | Ordenar regras de filtro ).

d Para alterar o nome, selecione Editar | Modificar.

4 Para modificar uma regra:

a Realce a regra que deseja exibir e selecione Editar | Modificar.

b Altere as configurações e clique em OK. Se for uma regra personalizada, ela será salva com asalterações. Se for uma regra padrão, você deverá salvar as alterações como uma nova regrapersonalizada. Clique em Sim.

Se você não alterou o nome da regra, ela será salva com o mesmo nome e outra sigID.

c Para alterar o nome, selecione a regra e Editar | Modificar.

Definição de políticas e regrasComo trabalhar com regras 11


Importar regrasImporte um conjunto de regras de um McAfee ESM para outro.

Tarefa1 No painel Tipos de regras do Editor de políticas, clique no tipo de política ou regra que você está importando.

2 Clique em Arquivo | Importar, e selecione Regras.

Essas alterações não podem ser desfeitas.

3 Clique em Importar regras, procure o arquivo que deseja importar e selecione Fazer upload.

4 Na página Importar regras, selecione a ação a ser executada se as regras que estão sendo importadastiverem a mesma ID das regras existentes.

5 Clique em OK para importar as regras, solucionando os conflitos conforme indicado.

Importar variáveisImporte um arquivo de variáveis e altere seu tipo. Se houver conflitos, o sistema renomeará automaticamenteuma nova variável.

Antes de iniciarCertifique-se de que um arquivo de variáveis esteja configurado.

Tarefa1 No painelTipos de regras do Editor de políticas, clique em Variável.

2 Clique em Arquivo | Importar | Variáveis, em seguida, procure o arquivo de variáveis e clique em Fazerupload.

Se houver conflitos ou erros no arquivo, será aberta a página Importar - Registro de erro informando cadaproblema.

3 Na página Importar Variável(eis), clique em Editar para alterar o Tipo das variáveis selecionadas.

4 Clique em OK.

Regras de exportaçãoExporte as regras personalizadas ou todas as regras de uma política para que possa importá-las para outroMcAfee ESM.

Tarefa1 No painel Tipos de regras do Editor de políticas, clique no tipo de regra que está sendo exportada.

2 Acesse uma lista das regras personalizadas do tipo selecionado:

a No painel Filtros/Marcação, selecione a guia Filtro.

b Clique na barra Avançado na parte inferior do painel.

c Na lista suspensa Origem, selecione definido pelo usuário.

d Clique no ícone Executar consulta .

3 Selecione as regras que você deseja exportar e, em seguida, clique em Arquivo | Exportar | Regras.

11 Definição de políticas e regrasComo trabalhar com regras


4 Na página Exportar regras, selecione o formato a ser usado quando exportar as regras.

5 Na página Fazer download, clique em Sim, selecione o local e clique em Salvar.

Se você abrir o arquivo .csv usando o Microsoft Excel, alguns dos caracteres UTF-8 podem ser corrompidos.Para corrigir isso, abra o Assistente de importação de texto no Excel e selecione Delimitado e Vírgula.

Filtrar regras existentesFiltre as regras existentes para exibir somente as que atenderem aos critérios. Por padrão, as regras de um tipoespecífico aparecem no Editor de políticas em ordem alfabética. Você pode listá-las por tempo ou usar marcaspara filtrar as regras.

Tarefa1 No painel Tipos de regras do Editor de políticas, selecione o tipo de regra a ser filtrada.

2 Selecione a guia Filtro no painel Filtros/Marcação.


• Filtre com várias marcas selecionando categorias ou marcas e clique no ícone Executar consulta .

• Selecione mais de uma categoria ou marca e clique no ícone ou, em seguida, clique no ícone Executarconsulta.

Não é possível usar o ícone ou para filtrar campos afetados pela herança (Ação, Gravidade, Lista negra,Agregação e Copiar pacote).

• Digite o nome da marca no campo Digite aqui para pesquisar uma marca, em seguida, selecione a que vocêprecisa na lista de opções.

• Liste as regras pela hora em que foram criadas clicando no ícone Classificar por hora na barra deferramentas, depois clique no ícone Executar consulta.

• Liste as regras em ordem alfabética clicando no ícone Classificar por nome na barra de ferramentas,depois clique no ícone Executar consulta.

• Desmarque o filtro clicando no ícone de filtro laranja na barra de título do painel de exibição de regras .

• Desmarque as marcas de filtro clicando no ícone Limpar tudo na barra de ferramentas. As marcas sãodesmarcadas, mas a lista de regras permanece filtrada.

• Filtre por ID de assinatura clicando na barra Avançado na parte inferior do painel Filtro. Depois, digite aID da assinatura e clique no ícone Executar consulta.

• Filtre por nome ou descrição. No painel Avançado, insira o nome ou a descrição. Para ter acesso aosresultados, independentemente do caso, clique no ícone de não diferenciação de maiúsculas eminúsculas .

• Filtre por tipo de dispositivo, ID normalizada ou ação. No painel Avançado, clique no ícone Filtro . Napágina Filtrar variáveis, selecione a variável.

• Compare as diferenças nas configurações baseadas em política de um tipo de regra e sua primáriaimediata. No painel Avançado, selecione Exibir exceções e clique no ícone Executar consulta.

• Filtre por gravidade, lista negra, agregação, pacote de cópia, origem e o status de regra selecionando ofiltro na lista suspensa em cada um desses campos.



• Exiba somente regras personalizadas selecionando definido pelo usuário no campo Origem do painelAvançado e clique no ícone Executar consulta.

• Exiba as regras criadas em um período de tempo específico clicando no ícone de calendário ao lado docampo Hora no painel Avançado. Na página Tempo personalizado, selecione a hora de início e término,clique em OK e no ícone Executar consulta.

Exibir assinaturas de regraSe você acessar o banco de dados de assinaturas on-line da McAfee, poderá exibir informações sobre aassinatura de uma regra. A opção está disponível para regras de firewall, inspeção de pacote detalhada eorigens de dados.

Tarefa1 No painel Tipos de regras do Editor de políticas, selecione o tipo de regra a ser exibida.

2 Selecione uma regra no painel de exibição de regras.

3 Clique em Operações e selecione Procurar referência.

4 Para exibir o resumo de uma assinatura, clique nos links da seção Assinaturas da tela.

Recuperar atualizações de regraA McAfee atualiza continuamente as assinaturas de regra usadas por um dispositivo para examinar o tráfegoda rede, e elas estão disponíveis para download no servidor central. As atualizações de regras podem serrecuperadas automática ou manualmente.

Antes de iniciarConfigure substituições para as ações executadas ao recuperar regras do servidor.

Tarefa1 No Editor de políticas, clique em .

2 Na linha Atualização de regras, clique em Atualizar.

3 Defina o McAfee ESM para que recupere as atualizações automaticamente ou verifique as atualizaçõesimediatamente.

4 Se as atualizações tiverem sido baixadas automaticamente, clique em para aplicá-las.

5 Para exibir as atualizações manuais, faça o seguinte:

a No painel Filtros/Marcação, clique na barra Avançada.

b No campo Status de regra, selecione Atualizado, Novo ou Atualizado/Novo para indicar o tipo de regraatualizada que você deseja exibir.

c Clique em para executar a consulta.

11 Definição de políticas e regrasComo trabalhar com regras


Limpar status de regra atualizadaQuando você altera ou adiciona regras ao sistema, pode desmarcar essas marcas depois que tiver aoportunidade de revisar as atualizações.

Tarefa1 No painel Tipos de regras do Editor de políticas, selecione o tipo de regra a ser desmarcada.


• Desmarque todas as marcas de status de regra clicando em Operações, em seguida, selecione Limparstatus de regra atualizado. Clique em Tudo.

• Para desmarcar as regras selecionadas, clique na barra Avançado no painel Filtros/Marcação. No campoStatus de regra, selecione Atualizado, Novo ou Atualizado/Novo para indicar o tipo de marcação que deseja

desmarcar. Clique no ícone Executar consulta . Selecione as regras a serem desmarcadas, em seguida,clique em Operação | Limpar status de regra atualizado | Selecionado.

Comparar arquivos de regraA comparação de arquivos de regra (aplicada, atual, reversão ou preparada) para dispositivos (como receptores,[ADM] McAfee Application Data Monitor e [DEM] McAfee Database Event Monitor) ajuda você a ver asalterações de suas políticas atuais para os dispositivos.

Tarefa1 Na árvore de navegação do sistema, selecione um dispositivo (por exemplo, um receptor, ADM ou DEM).

2 Clique no ícone Editor de políticas na barra de ferramentas de ações e em Ferramentas | Comparararquivos de regras.

Se os dois arquivos resultantes tiverem menos de 15,5 MB, eles aparecerão na tabela Comparar arquivos deregras. Se um dos arquivos for maior, o sistema solicitará que você faça download dos dois.

3 Na página Comparar arquivos de regras, faça as seleções, depois clique em Comparar.

• Selecione os estados de política que deseja comparar.

• Aplicada: mostra a política que foi distribuída para o dispositivo.

• Atual: mostra o que há em tempo real, mas não o que foi distribuído para o dispositivo.

• Reversão: mostra como seria a política se você a revertesse para a política ativa anterior.

• Preparada: mostra a política que será aplicada no futuro.

• Veja os resultados da comparação. As diferenças entre os arquivos são codificadas por cores destaforma:

• Azul: a mesma linha existe nos dois arquivos, mas as configurações foram alteradas.

• Vermelho: uma linha existe no arquivo da esquerda, mas não existe no arquivo da direita.

• Verde: uma linha existe no arquivo da direita, mas não existe no arquivo da esquerda.



Exibir o histórico de alterações de regraVocê pode exibir as alterações recentes de regra, incluindo resumos de regras e as datas em que as alteraçõesocorreram.

Tarefa1 No Editor de políticas, clique em Ferramentas | Histórico de alterações de regra.

2 Na página Histórico de regras, veja todas as alterações feitas nas regras ou clique na guia Versão da regra paraver o carimbo de data e hora mais recente de cada dispositivo no qual as regras estão categorizadas nosistema. Essa exibição ajuda a localizar a versão de cada regra para gerenciamento e normas deconformidade. Por padrão, o sistema classifica os tipos de dispositivo em ordem alfabética, por nome. Paraclassificá-los por carimbo de data e hora, clique no cabeçalho da coluna Versão.

3 Clique em Fechar.

Atribuir marcas a regras ou ativosAtribua marcas a regras para que você possa filtrar as regras por marcas. O McAfee ESM inclui marcaspredefinidas, mas você também pode criar marcas exclusivas para sua organização.

Tipos de regras de normalização, pré-processador ou variáveis não podem usar marcas.

Tarefa1 No painel Tipos de regras do Editor de políticas, selecione o tipo de regra que você deseja marcar.

2 Clique na guia Marcas no painel Filtros/Marcação.


• Para adicionar categorias de marca, clique no ícone Marca de nova categoria e a dê um nome àcategoria. O sistema cria uma marca base para a nova categoria.

• Para adicionar marcas a uma categoria, selecione-a, clique no ícone Nova marca e a dê um nome àmarca.

Para usar essa marca no cálculo da gravidade do evento, selecione Usar marca para cálculo de gravidade deevento e clique em OK.

• Para alterar uma categoria ou marca, selecione-a e clique no ícone Editar marca .

• Para alterar uma marca personalizada, selecione-a e clique no ícone Remover marca .

Definir ações de substituição para regras obtidas por downloadAs regras podem concluir uma ação padrão quando você faz download delas no servidor da McAfee. Você podedefinir uma ação de substituição para as configurações padrão da regra. Se você não definir uma ação desubstituição, as regras executarão a ação padrão.

Tarefa1 No Editor de políticas, clique em Ferramentas e selecione Configuração de nova regra.

A página Configuração de nova regra lista as substituições que existem para a Política padrão.

11 Definição de políticas e regrasDefinir ações de substituição para regras obtidas por download


2 Defina as configurações da ação de substituição e clique em Fechar.

Opção Definição

Lista de marcas Selecione as marcas atribuídas à regra onde você deseja aplicar essa substituição.Por exemplo, para substituir a ação de todas as regras de filtro pela marca AOL,clique em Ameaças atuais | AOL na lista de marcas, depois selecione Filtro nocampo Tipo de regra.

Campo Tipo de regra Selecione o tipo de regra ao qual essa substituição será aplicada.

Ação da regra Selecione para que essa regra e marca continuem usando a configuração padrão,para ativar a substituição ou para desativar essa regra e marca.

Gravidade Selecione a gravidade dessa substituição. O padrão é zero.

Lista negra, Agregação,Copiar pacote

Selecione as configurações para essa substituição. Caso você não queira que asconfigurações dessas opções sejam substituídas, mantenha as configuraçõespadrão.

Níveis de gravidadeA gravidade do evento é calculada com base no nível de gravidade atribuído aos ativos, marcas, regras evulnerabilidades.

Cada uma das quatro gravidades é ponderada no cálculo final. Esse cálculo final é a soma de cada uma dasquatro gravidades multiplicada por seus respectivos níveis. A soma das configurações deve ser igual a 100. Aose alterar uma configuração, pode haver alterações em algumas ou em todas as outras configurações.

Tipos de gravidade

Tipo degravidade

Descrições

Ativo Um ativo é um endereço IP, opcionalmente em uma zona. O sistema determina a gravidade doativo de um evento da seguinte maneira:1 O sistema compara o endereço IP de destino e a zona de destino do evento com todos os

ativos. Se ele encontrar uma correspondência, usará essa gravidade do ativo nesse evento.

2 Se o sistema não encontrar nenhuma correspondência de zona de destino e endereço IP dedestino, ele comparará o endereço IP de origem e a zona de origem do evento com todos osativos. Se ele encontrar uma correspondência, usará essa gravidade do ativo nesse evento.

3 Se o sistema não encontrar nenhuma correspondência, a gravidade do ativo será 0.

Marca O sistema calcula a gravidade da marca usando as marcas definidas pelo usuário e da McAfee.Para que uma marca seja usada no cálculo de gravidade, ela deve ser definida na regra e noativo do evento. Se a regra ou o ativo não tiver nenhuma marca definida ou se não houvercorrespondências de ativos, a gravidade da marca será 0. Para calcular a gravidade da marca, osistema multiplica por 10 o número de marcas de ativo e de regra correspondentes. Agravidade da marca está limitada a 100.

Regra A gravidade da regra é a definição da gravidade para o evento quando ele foi criado. Ela ébaseada na gravidade da regra do evento, como definido em Editor de políticas, e em qualquerenriquecimento de dados configurados para o coletor de eventos.

da gravidadedo PCI

Se as informações SVE de VA estiverem disponíveis para o ativo e regra de um evento, osistema usará a maior gravidade de todos os SVEs de VA de ativo e regra correspondentes nagravidade de vulnerabilidade. Caso contrário, o sistema usará 0.

Definição de políticas e regrasNíveis de gravidade 11


Definir pesos de gravidadeDefina os pesos de gravidade que o sistema usa para calcular gravidades de ativos, marcas, regras evulnerabilidade.

Tarefa1

Em Editor de políticas, clique no ícone Níveis de gravidade .

2 Defina as configurações e clique em OK.

• Arraste e solte os marcadores. Os campos Ativos, Marcas, Regras e Vulnerabilidade refletem essasconfigurações.

• Para Gravidade fornecida pelo fornecedor de VA ou Gravidade de PCI fornecida pelo fornecedor de VA,selecione como o sistema calcula a gravidade da vulnerabilidade em dados de entrada. Se vocêselecionar as duas opções, o sistema usará o maior dos dois valores para calcular o valor da gravidade.

Exibir histórico de alteração de políticaExiba ou exporte um log das alterações feitas na política. Esse log pode reter no máximo 1 GB de dados.Quando esse limite é atingido, o sistema excluir os arquivos mais antigos, conforme o necessário.

Tarefa1 No Editor de políticas, clique no ícone Exibir histórico de alteração de política .

2 Exiba ou exporte um registro e clique em Fechar.

Distribuir alterações de políticaDistribua as alterações de política para um ou mais dispositivos. As alterações feitas no nível de política padrãosão aplicadas a todas as políticas quando você distribui alterações para os dispositivos.

Tarefa1 No Editor de políticas, clique no ícone Distribuir .

2 Selecione como a distribuição deverá ser feita.

3 Clique em OK.

Depois que cada dispositivo concluir a distribuição, o status da política indicará uma distribuição bem-sucedida.Se o comando de distribuição não for bem-sucedido, uma página relacionará os comandos com falha.

11 Definição de políticas e regrasExibir histórico de alteração de política


Ativar Copiar pacote para regrasQuando você ativar Copiar pacote para uma regra, o sistema copiará o McAfee ESM de dados do pacote. Se aopção estiver ativada, os dados do pacote serão incluídos nos dados do evento de origem de um alarme deCorrespondência de eventos interna ou Correspondência de campos.

Tarefa1 No console, clique no ícone Editor de políticas .

2 No painel Tipos de regras, clique no tipo de regra que deseja acessar e localize a regra no painel de exibiçãode regra.

3 Clique na configuração atual na coluna Copiar pacote, que é desativada por padrão, e clique em ativada.

Definição de políticas e regrasAtivar Copiar pacote para regras 11


11 Definição de políticas e regrasAtivar Copiar pacote para regras


12 Uso de relatórios do McAfee ESM

Como funcionam os relatóriosOs relatórios mostram dados de eventos e fluxos gerenciados no McAfee ESM. Você pode criar seu própriorelatório ou executar um dos relatórios predefinidos e enviá-lo em formato PDF, HTML ou CSV.

Relatórios predefinidos

Os relatórios predefinidos dividem-se nestas categorias:

• Conformidade • McAfee® Database Activity Monitoring (McAfeeDAM)

• Executivo • McAfee® Database Event Monitor

• McAfee® Application Data Monitor • McAfee® Event Reporter

Eles geram dados baseados em eventos.

Relatórios definidos pelo usuário

Ao criar relatórios, projete o layout selecionando a orientação, o tamanho, a fonte, as margens, o cabeçalho e orodapé. Você também pode incluir componentes, configurando-os para que exibam dados relevantes.

O sistema salva todos os layouts, que podem ser usados para vários relatórios. Ao adicionar relatórios, vocêpode criar novos layouts, usar os existentes como estão ou usar os relatórios existentes como modelos paranovos relatórios. Também é possível remover layouts de relatórios.

Adicionar relatóriosDefina quais relatórios você deseja executar manual ou automaticamente em intervalos regulares. Selecionelayouts de relatório existentes ou crie relatórios exclusivos para sua organização.

Tarefa

1 No dashboard, clique em e selecione Relatórios.

2 Defina configurações de relatório novas ou existentes e clique em Salvar.

Opção Definição

Nome do relatório Digite um nome para o relatório.

Descrição Digite uma descrição para as informações geradas pelo relatório.

Condição Selecione quando você deseja que o relatório seja executado na lista de opções. Paraadicionar uma condição à lista de opções, clique em Editar condições.

Fuso horário Selecione o fuso horário que deve ser usado para executar as consultas.

12


Opção Definição

Formato de data Selecione o formato a ser usado para a data.

Formato Selecione o formato de relatório: PDF ou HTML.• Para incluir exibições no relatório, selecione Exibir PDF.

• Para gerar os arquivos CSV dos resultados da consulta, selecione CSV da consulta.

E-mail enviado ausuários ou grupos

Identifique quem você deseja que receba o relatório.

Você pode enviar relatórios ou arquivos CSV como anexos de e-mail ou incluí-los noe-mail.

Arquivo salvo noESM

Selecione se você deseja que o relatório seja salvo em um arquivo. Prefixo exibe oprefixo padrão para o nome do arquivo, que pode ser alterado.Depois que o arquivo for gerado, clique em Arquivos na página Relatórios para exibir orelatório.

Arquivo salvo emlocal remoto

Salve relatórios em locais remotos que você identificar. Para adicionar locais remotos,clique em Gerenciar locais....

Selecionar um layoutexistente ou criar umnovo

Se você selecionou o formato PDF ou HTML, selecione um layout existente ou crie umnovo. Também é possível gerenciar os layouts.• Use pastas para organizar layouts de relatório.

• Importe layouts de outros locais.

Se os layouts importados incluírem imagens existentes, o sistema identificaráconflitos e sugerirá as seguintes opções:

• Mantenha a imagem localmente, mas a exclua do layout do relatório.

• Substitua a imagem pela imagem do layout do relatório. Todos os layouts queusarem a imagem excluída passarão a usar a imagem importada no layout.

• Renomeie a imagem no layout do relatório automaticamente e importe o layoute a imagem com o novo nome.

• Exporte layouts.

• Resuma os filtros de componentes globais e individuais definidos para esserelatório. Os filtros usados são exibidos na parte inferior do relatório, que identificaos limites definidos para os dados do relatório.

Selecionar umaexibição

Para formatos PDF, selecione na lista suspensa a exibição que deseja incluir norelatório.

Selecionar umaconsulta predefinida

Para formatos CSV, selecione a consulta predefinida.

Inserir valores parafiltragem

Selecione quais filtros serão aplicados aos componentes do relatório. Você pode usaros filtros contains e regex nesses campos.

Adicionar layouts de relatórioCrie o layout para um relatório se os layouts predefinidos não atenderem às suas necessidades.

Tarefa


2 Clique em Relatórios.

3 Clique em Adicionar para abrir a página Adicionar relatório e conclua as seções 1, 2 e 3.

12 Uso de relatórios do McAfee ESMComo funcionam os relatórios


4 Na seção 4, selecione PDF de relatório ou HTML de relatório.

5 Na seção 5, clique em Adicionar para abrir o editor de Layout de relatório.

6 Configure o layout para exibir os dados gerados pelo relatório.

O layout será salvo e poderá ser usado como está para outros relatórios ou como um modelo que pode sereditado.

Adicionar componentes de imagem a relatóriosSelecione uma imagem para adicionar ao corpo de um relatório como um componente.

Antes de iniciarVerifique se os arquivos de imagem estão acessíveis.

Tarefa

1 No dashboard do McAfee ESM, clique em e selecione Propriedades do sistema.

2 Clique em Relatórios | Adicionar e conclua as seções de 1 a 4.

3 Na seção 5, crie um novo layout de relatório ou edite um layout existente.

4Arraste e solte o ícone Imagem na seção do corpo do layout.

5 Faça upload de uma nova imagem ou selecione uma imagem existente.

6 Clique em OK para adicionar a imagem ao layout do relatório.

Incluir imagens em PDFs e relatóriosConfigure o McAfee ESM para que os PDFs exportados e os relatórios impressos incluam a imagem mostradana tela de Entrada.

Antes de iniciarAdicione a imagem à página Configurações personalizadas.

Tarefa

1 No dashboard do McAfee ESM, clique em e selecione Propriedades do sistema. Depois, clique emConfigurações personalizadas.

2 Selecione Incluir imagem em PDF exportado de exibições ou relatórios impressos.

3 Clique em OK.

Adicionar condições de relatórioAdicione condições para que elas estejam disponíveis durante a configuração de relatórios.

Tarefa

1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Relatórios.

2 Clique em Condições e insira as informações solicitadas.

3 Clique em OK para salvar as configurações.

Uso de relatórios do McAfee ESMComo funcionam os relatórios 12


Exibir nomes de host em um relatórioÉ possível configurar relatórios para usar a resolução DNS para endereços IP de origem e de destino nosrelatórios.


2 Clique em Relatórios, Adicionar e preencha as informações solicitadas nas seções 1 a 4.

3 Na seção 5, clique em Adicionar, arraste e solte um componente de Tabela, Gráfico de barras ou Gráfico depizza e conclua o Assistente de consulta.

4 Na seção Consulta do painel Propriedades no editor Layout de relatório, selecione Resolver IPs para nomes dehost.

Além de os resultados da pesquisa de DNS aparecerem no relatório, é possível exibi-los na tabela Hosts(Propriedades do sistema | Hosts).

Definir o mês inicial para os relatórios trimestraisCaso esteja executando relatórios em uma base trimestral, será necessário definir o primeiro mês do Trimestre1. Depois que isso estiver definido e armazenado na tabela do sistema, os relatórios serão executadostrimestralmente com base nessa data de início.

Tarefa1 No dashboard do McAfee ESM, clique em e selecione Propriedades do sistema. Depois, clique em

Configurações personalizadas.

2 No campo Especifique o mês a ser usado, selecione o mês.

3 Clique em Aplicar para salvar a configuração.

Exibir relatórios de resumo do dispositivoAbra os relatórios de resumo de dispositivo para ver os tipos e número de dispositivos no McAfee ESM, equando cada dispositivo recebeu eventos. Você pode exportar os relatórios no formato de valores separadospor vírgula (CSV).



3 Selecione Informações do sistema e clique em Exibir relatórios.

4 Para exibir ou exportar uma lista de dispositivos, selecione a guia Contagem de tipos de dispositivo ou orelatório Hora do evento.

5 Para comparar a hora do dia nos relógios dos dispositivos, selecione a guia Hora do evento.

Relatórios de status de integridade do dispositivoSinalizadores de status de integridade nas cores branco (informativo), amarelo (inatividade ou status do

dispositivo) ou vermelho (crítico) aparecerão ao lado dos nós do sistema, grupo ou dispositivo na árvore denavegação do sistema quando um relatório de status de integridade estiver disponível. Quando você clica no



sinalizador, a página Alertas de status do dispositivo fornece diferentes opções para exibir as informações eresolver qualquer problema.

Umsinalizadorneste tipo denó...

Abre...

Sistema ougrupo

A página Resumo de alertas de status do dispositivo, que é um resumo dos alertas de status paraos dispositivos associados ao sistema ou grupo. Ela pode exibir os seguintes alertas destatus:• Espaço da unidade: uma unidade de disco rígido está cheia ou com pouco espaço. Isso pode

incluir o disco rígido no McAfee ESM, o McAfee ESM redundante ou o ponto de montagemremoto.

• Crítico: o dispositivo não está funcionando corretamente.

• Aviso: algo no dispositivo não está funcionando corretamente.

• Informativo: o dispositivo está funcionando corretamente, mas o nível de status dodispositivo foi alterado.

• Fora de sincronização: as configurações de dispositivo virtual, origem de dados ou servidorde banco de dados no McAfee ESM estão fora de sincronização em relação ao que odispositivo realmente contém.

• Renovado: a tabela de logs para esse dispositivo ficou sem espaço e foi renovada. Issosignifica que os novos logs estão sobrescrevendo os antigos.

• Inativo: o dispositivo não gerou eventos ou fluxos durante o período limite de inatividade.

• Desconhecido: o McAfee ESM não pôde se conectar ao dispositivo.

Os sinalizadores Espaço da unidade, Renovado e Informativo podem ser resolvidos marcando ascaixas ao lado deles e clicando em Limpar selecionados ou Limpar tudo.

Dispositivo A página Alertas de status do dispositivo, que contém botões que o levam a locais onde épossível resolver o problema. Ela pode incluir os seguintes botões:• Log: a página Log do sistema (para o McAfee ESM local) ou Log do dispositivo exibe um

resumo de todas as ações que ocorreram no sistema ou no dispositivo.

• Dispositivos virtuais, Origens de dados, Origens de VA ou Servidores de banco de dados: lista osdispositivos desse tipo no sistema, permitindo que você verifique se há problemas.

• Inativo: a página Limite de inatividade exibe as configurações de limite para todos osdispositivos. Esse sinalizador indica que o dispositivo não gerou um evento no intervaloespecificado.

Um sinalizador informativo aparece sempre que um subsistema se recupera de um status de aviso ou crítico.Segue uma descrição de cada tipo de sinalizador informativo.

Status Descrição e instruções

Modo de desvio A placa de rede (NIC) está no modo de desvio. Possíveis motivos incluem afalha de um processo crítico do sistema, a configuração manual dodispositivo para o modo de desvio ou outra falha. Para retirar o dispositivodo modo de desvio, vá para Propriedades | Configuração | Interfaces.

A Inspeção profunda de pacotesnão está em execução

A Inspeção profunda de pacotes (DPI) funcionou incorretamente. É possívelque ela se recupere sem intervenção. Caso contrário, reinicie o dispositivo.

O programa de alertas dofirewall (ngulogd) não está emexecução

O Agregador de alerta do firewall (FAA) funcionou incorretamente. Épossível que ele se recupere sem intervenção. Caso contrário, reinicie odispositivo.

Uso de relatórios do McAfee ESMComo funcionam os relatórios 12


Status Descrição e instruções

O banco de dados não está emexecução

O servidor McAfee ESM Extreme Database (EDB) funcionou incorretamente.A reinicialização do dispositivo pode resolver o problema, mas talvez sejanecessário reconstruir o banco de dados.

O canal de controle não está emexecução

Houve falha no processo que oferece suporte ao canal de comunicaçãocom o McAfee ESM. A reinicialização do dispositivo pode reparar oproblema.

Os programas RDEP ou Syslognão estão em execução

Se houver um mau funcionamento no sistema que lida com as origens dedados de terceiros (como syslog ou SNMP), um alerta crítico será gerado.Um alerta de nível de aviso será gerado se o coletor não receber dados daorigem de dados de terceiros em determinado período. Isso indica que aorigem de dados pode estar desativada ou não estar enviando dados parao Receptor conforme esperado.

O logger do sistema não estáem execução

O logger do sistema não está respondendo. A reinicialização do dispositivopode reparar o problema.

Pouco espaço livre na partiçãodo disco rígido

A quantidade de espaço livre em disco está criticamente baixa.

Alerta de velocidade doventilador

Os ventiladores estão girando muito devagar ou não estão funcionando.Até que o ventilador possa ser substituído, mantenha o dispositivo em umcômodo com ar condicionado para evitar danos.

Alerta de temperatura A temperatura de componentes críticos está acima do limite. Mantenha odispositivo em um cômodo com ar condicionado para evitar danospermanentes. Verifique se há algo bloqueando o fluxo de ar pelodispositivo.

Erros de rede Existem erros de rede ou um excesso de colisões na rede. A causa pode serum grande domínio de colisão ou cabos de rede defeituosos.

Problema em um ponto demontagem remoto

Há um problema em um ponto de montagem remoto.

Pouco espaço livre em disco noponto de montagem remoto

Há pouco espaço livre em disco no ponto de montagem remoto.

Todos os coletores da origem dedados que não receberamcomunicação de uma origem dedados por pelo menos 10minutos

O Receptor não recebeu comunicação de uma origem de dados por pelomenos 10 minutos.

O coletor da origem de dadosnão está em execução

Existe um mau funcionamento no subsistema que lida com as origens dedados de terceiros específicas (como syslog ou SNMP). O coletor nãorecebeu dados da origem de dados de terceiros em determinado período. Aorigem de dados pode estar desativada ou não estar enviando dados parao Receptor conforme esperado.

O Monitor de integridade nãopôde obter um status válido deum subsistema

O Monitor de integridade não pôde obter um status válido de umsubsistema.

Recuperação de um status deaviso ou crítico de umsubsistema

Quando o monitor de integridade é iniciado e interrompido, um alerta deinformações é gerado. Se o monitor de integridade tiver problemas nacomunicação com outros subsistemas nos dispositivos, um alerta tambémserá gerado. A exibição do log de eventos pode fornecer detalhes sobre ascausas dos alertas de aviso e críticos.



guia de produto do mcafee enterprise security …ºdo 1 visão geral do produto 9 visão geral 9...

Documents