mcafee enterprise security manager 9.6 · prefácio este guia fornece todas as informações...

Guia de produto

McAfee Enterprise Security Manager 9.6.0

COPYRIGHT

2016 Intel Corporation

ATRIBUIES DE MARCAS COMERCIAISIntel e o logotipo da Intel so marcas comerciais da Intel Corporation nos EUA e/ou em outros pases. McAfee, o logotipo da McAfee, McAfee ActiveProtection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence,McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfeeTotal Protection, TrustedSource e VirusScan so marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outrospases. Outros nomes e marcas podem ser propriedade de terceiros.

INFORMAES SOBRE LICENA

Contrato de licenaAVISO A TODOS OS USURIOS: LEIA ATENTAMENTE O CONTRATO LEGAL CORRESPONDENTE LICENA ADQUIRIDA POR VOC. NELE ESTODEFINIDOS OS TERMOS E AS CONDIES GERAIS PARA A UTILIZAO DO SOFTWARE LICENCIADO. CASO NO SAIBA O TIPO DE LICENA QUE VOCADQUIRIU, CONSULTE A DOCUMENTAO RELACIONADA COMPRA E VENDA OU CONCESSO DE LICENA, INCLUDA NO PACOTE DO SOFTWAREOU FORNECIDA SEPARADAMENTE (POR EXEMPLO, UM LIVRETO, UM ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONVEL NO SITE DO QUAL OPACOTE DE SOFTWARE FOI OBTIDO POR DOWNLOAD). SE VOC NO CONCORDAR COM TODOS OS TERMOS ESTABELECIDOS NO CONTRATO, NOINSTALE O SOFTWARE. SE FOR APLICVEL, VOC PODER DEVOLVER O PRODUTO McAFEE OU AO LOCAL DE AQUISIO PARA OBTER REEMBOLSOTOTAL.

2 McAfee Enterprise Security Manager 9.6.0 Guia de produto

Contedo

Prefcio 9Sobre este guia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Pblico-alvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Convenes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Localizar a documentao do produto . . . . . . . . . . . . . . . . . . . . . . . . . 10Encontre informaes traduzidas . . . . . . . . . . . . . . . . . . . . . . . . 10Perguntas frequentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

1 Introduo 13Como o McAfee Enterprise Security Manager funciona . . . . . . . . . . . . . . . . . . . 13Dispositivos e o que eles fazem . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Usar a Ajuda do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Perguntas frequentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Encontre informaes traduzidas . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

2 Guia de introduo 17Requisitos de hardware e software . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Sobre o modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Informaes sobre o modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . 19Selecione o modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Verificar integridade FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Adicionar um dispositivo codificado ao modo FIPS . . . . . . . . . . . . . . . . . 22Soluo de problemas do modo FIPS . . . . . . . . . . . . . . . . . . . . . . . 25

Configurao avaliada por critrios comuns . . . . . . . . . . . . . . . . . . . . . . . 25Efetuar logon e logoff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Personalizar a pgina de entrada . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Atualizar software do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Obter e adicionar credenciais de atualizao de regra . . . . . . . . . . . . . . . . . . . 29Verificar atualizaes de regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Alterar o idioma dos registros de eventos . . . . . . . . . . . . . . . . . . . . . . . . 31Conexo de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Adicionar dispositivos ao console do ESM . . . . . . . . . . . . . . . . . . . . . 31Selecione um tipo de exibio . . . . . . . . . . . . . . . . . . . . . . . . . 32Gerenciar tipos de exibio personalizadas . . . . . . . . . . . . . . . . . . . . 33

Preferncias do console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33O console do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Trabalhar com o tema de cores do console . . . . . . . . . . . . . . . . . . . . 35Selecione as configuraes de exibio do console . . . . . . . . . . . . . . . . . 36Defina o valor de tempo limite do console . . . . . . . . . . . . . . . . . . . . . 37

3 Configurao do ESM 39Gerenciamento de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Exibir informaes do dispositivo . . . . . . . . . . . . . . . . . . . . . . . . 42Sobre chaves de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . 46Atualizar o software em um dispositivo . . . . . . . . . . . . . . . . . . . . . . 52

McAfee Enterprise Security Manager 9.6.0 Guia de produto 3

Organizao de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . 52Gerenciar vrios dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . 65Gerenciar links de URL para todos os dispositivos . . . . . . . . . . . . . . . . . . 66Exibir relatrios de resumo do dispositivo . . . . . . . . . . . . . . . . . . . . . 67Exibir um registro do sistema ou dispositivo . . . . . . . . . . . . . . . . . . . . 68Relatrios de status de integridade do dispositivo . . . . . . . . . . . . . . . . . . 70Excluir um grupo ou um dispositivo . . . . . . . . . . . . . . . . . . . . . . . 73Atualizar dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

Configurao de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73Event Receiver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75Configuraes do Enterprise Log Manager (ELM) . . . . . . . . . . . . . . . . . . 146Configuraes do Advanced Correlation Engine (ACE) . . . . . . . . . . . . . . . 171Configuraes do Application Data Monitor (ADM) . . . . . . . . . . . . . . . . . 178Configuraes do Database Event Monitor (DEM) . . . . . . . . . . . . . . . . . 195Configuraes do DESM (ESM distribudo) . . . . . . . . . . . . . . . . . . . . 209Configuraes do ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . 210Configuraes do Nitro Intrusion Prevention System (Nitro IPS) . . . . . . . . . . . 217Configuraes do McAfee Vulnerability Manager . . . . . . . . . . . . . . . . . . 224Configuraes do McAfee Network Security Manager . . . . . . . . . . . . . . . . 226

Configurao de servios auxiliares . . . . . . . . . . . . . . . . . . . . . . . . . . 228Informaes gerais do sistema . . . . . . . . . . . . . . . . . . . . . . . . . 229Definir configuraes do servidor Remedy . . . . . . . . . . . . . . . . . . . . 230Parar atualizao automtica da rvore de sistemas do ESM . . . . . . . . . . . . . 231Definio de configuraes de mensagem . . . . . . . . . . . . . . . . . . . . 231Configurar NTP em um dispositivo . . . . . . . . . . . . . . . . . . . . . . . 233Definir configuraes de rede . . . . . . . . . . . . . . . . . . . . . . . . . 235Sincronizao da hora do sistema . . . . . . . . . . . . . . . . . . . . . . . 255Instalar um novo certificado . . . . . . . . . . . . . . . . . . . . . . . . . . 256Configurar perfis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257Configurao de SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260

Gerenciamento do banco de dados . . . . . . . . . . . . . . . . . . . . . . . . . . 270Configurar o armazenamento de dados do ESM . . . . . . . . . . . . . . . . . . 270Configurar o armazenamento de dados da VM do ESM . . . . . . . . . . . . . . . 271Aumentar o nmero de ndices de acumulador disponveis . . . . . . . . . . . . . . 271Configurar o arquivo de parties inativas . . . . . . . . . . . . . . . . . . . . 271Configurar limites de reteno de dados . . . . . . . . . . . . . . . . . . . . . 273Definir limites de alocao de dados . . . . . . . . . . . . . . . . . . . . . . 274Gerenciar configuraes de indexao de banco de dados . . . . . . . . . . . . . . 274Gerenciar a indexao do acumulador . . . . . . . . . . . . . . . . . . . . . . 275Exibir utilizao de memria do banco de dados . . . . . . . . . . . . . . . . . . 276

Trabalhar com usurios e grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . 277Adicionar um usurio . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278Selecione configuraes do usurio . . . . . . . . . . . . . . . . . . . . . . . 280Configurao de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . 281Configurar credenciais de usurio para o McAfee ePO . . . . . . . . . . . . . . . . 290Desativar ou reativar um usurio . . . . . . . . . . . . . . . . . . . . . . . . 291Autenticar usurios para um servidor LDAP . . . . . . . . . . . . . . . . . . . . 291Configurar grupos de usurios . . . . . . . . . . . . . . . . . . . . . . . . . 292Adicionar um grupo com acesso limitado . . . . . . . . . . . . . . . . . . . . . 298

Backup e restaurao das configuraes do sistema . . . . . . . . . . . . . . . . . . . 299Fazer backup das configuraes do ESM e dos dados do sistema . . . . . . . . . . . 300Restaurar configuraes do ESM . . . . . . . . . . . . . . . . . . . . . . . . 301Restaurar arquivos de configurao com backup . . . . . . . . . . . . . . . . . . 302Trabalhar com arquivos de backup no ESM . . . . . . . . . . . . . . . . . . . . 302Gerenciar a manuteno do arquivo . . . . . . . . . . . . . . . . . . . . . . . 303

ESM redundante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304

Contedo


Configurar um ESM redundante . . . . . . . . . . . . . . . . . . . . . . . . 304Substituir um ESM redundante . . . . . . . . . . . . . . . . . . . . . . . . . 306Desativar consultas compartilhadas . . . . . . . . . . . . . . . . . . . . . . . 307

Gerenciamento do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307Gerenciar registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310Mascarar endereos IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311Configurar o registro do ESM . . . . . . . . . . . . . . . . . . . . . . . . . 313Exportar e restaurar chaves de comunicao . . . . . . . . . . . . . . . . . . . 314Gerar chave SSH novamente . . . . . . . . . . . . . . . . . . . . . . . . . 314Gerenciador de tarefas de consulta . . . . . . . . . . . . . . . . . . . . . . . 314Gerenciar consultas em execuo no ESM . . . . . . . . . . . . . . . . . . . . 315Atualizar ESM primrio ou redundante . . . . . . . . . . . . . . . . . . . . . . 316Acessar um dispositivo remoto . . . . . . . . . . . . . . . . . . . . . . . . . 316Usar comandos do Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . 318Comandos do Linux disponveis . . . . . . . . . . . . . . . . . . . . . . . . 318

Uso de uma lista negra global . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319Configurar uma lista negra global . . . . . . . . . . . . . . . . . . . . . . . . 320

Enriquecimento de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321Adicionar origens de enriquecimento de dados . . . . . . . . . . . . . . . . . . 322Configurar enriquecimento de dados no McAfee Real Time for McAfee ePO

. . . . . . . 326Adicione uma origem de enriquecimento de dados Hadoop HBase . . . . . . . . . . . 326Adicionar origem de enriquecimento de dados Hadoop Pig . . . . . . . . . . . . . . 327Adicionar enriquecimento de dados do Active Directory para nomes do usurio . . . . . 328

4 Gerenciamento de "ciberameaas" 331Configurar gerenciamento de ciberameaa . . . . . . . . . . . . . . . . . . . . . . 331Exibir resultados de feeds de ciberameaas . . . . . . . . . . . . . . . . . . . . . . . 332Tipos de indicadores compatveis . . . . . . . . . . . . . . . . . . . . . . . . . . . 333Erros no upload manual de um arquivo IOC STIX XML . . . . . . . . . . . . . . . . . . 334

5 Trabalho com pacotes de contedo 335Importar pacotes de contedo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335

6 Fluxo de trabalho de alarmes 337Preparar para criar alarmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337

Configurar mensagens de alarme . . . . . . . . . . . . . . . . . . . . . . . . 337Gerenciar arquivos de udio de alarme . . . . . . . . . . . . . . . . . . . . . 342

Criar alarmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343Ativar ou desativar o monitoramento de alarmes . . . . . . . . . . . . . . . . . 343Copiar um alarme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344Criar alarmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344

Monitorar e responder a alarmes . . . . . . . . . . . . . . . . . . . . . . . . . . . 349Exibir e gerenciar alarmes disparados . . . . . . . . . . . . . . . . . . . . . . 349Gerenciar fila de relatrios de alarme . . . . . . . . . . . . . . . . . . . . . . 351

Ajustar alarmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352Criar alarmes UCAPL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353Adicionar alarmes de evento do monitor de integridade . . . . . . . . . . . . . . . 355Adicionar um alarme de Correspondncia de campos . . . . . . . . . . . . . . . . 365Resumo personalizado para casos e alarmes disparados . . . . . . . . . . . . . . 367Adicionar um alarme s regras . . . . . . . . . . . . . . . . . . . . . . . . . 368Criar interceptaes de SNMP e aes de alarmes . . . . . . . . . . . . . . . . . 368Adicionar um alarme de notificao de queda de energia . . . . . . . . . . . . . . 369Gerenciar origens de dados fora de sincronizao . . . . . . . . . . . . . . . . . 370

7 Trabalho com eventos 373Eventos, fluxos e registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373

Contedo


Configurar downloads de eventos, fluxos e registros . . . . . . . . . . . . . . . . 374Limitar horrio da coleta de dados . . . . . . . . . . . . . . . . . . . . . . . 375Definir as configuraes de limite de inatividade . . . . . . . . . . . . . . . . . . 376Obter eventos e fluxos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377Verificar eventos, fluxos e registros . . . . . . . . . . . . . . . . . . . . . . . 378Definir configuraes de localizao geogrfica e ASN . . . . . . . . . . . . . . . 380Agregao de eventos ou fluxos . . . . . . . . . . . . . . . . . . . . . . . . 381Configurao do encaminhamento de evento . . . . . . . . . . . . . . . . . . . 385

Gerenciamento de relatrios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394Definir o ms inicial para os relatrios trimestrais . . . . . . . . . . . . . . . . . 395Adicionar relatrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395Adicionar layout de relatrio . . . . . . . . . . . . . . . . . . . . . . . . . 398Incluir uma imagem em PDFs e relatrios . . . . . . . . . . . . . . . . . . . . 402Adicionar uma condio de relatrio . . . . . . . . . . . . . . . . . . . . . . . 402Exibir nomes de host em um relatrio . . . . . . . . . . . . . . . . . . . . . . 404

Descrio dos filtros contains e regex . . . . . . . . . . . . . . . . . . . . . . . . . 404Trabalhar com exibies do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . 408

Uso de exibies do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . 408Exibir detalhes da sesso . . . . . . . . . . . . . . . . . . . . . . . . . . . 409Barra de ferramentas de exibio . . . . . . . . . . . . . . . . . . . . . . . . 409Exibies predefinidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410Adicionar uma exibio personalizada . . . . . . . . . . . . . . . . . . . . . . 414Exibir componentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414Trabalhar com o Assistente de consulta . . . . . . . . . . . . . . . . . . . . . 427Gerenciar exibies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433Verificar um evento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434Exibir os detalhes do endereo IP de um evento . . . . . . . . . . . . . . . . . . 435Alterar a exibio padro . . . . . . . . . . . . . . . . . . . . . . . . . . . 435Filtragem de exibies . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436Listas de observao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441Normalizao de cadeia . . . . . . . . . . . . . . . . . . . . . . . . . . . 447

Tipo de filtros personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449Criar tipos personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . 451Tabela de tipos personalizados predefinidos . . . . . . . . . . . . . . . . . . . 452Adicionar tipos personalizados de tempo . . . . . . . . . . . . . . . . . . . . . 453Tipos personalizados de nome/valor . . . . . . . . . . . . . . . . . . . . . . 453Adicionar tipo personalizado de grupo de nomes/valores . . . . . . . . . . . . . . 454

Pesquisas do McAfee

Active Response . . . . . . . . . . . . . . . . . . . . . . . . . 454Executar uma pesquisa do Active Response . . . . . . . . . . . . . . . . . . . . 455Gerenciar resultados da pesquisa do Active Response . . . . . . . . . . . . . . . 456Adicionar uma origem de enriquecimento de dados do Active Response . . . . . . . . 457Adicionar uma lista de observao do Active Response . . . . . . . . . . . . . . . 457

Exibir hora do evento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458

8 Gerenciamento de casos 461Adicionar um caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461Criar um caso a partir de um evento . . . . . . . . . . . . . . . . . . . . . . . . . 462Adicionar eventos a um caso existente . . . . . . . . . . . . . . . . . . . . . . . . 462Editar ou fechar um caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464Exibir detalhes do caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465Adicionar nveis de status de caso . . . . . . . . . . . . . . . . . . . . . . . . . . 467Casos de e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467Exibir todos os casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468Gerar relatrios de gerenciamento de casos . . . . . . . . . . . . . . . . . . . . . . 469

Contedo


9 Trabalhar com o Asset Manager 471Gerenciar ativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472

Definir ativos antigos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475Configurar o gerenciamento de configuraes . . . . . . . . . . . . . . . . . . . . . . 475

Gerenciar arquivos de configurao recuperados . . . . . . . . . . . . . . . . . 477Descoberta de rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477

Descobrir a rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477Gerenciar a lista de excluso de IP . . . . . . . . . . . . . . . . . . . . . . . 481Descobrir terminais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481Exibir um mapa da rede . . . . . . . . . . . . . . . . . . . . . . . . . . . 482Alterar o comportamento de Descoberta de rede . . . . . . . . . . . . . . . . . 482

Origens de ativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483Gerenciar origens de ativos . . . . . . . . . . . . . . . . . . . . . . . . . . 484

Gerenciar origens de avaliao de vulnerabilidade . . . . . . . . . . . . . . . . . . . . 486Gerenciamento de zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486

Gerenciar zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487Adicionar uma zona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 488Exportar configuraes de zona . . . . . . . . . . . . . . . . . . . . . . . . 488Importar configuraes de zona . . . . . . . . . . . . . . . . . . . . . . . . 489Adicionar uma subzona . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491

Ativo, ameaa e avaliao de risco . . . . . . . . . . . . . . . . . . . . . . . . . . 492Gerenciar ameaas conhecidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493

10 Gerenciamento de polticas e regras 495Compreenso do Editor de polticas . . . . . . . . . . . . . . . . . . . . . . . . . . 495A rvore de polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497

Gerenciar polticas na rvore de polticas . . . . . . . . . . . . . . . . . . . . 497Tipos de regras e suas propriedades . . . . . . . . . . . . . . . . . . . . . . . . . 501

Variveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502Regras de pr-processador . . . . . . . . . . . . . . . . . . . . . . . . . . 506Regras de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507Regras de inspeo de pacote detalhadas . . . . . . . . . . . . . . . . . . . . 510Regras internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513Regras de filtragem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513Regras do Analisador de syslog avanado (ASP) . . . . . . . . . . . . . . . . . . 515Regras de origem de dados . . . . . . . . . . . . . . . . . . . . . . . . . . 521Regras de eventos do Windows . . . . . . . . . . . . . . . . . . . . . . . . 523Regras de ADM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523Regras do DEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525Regras de correlao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532Adicionar regras personalizadas de ADM, banco de dados ou correlao . . . . . . . . 534Regras do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545Normalizao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545Ativar Copiar pacote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546

Configuraes padro de polticas . . . . . . . . . . . . . . . . . . . . . . . . . . 547Modo somente alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547Configurar Modo de excesso de assinaturas . . . . . . . . . . . . . . . . . . . . 548Exibir status de atualizao de poltica de dispositivos . . . . . . . . . . . . . . . 549

Operaes de regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 549Gerenciar regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 549Importar regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551Importar variveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552Regras de exportao . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552Definir regras para incluso automtica na lista negra . . . . . . . . . . . . . . . 553Filtrar regras existentes . . . . . . . . . . . . . . . . . . . . . . . . . . . 554Exibir a assinatura de uma regra . . . . . . . . . . . . . . . . . . . . . . . . 555

Contedo


Recuperar atualizaes de regra . . . . . . . . . . . . . . . . . . . . . . . . 555Limpar status de regra atualizada . . . . . . . . . . . . . . . . . . . . . . . 556Comparar arquivos de regra . . . . . . . . . . . . . . . . . . . . . . . . . . 557Exibir o histrico de alteraes de regra . . . . . . . . . . . . . . . . . . . . . 557Criar uma nova lista de observao de regras . . . . . . . . . . . . . . . . . . . 558Adicionar regras a uma lista de observao . . . . . . . . . . . . . . . . . . . . 559

Atribuir marcas a regras ou ativos . . . . . . . . . . . . . . . . . . . . . . . . . . 560Pgina Seleo de marca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561

Modificar configuraes de agregao . . . . . . . . . . . . . . . . . . . . . . . . . 561Ao de substituio em regras obtidas por download . . . . . . . . . . . . . . . . . . 562Nveis de gravidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563

Defina os nveis de gravidade . . . . . . . . . . . . . . . . . . . . . . . . . 564Exibir histrico de alterao de poltica . . . . . . . . . . . . . . . . . . . . . . . . 564Aplicar alteraes de poltica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565Gerenciar trfego de prioridade . . . . . . . . . . . . . . . . . . . . . . . . . . . 566

ndice 567

Contedo


Prefcio

Este guia fornece todas as informaes necessrias para que voc possa trabalhar com seu produtoMcAfee.

Contedo Sobre este guia Localizar a documentao do produto

Sobre este guiaEstas informaes descrevem o pblico-alvo do guia, as convenes tipogrficas e os cones usadosneste guia, alm de como o guia organizado.

Pblico-alvoMcAfee cuidadosamente pesquisada e escrita tendo em vista o seu pblico-alvo.

A informao contida neste guia destina-se principalmente a:

Administradores: Pessoas responsveis pela implementao e imposio do programa desegurana da empresa.

Usurios: Pessoas que utilizam o computador onde o software est instalado e que tm acesso atodos ou alguns dos seus recursos.

ConvenesEste guia usa as seguintes convenes tipogrficas e cones.

Itlico Ttulo de um livro, captulo ou tpico; um novo termo; nfase

Negrito Texto enfatizadoMonoespaada Comandos e outros textos que o usurio digita; uma amostra de cdigo; uma

mensagem exibida

Narrow Bold Palavras da interface do usurio, como opes, menus, botes e caixas de dilogo

Hipertexto azul Um link para um tpico ou para um site externo

Observao: informaes adicionais que enfatizam um argumento, lembram oleitor de algo, ou fornecem um mtodo alternativo

Dica: boas prticas

Cuidado: informaes teis para proteger o sistema de computador, instalao desoftware, rede, empresa ou dados

Aviso: informaes crticas para impedir dano fsico durante a utilizao de umproduto de hardware


Localizar a documentao do produtoNo ServicePortal, voc encontra informaes sobre um produto lanado, incluindo a documentao doproduto, artigos tcnicos e muito mais.

Tarefa

1 Acesse o ServicePortal em https://support.mcafee.com e clique na guia Centro de conhecimento.

2 No painel Base de dados de conhecimento, em Fonte de contedo, clique em Documentao do produto.

3 Insira um produto e a verso, e clique em Pesquisar para exibir uma lista de documentos.

Tarefas

Encontre informaes traduzidas na pgina 10Fornecemos notas de verso localizadas (traduzidas) do McAfee ESM, alm de Ajudaon-line, guia do produto e guia de instalao para:

Perguntas frequentes na pgina 11Aqui voc encontra respostas para perguntas frequentes.

Encontre informaes traduzidasFornecemos notas de verso localizadas (traduzidas) do McAfee ESM, alm de Ajuda on-line, guia doproduto e guia de instalao para:

Chins simplificado Japons

Chins tradicional Coreano

Ingls Portugus (Brasil)

Francs Espanhol

Alemo

Acesso Ajuda on-line localizada

Alterar a configurao de idioma no ESM altera automaticamente o idioma usado na Ajuda on-line.

1 Entre no ESM.

2 No painel de navegao do sistema do console ESM, selecione Opes.

3 Selecione um idioma e clique em OK.

4 Clique no cone Ajuda, no canto superior direito das janelas do ESM, ou selecione o menu Ajuda. AAjuda aparece no idioma selecionado.

Se a ajuda aparecer somente em ingls, significa que a Ajuda localizada ainda no est disponvel.Uma atualizao futura instalar a Ajuda localizada.

Encontre a documentao localizada do produto no Centro de conhecimento

1 Acesse o Centro de conhecimento.

2 Procure a documentao do produto traduzida usando os seguintes parmetros:

Termos de pesquisa guia do produto, guia de instalao ou notas de verso

Produto SIEM Enterprise Security Manager

Verso 9.6.0

PrefcioLocalizar a documentao do produto


https://support.mcafee.comhttps://support.mcafee.com/

3 Nos resultados da pesquisa, clique no ttulo do documento relevante.

4 Na pgina com o cone de PDF, role a pgina para baixo at encontrar os links de idiomas do ladodireito. Clique no idioma relevante.

5 Clique no link do PDF para abrir a verso localizada do documento do produto.

Consulte tambm Usar a Ajuda do ESM na pgina 15

Perguntas frequentesAqui voc encontra respostas para perguntas frequentes.

Onde posso encontrar informaes do ESM em outros idiomas?

Traduzimos as notas de verso, a Ajuda, o guia de produto e o guia de instalao do ESM. Encontre informaes traduzidas na pgina 10

Onde posso saber mais sobre o McAfee ESM?

Usar a Ajuda do ESM na pgina 15

Acesse o Centro de conhecimento

Visite o Centro de especialistas

Assista a vdeos do McAfee ESM

Quais dispositivos SIEM so compatveis?

Visite o site do McAfee ESM

Como configuro origens de dados especficas?

Encontre os guias de configurao de origens de dados atualizados no Centro de conhecimento

Como posso saber sobre alteraes e adies em origens de dados, tipos personalizados,regras e pacotes de contedo?

Entre no Centro de conhecimento e assine o artigo KB75608. Voc receber notificaesquando o artigo for alterado.

Para obter informaes sobre pacotes de contedo, leia o artigo da KB no Centro deconhecimento.



https://support.mcafee.comhttps://community.mcafee.com/community/business/expertcenter/products/siemhttps://www.youtube.com/playlist?list=PLA1uP2u2KA5BpnjGJwnSNku1sXzTqluWChttp://www.mcafee.com/us/resources/data-sheets/ds-siem-supported-devices.pdfhttps://support.mcafee.com/ServicePortal/faces/knowledgecenter?s=true&lang=en-us&sm=true&q=Data+Source+Configuration+Guide&mt=2&p=SIEM+Enterprise+Security+Manager&tab=AlRetdl&sb=mostRelevant&sbv=relevancehttps://support.mcafee.com/ServicePortal/faces/knowledgecenter?s=true&lang=en-us&sm=true&q=content+pack&mt=2&p=SIEM+Enterprise+Security+Manager&tab=AlRetdl&sb=mostRelevant&sbv=relevancehttps://support.mcafee.com/ServicePortal/faces/knowledgecenter?s=true&lang=en-us&sm=true&q=content+pack&mt=2&p=SIEM+Enterprise+Security+Manager&tab=AlRetdl&sb=mostRelevant&sbv=relevance

1 IntroduoO McAfee

Enterprise Security Manager (McAfee ESM) permite que profissionais de segurana econformidade coletem, armazenem, analisem e tomem providncias em relao a riscos e ameaas deum nico local.

Contedo Como o McAfee Enterprise Security Manager funciona Dispositivos e o que eles fazem Usar a Ajuda do ESM Perguntas frequentes Encontre informaes traduzidas

Como o McAfee Enterprise Security Manager funcionaO McAfee ESM coleta e agrega dados e eventos de dispositivos de segurana, infraestruturas de rede,sistemas e aplicativos. Em seguida, ele aplica inteligncia a esses dados, combinando-os cominformaes contextuais sobre usurios, ativos, vulnerabilidades e ameaas. Ele correlaciona essasinformaes para localizar incidentes que sejam relevantes. Usando dashboards interativos epersonalizveis, voc poder fazer busca detalhada em eventos especficos para investigar incidentes.

O ESM composto por trs camadas:

Interface Um programa de navegador que fornece a interface com o usurio para o sistema(conhecido como Console do ESM).

Armazenamento, gerenciamento e anlise de dados Dispositivos que fornecem todos osservios necessrios de manipulao de dados, incluindo configurao, gerao de relatrios,visualizao e pesquisa. O ESM (obrigatrio), o Advanced Correlation Engine (ACE), o ESMdistribudo (DESM) e o Enterprise Log Manager (ELM) desempenham essas funes.

Aquisio de dados Dispositivos que fornecem as interfaces e servios que adquirem dados doambiente de rede do usurio. O Nitro Intrusion Prevention System (IPS), o Event Receiver(Receiver), o ADM (Application Data Monitor) e o DEM (Database Event Monitor) desempenhamessas funes.

Todas as funes de comando, controle e comunicao entre os componentes so coordenadas pormeio de canais seguros de comunicao.

1


Dispositivos e o que eles fazemO ESM permite que voc administre, gerencie e interaja com todos os dispositivos fsicos e virtuais doseu ambiente de segurana.

Consulte tambm Event Receiver na pgina 75Configuraes do Enterprise Log Manager (ELM) na pgina 146Configuraes do Application Data Monitor (ADM) na pgina 178Configuraes do Database Event Monitor (DEM) na pgina 195Configuraes do Advanced Correlation Engine (ACE) na pgina 171Configuraes do DESM (ESM distribudo) na pgina 209Configuraes do ePolicy Orchestrator na pgina 210Configuraes do Nitro Intrusion Prevention System (Nitro IPS) na pgina 217

1 IntroduoDispositivos e o que eles fazem


Usar a Ajuda do ESMDvidas sobre como usar o ESM? Use a Ajuda on-line como fonte de informaes sensveis aocontexto, onde voc encontra informaes conceituais, materiais de referncia e instrues passo apasso sobre como usar o ESM.

Tarefa1 Para abrir a Ajuda do ESM, siga uma destas opes:

Selecione a opo do menu Ajuda | Contedo da ajuda.

Clique no ponto de interrogao no canto superior direito das telas do ESM para encontrar umaAjuda sensvel ao contexto, especfica da tela.

2 Na janela de Ajuda: Use o campo Pesquisar para encontrar qualquer palavra na Ajuda. Os resultados aparecem abaixo

do campo Pesquisar. Clique no link relevante para exibir o tpico de Ajuda no painel direita.

Use a guia Contedo (ndice) para exibir uma lista sequencial de tpicos na Ajuda.

Use o ndice para encontrar um termo especfico na Ajuda. As palavras-chave so organizadaspor ordem alfabtica, assim voc consegue percorrer a lista at encontrar o item desejado.Clique na palavra-chave para exibir o tpico de Ajuda desejado.

Imprima o tpico de Ajuda ativo (sem barras de rolagem) clicando no cone da impressora, nocanto superior direito do tpico de Ajuda.

Encontre links para os tpicos de Ajuda relacionados, rolando a pgina at o final do tpico deAjuda.

Consulte tambm Encontre informaes traduzidas na pgina 10

Perguntas frequentesAqui voc encontra respostas para perguntas frequentes.

Onde posso encontrar informaes do ESM em outros idiomas?

Traduzimos as notas de verso, a Ajuda, o guia de produto e o guia de instalao do ESM. Encontre informaes traduzidas na pgina 10

Onde posso saber mais sobre o McAfee ESM?

Usar a Ajuda do ESM na pgina 15

Acesse o Centro de conhecimento

Visite o Centro de especialistas

Assista a vdeos do McAfee ESM

Quais dispositivos SIEM so compatveis?

Visite o site do McAfee ESM

Como configuro origens de dados especficas?

Encontre os guias de configurao de origens de dados atualizados no Centro de conhecimento

Como posso saber sobre alteraes e adies em origens de dados, tipos personalizados,regras e pacotes de contedo?

IntroduoUsar a Ajuda do ESM 1


https://support.mcafee.comhttps://community.mcafee.com/community/business/expertcenter/products/siemhttps://www.youtube.com/playlist?list=PLA1uP2u2KA5BpnjGJwnSNku1sXzTqluWChttp://www.mcafee.com/us/resources/data-sheets/ds-siem-supported-devices.pdfhttps://support.mcafee.com/ServicePortal/faces/knowledgecenter?s=true&lang=en-us&sm=true&q=Data+Source+Configuration+Guide&mt=2&p=SIEM+Enterprise+Security+Manager&tab=AlRetdl&sb=mostRelevant&sbv=relevance

Entre no Centro de conhecimento e assine o artigo KB75608. Voc receber notificaesquando o artigo for alterado.

Para obter informaes sobre pacotes de contedo, leia o artigo da KB no Centro deconhecimento.

Encontre informaes traduzidasFornecemos notas de verso localizadas (traduzidas) do McAfee ESM, alm de Ajuda on-line, guia doproduto e guia de instalao para:

Chins simplificado Japons

Chins tradicional Coreano

Ingls Portugus (Brasil)

Francs Espanhol

Alemo

Acesso Ajuda on-line localizada

Alterar a configurao de idioma no ESM altera automaticamente o idioma usado na Ajuda on-line.

1 Entre no ESM.

2 No painel de navegao do sistema do console ESM, selecione Opes.

3 Selecione um idioma e clique em OK.

4 Clique no cone Ajuda, no canto superior direito das janelas do ESM, ou selecione o menu Ajuda. AAjuda aparece no idioma selecionado.

Se a ajuda aparecer somente em ingls, significa que a Ajuda localizada ainda no est disponvel.Uma atualizao futura instalar a Ajuda localizada.

Encontre a documentao localizada do produto no Centro de conhecimento

1 Acesse o Centro de conhecimento.

2 Procure a documentao do produto traduzida usando os seguintes parmetros: Termos de pesquisa guia do produto, guia de instalao ou notas de verso

Produto SIEM Enterprise Security Manager

Verso 9.6.0

3 Nos resultados da pesquisa, clique no ttulo do documento relevante.

4 Na pgina com o cone de PDF, role a pgina para baixo at encontrar os links de idiomas do ladodireito. Clique no idioma relevante.

5 Clique no link do PDF para abrir a verso localizada do documento do produto.

Consulte tambm Usar a Ajuda do ESM na pgina 15

1 IntroduoEncontre informaes traduzidas


https://support.mcafee.com/ServicePortal/faces/knowledgecenter?s=true&lang=en-us&sm=true&q=content+pack&mt=2&p=SIEM+Enterprise+Security+Manager&tab=AlRetdl&sb=mostRelevant&sbv=relevancehttps://support.mcafee.com/ServicePortal/faces/knowledgecenter?s=true&lang=en-us&sm=true&q=content+pack&mt=2&p=SIEM+Enterprise+Security+Manager&tab=AlRetdl&sb=mostRelevant&sbv=relevancehttps://support.mcafee.com/

2 Guia de introduoVerifique se o ambiente do ESM atual e est pronto para uso.

Contedo Requisitos de hardware e software Sobre o modo FIPS Configurao avaliada por critrios comuns Efetuar logon e logoff Personalizar a pgina de entrada Atualizar software do ESM Obter e adicionar credenciais de atualizao de regra Verificar atualizaes de regras Alterar o idioma dos registros de eventos Conexo de dispositivos Preferncias do console

Requisitos de hardware e softwareSeu sistema precisa atender aos requisitos mnimos de hardware e software.

Requisitos do sistema

Processador: classe P4 (no Celeron) ou superior (Mobile/Xeon/Core2,Corei3/5/7) ou classe AMDAM2 ou superior (Turion64/Athlon64/Opteron64,A4/6/8)

RAM: 1,5 GB

Sistema operacional Windows Windows 2000, Windows XP, Windows 2003 Server, WindowsVista, Windows 2008 Server, Windows Server 2012, Windows 7, Windows 8, Windows 8.1

Navegador Internet Explorer 9 ou posterior, Mozilla Firefox 9 ou posterior, Google Chrome 33 ouposterior

Flash Player: verso 11.2.x.x ou posterior

Os recursos do ESM usam janelas pop-up quando fazem upload ou download dos arquivos. Desative obloqueador de pop-ups do endereo IP ou nome de host do seu ESM.

Requisitos da mquina virtual

Processador 8 ncleos de 64 bits, Dual Core2/Nehalem ou superior ou AMD Dual Athlon64/DualOpteron64 ou superior

RAM Depende do modelo (4 GB ou mais)

2


Espao em disco: Depende do modelo (250 GB ou mais)

ESXi 5.0 ou posterior

Configurao ampla ou reduzida Escolha os requisitos de disco rgido para o seu servidor. Osrequisitos mnimos so de 250 GB, a menos que a VM comprada tenha mais. Consulte asespecificaes de seu produto de VM.

O ENMELM VM usa muitos recursos que requerem CPU e RAM. Se o ambiente do ESXi compartilhar osrequisitos de CPU/RAM com outras VMs, o desempenho do ENMELM VM ser afetado. No deixe deincluir o que necessrio em termos de CPU e RAM nos requisitos.

Sobre o modo FIPSO FIPS (Federal Information Processing Standard) consiste em padres pblicos desenvolvidos pelogoverno federal dos Estados Unidos. Caso seja necessrio atender a essas normas, voc dever operaro sistema no modo FIPS.

O modo FIPS deve ser selecionado na primeira vez que voc efetuar logon no sistema e no poder seralterado posteriormente.

Consulte tambm Informaes sobre o modo FIPS na pgina 19

Contedo Informaes sobre o modo FIPS Selecione o modo FIPS Verificar integridade FIPS Adicionar um dispositivo codificado ao modo FIPS Soluo de problemas do modo FIPS

2 Guia de introduoSobre o modo FIPS


Informaes sobre o modo FIPSEm virtude das normas FIPS, alguns recursos do ESM no esto disponveis, alguns recursosdisponveis esto fora de conformidade e outros esto disponveis somente durante o modo FIPS.Esses recursos so observados em todo o documento e esto listados aqui.

Status dorecurso

Descrio

Recursosremovidos

Receivers de alta disponibilidade.

Terminal GUI.

Capacidade de se comunicar com o dispositivo usando o protocolo SSH.

No console do dispositivo, o shell principal substitudo por um menu degerenciamento de dispositivo.

Recursosdisponveissomente nomodo FIPS

H quatro funes de usurio que no se sobrepem: Usurio, Usurio avanado, Auditoriade admin e Admin de chave e certificado.

Todas as pginas de Propriedades tm uma opo de Autoteste que permite verificar seo sistema est funcionando corretamente no modo FIPS.

Se houver falha de FIPS, ser adicionado um sinalizador de status rvore denavegao de sistemas para refletir a falha.

Todas as pginas de Propriedades tm a opo Exibir que, quando clicada, abre apgina Token de identidade FIPS. Ela exibe um valor que precisa ser comparado ao valormostrado naquelas sees do documento, para garantir que o FIPS no foicomprometido.

Em Propriedades do sistema | Usurios e Grupos | Privilgios | Editar grupo, a pgina inclui oprivilgio Autoteste de criptografia do FIPS que concede aos membros do grupo aautorizao para executar autotestes do FIPS.

Quando voc clica em Importar chave ou Exportar chave em Propriedades de IPS | Gerenciamentode chaves, exibido um prompt para selecionar o tipo de chave que voc desejaimportar ou exportar.

Em Assistente para Adicionar dispositivo, o protocolo TCP sempre definido como Porta 22.A porta SSH pode ser alterada.

Consulte tambm Selecione o modo FIPS na pgina 19Verificar integridade FIPS na pgina 20Adicionar um dispositivo codificado ao modo FIPS na pgina 22Backup e restaurao das informaes de um dispositivo no modo FIPS na pgina 22Ativar a comunicao com vrios dispositivos ESM no modo FIPS na pgina 23Soluo de problemas do modo FIPS na pgina 25

Selecione o modo FIPSAo efetuar logon pela primeira vez no sistema, voc precisa indicar se deseja que o sistema opere nomodo FIPS. Depois que essa seleo for feita, no ser possvel alter-la.

Guia de introduoSobre o modo FIPS 2


TarefaPara obter detalhes sobre recursos de produtos, uso e prticas recomendadas, clique em ? ou emAjuda.

1 A primeira vez que voc entra no ESM:

a No campo Nome do usurio, digite NGCP.

b No campo Senha, digite security.4u.

Voc ser solicitado a alterar sua senha.

2 Insira e confirme a nova senha.

3 Na pgina Ativar FIPS, clique em Sim.

O aviso Ativar FIPS exibe informaes de solicitao de confirmao se voc deseja que o sistemaopere no modo FIPS permanentemente.

4 Clique em Sim para confirmar sua seleo.

Consulte tambm Informaes sobre o modo FIPS na pgina 19Verificar integridade FIPS na pgina 20Adicionar um dispositivo codificado ao modo FIPS na pgina 22Backup e restaurao das informaes de um dispositivo no modo FIPS na pgina 22Ativar a comunicao com vrios dispositivos ESM no modo FIPS na pgina 23Soluo de problemas do modo FIPS na pgina 25

Verificar integridade FIPSSe voc estiver operando no modo FIPS, o FIPS 140-2 exige que o teste de integridade do softwareseja executado regularmente. Esse teste deve ser executado no sistema e em cada dispositivo.




1 Na rvore de navegao do sistema, selecione Propriedades do sistema e verifique se a opo Informaesdo sistema est selecionada.

2 Execute uma das aes a seguir.

Nocampo...

Faa isto...

Status doFIPS

Exiba os resultados dos autotestes de FIPS mais recentes executados no ESM.

Teste ouAutoteste deFIPS

Execute os autotestes de FIPS, que testam a integridade dos algoritmos usados no cripto-executvel. Osresultados podem ser exibidos no Registro de mensagens.

Se o autoteste de FIPS falhar, o FIPS for comprometido ou ocorrer falha no dispositivo. Entre em contatocom o Suporte da McAfee.

Exibir ouIdentidadeFIPS

Abra a pgina Token de identidade FIPS para executar o teste de integridade do software de inicializao.Compare o valor abaixo com a chave pblica que aparece nesta pgina:

Se este valor no corresponder ao da chave pblica, o FIPS est comprometido. Entre em contato com oSuporte da McAfee.

Consulte tambm Informaes sobre o modo FIPS na pgina 19Selecione o modo FIPS na pgina 19Adicionar um dispositivo codificado ao modo FIPS na pgina 22Backup e restaurao das informaes de um dispositivo no modo FIPS na pgina 22Ativar a comunicao com vrios dispositivos ESM no modo FIPS na pgina 23Soluo de problemas do modo FIPS na pgina 25



Adicionar um dispositivo codificado ao modo FIPS H dois mtodos no modo FIPS para adicionar um dispositivo que j tenha sido codificado a um ESM.Essa terminologia e as extenses de arquivo so teis durante esses processos.

Terminologia

Chave de dispositivo Contm os direitos de gerenciamento que um ESM tem para um dispositivo eno usada para criptografia.

Chave pblica A chave de comunicao SSH pblica do ESM, que armazenada na tabela dechaves autorizadas de um dispositivo.

Chave privada A chave de comunicao SSH privada do ESM, que usada pelo executvel de SSHem um ESM para estabelecer a conexo SSH com um dispositivo.

ESM primrio O ESM que foi originalmente usado para registrar o dispositivo.

ESM secundrio O ESM adicional que se comunica com o dispositivo.

Extenses de arquivo para arquivos de exportao diferentes

.exk Contm a chave do dispositivo.

.puk Contm a chave pblica.

.prk Contm a chave privada e a chave do dispositivo.

Consulte tambm Informaes sobre o modo FIPS na pgina 19Selecione o modo FIPS na pgina 19Verificar integridade FIPS na pgina 20Backup e restaurao das informaes de um dispositivo no modo FIPS na pgina 22Ativar a comunicao com vrios dispositivos ESM no modo FIPS na pgina 23Soluo de problemas do modo FIPS na pgina 25

Backup e restaurao das informaes de um dispositivo no modo FIPSEsse mtodo usado para fazer backup e restaurar informaes de comunicao de um dispositivo noESM.

Seu uso principal em caso de falha que exija a substituio do ESM. Se as informaes decomunicao no forem exportadas antes da falha, a comunicao com o dispositivo no poder serrestabelecida. Esse mtodo exporta e importa o arquivo .prk.

A chave privada do ESM primrio usada pelo ESM secundrio para estabelecer comunicao com odispositivo inicialmente. Quando a comunicao estabelecida, o ESM secundrio copia sua chavepblica para a tabela de chaves autorizadas do dispositivo. Em seguida, o ESM apaga a chave privadado ESM primrio e inicia a comunicao com seu prprio par de chaves pblicas ou privadas.



Ao Etapas

Exportar oarquivo .prk doESM primrio

1 Na rvore de navegao do ESM primrio, selecione o dispositivo com asinformaes de comunicao que deseja fazer backup e clique no cone dePropriedades.

2 Selecione Gerenciamento de chaves e clique em Exportar chave.

3 Selecione Backup da chave SSH privada e clique em Avanar.

4 Digite e confirme uma senha e defina a data de expirao.

Aps a data de expirao, a pessoa que importa a chave no conseguircomunicar-se com o dispositivo at que outra chave seja exportada com umadata de expirao futura. Se voc selecionar Nunca expira, a chave nunca expirarse for importada para outro ESM.

5 Clique em OK, selecione o local onde deseja salvar o arquivo .prk criado pelo ESMe saia do ESM primrio.

Adicionar umdispositivo aoESM secundrioe importar oarquivo .prk

1 Na rvore de navegao do sistema do dispositivo secundrio, selecione o n denvel do sistema ou grupo ao qual deseja adicionar o dispositivo.

2 Na barra de ferramentas de aes, clique em Adicionar dispositivo.

3 Selecione o tipo de dispositivo que voc deseja adicionar e clique em Avanar.

4 Insira um nome para o dispositivo que seja exclusivo no grupo e clique emAvanar.

5 Insira o endereo IP de destino do dispositivo, insira a porta de comunicao doFIPS e clique em Avanar.

6 Clique em Importar chave, navegue at o arquivo .prk exportado anteriormente eclique em Fazer upload.

Digite a senha especificada quando essa senha foi exportada inicialmente.

7 Faa logoff do ESM secundrio.

Consulte tambm Informaes sobre o modo FIPS na pgina 19Selecione o modo FIPS na pgina 19Verificar integridade FIPS na pgina 20Adicionar um dispositivo codificado ao modo FIPS na pgina 22Ativar a comunicao com vrios dispositivos ESM no modo FIPS na pgina 23Soluo de problemas do modo FIPS na pgina 25

Ativar a comunicao com vrios dispositivos ESM no modo FIPSVoc pode permitir que vrios ESMs se comuniquem com o mesmo dispositivo exportando eimportando arquivos .puk e .exk.

Esse mtodo usa dois processos de exportao e importao. Primeiro, o ESM primrio usado paraimportar o arquivo .puk exportado do dispositivo ESM secundrio e enviar a chave pblica contida noESM secundrio para o dispositivo, permitindo que os dois dispositivos ESM se comuniquem com odispositivo. Segundo, o arquivo .exk do dispositivo exportado do ESM primrio e importado para oESM secundrio, concedendo ao ESM secundrio a capacidade de se comunicar com o dispositivo.



Ao Etapas

Exportar oarquivo .puk doESM secundrio

1 Na pgina Propriedades do sistema do ESM secundrio, selecione Gerenciamento de ESM.

2 Clique em Exportar SSH e selecione o local onde o arquivo .puk dever ser salvo.

3 Clique em Salvar e saia.

Importar oarquivo .puk parao ESM primrio

1 Na rvore de navegao do sistema do ESM primrio, selecione o dispositivoque deseja configurar.

2 Clique no cone Propriedades e selecione Gerenciamento de chaves.

3 Clique em Gerenciar chaves SSH.

4 Clique em Importar, selecione o arquivo .puk e clique em Fazer upload.

5 Clique em OK e faa logoff do ESM primrio.

Exportar oarquivo .exk dodispositivo doESM primrio

1 Na rvore de navegao do sistema do ESM primrio, selecione o dispositivoque deseja configurar.

2 Clique no cone Propriedades e selecione Gerenciamento de chaves.

3 Clique em Exportar chave, selecione a chave do dispositivo de backup e clique emAvanar.

4 Digite e confirme uma senha e defina a data de expirao.

Aps a data de expirao, a pessoa que importa a chave no conseguircomunicar-se com o dispositivo at que outra chave seja exportada com umadata de expirao futura. Se voc selecionar Nunca expira, a chave nunca expirarse for importada para outro ESM.

5 Selecione os privilgios do arquivo .exk e clique em OK.

6 Selecione o local onde esse arquivo dever ser salvo e faa logoff do ESMprimrio.

Importar oarquivo .exk parao ESM secundrio

1 Na rvore de navegao de sistemas do dispositivo secundrio, selecione o nno nvel de sistema ou de grupo ao qual voc deseja adicionar o dispositivo.

2 Na barra de ferramentas de aes, clique em Adicionar dispositivo.

3 Selecione o tipo de dispositivo que deseja adicionar e clique em Avanar.

4 Insira um nome para o dispositivo que seja exclusivo a esse grupo e clique emAvanar.

5 Clique em Importar chave e procure o arquivo .exk.

6 Clique em Fazer upload e insira a senha que foi especificada quando essa chavefoi inicialmente exportada.

7 Faa logoff do ESM secundrio.

Consulte tambm Informaes sobre o modo FIPS na pgina 19Selecione o modo FIPS na pgina 19Verificar integridade FIPS na pgina 20Adicionar um dispositivo codificado ao modo FIPS na pgina 22Backup e restaurao das informaes de um dispositivo no modo FIPS na pgina 22Soluo de problemas do modo FIPS na pgina 25



Soluo de problemas do modo FIPSPodem surgir problemas durante a operao do ESM no modo FIPS.

Problema Descrio e resoluo

No possvelcomunicar-se com oESM

Verifique o LCD na parte frontal do dispositivo. Se ele informar Falha de FIPS,entre em contato com o Suporte da McAfee.

Verifique se h uma condio de erro na interface HTTP exibindo a pgina daWeb de autoteste de FIPS do ESM em um navegador.Se um nico dgito 0 for exibido, indicando que o dispositivo falhou em umautoteste de FIPS, reinicialize o dispositivo ESM e tente corrigir o problema.Se a condio de falha persistir, entre em contato com o Suporte para obtermais instrues.

- Se um nico dgito 1 for exibido, o problema de comunicao no estrelacionado falha de FIPS. Entre em contato com o suporte para obter maisetapas de soluo de problemas.

No possvelcomunicar-se com odispositivo

Se houver um sinalizador de status ao lado do n do dispositivo na rvore denavegao do sistema, coloque o cursor sobre ele. Se ele informar Falha deFIPS, entre em contato com o Suporte da McAfee no portal de suporte.

Siga a descrio sob o problema No possvel comunicar-se com o ESM.

Erro O arquivo invlidoao adicionar umdispositivo

No possvel exportar uma chave de um dispositivo no FIPS e import-lapara um dispositivo que estiver operando no modo FIPS. Alm disso, no possvel exportar uma chave de um dispositivo FIPS e import-la para umdispositivo no FIPS. Esse erro aparece na tentativa dos dois cenrios.

Consulte tambm Informaes sobre o modo FIPS na pgina 19Selecione o modo FIPS na pgina 19Verificar integridade FIPS na pgina 20Adicionar um dispositivo codificado ao modo FIPS na pgina 22Backup e restaurao das informaes de um dispositivo no modo FIPS na pgina 22Ativar a comunicao com vrios dispositivos ESM no modo FIPS na pgina 23

Configurao avaliada por critrios comunsO appliance McAfee deve ser instalado, configurado e operado de uma maneira especfica para estarem conformidade com as configuraes avaliadas por critrios comuns. Mantenha esses requisitos emmente ao configurar seu sistema.

Tipo Requisitos

Fsico O appliance McAfee deve ser: Protegido contra modificaes fsicas no autorizadas.

Localizado em instalaes com acesso controlado, o que evita o acesso fsico noautorizado.

Usopretendido

O appliance McAfee deve: Ter acesso a todo o trfego da rede para executar suas funes.

Ser gerenciado para permitir alteraes de endereo no trfego da rede monitoradopelo Destino de Avaliao (TOE).

Ser dimensionado de acordo com o trfego de rede monitorado.

Guia de introduoConfigurao avaliada por critrios comuns 2


Tipo Requisitos

Funcionrios Um ou mais indivduos competentes devem gerenciar o appliance McAfee e asegurana das informaes nele contidas. Os engenheiros da McAfee fornecemtreinamento no local sobre a instalao, a configurao e sobre a operao doappliance para todos os clientes da McAfee.

Os administradores autorizados no devem ser descuidados, propositalmentenegligentes ou hostis, devendo seguir e cumprir as instrues fornecidas peladocumentao do appliance McAfee.

O appliance McAfee s deve ser acessado por usurios autorizados.

Os responsveis pelo appliance McAfee devem garantir que todas as credenciais deacesso sejam protegidas pelos usurios de maneira consistente com a segurana deTI.

Outros No aplique atualizaes de software ao appliance McAfee, pois isso resultar emuma configurao diferente da avaliada por critrios comuns. Entre em contato como Suporte da McAfee para obter uma atualizao certificada.

Em um dispositivo Nitro IPS, a ativao das configuraes Temporizador de observao eForar desvio na pgina Configuraes da interface de rede resulta em uma configuraodiferente da avaliada por Critrios comuns.

Em um dispositivo Nitro IPS, o uso de uma configurao de modo de excesso deassinaturas diferente de descartar resultar em uma configurao diferente daavaliada por Critrios comuns.

Ativar o recurso Segurana de login com um servidor RADIUS resultar em umacomunicao segura. O ambiente de TI oferece uma transmisso segura de dadosentre o TOE e entidades e origens externas. O servidor RADIUS pode fornecerservios de autenticao externa.

O uso do recurso Smart Dashboard do console de firewall Check Point no faz parte doTOE.

O uso do Snort Barnyard no faz parte do TOE.

O uso do cliente MEF no faz parte do TOE.

O uso do sistema de tquete do Remedy no faz parte do TOE.

Efetuar logon e logoffDepois de instalar e configurar os dispositivos, voc pode efetuar logon no console do ESM pelaprimeira vez.


1 Abra um navegador da Web no computador cliente e v para o endereo IP que voc definiu aoconfigurar a interface de rede.

2 Clique em Entrar, selecione o idioma para o console e digite a senha e o nome do usurio padro. Nome do usurio padro: NGCP

Senha padro: security.4u

2 Guia de introduoEfetuar logon e logoff


3 Clique em Login, leia o Contrato de licena do usurio final e clique em Aceitar.

4 Altere o nome do usurio e a senha e clique em OK.

5 Selecione se deseja ativar o modo FIPS.

Se voc precisar trabalhar no modo FIPS, ser necessrio ativ-lo na primeira vez que voc entrarno sistema para que todas as futuras operaes com dispositivos da McAfee sejam feitas no modoFIPS. Recomendamos que voc no ative o modo FIPS se isso no for exigido. Para obter maisinformaes, consulte Sobre o modo FIPS.

6 Siga as instrues para obter o nome do usurio e a senha, que so necessrios para o acesso satualizaes de regras.

7 Defina a configurao inicial do ESM:

a Selecione o idioma que ser usado para os registros do sistema.

b Selecione o fuso horrio no qual o ESM est e o formato de data a serem usados nesta conta, eclique em Avanar.

c Defina as configuraes nas pginas do assistente de Configurao de ESM inicial. Clique no cone

Mostrar ajuda em cada pgina para obter instrues.

8 Clique em OK e nos links para obter ajuda sobre como comear ou para ver os novos recursosdisponveis nesta verso do ESM.

9 Ao concluir a sesso de trabalho, saia usando um destes mtodos: Se nenhuma pgina estiver aberta, clique em logout na barra de navegao do sistema, no canto

superior direito do console.

Se houver pginas abertas, feche o navegador.

Consulte tambm Personalizar a pgina de entrada na pgina 27Alterar o idioma dos registros de eventos na pgina 31

Personalizar a pgina de entradaVoc pode personalizar a pgina de entrada para adicionar texto, como polticas de segurana daempresa ou um logotipo.


1 Na rvore de navegao do sistema, selecione Propriedades do sistema | Configuraes personalizadas.

2 Siga um destes procedimentos:

Guia de introduoPersonalizar a pgina de entrada 2


Para... Faa isto...

Adicionar textopersonalizado

1 Clique na caixa de texto na parte superior da pgina.

2 Digite o texto que deseja adicionar pgina Login.

3 Selecione Incluir texto na tela de login.

Adicionar umaimagem personalizada

1 Clique em Selecionar imagem.

2 Faa upload da imagem que deseja usar.

3 Selecione Incluir imagem na tela de login.

Caso ainda veja o logotipo antigo na pgina Login depois de fazer uploadde um novo logotipo personalizado, limpe o cache de seu navegador.

Excluir uma imagempersonalizada

Clique em Excluir imagem. O logotipo padro exibido.

Consulte tambm Efetuar logon e logoff na pgina 26Alterar o idioma dos registros de eventos na pgina 31Pgina Configuraes personalizadas na pgina 28

Pgina Configuraes personalizadasPersonalize suas configuraes de impresso e de login, edite links personalizados de dispositivos edefina as configuraes de um servidor de email Remedy.

Tabela 2-1 Definies das opes

Opo Definio

Inserir texto adicional Adicione um texto personalizado pgina de entrada do console e telade LCD do dispositivo, como polticas de segurana da empresa.

Selecionar um logotipopersonalizado

Selecione a imagem que deseja exibir em sua pgina de login (consultePersonalizar a pgina de login).

Incluir texto na tela de login Selecione se voc deseja que o texto adicionado aparea na pgina delogin (consulte Incluir uma imagem em PDFs e relatrios).

Incluir imagem na tela de login Selecione se voc deseja que a imagem selecionada aparea na pgina delogin.

Incluir imagem em PDFexportado

Selecione se voc deseja que a imagem selecionada aparea nos PDFs quevoc exportar e nos relatrios que imprimir.

Atualizao automtica darvore de sistemas

A rvore de sistemas atualizada automaticamente a cada cinco minutos.Se voc no quiser que isso acontea, desmarque essa opo (consulteParar atualizao automtica da rvore de sistemas).

Links do dispositivo Faa alteraes nos links de URL para cada dispositivo no sistema(consulte Editar URL para dispositivos).

Remedy Defina configuraes do Servidor de e-mail Remedy para que seja possvelenviar eventos ao sistema Remedy, caso o tenha instalado. ConsulteDefinir configuraes do Remedy.

Especificar o ms Defina o ms de incio do primeiro trimestre se voc estiver executandorelatrios trimestrais (consulte Definir o ms de incio para os relatriostrimestrais).

Consulte tambm Personalizar a pgina de entrada na pgina 27

2 Guia de introduoPersonalizar a pgina de entrada


Atualizar software do ESMAcesse as atualizaes de software a partir do servidor de atualizaes ou de um engenheiro e faaupload delas no ESM.

Para atualizar um ESM primrio ou redundante, consulte Atualizar um ESM primrio ou redundante.


1 Na rvore de navegao de sistemas, selecione Propriedades do sistema e clique em Gerenciamento de ESM.

2 Na guia Manuteno, clique em Atualizar ESM.

3 Selecione o arquivo que deseja usar para atualizar o ESM e clique em OK.

O ESM reinicializado e todas as sesses atuais so desconectadas enquanto a atualizao instalada.

Consulte tambm Obter e adicionar credenciais de atualizao de regra na pgina 29Verificar atualizaes de regras na pgina 30Pgina Selecionar arquivo de atualizao de software na pgina 29

Pgina Selecionar arquivo de atualizao de softwareSelecione o arquivo de atualizao de software para o ESM.


Opo Definio

Tabela de atualizaesde software

Clique no arquivo e clique em OK. Voc receber um aviso de que isso farcom que o ESM seja reinicializado e todas as sesses atuais desconectadas.Clique em Sim para continuar.

Procurar Procure um arquivo de atualizao de software obtido de um engenheiro desegurana da McAfee ou do servidor de atualizaes e regras do McAfee.Clique em Fazer upload e em Sim na pgina de aviso.

Consulte tambm Atualizar software do ESM na pgina 29

Obter e adicionar credenciais de atualizao de regraO ESM fornece atualizaes de polticas, analisadores e regras como parte do seu contrato demanuteno. Voc tem 30 dias de acesso antes de solicitar suas credenciais permanentes.

Guia de introduoAtualizar software do ESM 2



1 Obtenha suas credenciais enviando uma mensagem de e-mail para [email protected] as seguintes informaes:

Nmero de concesso da McAfee

Nome da conta

Endereo

Nome de contato

Endereo de e-mail de contato

2 Ao receber seu ID de cliente e senha da McAfee, selecione Propriedades do sistema | Informaes do sistema| Atualizao de regras na rvore de navegao do sistema.

3 Clique em Credenciais e digite a ID de cliente e senha.

4 Clique em Validar.

Consulte tambm Atualizar software do ESM na pgina 29Verificar atualizaes de regras na pgina 30

Verificar atualizaes de regrasAs assinaturas de regra usadas pelo IPS do Nitro para examinar o trfego de rede so continuamenteatualizadas pela Equipe de assinatura da McAfee e esto disponveis para download no servidor centralda McAfee. As atualizaes de regras podem ser recuperadas automtica ou manualmente.


1 Na rvore de navegao do sistema, selecione Propriedades do sistema e verifique se Informaes do sistemaest selecionado.

2 No campo Atualizaes de regras, verifique se a sua licena no expirou.

Se a sua licena tiver expirado, consulte Obter e adicionar credenciais de atualizao de regra.

3 Se sua licena for vlida, clique em Atualizao de regras.

4 Selecione uma destas opes: Intervalo de verificao automtica para configurar o sistema para que verifique atualizaes

automaticamente com a frequncia que voc selecionar

Verificar agora para verificar atualizaes agora

Atualizao manual para atualizar as regras de um arquivo local

5 Clique em OK.

2 Guia de introduoVerificar atualizaes de regras


Consulte tambm Atualizar software do ESM na pgina 29Obter e adicionar credenciais de atualizao de regra na pgina 29

Alterar o idioma dos registros de eventosQuando voc efetuou logon no ESM pela primeira vez, selecionou o idioma a ser usado nos registrosde eventos de registro, por exemplo, registro do monitor de integridade e registro de dispositivos.Voc pode alterar essa configurao de idioma.


1 Na rvore de navegao do sistema, selecione Propriedades do sistema | Gerenciamento de ESM.

2 Clique em Localidade do sistema, selecione um idioma na lista suspensa e clique em OK.

Consulte tambm Efetuar logon e logoff na pgina 26Personalizar a pgina de entrada na pgina 27

Conexo de dispositivosConecte dispositivos fsicos e virtuais ao McAfee ESM para permitir percias em tempo real,monitoramento de bancos de dados e aplicativos, correlaes avanadas baseadas em regras e riscose gerao de relatrios de conformidade.

medida que aumentar o nmero de dispositivos no sistema, organize-os de forma lgica. Porexemplo, se voc tiver escritrios em vrios locais, exiba os dispositivos de acordo com a zona em quese encontram. Voc pode usar as exibies pr-definidas e tambm criar exibies personalizadas.Para melhor organizar os dispositivos, agrupe-os em cada exibio personalizada.

Contedo Adicionar dispositivos ao console do ESM Selecione um tipo de exibio Gerenciar tipos de exibio personalizadas

Adicionar dispositivos ao console do ESMAps configurar e instalar dispositivos fsicos e virtuais, voc deve adicion-los ao console do ESM.

Antes de iniciarConfigure e instale os dispositivos (consulte o Guia de Instalao do McAfee EnterpriseSecurity Manager.

Tarefa

1 Na rvore do sistema de navegao, clique em ESM local ou em um grupo.

2 Na barra de ferramentas de aes, clique no cone Adicionar dispositivo .

Guia de introduoAlterar o idioma dos registros de eventos 2


3 Selecione o tipo de dispositivo que est sendo adicionado e clique em Avanar.

4 No campo Nome do dispositivo, digite um nome exclusivo nesse grupo e clique em Avanar.

5 Fornea as informaes solicitadas:

Para dispositivos do McAfee ePO Selecione um Receiver, digite as credenciais necessrias paraentrar na interface da Web e clique em Avanar. Digite as configuraes a serem usadas paracomunicao com o banco de dados.

Selecione Requer autenticao do usurio para limitar o acesso aos usurios que tenham nome dousurio e senha para o dispositivo.

Para todos os outros dispositivos Digite o URL ou o endereo IP de destino do dispositivo eum nmero de porta SSH de destino que seja vlido para ser usado com o endereo IP.

6 Selecione se as configuraes NTP (Network Time Protocol) sero usadas no dispositivo e clique emAvanar.

7 Se voc tiver uma chave que deseja importar, selecione Importar chave (no disponvel no dispositivoELM ou Receiver/Log Manager Combo). Caso contrrio, clique em Codificar dispositivo.

As chaves de dispositivos originalmente exportadas de um ESM anterior ao 8.3.x no reconhecem omodelo de comunicao do 8.4.0. Ao fazer upgrade, voc foi solicitado a recodificar o dispositivo.Para ter acesso a dispositivos em verses 9.0.0 ou posteriores, necessrio exportar novamente achave desse dispositivo de um ESM de verso 8.5.0 ou posterior. Certifique-se de definir todos osprivilgios necessrios para o dispositivo, como o privilgio Configurar dispositivos virtuais.

8 Digite uma senha para esse dispositivo e clique em Avanar.

O ESM testa a comunicao do dispositivo e informa o status da conexo.

Consulte tambm Selecione um tipo de exibio na pgina 32Gerenciar tipos de exibio personalizadas na pgina 33Gerenciar um grupo em um tipo de exibio personalizada na pgina 64

Selecione um tipo de exibioSelecione a maneira que deseja exibir os dispositivos na rvore de navegao do sistema.

Antes de iniciarPara selecionar uma exibio personalizada, voc deve primeiro adicion-la ao sistema(consulte Gerenciar tipos de exibio personalizadas).

Tarefa

1 No painel de navegao do sistema, clique na seta suspensa no campo tipo de exibio.

2 Selecione um dos tipos de exibio.

A organizao dos dispositivos na rvore de navegao alterada a fim de refletir o tipo selecionadopara a sesso atual de trabalho.

Consulte tambm Adicionar dispositivos ao console do ESM na pgina 31Gerenciar tipos de exibio personalizadas na pgina 33Gerenciar um grupo em um tipo de exibio personalizada na pgina 64

2 Guia de introduoConexo de dispositivos


Gerenciar tipos de exibio personalizadas possvel definir como voc deseja que os dispositivos da rvore de navegao do sistema sejamorganizados ao adicionar, editar ou excluir tipos de exibies personalizadas.


1 No painel de navegao do sistema, clique na seta suspensa de tipo de exibio.

2 Siga um destes procedimentos:

Para... Faa isto...

Adicionar um tipo de exibiopersonalizado

1 Clique em Adicionar exibio.

2 Preencha os campos e clique em OK.

Editar tipo de exibiopersonalizado

1 Clique no cone Editar ao lado do tipo de exibio que desejaeditar.

2 Altere as configuraes e clique em OK.

Excluir um tipo de exibiopersonalizado Clique no cone Excluir ao lado do tipo de exibio que desejaexcluir.

Consulte tambm Adicionar dispositivos ao console do ESM na pgina 31Selecione um tipo de exibio na pgina 32Gerenciar um grupo em um tipo de exibio personalizada na pgina 64

Preferncias do consoleVoc pode personalizar diversos recursos no console do ESM alterando o tema de cores, o formato dedata e hora, o valor do tempo limite e vrias configuraes padro. Tambm possvel configurar ascredenciais do McAfee

ePolicy Orchestrator

(McAfee ePO

) .

Consulte tambm O console do ESM na pgina 34Trabalhar com o tema de cores do console na pgina 35Selecione as configuraes de exibio do console na pgina 36Defina o valor de tempo limite do console na pgina 37

Guia de introduoPreferncias do console 2


O console do ESMO console do ESM permite visibilidade em tempo real para a atividade nos seus dispositivos, bemcomo acesso rpido a notificaes de alarme e casos atribudos.

1 Barra de navegao do sistema para funes de configurao geral.

2 cones para acessar pginas usadas com frequncia.

3 Barra de ferramentas de aes para selecionar as funes necessrias configurao de cadadispositivo.

4 Painel de navegao do sistema para exibir os dispositivos do sistema.

5 Painel de casos e alarmes para exibir as notificaes de alarme e casos abertos atribudos.

6 Painel de exibies para consultar dados de eventos, fluxos e registros.

7 Barra de ferramentas de exibio para criar, editar e gerenciar exibies.

8 Painel de filtros para aplicar filtros a exibies de dados com base em eventos ou fluxos.

Consulte tambm Preferncias do console na pgina 33Trabalhar com o tema de cores do console na pgina 35Selecione as configuraes de exibio do console na pgina 36Defina o valor de tempo limite do console na pgina 37

2 Guia de introduoPreferncias do console


Trabalhar com o tema de cores do consolePersonalize o console do ESM selecionando um tema de cores existente ou criando o seu prprio tema.Voc tambm pode editar ou excluir temas de cores personalizados.


1 Na barra de navegao do sistema do console do ESM, clique em opes.

2 Selecione um tema de cores existente ou adicione, edite ou remova um tema personalizado.

3 Se voc clicar em Adicionar ou Editar, selecione as cores do tema personalizado e clique em OK.

Se voc adicionou um novo tema, uma amostra das cores ser adicionada seo Selecionar um tema.

4 Clique em OK para salvar suas configuraes.

Consulte tambm Preferncias do console na pgina 33O console do ESM na pgina 34Selecione as configuraes de exibio do console na pgina 36Defina o valor de tempo limite do console na pgina 37Pgina Cores na pgina 35Pgina Selecionar cores para o tema na pgina 35

Pgina CoresSelecione um tema de cor existente, crie seu prprio tema e edite ou exclua um tema personalizado.


Opo Definio

Selecionar um tema Clique na miniatura do tema para selecion-lo. O console reflete a sua seleo.

Adicionar Crie um novo tema. Quando voc clica nesta opo, aberta a pgina Selecionar corespara o tema.

Editar Faa alteraes em um tema de cor personalizado.

Remover Exclua um tema de cor personalizado.

Consulte tambm Trabalhar com o tema de cores do console na pgina 35

Pgina Selecionar cores para o temaAdicione ou edite um tema de cor personalizado para o console do ESM. O console reflete asalteraes que voc faz.


Opo Definio

Nome do tema Insira um nome para o tema.

Aplicativo Selecione a cor do plano de fundo e a cor do texto para a parte superior e inferiordo plano de fundo do console. A parte superior se mistura com a parte inferior.

rea de trabalho Selecione a cor do plano de fundo e a cor do texto da rea de trabalho do console,assim como a transparncia do plano de fundo.

Exibir componentes Selecione a cor do plano de fundo e a cor do texto dos componentes da exibio edefina a transparncia do plano de fundo dos componentes.



Tabela 2-4 Definies das opes (continuao)

Opo Definio

Caixas de dilogo Selecione a cor do plano de fundo e a cor do texto das caixas de dilogo e defina atransparncia do plano de fundo dessas caixas.

Redefinir Restaure as cores das configuraes padro.

Consulte tambm Trabalhar com o tema de cores do console na pgina 35

Selecione as configuraes de exibio do consoleDefina as configuraes padro para as exibies no console do ESM.

Nessa pgina, voc pode definir o sistema para fazer isto:

Atualizar os dados automaticamente em um modo de exibio aberto

Alterar as exibies que so abertas automaticamente quando o sistema iniciado

Alterar as exibies que so abertas quando voc seleciona Resumir em um evento ou exibio defluxo


1 Na barra de navegao do sistema do console do ESM, clique em opes.

2 Na pgina Exibies, selecione as preferncias e clique em OK.

Consulte tambm Preferncias do console na pgina 33O console do ESM na pgina 34Trabalhar com o tema de cores do console na pgina 35Defina o valor de tempo limite do console na pgina 37Pgina Exibies na pgina 36

Pgina ExibiesDefina suas preferncias para exibies padro e para atualizar automaticamente os dados nasexibies abertas.


Opo Definio

Atualizar exibies automaticamente acada...

Selecione esta opo para os dados serem mostrados em umaexibio aberta e serem atualizados automaticamente, e defina afrequncia com que isso ser feito.

Exibio do sistema padro A exibio que aparece no painel Exibies, por padro, Resumo padro.Para alterar essa exibio, selecione uma opo na lista suspensa.

Exibio do resumo do evento ouExibio do resumo do fluxo

Se voc selecionar a opo Resumir ou Resumir por, ao fazer buscadetalhada em uma exibio (consulte Opes do menu Componente),as exibies selecionadas em cada um dos campos sero a exibiopadro.

Consulte tambm Selecione as configuraes de exibio do console na pgina 36



Defina o valor de tempo limite do consoleA sesso atual do console do ESM permanecer aberta enquanto estiver em atividade. Defina porquanto tempo pode no haver atividade antes que a sesso seja encerrada.


1 Na rvore de navegao do sistema, selecione Propriedades do sistema | Segurana de login.

2 Em Valor de tempo limite da interface do usurio, selecione quantos minutos devem passar sem atividades eclique em OK.

Se voc selecionar zero (0), o console permanecer aberto indefinidamente.

Consulte tambm Preferncias do console na pgina 33O console do ESM na pgina 34Trabalhar com o tema de cores do console na pgina 35Selecione as configuraes de exibio do console na pgina 36



3 Configurao do ESMO ESM administra dados, definies, atualizaes e configuraes. Ele se comunica com vriosdispositivos simultaneamente. Ao criar o ambiente do ESM, considere cuidadosamente asnecessidades da sua organizao e os objetivos de conformidade para dar suporte ao ciclo de vida dogerenciamento de segurana da sua organizao.

Contedo Gerenciamento de dispositivos Configurao de dispositivos Configurao de servios auxiliares Gerenciamento do banco de dados Trabalhar com usurios e grupos Backup e restaurao das configuraes do sistema ESM redundante Gerenciamento do ESM Uso de uma lista negra global Enriquecimento de dados

Gerenciamento de dispositivosO painel de navegao do sistema lista os dispositivos adicionados ao sistema. possvel executarfunes em um ou mais dispositivos e organiz-los conforme o necessrio. Voc tambm pode exibir

3


relatrios de status de integridade quando os sistemas forem sinalizados, a fim de resolver problemasexistentes.

Tabela 3-1 Definies de recursos

Esse recurso... Permite...

1 Barra de ferramentas deaes

Selecione uma ao a ser executada nos dispositivos da rvore denavegao do sistema.

cone de propriedades Definir configuraes do sistema ou dispositivo selecionado na rvorede navegao do sistema.

Adicionar cone dos

dispositivos

Adicionar dispositivos rvore de navegao do sistema.

Sinalizadores de status de

integridade

Exibir alertas de status do dispositivo.

Gerenciamento de vrios

dispositivos

Iniciar, interromper, reiniciar e atualizar vrios dispositivosindividualmente.

Obter eventos e fluxos Recuperar eventos e fluxos para dispositivos selecionados.

Excluir um dispositivo Excluir o dispositivo selecionado.

Atualizar Atualizar os dados de todos os dispositivos.

3 Configurao do ESMGerenciamento de dispositivos


Tabela 3-1 Definies de recursos (continuao)

Esse recurso... Permite...

2 Tipo de exibio Selecione o modo como deseja organizar os dispositivos na rvore. OESM vem com trs tipos predefinidos: Exibio fsica Lista dispositivos por hierarquia. O primeiro

nvel formado pelos ns do sistema (Exibio fsica, ESM local edispositivo base do ESM local). O segundo nvel formado pordispositivos individuais, e todos os outros nveis so formados pelasorigens que voc adicionou aos dispositivos (origem de dados,dispositivo virtual, entre outros). Os dispositivos base soadicionados automaticamente no ESM local, origem de dados,dispositivo virtual e ns do servidor do banco de dados. Eles tmcones esmaecidos e ficam entre parnteses.

Exibio do tipo de dispositivo Agrupa os dispositivos por tipode dispositivo (Nitro IPS, ADM, DEM).

Exibio de zona Organiza os dispositivos por zona, definidosusando o recurso Gerenciamento de zonas.

Tambm possvel adicionar tipos de exibio personalizados(consulte Organizao de dispositivos).

3 Pesquisa rpida Faa uma pesquisa rpida por um dispositivo na rvore de navegaodo sistema.

4 rvore de navegao dosistema

Exibir os dispositivos do sistema.

Consulte tambm Pgina Gerenciamento de cada dispositivo na pgina 41

Pgina Gerenciamento de cada dispositivoNa pgina Gerenciamento de cada dispositivo, voc pode acessar vrias opes de gerenciamentoavanado. As opes disponveis so baseadas no dispositivo selecionado.


Opo Definio

Conectar Permita acesso ao sistema.

Conexes Clique para exibir as conexes ativas com o DEM.

Dados do dispositivo Faa download de um arquivo .tgz que contenha informaes sobre o status dodispositivo.

A senha criptografada e outras informaes de configurao de origem de dadosconfidenciais podem estar includas nesse arquivo.

Agentes de consulta Faa download das informaes de status do DEM e agente.

Fluxo Clique para exibir um fluxo dos eventos gerados pelo dispositivo selecionado.

Descarga do TCP Monitore o trfego que flui pelo dispositivo.

Terminal Insira comandos do Linux no dispositivo.

Delta de tempo Exiba, edite ou exporte uma lista das origens de dados que esto fora desincronizao com o ESM h mais tempo do que o intervalo de tempo definido.

Transportar Clique para criar um arquivo que ser importado para um Receptor que contm asorigens de dados com a opo Exportar para formato NitroFile selecionada.

Atualizar dispositivo Faa upload de uma nova verso do software.

Configurao do ESMGerenciamento de dispositivos 3


Tabela 3-2 Definies das opes (continuao)

Opo Definio

Exibir gerenciador Exiba as informaes do arquivo de log a partir do servio de monitoramento debanco de dados para revisar eventos de comunicao entre o DEM e o agente.

Exibir estatsticas Exiba estatsticas sobre o desempenho do dispositivo.

Consulte tambm Gerenciamento de dispositivos na pgina 39

Exibir informaes do dispositivoExibir informaes gerais sobre um dispositivo. Abra a pgina Informaes do dispositivo para ver ID dosistema, nmero de srie, modelo, verso, compilao, e mais informaes.


1Na rvore de navegao do sistema, selecione um dispositivo e clique no cone Propriedades .

2 Exiba as informaes disponveis e clique em OK.

Tarefas Adicionar link de URL na pgina 44

Para exibir informaes do dispositivo em um URL, possvel configurar o link na pginaNome e descrio de cada dispositivo. Quando adicionado, o link pode ser acessado nasexibies Anlise de evento e Anlise de fluxo de cada dispositivo clicando no cone Abrir URL do

dispositivo, localizado na parte inferior dos componentes da exibio. Exibir estatsticas de dispositivo na pgina 44

Exiba a CPU especfica de um dispositivo, memria, fila ou outros detalhes especficos dele.

Exibir os registros de mensagens e as estatsticas do dispositivo na pgina 45Voc pode exibir as mensagens geradas pelo sistema, exibir estatsticas sobre odesempenho do dispositivo ou fazer download de um arquivo .tgz que contenhainformaes sobre o status do dispositivo.

Alterar o nome do dispositivo na pgina 46Ao adicionar um dispositivo rvore de sistemas, nomeie-o e esse nome ser exibido narvore. Esse nome, o nome do sistema, o URL e a descrio podem ser alterados.

Consulte tambm Adicionar link de URL na pgina 44Exibir estatsticas de dispositivo na pgina 44Exibir os registros de mensagens e as estatsticas do dispositivo na pgina 45Alterar o nome do dispositivo na pgina 46Pgina Informaes do dispositivo na pgina 43Pgina Nome e descrio na pgina 43

3 Configurao do ESMGerenciamento de dispositivos


Pgina Informaes do dispositivoExibir informaes gerais sobre um dispositivo. As opes variam de acordo com o dispositivoselecionado.


Opo Definio

ID da mquina Nmero de identificao do dispositivo. Se for necessrio reativar a mquina, osuporte da McAfee solicitar o nmero para enviar-lhe o arquivo correto.

Nmero de srie Nmero de srie do dispositivo.

Modelo Nmero do modelo do dispositivo.

Verso Verso do software em execuo no dispositivo no momento

Compilao Nmero de compilao da verso do software

Relgio (GMT) Data e hora em que o dispositivo foi aberto ou atualizado pela ltima vez

Sincronizar relgio dodispositivo

Sincronize o relgio no dispositivo para o relgio no ESM.

Assistente de detecode anomalias

Em um dispositivo IPs ou dispositivo virtual, lista todas as variveis disponveisno dispositivo selecionado. Realiza muitos clculos complexos a fim de chegaraos valores sugeridos para os parmetros de anomalia com base em taxa efornecer uma anlise visual dos padres de trfego da

mcafee enterprise security manager 9.6 · prefácio este guia fornece todas as informações...

Documents