McAfee Enterprise Security Manager 9.6.0 Guia de produto

Transcrição

Guia de produto
McAfee Enterprise Security Manager 9.6.0
COPYRIGHT
© 2016 Intel Corporation
ATRIBUIÇÕES DE MARCAS COMERCIAIS
Intel e o logotipo da Intel são marcas comerciais da Intel Corporation nos EUA e/ou em outros países. McAfee, o logotipo da McAfee, McAfee Active
Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence,
McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee
Total Protection, TrustedSource e VirusScan são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outros
países. Outros nomes e marcas podem ser propriedade de terceiros.
INFORMAÇÕES SOBRE LICENÇA
Contrato de licença
AVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL CORRESPONDENTE À LICENÇA ADQUIRIDA POR VOCÊ. NELE ESTÃO
DEFINIDOS OS TERMOS E AS CONDIÇÕES GERAIS PARA A UTILIZAÇÃO DO SOFTWARE LICENCIADO. CASO NÃO SAIBA O TIPO DE LICENÇA QUE VOCÊ
ADQUIRIU, CONSULTE A DOCUMENTAÇÃO RELACIONADA À COMPRA E VENDA OU À CONCESSÃO DE LICENÇA, INCLUÍDA NO PACOTE DO SOFTWARE
OU FORNECIDA SEPARADAMENTE (POR EXEMPLO, UM LIVRETO, UM ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL O
PACOTE DE SOFTWARE FOI OBTIDO POR DOWNLOAD). SE VOCÊ NÃO CONCORDAR COM TODOS OS TERMOS ESTABELECIDOS NO CONTRATO, NÃO
INSTALE O SOFTWARE. SE FOR APLICÁVEL, VOCÊ PODERÁ DEVOLVER O PRODUTO À McAFEE OU AO LOCAL DE AQUISIÇÃO PARA OBTER REEMBOLSO
TOTAL.
2
Guia de produto
Conteúdo
Prefácio
9
Sobre este guia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Público-alvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Convenções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Localizar a documentação do produto . . . . . . . . . . . . . . . . . . . . . . . . .
10
Encontre informações traduzidas . . . . . . . . . . . . . . . . . . . . . . . .
10
Perguntas frequentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1
Introdução
13
Como o McAfee Enterprise Security Manager funciona . . . . . . . . . . . . . . . . . . .
Dispositivos e o que eles fazem . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Usar a Ajuda do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perguntas frequentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Encontre informações traduzidas . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
Guia de introdução
17
Requisitos de hardware e software . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sobre o modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informações sobre o modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . .
Selecione o modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verificar integridade FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar um dispositivo codificado ao modo FIPS . . . . . . . . . . . . . . . . .
Solução de problemas do modo FIPS . . . . . . . . . . . . . . . . . . . . . . .
Configuração avaliada por critérios comuns . . . . . . . . . . . . . . . . . . . . . . .
Efetuar logon e logoff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Personalizar a página de entrada . . . . . . . . . . . . . . . . . . . . . . . . . . .
Atualizar software do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Obter e adicionar credenciais de atualização de regra . . . . . . . . . . . . . . . . . . .
Verificar atualizações de regras . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Alterar o idioma dos registros de eventos . . . . . . . . . . . . . . . . . . . . . . . .
Conexão de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar dispositivos ao console do ESM . . . . . . . . . . . . . . . . . . . . .
Selecione um tipo de exibição . . . . . . . . . . . . . . . . . . . . . . . . .
Gerenciar tipos de exibição personalizadas . . . . . . . . . . . . . . . . . . . .
Preferências do console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
O console do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Trabalhar com o tema de cores do console . . . . . . . . . . . . . . . . . . . .
Selecione as configurações de exibição do console . . . . . . . . . . . . . . . . .
Defina o valor de tempo limite do console . . . . . . . . . . . . . . . . . . . . .
3
Configuração do ESM
17
18
19
19
20
22
25
25
26
27
29
29
30
31
31
31
32
33
33
34
35
36
37
39
Gerenciamento de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exibir informações do dispositivo . . . . . . . . . . . . . . . . . . . . . . . .
Sobre chaves de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . .
Atualizar o software em um dispositivo . . . . . . . . . . . . . . . . . . . . . .
13
14
15
15
16
39
42
46
52
Guia de produto
3
Conteúdo
Organização de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . .
52
Gerenciar vários dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Gerenciar links de URL para todos os dispositivos . . . . . . . . . . . . . . . . . . 66
Exibir relatórios de resumo do dispositivo . . . . . . . . . . . . . . . . . . . . . 67
Exibir um registro do sistema ou dispositivo . . . . . . . . . . . . . . . . . . . . 68
Relatórios de status de integridade do dispositivo . . . . . . . . . . . . . . . . . . 70
Excluir um grupo ou um dispositivo . . . . . . . . . . . . . . . . . . . . . . . 73
Atualizar dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Configuração de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Event Receiver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Configurações do Enterprise Log Manager (ELM) . . . . . . . . . . . . . . . . . . 146
Configurações do Advanced Correlation Engine (ACE) . . . . . . . . . . . . . . .
171
Configurações do Application Data Monitor (ADM) . . . . . . . . . . . . . . . . . 178
Configurações do Database Event Monitor (DEM) . . . . . . . . . . . . . . . . . 195
Configurações do DESM (ESM distribuído) . . . . . . . . . . . . . . . . . . . . 209
Configurações do ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . 210
Configurações do Nitro Intrusion Prevention System (Nitro IPS) . . . . . . . . . . .
217
Configurações do McAfee Vulnerability Manager . . . . . . . . . . . . . . . . . . 224
Configurações do McAfee Network Security Manager . . . . . . . . . . . . . . . . 226
Configuração de serviços auxiliares . . . . . . . . . . . . . . . . . . . . . . . . . . 228
Informações gerais do sistema . . . . . . . . . . . . . . . . . . . . . . . . . 229
Definir configurações do servidor Remedy . . . . . . . . . . . . . . . . . . . . 230
Parar atualização automática da árvore de sistemas do ESM . . . . . . . . . . . . . 231
Definição de configurações de mensagem . . . . . . . . . . . . . . . . . . . . 231
Configurar NTP em um dispositivo . . . . . . . . . . . . . . . . . . . . . . . 233
Definir configurações de rede . . . . . . . . . . . . . . . . . . . . . . . . . 235
Sincronização da hora do sistema . . . . . . . . . . . . . . . . . . . . . . .
255
Instalar um novo certificado . . . . . . . . . . . . . . . . . . . . . . . . . . 256
Configurar perfis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Configuração de SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
Gerenciamento do banco de dados . . . . . . . . . . . . . . . . . . . . . . . . . . 270
Configurar o armazenamento de dados do ESM . . . . . . . . . . . . . . . . . . 270
Configurar o armazenamento de dados da VM do ESM . . . . . . . . . . . . . . . 271
Aumentar o número de índices de acumulador disponíveis . . . . . . . . . . . . . . 271
Configurar o arquivo de partições inativas . . . . . . . . . . . . . . . . . . . . 271
Configurar limites de retenção de dados . . . . . . . . . . . . . . . . . . . . . 273
Definir limites de alocação de dados . . . . . . . . . . . . . . . . . . . . . .
274
Gerenciar configurações de indexação de banco de dados . . . . . . . . . . . . . . 274
Gerenciar a indexação do acumulador . . . . . . . . . . . . . . . . . . . . . . 275
Exibir utilização de memória do banco de dados . . . . . . . . . . . . . . . . . . 276
Trabalhar com usuários e grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
Adicionar um usuário . . . . . . . . . . . . . . . . . . . . . . . . . . . .
278
Selecione configurações do usuário . . . . . . . . . . . . . . . . . . . . . . . 280
Configuração de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . 281
Configurar credenciais de usuário para o McAfee ePO . . . . . . . . . . . . . . . . 290
Desativar ou reativar um usuário . . . . . . . . . . . . . . . . . . . . . . . . 291
Autenticar usuários para um servidor LDAP . . . . . . . . . . . . . . . . . . . . 291
Configurar grupos de usuários . . . . . . . . . . . . . . . . . . . . . . . . . 292
Adicionar um grupo com acesso limitado . . . . . . . . . . . . . . . . . . . . . 298
Backup e restauração das configurações do sistema . . . . . . . . . . . . . . . . . . . 299
Fazer backup das configurações do ESM e dos dados do sistema . . . . . . . . . . . 300
Restaurar configurações do ESM . . . . . . . . . . . . . . . . . . . . . . . . 301
Restaurar arquivos de configuração com backup . . . . . . . . . . . . . . . . . . 302
Trabalhar com arquivos de backup no ESM . . . . . . . . . . . . . . . . . . . . 302
Gerenciar a manutenção do arquivo . . . . . . . . . . . . . . . . . . . . . . . 303
ESM redundante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
304
4
Guia de produto
Conteúdo
Configurar um ESM redundante . . . . . . . . . . . . . . . . . . . . . . . .
Substituir um ESM redundante . . . . . . . . . . . . . . . . . . . . . . . . .
Desativar consultas compartilhadas . . . . . . . . . . . . . . . . . . . . . . .
Gerenciamento do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gerenciar registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mascarar endereços IP . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurar o registro do ESM . . . . . . . . . . . . . . . . . . . . . . . . .
Exportar e restaurar chaves de comunicação . . . . . . . . . . . . . . . . . . .
Gerar chave SSH novamente . . . . . . . . . . . . . . . . . . . . . . . . .
Gerenciador de tarefas de consulta . . . . . . . . . . . . . . . . . . . . . . .
Gerenciar consultas em execução no ESM . . . . . . . . . . . . . . . . . . . .
Atualizar ESM primário ou redundante . . . . . . . . . . . . . . . . . . . . . .
Acessar um dispositivo remoto . . . . . . . . . . . . . . . . . . . . . . . . .
Usar comandos do Linux . . . . . . . . . . . . . . . . . . . . . . . . . . .
Comandos do Linux disponíveis . . . . . . . . . . . . . . . . . . . . . . . .
Uso de uma lista negra global . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurar uma lista negra global . . . . . . . . . . . . . . . . . . . . . . . .
Enriquecimento de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar origens de enriquecimento de dados . . . . . . . . . . . . . . . . . .
Configurar enriquecimento de dados no McAfee Real Time for McAfee ePO . . . . . . .
Adicione uma origem de enriquecimento de dados Hadoop HBase . . . . . . . . . . .
Adicionar origem de enriquecimento de dados Hadoop Pig . . . . . . . . . . . . . .
Adicionar enriquecimento de dados do Active Directory para nomes do usuário . . . . .
™
4
Gerenciamento de "ciberameaças"
331
Configurar gerenciamento de “ciberameaça” . . . . . . . . . . . . . . . . . . . . . .
Exibir resultados de feeds de ciberameaças . . . . . . . . . . . . . . . . . . . . . . .
Tipos de indicadores compatíveis . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erros no upload manual de um arquivo IOC STIX XML . . . . . . . . . . . . . . . . . .
5
304
306
307
307
310
311
313
314
314
314
315
316
316
318
318
319
320
321
322
326
326
327
328
Trabalho com pacotes de conteúdo
331
332
333
334
335
Importar pacotes de conteúdo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
6
Fluxo de trabalho de alarmes
337
Preparar para criar alarmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurar mensagens de alarme . . . . . . . . . . . . . . . . . . . . . . . .
Gerenciar arquivos de áudio de alarme . . . . . . . . . . . . . . . . . . . . .
Criar alarmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ativar ou desativar o monitoramento de alarmes . . . . . . . . . . . . . . . . .
Copiar um alarme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Criar alarmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Monitorar e responder a alarmes . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exibir e gerenciar alarmes disparados . . . . . . . . . . . . . . . . . . . . . .
Gerenciar fila de relatórios de alarme . . . . . . . . . . . . . . . . . . . . . .
Ajustar alarmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Criar alarmes UCAPL . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar alarmes de evento do monitor de integridade . . . . . . . . . . . . . . .
Adicionar um alarme de Correspondência de campos . . . . . . . . . . . . . . . .
Resumo personalizado para casos e alarmes disparados . . . . . . . . . . . . . .
Adicionar um alarme às regras . . . . . . . . . . . . . . . . . . . . . . . . .
Criar interceptações de SNMP e ações de alarmes . . . . . . . . . . . . . . . . .
Adicionar um alarme de notificação de queda de energia . . . . . . . . . . . . . .
Gerenciar origens de dados fora de sincronização . . . . . . . . . . . . . . . . .
7
Trabalho com eventos
373
Eventos, fluxos e registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
337
337
342
343
343
344
344
349
349
351
352
353
355
365
367
368
368
369
370
373
Guia de produto
5
Conteúdo
Configurar downloads de eventos, fluxos e registros . . . . . . . . . . . . . . . .
Limitar horário da coleta de dados . . . . . . . . . . . . . . . . . . . . . . .
Definir as configurações de limite de inatividade . . . . . . . . . . . . . . . . . .
Obter eventos e fluxos . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verificar eventos, fluxos e registros . . . . . . . . . . . . . . . . . . . . . . .
Definir configurações de localização geográfica e ASN . . . . . . . . . . . . . . .
Agregação de eventos ou fluxos . . . . . . . . . . . . . . . . . . . . . . . .
Configuração do encaminhamento de evento . . . . . . . . . . . . . . . . . . .
Gerenciamento de relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definir o mês inicial para os relatórios trimestrais . . . . . . . . . . . . . . . . .
Adicionar relatório . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar layout de relatório . . . . . . . . . . . . . . . . . . . . . . . . .
Incluir uma imagem em PDFs e relatórios . . . . . . . . . . . . . . . . . . . .
Adicionar uma condição de relatório . . . . . . . . . . . . . . . . . . . . . . .
Exibir nomes de host em um relatório . . . . . . . . . . . . . . . . . . . . . .
Descrição dos filtros contains e regex . . . . . . . . . . . . . . . . . . . . . . . . .
Trabalhar com exibições do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . .
Uso de exibições do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exibir detalhes da sessão . . . . . . . . . . . . . . . . . . . . . . . . . . .
Barra de ferramentas de exibição . . . . . . . . . . . . . . . . . . . . . . . .
Exibições predefinidas . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar uma exibição personalizada . . . . . . . . . . . . . . . . . . . . . .
Exibir componentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Trabalhar com o Assistente de consulta . . . . . . . . . . . . . . . . . . . . .
Gerenciar exibições . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verificar um evento . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exibir os detalhes do endereço IP de um evento . . . . . . . . . . . . . . . . . .
Alterar a exibição padrão . . . . . . . . . . . . . . . . . . . . . . . . . . .
Filtragem de exibições . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Listas de observação . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Normalização de cadeia . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tipo de filtros personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Criar tipos personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tabela de tipos personalizados predefinidos . . . . . . . . . . . . . . . . . . .
Adicionar tipos personalizados de tempo . . . . . . . . . . . . . . . . . . . . .
Tipos personalizados de nome/valor . . . . . . . . . . . . . . . . . . . . . .
Adicionar tipo personalizado de grupo de nomes/valores . . . . . . . . . . . . . .
Pesquisas do McAfee Active Response . . . . . . . . . . . . . . . . . . . . . . . . .
Executar uma pesquisa do Active Response . . . . . . . . . . . . . . . . . . . .
Gerenciar resultados da pesquisa do Active Response . . . . . . . . . . . . . . .
Adicionar uma origem de enriquecimento de dados do Active Response . . . . . . . .
Adicionar uma lista de observação do Active Response . . . . . . . . . . . . . . .
Exibir hora do evento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
®
8
Gerenciamento de casos
461
Adicionar um caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Criar um caso a partir de um evento . . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar eventos a um caso existente . . . . . . . . . . . . . . . . . . . . . . . .
Editar ou fechar um caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exibir detalhes do caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar níveis de status de caso . . . . . . . . . . . . . . . . . . . . . . . . . .
Casos de e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exibir todos os casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gerar relatórios de gerenciamento de casos . . . . . . . . . . . . . . . . . . . . . .
6
374
375
376
377
378
380
381
385
394
395
395
398
402
402
404
404
408
408
409
409
410
414
414
427
433
434
435
435
436
441
447
449
451
452
453
453
454
454
455
456
457
457
458
461
462
462
464
465
467
467
468
469
Guia de produto
Conteúdo
9
Trabalhar com o Asset Manager
471
Gerenciar ativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definir ativos antigos . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurar o gerenciamento de configurações . . . . . . . . . . . . . . . . . . . . . .
Gerenciar arquivos de configuração recuperados . . . . . . . . . . . . . . . . .
Descoberta de rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descobrir a rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gerenciar a lista de exclusão de IP . . . . . . . . . . . . . . . . . . . . . . .
Descobrir terminais . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exibir um mapa da rede . . . . . . . . . . . . . . . . . . . . . . . . . . .
Alterar o comportamento de Descoberta de rede . . . . . . . . . . . . . . . . .
Origens de ativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gerenciar origens de ativos . . . . . . . . . . . . . . . . . . . . . . . . . .
Gerenciar origens de avaliação de vulnerabilidade . . . . . . . . . . . . . . . . . . . .
Gerenciamento de zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gerenciar zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar uma zona . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exportar configurações de zona . . . . . . . . . . . . . . . . . . . . . . . .
Importar configurações de zona . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar uma subzona . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ativo, ameaça e avaliação de risco . . . . . . . . . . . . . . . . . . . . . . . . . .
Gerenciar ameaças conhecidas . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
Gerenciamento de políticas e regras
495
Compreensão do Editor de políticas . . . . . . . . . . . . . . . . . . . . . . . . . .
A Árvore de políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gerenciar políticas na Árvore de políticas . . . . . . . . . . . . . . . . . . . .
Tipos de regras e suas propriedades . . . . . . . . . . . . . . . . . . . . . . . . .
Variáveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regras de pré-processador . . . . . . . . . . . . . . . . . . . . . . . . . .
Regras de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regras de inspeção de pacote detalhadas . . . . . . . . . . . . . . . . . . . .
Regras internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regras de filtragem . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regras do Analisador de syslog avançado (ASP) . . . . . . . . . . . . . . . . . .
Regras de origem de dados . . . . . . . . . . . . . . . . . . . . . . . . . .
Regras de eventos do Windows . . . . . . . . . . . . . . . . . . . . . . . .
Regras de ADM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regras do DEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regras de correlação . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adicionar regras personalizadas de ADM, banco de dados ou correlação . . . . . . . .
Regras do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Normalização . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ativar Copiar pacote . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurações padrão de políticas . . . . . . . . . . . . . . . . . . . . . . . . . .
Modo somente alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurar Modo de excesso de assinaturas . . . . . . . . . . . . . . . . . . . .
Exibir status de atualização de política de dispositivos . . . . . . . . . . . . . . .
Operações de regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gerenciar regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Importar regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Importar variáveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regras de exportação . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definir regras para inclusão automática na lista negra . . . . . . . . . . . . . . .
Filtrar regras existentes . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exibir a assinatura de uma regra . . . . . . . . . . . . . . . . . . . . . . . .
472
475
475
477
477
477
481
481
482
482
483
484
486
486
487
488
488
489
491
492
493
495
497
497
501
502
506
507
510
513
513
515
521
523
523
525
532
534
545
545
546
547
547
548
549
549
549
551
552
552
553
554
555
Guia de produto
7
Conteúdo
Recuperar atualizações de regra . . . . . . . . . . . . . . . . . . . . . . . .
Limpar status de regra atualizada . . . . . . . . . . . . . . . . . . . . . . .
Comparar arquivos de regra . . . . . . . . . . . . . . . . . . . . . . . . . .
Exibir o histórico de alterações de regra . . . . . . . . . . . . . . . . . . . . .
Criar uma nova lista de observação de regras . . . . . . . . . . . . . . . . . . .
Adicionar regras a uma lista de observação . . . . . . . . . . . . . . . . . . . .
Atribuir marcas a regras ou ativos . . . . . . . . . . . . . . . . . . . . . . . . . .
Página Seleção de marca . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
555
556
557
557
558
559
560
561
Modificar configurações de agregação . . . . . . . . . . . . . . . . . . . . . . . . . 561
Ação de substituição em regras obtidas por download . . . . . . . . . . . . . . . . . .
562
Níveis de gravidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563
Defina os níveis de gravidade .
Exibir histórico de alteração de política
Aplicar alterações de política . . . .
Gerenciar tráfego de prioridade . . .
Índice
8
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 564
.
564
. . 565
.
566
567
Guia de produto
Prefácio
Este guia fornece todas as informações necessárias para que você possa trabalhar com seu produto
McAfee.
Conteúdo
Sobre este guia
Localizar a documentação do produto
Sobre este guia
Estas informações descrevem o público-alvo do guia, as convenções tipográficas e os ícones usados
neste guia, além de como o guia é organizado.
Público-alvo
McAfee é cuidadosamente pesquisada e escrita tendo em vista o seu público-alvo.
A informação contida neste guia destina-se principalmente a:
•
Administradores: Pessoas responsáveis pela implementação e imposição do programa de
segurança da empresa.
•
Usuários: Pessoas que utilizam o computador onde o software está instalado e que têm acesso a
todos ou alguns dos seus recursos.
Convenções
Este guia usa as seguintes convenções tipográficas e ícones.
Itálico
Título de um livro, capítulo ou tópico; um novo termo; ênfase
Negrito
Texto enfatizado
Monoespaçada
Comandos e outros textos que o usuário digita; uma amostra de código; uma
mensagem exibida
Narrow Bold
Palavras da interface do usuário, como opções, menus, botões e caixas de diálogo
Hipertexto azul Um link para um tópico ou para um site externo
Observação: informações adicionais que enfatizam um argumento, lembram o
leitor de algo, ou fornecem um método alternativo
Dica: boas práticas
Cuidado: informações úteis para proteger o sistema de computador, instalação de
software, rede, empresa ou dados
Aviso: informações críticas para impedir dano físico durante a utilização de um
produto de hardware
Guia de produto
9
Prefácio
No ServicePortal, você encontra informações sobre um produto lançado, incluindo a documentação do
produto, artigos técnicos e muito mais.
Tarefa
1
Acesse o ServicePortal em https://support.mcafee.com e clique na guia Centro de conhecimento.
2
No painel Base de dados de conhecimento, em Fonte de conteúdo, clique em Documentação do produto.
3
Insira um produto e a versão, e clique em Pesquisar para exibir uma lista de documentos.
Tarefas
•
Encontre informações traduzidas na página 10
Fornecemos notas de versão localizadas (traduzidas) do McAfee ESM, além de Ajuda
on-line, guia do produto e guia de instalação para:
•
Perguntas frequentes na página 11
Aqui você encontra respostas para perguntas frequentes.
Encontre informações traduzidas
Fornecemos notas de versão localizadas (traduzidas) do McAfee ESM, além de Ajuda on-line, guia do
produto e guia de instalação para:
•
Chinês simplificado
•
Japonês
•
Chinês tradicional
•
Coreano
•
Inglês
•
Português (Brasil)
•
Francês
•
Espanhol
•
Alemão
Acesso à Ajuda on-line localizada
Alterar a configuração de idioma no ESM altera automaticamente o idioma usado na Ajuda on-line.
1
Entre no ESM.
2
No painel de navegação do sistema do console ESM, selecione Opções.
3
Selecione um idioma e clique em OK.
4
Clique no ícone Ajuda, no canto superior direito das janelas do ESM, ou selecione o menu Ajuda. A
Ajuda aparece no idioma selecionado.
Se a ajuda aparecer somente em inglês, significa que a Ajuda localizada ainda não está disponível.
Uma atualização futura instalará a Ajuda localizada.
Encontre a documentação localizada do produto no Centro de conhecimento
10
1
Acesse o Centro de conhecimento.
2
Procure a documentação do produto traduzida usando os seguintes parâmetros:
•
Termos de pesquisa — guia do produto, guia de instalação ou notas de versão
•
Produto — SIEM Enterprise Security Manager
•
Versão – 9.6.0
Guia de produto
Prefácio
3
Nos resultados da pesquisa, clique no título do documento relevante.
4
Na página com o ícone de PDF, role a página para baixo até encontrar os links de idiomas do lado
direito. Clique no idioma relevante.
5
Clique no link do PDF para abrir a versão localizada do documento do produto.
Consulte também
Usar a Ajuda do ESM na página 15
Perguntas frequentes
Onde posso encontrar informações do ESM em outros idiomas?
Traduzimos as notas de versão, a Ajuda, o guia de produto e o guia de instalação do ESM.
Onde posso saber mais sobre o McAfee ESM?
•
•
Acesse o Centro de conhecimento
•
Visite o Centro de especialistas
•
Assista a vídeos do McAfee ESM
Quais dispositivos SIEM são compatíveis?
Visite o site do McAfee ESM
Como configuro origens de dados específicas?
Encontre os guias de configuração de origens de dados atualizados no Centro de conhecimento
Como posso saber sobre alterações e adições em origens de dados, tipos personalizados,
regras e pacotes de conteúdo?
•
Entre no Centro de conhecimento e assine o artigo KB75608. Você receberá notificações
quando o artigo for alterado.
•
Para obter informações sobre pacotes de conteúdo, leia o artigo da KB no Centro de
conhecimento.
Guia de produto
11
Prefácio
12
Guia de produto
1
Introdução
®
O McAfee Enterprise Security Manager (McAfee ESM) permite que profissionais de segurança e
conformidade coletem, armazenem, analisem e tomem providências em relação a riscos e ameaças de
um único local.
Conteúdo
Como o McAfee Enterprise Security Manager funciona
Dispositivos e o que eles fazem
Usar a Ajuda do ESM
Como o McAfee Enterprise Security Manager funciona
O McAfee ESM coleta e agrega dados e eventos de dispositivos de segurança, infraestruturas de rede,
sistemas e aplicativos. Em seguida, ele aplica inteligência a esses dados, combinando-os com
informações contextuais sobre usuários, ativos, vulnerabilidades e ameaças. Ele correlaciona essas
informações para localizar incidentes que sejam relevantes. Usando dashboards interativos e
personalizáveis, você poderá fazer busca detalhada em eventos específicos para investigar incidentes.
O ESM é composto por três camadas:
•
Interface – Um programa de navegador que fornece a interface com o usuário para o sistema
(conhecido como Console do ESM).
•
Armazenamento, gerenciamento e análise de dados – Dispositivos que fornecem todos os
serviços necessários de manipulação de dados, incluindo configuração, geração de relatórios,
visualização e pesquisa. O ESM (obrigatório), o Advanced Correlation Engine (ACE), o ESM
distribuído (DESM) e o Enterprise Log Manager (ELM) desempenham essas funções.
•
Aquisição de dados – Dispositivos que fornecem as interfaces e serviços que adquirem dados do
ambiente de rede do usuário. O Nitro Intrusion Prevention System (IPS), o Event Receiver
(Receiver), o ADM (Application Data Monitor) e o DEM (Database Event Monitor) desempenham
essas funções.
Todas as funções de comando, controle e comunicação entre os componentes são coordenadas por
meio de canais seguros de comunicação.
Guia de produto
13
1
Introdução
O ESM permite que você administre, gerencie e interaja com todos os dispositivos físicos e virtuais do
seu ambiente de segurança.
Consulte também
Event Receiver na página 75
Configurações do Enterprise Log Manager (ELM) na página 146
Configurações do Application Data Monitor (ADM) na página 178
Configurações do Database Event Monitor (DEM) na página 195
Configurações do Advanced Correlation Engine (ACE) na página 171
Configurações do DESM (ESM distribuído) na página 209
Configurações do ePolicy Orchestrator na página 210
Configurações do Nitro Intrusion Prevention System (Nitro IPS) na página 217
14
Guia de produto
1
Introdução
Usar a Ajuda do ESM
Usar a Ajuda do ESM
Dúvidas sobre como usar o ESM? Use a Ajuda on-line como fonte de informações sensíveis ao
contexto, onde você encontra informações conceituais, materiais de referência e instruções passo a
passo sobre como usar o ESM.
Tarefa
1
2
Para abrir a Ajuda do ESM, siga uma destas opções:
•
Selecione a opção do menu Ajuda | Conteúdo da ajuda.
•
Clique no ponto de interrogação no canto superior direito das telas do ESM para encontrar uma
Ajuda sensível ao contexto, específica da tela.
Na janela de Ajuda:
•
Use o campo Pesquisar para encontrar qualquer palavra na Ajuda. Os resultados aparecem abaixo
do campo Pesquisar. Clique no link relevante para exibir o tópico de Ajuda no painel à direita.
•
Use a guia Conteúdo (índice) para exibir uma lista sequencial de tópicos na Ajuda.
•
Use o Índice para encontrar um termo específico na Ajuda. As palavras-chave são organizadas
por ordem alfabética, assim você consegue percorrer a lista até encontrar o item desejado.
Clique na palavra-chave para exibir o tópico de Ajuda desejado.
•
Imprima o tópico de Ajuda ativo (sem barras de rolagem) clicando no ícone da impressora, no
canto superior direito do tópico de Ajuda.
•
Encontre links para os tópicos de Ajuda relacionados, rolando a página até o final do tópico de
Ajuda.
Consulte também
Onde posso encontrar informações do ESM em outros idiomas?
Traduzimos as notas de versão, a Ajuda, o guia de produto e o guia de instalação do ESM.
Onde posso saber mais sobre o McAfee ESM?
•
•
Acesse o Centro de conhecimento
•
Visite o Centro de especialistas
•
Assista a vídeos do McAfee ESM
Quais dispositivos SIEM são compatíveis?
Visite o site do McAfee ESM
Como configuro origens de dados específicas?
Encontre os guias de configuração de origens de dados atualizados no Centro de conhecimento
Como posso saber sobre alterações e adições em origens de dados, tipos personalizados,
regras e pacotes de conteúdo?
Guia de produto
15
1
Introdução
•
Entre no Centro de conhecimento e assine o artigo KB75608. Você receberá notificações
quando o artigo for alterado.
•
Para obter informações sobre pacotes de conteúdo, leia o artigo da KB no Centro de
conhecimento.
Fornecemos notas de versão localizadas (traduzidas) do McAfee ESM, além de Ajuda on-line, guia do
produto e guia de instalação para:
•
Chinês simplificado
•
Japonês
•
Chinês tradicional
•
Coreano
•
Inglês
•
Português (Brasil)
•
Francês
•
Espanhol
•
Alemão
Acesso à Ajuda on-line localizada
Alterar a configuração de idioma no ESM altera automaticamente o idioma usado na Ajuda on-line.
1
Entre no ESM.
2
No painel de navegação do sistema do console ESM, selecione Opções.
3
Selecione um idioma e clique em OK.
4
Clique no ícone Ajuda, no canto superior direito das janelas do ESM, ou selecione o menu Ajuda. A
Ajuda aparece no idioma selecionado.
Se a ajuda aparecer somente em inglês, significa que a Ajuda localizada ainda não está disponível.
Uma atualização futura instalará a Ajuda localizada.
Encontre a documentação localizada do produto no Centro de conhecimento
1
Acesse o Centro de conhecimento.
2
Procure a documentação do produto traduzida usando os seguintes parâmetros:
•
Termos de pesquisa — guia do produto, guia de instalação ou notas de versão
•
Produto — SIEM Enterprise Security Manager
•
Versão – 9.6.0
3
Nos resultados da pesquisa, clique no título do documento relevante.
4
Na página com o ícone de PDF, role a página para baixo até encontrar os links de idiomas do lado
direito. Clique no idioma relevante.
5
Clique no link do PDF para abrir a versão localizada do documento do produto.
Consulte também
16
Guia de produto
2
Verifique se o ambiente do ESM é atual e está pronto para uso.
Conteúdo
Requisitos de hardware e software
Sobre o modo FIPS
Configuração avaliada por critérios comuns
Efetuar logon e logoff
Personalizar a página de entrada
Atualizar software do ESM
Obter e adicionar credenciais de atualização de regra
Verificar atualizações de regras
Alterar o idioma dos registros de eventos
Conexão de dispositivos
Preferências do console
Requisitos de hardware e software
Seu sistema precisa atender aos requisitos mínimos de hardware e software.
Requisitos do sistema
•
Processador: classe P4 (não Celeron) ou superior (Mobile/Xeon/Core2,Corei3/5/7) ou classe AMD
AM2 ou superior (Turion64/Athlon64/Opteron64,A4/6/8)
•
RAM: 1,5 GB
•
Sistema operacional Windows — Windows 2000, Windows XP, Windows 2003 Server, Windows
Vista, Windows 2008 Server, Windows Server 2012, Windows 7, Windows 8, Windows 8.1
•
Navegador — Internet Explorer 9 ou posterior, Mozilla Firefox 9 ou posterior, Google Chrome 33 ou
posterior
•
Flash Player: versão 11.2.x.x ou posterior
Os recursos do ESM usam janelas pop-up quando fazem upload ou download dos arquivos. Desative o
bloqueador de pop-ups do endereço IP ou nome de host do seu ESM.
Requisitos da máquina virtual
•
Processador — 8 núcleos de 64 bits, Dual Core2/Nehalem ou superior ou AMD Dual Athlon64/Dual
Opteron64 ou superior
•
RAM — Depende do modelo (4 GB ou mais)
Guia de produto
17
2
Sobre o modo FIPS
•
Espaço em disco: Depende do modelo (250 GB ou mais)
•
ESXi 5.0 ou posterior
•
Configuração ampla ou reduzida — Escolha os requisitos de disco rígido para o seu servidor. Os
requisitos mínimos são de 250 GB, a menos que a VM comprada tenha mais. Consulte as
especificações de seu produto de VM.
O ENMELM VM usa muitos recursos que requerem CPU e RAM. Se o ambiente do ESXi compartilhar os
requisitos de CPU/RAM com outras VMs, o desempenho do ENMELM VM será afetado. Não deixe de
incluir o que é necessário em termos de CPU e RAM nos requisitos.
Sobre o modo FIPS
O FIPS (Federal Information Processing Standard) consiste em padrões públicos desenvolvidos pelo
governo federal dos Estados Unidos. Caso seja necessário atender a essas normas, você deverá operar
o sistema no modo FIPS.
O modo FIPS deve ser selecionado na primeira vez que você efetuar logon no sistema e não poderá ser
alterado posteriormente.
Consulte também
Informações sobre o modo FIPS na página 19
Conteúdo
Informações sobre o modo FIPS
Selecione o modo FIPS
Verificar integridade FIPS
Adicionar um dispositivo codificado ao modo FIPS
Solução de problemas do modo FIPS
18
Guia de produto
Sobre o modo FIPS
2
Informações sobre o modo FIPS
Em virtude das normas FIPS, alguns recursos do ESM não estão disponíveis, alguns recursos
disponíveis estão fora de conformidade e outros estão disponíveis somente durante o modo FIPS.
Esses recursos são observados em todo o documento e estão listados aqui.
Status do
recurso
Descrição
Recursos
removidos
• Receivers de alta disponibilidade.
• Terminal GUI.
• Capacidade de se comunicar com o dispositivo usando o protocolo SSH.
• No console do dispositivo, o shell principal é substituído por um menu de
gerenciamento de dispositivo.
Recursos
disponíveis
somente no
modo FIPS
• Há quatro funções de usuário que não se sobrepõem: Usuário, Usuário avançado, Auditoria
de admin e Admin de chave e certificado.
• Todas as páginas de Propriedades têm uma opção de Autoteste que permite verificar se
o sistema está funcionando corretamente no modo FIPS.
• Se houver falha de FIPS, será adicionado um sinalizador de status à árvore de
navegação de sistemas para refletir a falha.
• Todas as páginas de Propriedades têm a opção Exibir que, quando é clicada, abre a
página Token de identidade FIPS. Ela exibe um valor que precisa ser comparado ao valor
mostrado naquelas seções do documento, para garantir que o FIPS não foi
comprometido.
• Em Propriedades do sistema | Usuários e Grupos | Privilégios | Editar grupo, a página inclui o
privilégio Autoteste de criptografia do FIPS que concede aos membros do grupo a
autorização para executar autotestes do FIPS.
• Quando você clica em Importar chave ou Exportar chave em Propriedades de IPS | Gerenciamento
de chaves, é exibido um prompt para selecionar o tipo de chave que você deseja
importar ou exportar.
• Em Assistente para Adicionar dispositivo, o protocolo TCP é sempre definido como Porta 22.
A porta SSH pode ser alterada.
Consulte também
Selecione o modo FIPS na página 19
Verificar integridade FIPS na página 20
Adicionar um dispositivo codificado ao modo FIPS na página 22
Backup e restauração das informações de um dispositivo no modo FIPS na página 22
Ativar a comunicação com vários dispositivos ESM no modo FIPS na página 23
Solução de problemas do modo FIPS na página 25
Selecione o modo FIPS
Ao efetuar logon pela primeira vez no sistema, você precisa indicar se deseja que o sistema opere no
modo FIPS. Depois que essa seleção for feita, não será possível alterá-la.
Guia de produto
19
2
Sobre o modo FIPS
Tarefa
Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou em
Ajuda.
1
A primeira vez que você entra no ESM:
a
No campo Nome do usuário, digite NGCP.
b
No campo Senha, digite security.4u.
Você será solicitado a alterar sua senha.
2
Insira e confirme a nova senha.
3
Na página Ativar FIPS, clique em Sim.
O aviso Ativar FIPS exibe informações de solicitação de confirmação se você deseja que o sistema
opere no modo FIPS permanentemente.
4
Clique em Sim para confirmar sua seleção.
Consulte também
Verificar integridade FIPS
Se você estiver operando no modo FIPS, o FIPS 140-2 exige que o teste de integridade do software
seja executado regularmente. Esse teste deve ser executado no sistema e em cada dispositivo.
20
Guia de produto
Sobre o modo FIPS
2
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e verifique se a opção Informações
do sistema está selecionada.
2
Execute uma das ações a seguir.
No
campo...
Faça isto...
Status do
FIPS
Exiba os resultados dos autotestes de FIPS mais recentes executados no ESM.
Teste ou
Autoteste de
FIPS
Execute os autotestes de FIPS, que testam a integridade dos algoritmos usados no cripto-executável. Os
resultados podem ser exibidos no Registro de mensagens.
Se o autoteste de FIPS falhar, o FIPS for comprometido ou ocorrer falha no dispositivo. Entre em contato
com o Suporte da McAfee.
Exibir ou
Identidade
FIPS
Abra a página Token de identidade FIPS para executar o teste de integridade do software de inicialização.
Compare o valor abaixo com a chave pública que aparece nesta página:
Se este valor não corresponder ao da chave pública, o FIPS está comprometido. Entre em contato com o
Suporte da McAfee.
Consulte também
Guia de produto
21
2
Sobre o modo FIPS
Adicionar um dispositivo codificado ao modo FIPS
Há dois métodos no modo FIPS para adicionar um dispositivo que já tenha sido codificado a um ESM.
Essa terminologia e as extensões de arquivo são úteis durante esses processos.
Terminologia
•
Chave de dispositivo — Contém os direitos de gerenciamento que um ESM tem para um dispositivo e
não é usada para criptografia.
•
Chave pública — A chave de comunicação SSH pública do ESM, que é armazenada na tabela de
chaves autorizadas de um dispositivo.
•
Chave privada — A chave de comunicação SSH privada do ESM, que é usada pelo executável de SSH
em um ESM para estabelecer a conexão SSH com um dispositivo.
•
ESM primário — O ESM que foi originalmente usado para registrar o dispositivo.
•
ESM secundário — O ESM adicional que se comunica com o dispositivo.
Extensões de arquivo para arquivos de exportação diferentes
•
.exk — Contém a chave do dispositivo.
•
.puk — Contém a chave pública.
•
.prk — Contém a chave privada e a chave do dispositivo.
Consulte também
Backup e restauração das informações de um dispositivo no modo FIPS
Esse método é usado para fazer backup e restaurar informações de comunicação de um dispositivo no
ESM.
Seu uso principal é em caso de falha que exija a substituição do ESM. Se as informações de
comunicação não forem exportadas antes da falha, a comunicação com o dispositivo não poderá ser
restabelecida. Esse método exporta e importa o arquivo .prk.
A chave privada do ESM primário é usada pelo ESM secundário para estabelecer comunicação com o
dispositivo inicialmente. Quando a comunicação é estabelecida, o ESM secundário copia sua chave
pública para a tabela de chaves autorizadas do dispositivo. Em seguida, o ESM apaga a chave privada
do ESM primário e inicia a comunicação com seu próprio par de chaves públicas ou privadas.
22
Guia de produto
2
Sobre o modo FIPS
Ação
Etapas
Exportar o
arquivo .prk do
ESM primário
1 Na árvore de navegação do ESM primário, selecione o dispositivo com as
informações de comunicação que deseja fazer backup e clique no ícone de
Propriedades.
2 Selecione Gerenciamento de chaves e clique em Exportar chave.
3 Selecione Backup da chave SSH privada e clique em Avançar.
4 Digite e confirme uma senha e defina a data de expiração.
Após a data de expiração, a pessoa que importa a chave não conseguirá
comunicar-se com o dispositivo até que outra chave seja exportada com uma
data de expiração futura. Se você selecionar Nunca expira, a chave nunca expirará
se for importada para outro ESM.
5 Clique em OK, selecione o local onde deseja salvar o arquivo .prk criado pelo ESM
e saia do ESM primário.
Adicionar um
dispositivo ao
ESM secundário
e importar o
arquivo .prk
1 Na árvore de navegação do sistema do dispositivo secundário, selecione o nó de
nível do sistema ou grupo ao qual deseja adicionar o dispositivo.
2 Na barra de ferramentas de ações, clique em Adicionar dispositivo.
3 Selecione o tipo de dispositivo que você deseja adicionar e clique em Avançar.
4 Insira um nome para o dispositivo que seja exclusivo no grupo e clique em
Avançar.
5 Insira o endereço IP de destino do dispositivo, insira a porta de comunicação do
FIPS e clique em Avançar.
6 Clique em Importar chave, navegue até o arquivo .prk exportado anteriormente e
clique em Fazer upload.
Digite a senha especificada quando essa senha foi exportada inicialmente.
7 Faça logoff do ESM secundário.
Consulte também
Ativar a comunicação com vários dispositivos ESM no modo FIPS
Você pode permitir que vários ESMs se comuniquem com o mesmo dispositivo exportando e
importando arquivos .puk e .exk.
Esse método usa dois processos de exportação e importação. Primeiro, o ESM primário é usado para
importar o arquivo .puk exportado do dispositivo ESM secundário e enviar a chave pública contida no
ESM secundário para o dispositivo, permitindo que os dois dispositivos ESM se comuniquem com o
dispositivo. Segundo, o arquivo .exk do dispositivo é exportado do ESM primário e importado para o
ESM secundário, concedendo ao ESM secundário a capacidade de se comunicar com o dispositivo.
Guia de produto
23
2
Sobre o modo FIPS
Ação
Etapas
Exportar o
arquivo .puk do
ESM secundário
1 Na página Propriedades do sistema do ESM secundário, selecione Gerenciamento de ESM.
2 Clique em Exportar SSH e selecione o local onde o arquivo .puk deverá ser salvo.
3 Clique em Salvar e saia.
Importar o
arquivo .puk para
o ESM primário
1 Na árvore de navegação do sistema do ESM primário, selecione o dispositivo
que deseja configurar.
2 Clique no ícone Propriedades e selecione Gerenciamento de chaves.
3 Clique em Gerenciar chaves SSH.
4 Clique em Importar, selecione o arquivo .puk e clique em Fazer upload.
5 Clique em OK e faça logoff do ESM primário.
Exportar o
arquivo .exk do
dispositivo do
ESM primário
1 Na árvore de navegação do sistema do ESM primário, selecione o dispositivo
que deseja configurar.
2 Clique no ícone Propriedades e selecione Gerenciamento de chaves.
3 Clique em Exportar chave, selecione a chave do dispositivo de backup e clique em
Avançar.
4 Digite e confirme uma senha e defina a data de expiração.
Após a data de expiração, a pessoa que importa a chave não conseguirá
comunicar-se com o dispositivo até que outra chave seja exportada com uma
data de expiração futura. Se você selecionar Nunca expira, a chave nunca expirará
se for importada para outro ESM.
5 Selecione os privilégios do arquivo .exk e clique em OK.
6 Selecione o local onde esse arquivo deverá ser salvo e faça logoff do ESM
primário.
Importar o
arquivo .exk para
o ESM secundário
1 Na árvore de navegação de sistemas do dispositivo secundário, selecione o nó
no nível de sistema ou de grupo ao qual você deseja adicionar o dispositivo.
2 Na barra de ferramentas de ações, clique em Adicionar dispositivo.
3 Selecione o tipo de dispositivo que deseja adicionar e clique em Avançar.
4 Insira um nome para o dispositivo que seja exclusivo a esse grupo e clique em
Avançar.
5 Clique em Importar chave e procure o arquivo .exk.
6 Clique em Fazer upload e insira a senha que foi especificada quando essa chave
foi inicialmente exportada.
7 Faça logoff do ESM secundário.
Consulte também
24
Guia de produto
2
Solução de problemas do modo FIPS
Podem surgir problemas durante a operação do ESM no modo FIPS.
Problema
Descrição e resolução
Não é possível
• Verifique o LCD na parte frontal do dispositivo. Se ele informar Falha de FIPS,
comunicar-se com o
entre em contato com o Suporte da McAfee.
ESM
• Verifique se há uma condição de erro na interface HTTP exibindo a página da
Web de autoteste de FIPS do ESM em um navegador.
Se um único dígito 0 for exibido, indicando que o dispositivo falhou em um
autoteste de FIPS, reinicialize o dispositivo ESM e tente corrigir o problema.
Se a condição de falha persistir, entre em contato com o Suporte para obter
mais instruções.
- Se um único dígito 1 for exibido, o problema de comunicação não está
relacionado à falha de FIPS. Entre em contato com o suporte para obter mais
etapas de solução de problemas.
Não é possível
• Se houver um sinalizador de status ao lado do nó do dispositivo na árvore de
comunicar-se com o
navegação do sistema, coloque o cursor sobre ele. Se ele informar Falha de
dispositivo
FIPS, entre em contato com o Suporte da McAfee no portal de suporte.
• Siga a descrição sob o problema Não é possível comunicar-se com o ESM.
Erro O arquivo é inválido Não é possível exportar uma chave de um dispositivo não FIPS e importá-la
ao adicionar um
para um dispositivo que estiver operando no modo FIPS. Além disso, não é
dispositivo
possível exportar uma chave de um dispositivo FIPS e importá-la para um
dispositivo não FIPS. Esse erro aparece na tentativa dos dois cenários.
Consulte também
O appliance McAfee deve ser instalado, configurado e operado de uma maneira específica para estar
em conformidade com as configurações avaliadas por critérios comuns. Mantenha esses requisitos em
mente ao configurar seu sistema.
Tipo
Requisitos
Físico
O appliance McAfee deve ser:
• Protegido contra modificações físicas não autorizadas.
• Localizado em instalações com acesso controlado, o que evita o acesso físico não
autorizado.
Uso
pretendido
O appliance McAfee deve:
• Ter acesso a todo o tráfego da rede para executar suas funções.
• Ser gerenciado para permitir alterações de endereço no tráfego da rede monitorado
pelo Destino de Avaliação (TOE).
• Ser dimensionado de acordo com o tráfego de rede monitorado.
Guia de produto
25
2
Tipo
Requisitos
Funcionários
• Um ou mais indivíduos competentes devem gerenciar o appliance McAfee e a
segurança das informações nele contidas. Os engenheiros da McAfee fornecem
treinamento no local sobre a instalação, a configuração e sobre a operação do
appliance para todos os clientes da McAfee.
• Os administradores autorizados não devem ser descuidados, propositalmente
negligentes ou hostis, devendo seguir e cumprir as instruções fornecidas pela
documentação do appliance McAfee.
• O appliance McAfee só deve ser acessado por usuários autorizados.
• Os responsáveis pelo appliance McAfee devem garantir que todas as credenciais de
acesso sejam protegidas pelos usuários de maneira consistente com a segurança de
TI.
Outros
• Não aplique atualizações de software ao appliance McAfee, pois isso resultará em
uma configuração diferente da avaliada por critérios comuns. Entre em contato com
o Suporte da McAfee para obter uma atualização certificada.
• Em um dispositivo Nitro IPS, a ativação das configurações Temporizador de observação e
Forçar desvio na página Configurações da interface de rede resulta em uma configuração
diferente da avaliada por Critérios comuns.
• Em um dispositivo Nitro IPS, o uso de uma configuração de modo de excesso de
assinaturas diferente de descartar resultará em uma configuração diferente da
avaliada por Critérios comuns.
• Ativar o recurso Segurança de login com um servidor RADIUS resultará em uma
comunicação segura. O ambiente de TI oferece uma transmissão segura de dados
entre o TOE e entidades e origens externas. O servidor RADIUS pode fornecer
serviços de autenticação externa.
• O uso do recurso Smart Dashboard do console de firewall Check Point não faz parte do
TOE.
• O uso do Snort Barnyard não faz parte do TOE.
• O uso do cliente MEF não faz parte do TOE.
• O uso do sistema de tíquete do Remedy não faz parte do TOE.
Depois de instalar e configurar os dispositivos, você pode efetuar logon no console do ESM pela
primeira vez.
Tarefa
Ajuda.
26
1
Abra um navegador da Web no computador cliente e vá para o endereço IP que você definiu ao
configurar a interface de rede.
2
Clique em Entrar, selecione o idioma para o console e digite a senha e o nome do usuário padrão.
•
Nome do usuário padrão: NGCP
•
Senha padrão: security.4u
Guia de produto
2
3
Clique em Login, leia o Contrato de licença do usuário final e clique em Aceitar.
4
Altere o nome do usuário e a senha e clique em OK.
5
Selecione se deseja ativar o modo FIPS.
Se você precisar trabalhar no modo FIPS, será necessário ativá-lo na primeira vez que você entrar
no sistema para que todas as futuras operações com dispositivos da McAfee sejam feitas no modo
FIPS. Recomendamos que você não ative o modo FIPS se isso não for exigido. Para obter mais
informações, consulte Sobre o modo FIPS.
6
Siga as instruções para obter o nome do usuário e a senha, que são necessários para o acesso às
atualizações de regras.
7
Defina a configuração inicial do ESM:
a
Selecione o idioma que será usado para os registros do sistema.
b
Selecione o fuso horário no qual o ESM está e o formato de data a serem usados nesta conta, e
clique em Avançar.
c
Defina as configurações nas páginas do assistente de Configuração de ESM inicial. Clique no ícone
Mostrar ajuda
em cada página para obter instruções.
8
Clique em OK e nos links para obter ajuda sobre como começar ou para ver os novos recursos
disponíveis nesta versão do ESM.
9
Ao concluir a sessão de trabalho, saia usando um destes métodos:
•
Se nenhuma página estiver aberta, clique em logout na barra de navegação do sistema, no canto
superior direito do console.
•
Se houver páginas abertas, feche o navegador.
Consulte também
Personalizar a página de entrada na página 27
Alterar o idioma dos registros de eventos na página 31
Você pode personalizar a página de entrada para adicionar texto, como políticas de segurança da
empresa ou um logotipo.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema | Configurações personalizadas.
2
Siga um destes procedimentos:
Guia de produto
27
2
Para...
Faça isto...
Adicionar texto
personalizado
1 Clique na caixa de texto na parte superior da página.
2 Digite o texto que deseja adicionar à página Login.
3 Selecione Incluir texto na tela de login.
Adicionar uma
1 Clique em Selecionar imagem.
imagem personalizada
2 Faça upload da imagem que deseja usar.
3 Selecione Incluir imagem na tela de login.
Caso ainda veja o logotipo antigo na página Login depois de fazer upload
de um novo logotipo personalizado, limpe o cache de seu navegador.
Excluir uma imagem
personalizada
Clique em Excluir imagem. O logotipo padrão é exibido.
Consulte também
Efetuar logon e logoff na página 26
Alterar o idioma dos registros de eventos na página 31
Página Configurações personalizadas na página 28
Página Configurações personalizadas
Personalize suas configurações de impressão e de login, edite links personalizados de dispositivos e
defina as configurações de um servidor de email Remedy.
Tabela 2-1 Definições das opções
Opção
Definição
Inserir texto adicional
Adicione um texto personalizado à página de entrada do console e à tela
de LCD do dispositivo, como políticas de segurança da empresa.
Selecionar um logotipo
personalizado
Selecione a imagem que deseja exibir em sua página de login (consulte
Personalizar a página de login).
Incluir texto na tela de login
Selecione se você deseja que o texto adicionado apareça na página de
login (consulte Incluir uma imagem em PDFs e relatórios).
Incluir imagem na tela de login
Selecione se você deseja que a imagem selecionada apareça na página de
login.
Incluir imagem em PDF
exportado
Selecione se você deseja que a imagem selecionada apareça nos PDFs que
você exportar e nos relatórios que imprimir.
Atualização automática da
árvore de sistemas
A árvore de sistemas é atualizada automaticamente a cada cinco minutos.
Se você não quiser que isso aconteça, desmarque essa opção (consulte
Parar atualização automática da árvore de sistemas).
Links do dispositivo
Faça alterações nos links de URL para cada dispositivo no sistema
(consulte Editar URL para dispositivos).
Remedy
Defina configurações do Servidor de e-mail Remedy para que seja possível
enviar eventos ao sistema Remedy, caso o tenha instalado. Consulte
Definir configurações do Remedy.
Especificar o mês
Defina o mês de início do primeiro trimestre se você estiver executando
relatórios trimestrais (consulte Definir o mês de início para os relatórios
trimestrais).
Consulte também
28
Guia de produto
2
Acesse as atualizações de software a partir do servidor de atualizações ou de um engenheiro e faça
upload delas no ESM.
Para atualizar um ESM primário ou redundante, consulte Atualizar um ESM primário ou redundante.
Tarefa
Ajuda.
1
Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Gerenciamento de ESM.
2
Na guia Manutenção, clique em Atualizar ESM.
3
Selecione o arquivo que deseja usar para atualizar o ESM e clique em OK.
O ESM é reinicializado e todas as sessões atuais são desconectadas enquanto a atualização é
instalada.
Consulte também
Obter e adicionar credenciais de atualização de regra na página 29
Verificar atualizações de regras na página 30
Página Selecionar arquivo de atualização de software na página 29
Página Selecionar arquivo de atualização de software
Selecione o arquivo de atualização de software para o ESM.
Opção
Definição
Tabela de atualizações
de software
Clique no arquivo e clique em OK. Você receberá um aviso de que isso fará
com que o ESM seja reinicializado e todas as sessões atuais desconectadas.
Clique em Sim para continuar.
Procurar
Procure um arquivo de atualização de software obtido de um engenheiro de
segurança da McAfee ou do servidor de atualizações e regras do McAfee.
Clique em Fazer upload e em Sim na página de aviso.
Consulte também
Atualizar software do ESM na página 29
Obter e adicionar credenciais de atualização de regra
O ESM fornece atualizações de políticas, analisadores e regras como parte do seu contrato de
manutenção. Você tem 30 dias de acesso antes de solicitar suas credenciais permanentes.
Guia de produto
29
2
Tarefa
Ajuda.
1
Obtenha suas credenciais enviando uma mensagem de e-mail para [email protected]
incluindo as seguintes informações:
•
Número de concessão da McAfee
•
Nome da conta
•
Endereço
•
Nome de contato
•
Endereço de e-mail de contato
2
Ao receber seu ID de cliente e senha da McAfee, selecione Propriedades do sistema | Informações do sistema
| Atualização de regras na árvore de navegação do sistema.
3
Clique em Credenciais e digite a ID de cliente e senha.
4
Clique em Validar.
Consulte também
As assinaturas de regra usadas pelo IPS do Nitro para examinar o tráfego de rede são continuamente
atualizadas pela Equipe de assinatura da McAfee e estão disponíveis para download no servidor central
da McAfee. As atualizações de regras podem ser recuperadas automática ou manualmente.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e verifique se Informações do sistema
está selecionado.
2
No campo Atualizações de regras, verifique se a sua licença não expirou.
Se a sua licença tiver expirado, consulte Obter e adicionar credenciais de atualização de regra.
3
Se sua licença for válida, clique em Atualização de regras.
4
Selecione uma destas opções:
5
30
•
Intervalo de verificação automática para configurar o sistema para que verifique atualizações
automaticamente com a frequência que você selecionar
•
Verificar agora para verificar atualizações agora
•
Atualização manual para atualizar as regras de um arquivo local
Clique em OK.
Guia de produto
2
Consulte também
Obter e adicionar credenciais de atualização de regra na página 29
Quando você efetuou logon no ESM pela primeira vez, selecionou o idioma a ser usado nos registros
de eventos de registro, por exemplo, registro do monitor de integridade e registro de dispositivos.
Você pode alterar essa configuração de idioma.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema | Gerenciamento de ESM.
2
Clique em Localidade do sistema, selecione um idioma na lista suspensa e clique em OK.
Consulte também
Efetuar logon e logoff na página 26
Conecte dispositivos físicos e virtuais ao McAfee ESM para permitir perícias em tempo real,
monitoramento de bancos de dados e aplicativos, correlações avançadas baseadas em regras e riscos
e geração de relatórios de conformidade.
À medida que aumentar o número de dispositivos no sistema, organize-os de forma lógica. Por
exemplo, se você tiver escritórios em vários locais, exiba os dispositivos de acordo com a zona em que
se encontram. Você pode usar as exibições pré-definidas e também criar exibições personalizadas.
Para melhor organizar os dispositivos, agrupe-os em cada exibição personalizada.
Conteúdo
Adicionar dispositivos ao console do ESM
Selecione um tipo de exibição
Gerenciar tipos de exibição personalizadas
Adicionar dispositivos ao console do ESM
Após configurar e instalar dispositivos físicos e virtuais, você deve adicioná-los ao console do ESM.
Antes de iniciar
Configure e instale os dispositivos (consulte o Guia de Instalação do McAfee Enterprise
Security Manager.
Tarefa
1
2
Na árvore do sistema de navegação, clique em ESM local ou em um grupo.
Na barra de ferramentas de ações, clique no ícone Adicionar dispositivo
.
Guia de produto
31
2
3
Selecione o tipo de dispositivo que está sendo adicionado e clique em Avançar.
4
No campo Nome do dispositivo, digite um nome exclusivo nesse grupo e clique em Avançar.
5
Forneça as informações solicitadas:
•
Para dispositivos do McAfee ePO — Selecione um Receiver, digite as credenciais necessárias para
entrar na interface da Web e clique em Avançar. Digite as configurações a serem usadas para
comunicação com o banco de dados.
Selecione Requer autenticação do usuário para limitar o acesso aos usuários que tenham nome do
usuário e senha para o dispositivo.
•
Para todos os outros dispositivos — Digite o URL ou o endereço IP de destino do dispositivo e
um número de porta SSH de destino que seja válido para ser usado com o endereço IP.
6
Selecione se as configurações NTP (Network Time Protocol) serão usadas no dispositivo e clique em
Avançar.
7
Se você tiver uma chave que deseja importar, selecione Importar chave (não disponível no dispositivo
ELM ou Receiver/Log Manager Combo). Caso contrário, clique em Codificar dispositivo.
As chaves de dispositivos originalmente exportadas de um ESM anterior ao 8.3.x não reconhecem o
modelo de comunicação do 8.4.0. Ao fazer upgrade, você foi solicitado a recodificar o dispositivo.
Para ter acesso a dispositivos em versões 9.0.0 ou posteriores, é necessário exportar novamente a
chave desse dispositivo de um ESM de versão 8.5.0 ou posterior. Certifique-se de definir todos os
privilégios necessários para o dispositivo, como o privilégio Configurar dispositivos virtuais.
8
Digite uma senha para esse dispositivo e clique em Avançar.
O ESM testa a comunicação do dispositivo e informa o status da conexão.
Consulte também
Selecione um tipo de exibição na página 32
Gerenciar tipos de exibição personalizadas na página 33
Gerenciar um grupo em um tipo de exibição personalizada na página 64
Selecione um tipo de exibição
Selecione a maneira que deseja exibir os dispositivos na árvore de navegação do sistema.
Antes de iniciar
Para selecionar uma exibição personalizada, você deve primeiro adicioná-la ao sistema
(consulte Gerenciar tipos de exibição personalizadas).
Tarefa
1
No painel de navegação do sistema, clique na seta suspensa no campo tipo de exibição.
2
Selecione um dos tipos de exibição.
A organização dos dispositivos na árvore de navegação é alterada a fim de refletir o tipo selecionado
para a sessão atual de trabalho.
Consulte também
Adicionar dispositivos ao console do ESM na página 31
32
Guia de produto
2
É possível definir como você deseja que os dispositivos da árvore de navegação do sistema sejam
organizados ao adicionar, editar ou excluir tipos de exibições personalizadas.
Tarefa
Ajuda.
1
No painel de navegação do sistema, clique na seta suspensa de tipo de exibição.
2
Para...
Faça isto...
Adicionar um tipo de exibição
personalizado
1 Clique em Adicionar exibição.
Editar tipo de exibição
personalizado
1
2 Preencha os campos e clique em OK.
Clique no ícone Editar
editar.
ao lado do tipo de exibição que deseja
2 Altere as configurações e clique em OK.
Excluir um tipo de exibição
personalizado
Clique no ícone Excluir
excluir.
Consulte também
Você pode personalizar diversos recursos no console do ESM alterando o tema de cores, o formato de
data e hora, o valor do tempo limite e várias configurações padrão. Também é possível configurar as
credenciais do McAfee ePolicy Orchestrator (McAfee ePO ) .
®
®
™
Consulte também
O console do ESM na página 34
Trabalhar com o tema de cores do console na página 35
Selecione as configurações de exibição do console na página 36
Defina o valor de tempo limite do console na página 37
Guia de produto
33
2
O console do ESM
O console do ESM permite visibilidade em tempo real para a atividade nos seus dispositivos, bem
como acesso rápido a notificações de alarme e casos atribuídos.
1
Barra de navegação do sistema para funções de configuração geral.
2
Ícones para acessar páginas usadas com frequência.
3
Barra de ferramentas de ações para selecionar as funções necessárias à configuração de cada
dispositivo.
4
Painel de navegação do sistema para exibir os dispositivos do sistema.
5
Painel de casos e alarmes para exibir as notificações de alarme e casos abertos atribuídos.
6
Painel de exibições para consultar dados de eventos, fluxos e registros.
7
Barra de ferramentas de exibição para criar, editar e gerenciar exibições.
8
Painel de filtros para aplicar filtros a exibições de dados com base em eventos ou fluxos.
Consulte também
Preferências do console na página 33
34
Guia de produto
2
Trabalhar com o tema de cores do console
Personalize o console do ESM selecionando um tema de cores existente ou criando o seu próprio tema.
Você também pode editar ou excluir temas de cores personalizados.
Tarefa
Ajuda.
1
Na barra de navegação do sistema do console do ESM, clique em opções.
2
Selecione um tema de cores existente ou adicione, edite ou remova um tema personalizado.
3
Se você clicar em Adicionar ou Editar, selecione as cores do tema personalizado e clique em OK.
Se você adicionou um novo tema, uma amostra das cores será adicionada à seção Selecionar um tema.
4
Clique em OK para salvar suas configurações.
Consulte também
Página Cores na página 35
Página Selecionar cores para o tema na página 35
Página Cores
Selecione um tema de cor existente, crie seu próprio tema e edite ou exclua um tema personalizado.
Opção
Definição
Selecionar um tema Clique na miniatura do tema para selecioná-lo. O console reflete a sua seleção.
Adicionar
Crie um novo tema. Quando você clica nesta opção, é aberta a página Selecionar cores
para o tema.
Editar
Faça alterações em um tema de cor personalizado.
Remover
Exclua um tema de cor personalizado.
Consulte também
Página Selecionar cores para o tema
Adicione ou edite um tema de cor personalizado para o console do ESM. O console reflete as
alterações que você faz.
Opção
Definição
Nome do tema
Insira um nome para o tema.
Aplicativo
Selecione a cor do plano de fundo e a cor do texto para a parte superior e inferior
do plano de fundo do console. A parte superior se mistura com a parte inferior.
Área de trabalho
Selecione a cor do plano de fundo e a cor do texto da área de trabalho do console,
assim como a transparência do plano de fundo.
Exibir componentes Selecione a cor do plano de fundo e a cor do texto dos componentes da exibição e
defina a transparência do plano de fundo dos componentes.
Guia de produto
35
2
Tabela 2-4 Definições das opções (continuação)
Opção
Definição
Caixas de diálogo
Selecione a cor do plano de fundo e a cor do texto das caixas de diálogo e defina a
transparência do plano de fundo dessas caixas.
Redefinir
Restaure as cores das configurações padrão.
Consulte também
Selecione as configurações de exibição do console
Defina as configurações padrão para as exibições no console do ESM.
Nessa página, você pode definir o sistema para fazer isto:
•
Atualizar os dados automaticamente em um modo de exibição aberto
•
Alterar as exibições que são abertas automaticamente quando o sistema é iniciado
•
Alterar as exibições que são abertas quando você seleciona Resumir em um evento ou exibição de
fluxo
Tarefa
Ajuda.
1
Na barra de navegação do sistema do console do ESM, clique em opções.
2
Na página Exibições, selecione as preferências e clique em OK.
Consulte também
Página Exibições na página 36
Página Exibições
Defina suas preferências para exibições padrão e para atualizar automaticamente os dados nas
exibições abertas.
Opção
Definição
Atualizar exibições automaticamente a Selecione esta opção para os dados serem mostrados em uma
cada...
exibição aberta e serem atualizados automaticamente, e defina a
frequência com que isso será feito.
Exibição do sistema padrão
A exibição que aparece no painel Exibições, por padrão, é Resumo padrão.
Para alterar essa exibição, selecione uma opção na lista suspensa.
Exibição do resumo do evento ou
Exibição do resumo do fluxo
Se você selecionar a opção Resumir ou Resumir por, ao fazer busca
detalhada em uma exibição (consulte Opções do menu Componente),
as exibições selecionadas em cada um dos campos serão a exibição
padrão.
Consulte também
36
Guia de produto
2
Defina o valor de tempo limite do console
A sessão atual do console do ESM permanecerá aberta enquanto estiver em atividade. Defina por
quanto tempo pode não haver atividade antes que a sessão seja encerrada.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema | Segurança de login.
2
Em Valor de tempo limite da interface do usuário, selecione quantos minutos devem passar sem atividades e
clique em OK.
Se você selecionar zero (0), o console permanecerá aberto indefinidamente.
Consulte também
Guia de produto
37
2
38
Guia de produto
3
O ESM administra dados, definições, atualizações e configurações. Ele se comunica com vários
dispositivos simultaneamente. Ao criar o ambiente do ESM, considere cuidadosamente as
necessidades da sua organização e os objetivos de conformidade para dar suporte ao ciclo de vida do
gerenciamento de segurança da sua organização.
Conteúdo
Gerenciamento de dispositivos
Configuração de dispositivos
Configuração de serviços auxiliares
Gerenciamento do banco de dados
Trabalhar com usuários e grupos
Backup e restauração das configurações do sistema
ESM redundante
Gerenciamento do ESM
Uso de uma lista negra global
Enriquecimento de dados
O painel de navegação do sistema lista os dispositivos adicionados ao sistema. É possível executar
funções em um ou mais dispositivos e organizá-los conforme o necessário. Você também pode exibir
Guia de produto
39
3
relatórios de status de integridade quando os sistemas forem sinalizados, a fim de resolver problemas
existentes.
Tabela 3-1 Definições de recursos
Esse recurso...
Permite...
1 Barra de ferramentas de
ações
Selecione uma ação a ser executada nos dispositivos da árvore de
navegação do sistema.
Ícone de propriedades
Definir configurações do sistema ou dispositivo selecionado na árvore
de navegação do sistema.
Adicionar ícone dos
Adicionar dispositivos à árvore de navegação do sistema.
dispositivos
Sinalizadores de status de
Exibir alertas de status do dispositivo.
integridade
Gerenciamento de vários
dispositivos
Obter eventos e fluxos
Excluir um dispositivo
Atualizar
40
Iniciar, interromper, reiniciar e atualizar vários dispositivos
individualmente.
Recuperar eventos e fluxos para dispositivos selecionados.
Excluir o dispositivo selecionado.
Atualizar os dados de todos os dispositivos.
Guia de produto
3
Tabela 3-1 Definições de recursos (continuação)
Esse recurso...
Permite...
2 Tipo de exibição
Selecione o modo como deseja organizar os dispositivos na árvore. O
ESM vem com três tipos predefinidos:
• Exibição física — Lista dispositivos por hierarquia. O primeiro
nível é formado pelos nós do sistema (Exibição física, ESM local e
dispositivo base do ESM local). O segundo nível é formado por
dispositivos individuais, e todos os outros níveis são formados pelas
origens que você adicionou aos dispositivos (origem de dados,
dispositivo virtual, entre outros). Os dispositivos base são
adicionados automaticamente no ESM local, origem de dados,
dispositivo virtual e nós do servidor do banco de dados. Eles têm
ícones esmaecidos e ficam entre parênteses.
• Exibição do tipo de dispositivo — Agrupa os dispositivos por tipo
de dispositivo (Nitro IPS, ADM, DEM).
• Exibição de zona — Organiza os dispositivos por zona, definidos
usando o recurso Gerenciamento de zonas.
Também é possível adicionar tipos de exibição personalizados
(consulte Organização de dispositivos).
3 Pesquisa rápida
Faça uma pesquisa rápida por um dispositivo na árvore de navegação
do sistema.
4 Árvore de navegação do
sistema
Exibir os dispositivos do sistema.
Consulte também
Página Gerenciamento de cada dispositivo na página 41
Página Gerenciamento de cada dispositivo
Na página Gerenciamento de cada dispositivo, você pode acessar várias opções de gerenciamento
avançado. As opções disponíveis são baseadas no dispositivo selecionado.
Opção
Definição
Conectar
Permita acesso ao sistema.
Conexões
Clique para exibir as conexões ativas com o DEM.
Dados do dispositivo Faça download de um arquivo .tgz que contenha informações sobre o status do
dispositivo.
A senha criptografada e outras informações de configuração de origem de dados
confidenciais podem estar incluídas nesse arquivo.
Agentes de consulta Faça download das informações de status do DEM e agente.
Fluxo
Clique para exibir um fluxo dos eventos gerados pelo dispositivo selecionado.
Descarga do TCP
Monitore o tráfego que flui pelo dispositivo.
Terminal
Insira comandos do Linux no dispositivo.
Delta de tempo
Exiba, edite ou exporte uma lista das origens de dados que estão fora de
sincronização com o ESM há mais tempo do que o intervalo de tempo definido.
Transportar
Clique para criar um arquivo que será importado para um Receptor que contém as
origens de dados com a opção Exportar para formato NitroFile selecionada.
Atualizar dispositivo Faça upload de uma nova versão do software.
Guia de produto
41
3
Opção
Definição
Exibir gerenciador
Exiba as informações do arquivo de log a partir do serviço de monitoramento de
banco de dados para revisar eventos de comunicação entre o DEM e o agente.
Exibir estatísticas
Exiba estatísticas sobre o desempenho do dispositivo.
Consulte também
Gerenciamento de dispositivos na página 39
Exibir informações do dispositivo
Exibir informações gerais sobre um dispositivo. Abra a página Informações do dispositivo para ver ID do
sistema, número de série, modelo, versão, compilação, e mais informações.
Tarefa
Ajuda.
1
2
Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades
Exiba as informações disponíveis e clique em OK.
Tarefas
•
Adicionar link de URL na página 44
Para exibir informações do dispositivo em um URL, é possível configurar o link na página
Nome e descrição de cada dispositivo. Quando adicionado, o link pode ser acessado nas
exibições Análise de evento e Análise de fluxo de cada dispositivo clicando no ícone Abrir URL do
dispositivo,
localizado na parte inferior dos componentes da exibição.
•
Exibir estatísticas de dispositivo na página 44
Exiba a CPU específica de um dispositivo, memória, fila ou outros detalhes específicos dele.
•
Exibir os registros de mensagens e as estatísticas do dispositivo na página 45
Você pode exibir as mensagens geradas pelo sistema, exibir estatísticas sobre o
desempenho do dispositivo ou fazer download de um arquivo .tgz que contenha
informações sobre o status do dispositivo.
•
Alterar o nome do dispositivo na página 46
Ao adicionar um dispositivo à árvore de sistemas, nomeie-o e esse nome será exibido na
árvore. Esse nome, o nome do sistema, o URL e a descrição podem ser alterados.
Consulte também
Página Informações do dispositivo na página 43
Página Nome e descrição na página 43
42
Guia de produto
.
3
Página Informações do dispositivo
Exibir informações gerais sobre um dispositivo. As opções variam de acordo com o dispositivo
selecionado.
Opção
Definição
ID da máquina
Número de identificação do dispositivo. Se for necessário reativar a máquina, o
suporte da McAfee solicitará o número para enviar-lhe o arquivo correto.
Número de série
Número de série do dispositivo.
Modelo
Número do modelo do dispositivo.
Versão
Versão do software em execução no dispositivo no momento
Compilação
Número de compilação da versão do software
Relógio (GMT)
Data e hora em que o dispositivo foi aberto ou atualizado pela última vez
Sincronizar relógio do
dispositivo
Sincronize o relógio no dispositivo para o relógio no ESM.
Assistente de detecção
de anomalias
Em um dispositivo IPs ou dispositivo virtual, lista todas as variáveis disponíveis
no dispositivo selecionado. Realiza muitos cálculos complexos a fim de chegar
aos valores sugeridos para os parâmetros de anomalia com base em taxa e
fornecer uma análise visual dos padrões de tráfego da rede.
Zona
Zona a qual o dispositivo foi atribuída, se houver. Se você clicar em Zona, o
Gerenciador de políticas de zonas será aberto (consulte Adicionar zonas).
Política
Estado atual da política neste dispositivo. Se você clicar em Política, o Editor de
políticas será aberto (consulte Editor de políticas).
Status
O status dos processos no dispositivo, assim como o status do FIPS após a
execução de um autoteste de FIPS (se o seu dispositivo estiver em execução no
modo FIPS).
Modo
Em um IPS, informa se o dispositivo está no modo IPS ou IDS. O modo IPS pode
descartar ativamente tráfego malicioso de entrada ou saída. O modo IDS
somente alerta sobre o tráfego malicioso e não toma medidas.
Desvio
Em um IPS, indica se o dispositivo está no modo de desvio ou não. Se estiver no
modo de desvio, a passagem de qualquer tráfego é permitida, inclusive tráfego
malicioso.
Iniciar
Inicia o dispositivo. Se o dispositivo estiver ligado no momento, nada
acontecerá.
Interromper
Interrompe o dispositivo. Você será avisado sobre a interrupção da coleta de
dados.
Reinicializar
Reinicializa o dispositivo. Você será avisado sobre a interrupção da coleta de
dados pelo período em que o sistema estiver reinicializando.
Atualizar
Atualiza as informações na página
Consulte também
Exibir informações do dispositivo na página 42
Página Nome e descrição
Exiba e altere o ID do dispositivo, nome do dispositivo e do sistema, URL e descrição.
Opção
Definição
ID de dispositivo Número de identificação atribuído ao dispositivo. Este número não pode ser alterado.
Nome
Nome dado ao dispositivo ao ser adicionado ao sistema.
Guia de produto
43
3
Opção
Definição
Nome do sistema Nome que aparece na exibição LCD ou SSH. Precisa começar com um caractere alfa e
só pode incluir caracteres alfanuméricos e traços.
URL
Endereço no qual é possível exibir detalhes sobre eventos ou fluxos. Permite no
máximo 512 caracteres. Se o endereço do URL incluir o endereço de um aplicativo de
outro fornecedor e você precisar acrescentar variáveis que representam os dados
existentes nos eventos ou fluxos, clique no ícone de variáveis e selecione a variável.
Para acessar o URL, clique no ícone Abrir URL do dispositivo na parte inferior de um
componente de tabela para obter exibições de eventos ou fluxos. Ele o conduzirá ao
aplicativo do outro fornecedor, passando os dados do evento ou fluxo associado pelo
URL.
Descrição
Descrição do dispositivo.
Consulte também
Adicionar link de URL
Para exibir informações do dispositivo em um URL, é possível configurar o link na página Nome e
descrição de cada dispositivo. Quando adicionado, o link pode ser acessado nas exibições Análise de evento
e Análise de fluxo de cada dispositivo clicando no ícone Abrir URL do dispositivo,
inferior dos componentes da exibição.
localizado na parte
Tarefa
Ajuda.
1
2
Clique em Nome e descrição e digite o URL.
3
Clique em OK para salvar as alterações.
Consulte também
Exibir estatísticas de dispositivo
Exiba a CPU específica de um dispositivo, memória, fila ou outros detalhes específicos dele.
Antes de iniciar
Verifique se você tem a permissão de Gerenciamento de dispositivos.
44
Guia de produto
.
3
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione o dispositivo relevante e clique no ícone Propriedades
.
2
Clique em Gerenciamento, depois em Exibir estatísticas.
Um gráfico que é atualizado a cada 10 minutos exibe estatísticas desse dispositivo. A exibição de
dados requer no mínimo 30 minutos de dados. Cada tipo de métrica contém várias métricas, algumas
delas são ativadas por padrão. Clique em Exibido para ativar as métricas. A quarta coluna indica a
escala da métrica correspondente.
Consulte também
Guia Monitor de desempenho para estatísticas do dispositivo na página 45
Guia Monitor de desempenho para estatísticas do dispositivo
Exiba diversas estatísticas para o ESM ou dispositivo selecionado.
Tabela 3-5 Definições de opções
Opção
Definição
Intervalo de datas
Selecione a hora em que deseja exibir as estatísticas.
Métricas
Selecione os tipos de métricas que deseja exibir.
Atualizar
Clique para preencher o gráfico e a tabela com as estatísticas das métricas
que você selecionou.
Gráfico
Exiba as estatísticas selecionadas em formato de gráfico.
Tabela
Exiba as estatísticas selecionadas em formato de tabela.
Coluna Grupo
Lista o tipo de grupo de métricas.
Coluna Métrica
Lista as métricas, que são subcategorias do grupo de métricas.
Coluna Exibidas Indica as métricas atualmente mostradas no gráfico. Você pode selecionar ou
desmarcar as métricas, assim o gráfico refletirá as alterações.
Coluna Escala
Indica a escala da métrica correspondente.
Coluna Cor
Indica a cor da linha no gráfico que representa cada métrica.
Consulte também
Exibir os registros de mensagens e as estatísticas do dispositivo
Você pode exibir as mensagens geradas pelo sistema, exibir estatísticas sobre o desempenho do
dispositivo ou fazer download de um arquivo .tgz que contenha informações sobre o status do
dispositivo.
Guia de produto
45
3
Tarefa
Ajuda.
1
2
.
Clique em Gerenciamento de dispositivos e selecione uma das seguintes opções:
Opção
Descrição
Exibir registro
Clique para exibir mensagens que foram registradas pelo sistema. Clique em
Fazer download de todo o arquivo para fazer download dos dados em um arquivo.
Clique para exibir estatísticas sobre o desempenho do dispositivo, como
interface da ethernet, ifconfig e filtro iptables.
Dados do dispositivo Clique para fazer download de um arquivo .tgz que contém dados sobre o status
do dispositivo. Você pode usar quando estiver trabalhando com o suporte da
McAfee para resolver um problema do sistema.
Consulte também
Alterar o nome do dispositivo
Ao adicionar um dispositivo à árvore de sistemas, nomeie-o e esse nome será exibido na árvore. Esse
nome, o nome do sistema, o URL e a descrição podem ser alterados.
Tarefa
Ajuda.
1
2
Clique em Nome e descrição, altere o nome, o nome do sistema, o URL e a descrição ou exiba o
número de ID de dispositivo.
3
Clique em OK.
.
Consulte também
Sobre chaves de dispositivo
Para que o ESM se comunique com um dispositivo, ele precisa criptografar todas as comunicações
usando a chave criada quando o dispositivo é codificado.
É recomendável exportar todas as chaves para um arquivo alternativo e criptografado por senha. Em
seguida, elas podem ser importadas para restaurar a comunicação com o dispositivo no caso de uma
emergência ou para exportar a chave para outro dispositivo.
46
Guia de produto
3
Todas as configurações são armazenadas no ESM, o que significa que o console do ESM tem
conhecimento das chaves mantidas no ESM e não precisa importar a chave de um dispositivo se o
ESM já estiver se comunicando bem com o dispositivo.
Por exemplo, você pode fazer backup das configurações (o que inclui as chaves do dispositivo) na
segunda-feira, e recodificar um dos dispositivos na terça-feira. Se, na quarta-feira, você perceber que
precisava ter restaurado as configurações de segunda-feira, importe a chave criada na terça-feira
depois que a restauração das configurações estiver concluída. Embora a restauração reverta a chave
do dispositivo ao estado de segunda-feira, o dispositivo ainda escuta somente o tráfego codificado
com a chave de terça-feira. Essa chave precisa ser importada antes que a comunicação com o
dispositivo seja possível.
Recomendamos não importar uma chave de dispositivo para um ESM separado. Para as funções de
direito de gerenciamento do dispositivo, a chave de exportação é usada para reinstalar um dispositivo
no ESM que o gerencia. Se você importar um dispositivo para um segundo ESM, vários recursos do
dispositivo não poderão ser utilizados, inclusive o gerenciamento de políticas, o registro e
gerenciamento do ELM e as configurações de dispositivo virtual e origem de dados. Os
administradores de dispositivos podem sobrescrever as configurações nos dispositivos usando outro
ESM. É recomendável utilizar um único ESM para gerenciar os dispositivos conectados a ele. Um DESM
pode lidar com a coleta de dados dos dispositivos conectados a outro ESM.
Codificar um dispositivo
Depois de adicionar um dispositivo ao ESM, é preciso codificá-lo para possibilitar a comunicação. A
codificação protege o dispositivo, pois ignora todas as fontes externas de comunicação.
Os seguintes caracteres não podem ser usados em um nome de dispositivo: ! @ # $ % ^ & * ) ( ] [ }
{:;"'><>,/?`~+=\|
Tarefa
Ajuda.
1
2
.
Clique em Gerenciamento de chaves | Codificar dispositivo.
Se o dispositivo tiver uma conexão estabelecida e puder se comunicar com o ESM, o Assistente de
atribuição de chave será aberto.
3
Digite uma nova senha para o dispositivo e clique em Avançar.
4
Clique em Exportar chave e preencha a página Exportar chave ou clique em Finalizar se desejar exportá-la
mais tarde.
Consulte também
Exportar uma chave na página 48
Importar uma chave na página 50
Gerenciar chaves SSH na página 51
Assistente de codificação de dispositivo na página 48
Página Gerenciamento de chaves na página 48
Guia de produto
47
3
Assistente de codificação de dispositivo
Codifique o dispositivo para possibilitar a comunicação.
Opção
Definição
Digite a nova senha Digite e confirme uma nova senha para o dispositivo.
Avançar
Clique após digitar e confirmar a senha. Você será notificado quando o dispositivo
for codificado corretamente.
Exportar chave
Exporte uma cópia desta chave. Esse procedimento é altamente recomendável se
algum dia for necessário readicionar este dispositivo.
Consulte também
Codificar um dispositivo na página 47
Página Gerenciamento de chaves
A página Gerenciamento de chaves permite codificar um dispositivo, importar uma chave, exportar uma
chave e gerenciar chaves SSH.
Opção
Definição
Codificar dispositivo
Codifique o dispositivo para que o ESM possa se comunicar com ele. Além disso, é
um procedimento que protege o dispositivo.
Importar chave
Importe uma chave para restaurar as configurações anteriores do ESM ou para
usá-la em outro console do ESM ou console de legado.
Exportar chave
Exporte a chave, salvando-a em um arquivo alternativo para uso futuro.
Gerenciar chaves SSH Exiba ou exclua as chaves de comunicação SSH deste dispositivo.
Consulte também
Exportar uma chave
Depois de codificar um dispositivo, exporte a chave para um arquivo.
Se o sistema estiver operando no modo FIPS, não siga este procedimento. Consulte Adicionar um
dispositivo codificado ao modo FIPS para ver o processo correto.
Tarefa
Ajuda.
1
2
Clique em Gerenciamento de chaves | Exportar chave.
3
Defina as configurações na página Exportar chave e clique em OK.
.
O ESM cria o arquivo da chave de exportação e pergunta se deseja exportá-lo.
4
Clique em Sim e selecione onde deseja salvar o arquivo.
É recomendável exportar uma cópia de backup pessoal da chave do dispositivo que esteja definida
como Nunca expira e inclua todos os privilégios.
48
Guia de produto
3
Consulte também
Página Exportar chave na página 49
Página Exportar chave
Exporte a chave de um dispositivo para que fique disponível se for preciso readicioná-lo.
Tabela 3-8 Definições das opções para seções
Opção
Definição
Senha do arquivo de
exportação
Digite e confirme a senha. Essa senha será necessária quando você quiser
importar a chave futuramente.
Configurações de data de
expiração
Defina a data de expiração, que é o tempo pelo qual a chave pode ser usada
se importada para outro console do ESM ou console de legado. Selecione Nunca
expira se não quiser definir uma data.
É recomendável exportar uma cópia de backup pessoal da chave do
dispositivo que esteja definida como Nunca expira e inclua todos os privilégios.
Restrições de chave
Selecione Ativar chave de dispositivo somente no ESM especificado se quiser que a chave
seja ativada somente em determinado ESM, e insira o ID do sistema. Dessa
forma, a chave ganhará segurança adicional.
Configurações de privilégio Selecione os privilégios que deseja atribuir à chave. Os privilégios disponíveis
são diferentes para cada tipo de dispositivo. Estão todos descritos abaixo.
Se a chave será importada para outro ESM, selecione os privilégios
cuidadosamente. Certifique-se de que os privilégios concedidos a outro ESM
não permitam que ele execute funções indesejadas.
Tabela 3-9 Definições das opções para privilégios
Opção
Definição
Aplicar regras
Aplique novas regras de política ao dispositivo.
Configurar arquivamento de dados
Altere as configurações de arquivamento de dados no receptor.
Configurar origens de dados
Altere as configurações de origem de dados no receptor.
Configurar servidores de banco de dados Altere as configurações do servidor de banco de dados nos
dispositivos DEM.
Configurar gerenciadores
Altere as configurações para o gerenciamento de correlação de
risco.
Configurar interfaces de rede
Altere as configurações da interface de rede no dispositivo.
Configurar SNMP
Altere as configurações de SNMP no dispositivo.
Configurar dispositivos virtuais
Altere as configurações do dispositivo virtual no dispositivo.
Gerenciamento do DEM
Execute as funções necessárias para gerenciar dispositivos DEM.
Gerenciamento de arquivos de ELM
Gerencie os arquivamentos de registros do ELM.
Exportar
Reexporte a chave.
Reinicializar dispositivo
Desligue e ligue o dispositivo.
Recodificar
Altere o token da McAfee.
Definir agregação
Defina e altere as configurações de agregação para eventos e
fluxos.
Iniciar dispositivo
Inicie o monitoramento de tráfego.
Guia de produto
49
3
Tabela 3-9 Definições das opções para privilégios (continuação)
Opção
Definição
Interromper dispositivo
Interrompa o monitoramento de tráfego.
Sincronizar relógio
Sincronize as configurações do relógio no dispositivo.
Terminal
Acesse a funcionalidade de Terminal.
Atualizar software
Atualize a versão do software no dispositivo.
Gravar regra padrão
Adicione regras padrão à política.
Gravar no firewall
Adicione regras de firewall à política.
Consulte também
Importar uma chave
Importe uma chave para restaurar as configurações anteriores do ESM ou para usá-la em outro
console do ESM ou console de legado.
Se a versão deste dispositivo for 9.0 ou posterior, você somente poderá importar uma chave de um ESM
que seja da versão 8.5 ou posterior.
Tarefa
Ajuda.
1
2
Clique em Gerenciamento de chaves | Importar chave.
3
Localize e selecione o arquivo de chave salvo.
4
Clique em Fazer upload e digite a senha que foi definida quando a chave foi exportada.
Quando a chave é importada corretamente, uma página exibe o status.
Consulte também
Opção Importar chave na página 50
Opção Importar chave
Importe uma chave para restaurar as configurações anteriores do ESM.
Opção
Definição
Fazer upload do arquivo Localize o arquivo de chave do dispositivo para fazer upload no ESM.
Fazer upload
Clique para fazer upload do arquivo no ESM e insira a senha que foi definida
quando esta chave foi inicialmente exportada.
Consulte também
50
Guia de produto
.
3
Gerenciar chaves SSH
Os dispositivos podem ter chaves de comunicação SSH para os sistemas com os quais precisam se
comunicar com segurança. É possível interromper a comunicação com esses sistemas excluindo a
chave.
Tarefa
Ajuda.
1
2
.
Clique em Gerenciamento de chaves e em Gerenciar chaves SSH.
A página Gerenciar chaves SSH contém os IDs do ESM com o qual o dispositivo se comunica.
3
Realce o ID e clique em Excluir para interromper a comunicação com um dos sistemas da lista.
4
Confirme a exclusão e clique em OK.
Consulte também
Página Gerenciar chaves SSH na página 51
Página Gerenciar chaves SSH
Exiba ou exclua as chaves de comunicação SSH com as quais este dispositivo pode se comunicar.
Opção
Definição
Tabela Chaves
autorizadas
Exiba os computadores para os quais este dispositivo tem chaves de
comunicação SSH. Se o SSH estiver ativado, os computadores desta lista se
comunicarão.
Hosts conhecidos
No caso de dispositivos, gerencie as chaves de qualquer dispositivo habilitado
para SSH com o qual este dispositivo tenha se comunicado (por exemplo,
receptor com origem de dados SCP). Para o ESM, exiba as chave de todos os
dispositivos na árvore de sistemas com a qual o ESM se comunica.
Tabela Hosts conhecidos Exiba o endereço IP, o nome do dispositivo e a impressão digital, preenchidos
com os dados do host disponível no arquivo de host conhecido (root/.ssh/
known_hosts).
Impressão digital do
dispositivo
Exiba a impressão digital deste dispositivo, que é gerada com a chave SSH
pública do dispositivo.
Excluir
Exclua o item selecionado do ESM.
Exibir chave
Exiba a chave do item selecionado.
Consulte também
Guia de produto
51
3
Atualizar o software em um dispositivo
Se o software no dispositivo estiver desatualizado, faça upload de uma versão nova do software a
partir de um arquivo no ESM ou no computador local.
Antes de iniciar
Se você já tiver o sistema há mais de 30 dias, deverá obter e instalar suas credenciais
permanentes para ter acesso às atualizações (consulte Obter e adicionar credenciais de
atualização de regra).
Se for necessário cumprir com os Critérios Comuns e normas FIPS, não atualize o ESM
dessa forma. Ligue para o suporte da McAfee para obter uma atualização certificada.
Tarefa
Ajuda.
1
2
Clique em Gerenciamento do dispositivo Atualizar dispositivo.
3
Selecione uma atualização na tabela ou clique em Procurar para localizá-la no sistema local.
.
O dispositivo é reiniciado com a versão de software atualizada.
Consulte também
Selecionar a página do arquivo de atualização de software na página 52
Selecionar a página do arquivo de atualização de software
Selecione o arquivo que deseja usar para atualizar o software em um ou mais dispositivos.
Opção
Definição
Nome do arquivo Selecione uma das atualizações da lista.
Procurar
Procure um arquivo obtido de um engenheiro de segurança da McAfee ou do servidor
de atualizações e regras do McAfee.
OK
Se você está atualizando um dispositivo usando a opção Atualizar dispositivo do
gerenciamento de dispositivos, o processo de atualização terá início. Se estiver
atualizando vários dispositivos usando a opção Gerenciamento de vários dispositivos, você
retornará à página Gerenciamento de vários dispositivos.
Consulte também
Atualizar o software em um dispositivo na página 52
Organização de dispositivos
A árvore de navegação de sistemas lista os dispositivos do sistema. Você pode selecionar o modo
como eles devem ser exibidos usando o recurso de tipo de exibição.
À medida que aumenta o número de dispositivos no sistema, é útil organizá-los de maneira lógica,
para que você possa encontrar aqueles de que necessita para trabalhar. Por exemplo, se você tiver
escritórios em vários locais, será melhor exibi-los de acordo com a zona onde se encontram.
Use as três exibições predefinidas para criar exibições personalizadas. Adicione grupos a cada exibição
personalizada para organizar melhor os dispositivos.
52
Guia de produto
3
Configurar controle de tráfego de rede em um dispositivo
Defina um valor de saída de dados máximo para dispositivos DEM, Receiver, ACE, ELM, Nitro IPS e
ADM.
Esse recursos é útil quando há restrições de banda larga e você precisa controlar a quantidade de
dados que pode ser enviada por cada um desses dispositivos. As opções são Kb (quilobits), Mb
(megabits) e Gb (gigabits) por segundo.
Tenha cuidado ao configurar esse recurso porque a limitação de tráfego pode resultar em perda de
dados.
Tarefa
Ajuda.
1
2
Na árvore de navegação do sistema, selecione o dispositivo e clique no ícone Propriedades
.
Clique na opção Configuração do dispositivo, em Interfaces e na guia Tráfego.
A tabela listará os controles existentes.
3
Para adicionar controles para um dispositivo, clique em Adicionar, insira o endereço de rede e
máscara, defina a taxa e clique em OK.
Se você definir a máscara como zero (0), todos os dados enviados serão controlados.
4
Clique em Aplicar.
A velocidade do tráfego de saída do endereço de rede especificado é controlada.
Consulte também
Guia Tráfego na página 53
Página Adicionar taxa de transferência na página 54
Guia Tráfego
Você pode definir um valor de saída de dados máximo para uma rede e máscara para controlar a taxa
de envio do tráfego.
Opção
Definição
Coluna Rede
Exiba os endereços das redes em que o sistema controla o tráfego de
saída com base no que você definiu.
Coluna Máscara
(Opcional) Exiba as máscaras dos endereços de rede.
Coluna Taxa de transferência máxima Exiba a taxa de transferência máxima que você definiu para cada
rede.
Adicionar, Editar, Excluir
Gerencie os endereços de rede que você deseja controlar.
Consulte também
Configurar controle de tráfego de rede em um dispositivo na página 53
Definir controle de tráfego de rede no ESM na página 250
Guia de produto
53
3
Página Adicionar taxa de transferência
Defina um valor de saída de dados máximo para uma rede e máscara para controlar a taxa de envio
do tráfego de saída.
Opção Definição
Rede
Digite o endereço da rede em que você deseja controlar o tráfego de saída.
Máscara (Opcional) Selecione uma máscara para o endereço de rede.
Taxa
Selecione Kb (quilobits), Mb (megabits) ou Gb (gigabits) e a taxa por segundo para o tráfego
de envio.
Consulte também
Configurar notificações SNMP
Para configurar notificações de SNMP geradas pelo dispositivo, defina quais interceptações de SNMP
devem ser enviadas e os destinos das interceptações.
Se você estiver configurando um SNMP em um Receptor HA, as interceptações do Receptor primário
passarão pelo endereço IP compartilhado. Portanto, ao configurar os ouvintes, um deles deve ser
configurado para o endereço IP compartilhado.
Tarefa
Ajuda.
1
2
Clique em Configuração | SNMP.
3
Defina as configurações e clique em OK.
.
Sincronizar dispositivo com o ESM
Se você precisar substituir o seu ESM, importe a chave para cada dispositivo para restaurar as
configurações. Se você não tiver um backup do banco de dados atual, deve também sincronizar as
configurações da origem de dados, do dispositivo virtual e do servidor de banco de dados com o ESM
para que eles possam retomar o pull de eventos.
Tarefa
Ajuda.
1
2
Clique em Configuração | Sincronizar dispositivo.
3
Quando a sincronização for concluída, clique em OK.
.
Configurar a comunicação com o ELM
Se você estiver enviando os dados deste dispositivo para o ELM, IP do ELM e Sincronizar ELM aparecerão na
página Configuração do dispositivo, permitindo que você atualize o endereço IP e sincronize o ELM com o
dispositivo.
54
Guia de produto
3
Tarefa
Ajuda.
1
2
.
Clique em Configuração e execute uma das seguintes ações:
Clique em... Para fazer isto...
IP do ELM
Atualizar o endereço IP para o ELM com o qual o dispositivo está vinculado. Você
deve fazer isto caso altere o endereço IP para o ELM ou a interface de
gerenciamento do ELM pela qual o dispositivo se comunica com o ELM.
Sincronizar ELM Sincronize o ELM com o dispositivo caso um deles tenha sido substituído. Quando
você usa este recurso, a comunicação SSH entre os dois dispositivos é
restabelecida usando a chave para o novo dispositivo com as configurações
anteriores.
Definir linha de registro padrão
Se você possui um dispositivo ELM em seu sistema, é possível configurar um dispositivo para que os
dados de evento que ele receber sejam enviados para o dispositivo ELM. Para fazer isso, você deve
configurar a lista de registro padrão.
O dispositivo não envia um evento ao ELM até que seu período de agregação tenha expirado.
Tarefa
Ajuda.
1
2
Clique em Configuração | Log.
3
Faça as seleções apropriadas nas páginas que serão abertas.
.
Você será informado quando o registro de dados do dispositivo para o ELM estiver ativado.
Consulte também
Origens de dados do Receptor na página 90
Página Registro na página 55
Página Registro
Configure a lista de registro padrão para que os eventos gerados por este dispositivo possam ser
enviados a um dispositivo ELM. Páginas diferentes são abertas com base nas configurações de registro
atuais do seu sistema.
Opção
Definição
Página Configuração de registro
Selecione Registro para ativá-lo.
Link Registro
Clique para acessar a página Opções de registro do ELM.
Página Opções de registro do ELM
Selecione a lista de armazenamento no ELM onde os dados serão
registrados.
Guia de produto
55
3
Opção
Definição
Página Dispositivo - associação com o
ELM
Se você não selecionou o ELM onde os dados serão registrados,
confirme que deseja fazê-lo. Depois de feita, essa associação não
pode ser alterada.
Página Selecionar ELM para registro
Se você tiver mais de um ELM no sistema, selecione aquele em que
deseja que os dados sejam registrados.
Página Selecionar Endereço IP do ELM
Selecione o endereço IP pelo qual deseja que o dispositivo se
comunique com o ELM.
Página Não há pools de ELM
Caso não tenha nenhuma lista de armazenamento no ELM, vá
paraPropriedades do ELM | Listas de armazenamento para adicioná-las.
Consulte também
Definir linha de registro padrão na página 55
Inserir comandos do Linux em um dispositivo
Use a opção Terminal para inserir comandos do Linux em um dispositivo. Este recurso é recomendável
para usuários avançados e deve ser usado seguindo as orientações da equipe de suporte da McAfee
em situações de emergência.
Essa opção não está em conformidade com o FIPS e fica desativada no modo FIPS.
Tarefa
Ajuda.
1
2
Clique em Gerenciamento do dispositivo Terminal.
3
Insira a senha do sistema e clique em OK.
4
Insira os comandos do Linux, exporte o arquivo ou transfira os arquivos.
5
Clique em Fechar.
.
Conceder acesso ao sistema
Quando você faz uma chamada de suporte para a McAfee, pode ser necessário permitir o acesso do
engenheiro do suporte técnico ao seu sistema.
Tarefa
Ajuda.
1
2
Clique em Gerenciamento do dispositivo Conectar.
O botão muda para Desconectar e seu endereço IP é fornecido.
56
Guia de produto
.
3
3
Informe o endereço IP ao engenheiro de suporte técnico.
Você talvez tenha que fornecer informações adicionais, como a senha.
4
Clique em Desconectar para encerrar a conexão.
Monitorar tráfego
Se precisar monitorar o tráfego que flui em um dispositivo DEM, ADM ou IPS, você poderá usar a
Descarga do TCP para fazer download de uma instância do programa Linux em execução no dispositivo.
Tarefa
Ajuda.
1
2
Clique em Gerenciamento do dispositivo.
3
Na seção Descarga do TCP da página, siga os procedimentos para fazer download da instância.
.
Consulte também
Seção Descarga do TCP na página 57
Seção Descarga do TCP
Use a Descarga do TCP para fazer download de uma instância do programa Linux em execução no
dispositivo.
Opção
Definição
Argumentos da linha de
comando
Digite os argumentos a serem passados para o comando da descarga do
TCP. Por exemplo, para exibir todo o tráfego da primeira interface de rede
no dispositivo, você pode especificar -nni eth0
Iniciar
Clique para iniciar a descarga no dispositivo
Interromper
Clique assim que o tráfego desejado passar pelo dispositivo.
Exportar
Clique para exportar os resultados para um arquivo.
Consulte também
Monitorar tráfego na página 57
Iniciar, interromper, reinicializar ou atualizar um dispositivo
Iniciar, interromper, reinicializar ou atualizar um dispositivo na página Informações.
Tarefa
Ajuda.
1
2
.
Verifique se a opção Informações do dispositivo está marcada e clique em Iniciar, Interromper, Reinicializar
ou Atualizar.
Guia de produto
57
3
Alterar a conexão com o ESM
Ao adicionar um dispositivo ao ESM, configure a conexão do dispositivo com o ESM. É possível alterar
o endereço IP e a porta, desativar a comunicação SSH e verificar o status da conexão.
A alteração dessas configurações não afeta o dispositivo. Ela afeta somente a maneira como o ESM se
comunica com o dispositivo.
Tarefa
Ajuda.
1
2
Clique em Conexão e faça as alterações.
3
Clique em Aplicar.
.
Consulte também
Alterar a conexão com o ESM na página 58
Página Conexão do McAfee ePO na página 58
Página Conexão
Configure a conexão entre o dispositivo e o ESM.
Opção
Definição
Endereço IP/nome de destino
Digite o endereço IP ou o nome do host que o ESM utiliza para
comunicar-se com o dispositivo.
Porta de destino
Selecione a porta usada para tentar a comunicação (a porta padrão é
22).
ID de dispositivo
Exibir o número de identificação do dispositivo.
Marcar este dispositivo como
desativado
Selecione para interromper a conexão SSH com o ESM. O ícone para o
dispositivo na árvore de navegação do sistema indicará que ele está
desativado.
Status
(Opcional) Clique para verificar a conexão.
Página Conexão do McAfee ePO
Essa página é preenchida com as informações inseridas quando você adicionou o dispositivo McAfee
ePO ao console. A alteração dessas configurações não afeta o dispositivo. Afeta somente o modo como
o dispositivo se comunica com o ESM.
58
Opção
Definição
Receptor associado
Selecione o receptor associado ao dispositivo. Você pode selecionar o
link para abrir a página Propriedades do receptor.
Parâmetros de login do banco de
dados
Altere os parâmetros de login do banco de dados para efetuar pull de
eventos.
Credenciais de interface de usuário
do site
Altere as configurações para acessar a interface de usuário da Web.
Guia de produto
3
Opção
Definição
Requer autenticação do usuário
Selecione para requerer que todos os usuários se autentiquem com
um nome do usuário e senha antes de acessar o dispositivo.
Conectar
Clique em um qualquer uma dessas opções para testar a conexão com
o banco de dados ou com a Web.
Consulte também
Dispositivos virtuais
É possível adicionar dispositivos virtuais a certos modelos de dispositivos IPS do Nitro e ADM para
monitorar o tráfego, comparar padrões de tráfego e gerar relatórios.
Objetivo e benefícios
Os dispositivos virtuais podem ser usados com vários objetivos:
•
Comparar padrões de tráfego com conjuntos de regras. Por exemplo, para comparar o tráfego da
Web com regras da Web, é possível configurar um dispositivo virtual que verifique somente portas
de tráfego da Web e definir uma política na qual seja possível permitir ou desativar diferentes
regras.
•
Gerar relatórios. Usar um dispositivo virtual desta maneira é como ter uma configuração
automática de filtro.
•
Monitorar vários caminhos de tráfego de uma vez. Usando um dispositivo virtual, é possível ter
políticas separadas para cada caminho de tráfego e classificar tráfegos diferentes em diferentes
políticas.
Número máximo de dispositivos por modelo
O número de dispositivos virtuais que podem ser adicionados a um ADM ou IPS do Nitro é baseado no
modelo:
Máximo para o dispositivo
Modelo
2
APM-1225
NTP-1225
APM-1250
NTP-1250
4
APM-2230
NTP-2230
NTP-2600
APM-3450
NTP-3450
Guia de produto
59
3
Máximo para o dispositivo
Modelo
8
NTP-2250
NTP-4245
NTP-5400
0
APM-VM
NTP-VM
Como as regras de seleção são usadas
As regras de seleção são usadas como filtros para determinar os pacotes que serão processados por
um dispositivo virtual.
Para que um pacote corresponda a uma regra de seleção, todos os critérios do filtro definidos pela
regra devem ser correspondentes. Se as informações do pacote corresponderem a todos os critérios
do filtro para uma única regra de seleção, ele será processado pelo dispositivo virtual que contém a
regra de seleção correspondente. Caso contrário, ele será repassado ao dispositivo virtual seguinte na
ordem e depois processado pelo próprio ADM ou IPS do Nitro, por padrão, se não houver nenhuma
regra de seleção correspondente em nenhum dispositivo virtual.
Notas sobre dispositivos virtuais IPv4:
•
Todos os pacotes para uma única conexão são classificados com base somente no primeiro pacote
da conexão. Se o primeiro pacote em uma conexão corresponder a uma regra de seleção para o
terceiro dispositivo virtual na lista, todos os pacotes subsequentes na conexão irão para o terceiro
dispositivo virtual, mesmo se os pacotes corresponderem a um dispositivo virtual mais adiante na
lista.
•
Pacotes inválidos (um pacote que não configure uma conexão ou parte de uma conexão
estabelecida) são classificados no dispositivo base. Por exemplo, você tem um dispositivo virtual
que procura pacotes com uma porta de origem ou de destino igual a 80. Quando um pacote
inválido entra por uma porta de origem ou de destino igual a 80, ele é classificado no dispositivo
base, e não no dispositivo virtual que procura o tráfego da porta 80. Portanto, é possível ver
eventos no dispositivo base que aparentemente deveriam ter ido para um dispositivo virtual.
A ordem em que as regras de seleção são listadas é importante, pois quando um pacote corresponde
a uma regra pela primeira vez, ele é automaticamente encaminhado para esse dispositivo virtual para
processamento. Por exemplo, você adiciona quatro regras de seleção e a quarta na ordem é o filtro
que dispara com maior frequência. Isso significa que os outros filtros desse dispositivo virtual deverão
ser repassados por cada pacote antes de chegarem à regra de seleção disparada com maior
frequência. Para aumentar a eficiência do processamento, mantenha o filtro disparado com maior
frequência em primeiro lugar na ordem, e não em último.
Ordem dos dispositivos virtuais
A ordem na qual os dispositivos virtuais são verificados é importante, já que os pacotes que chegam
ao dispositivo do ADM ou IPS do Nitro são comparados às regras de seleção para cada dispositivo
virtual para que os dispositivos virtuais sejam configurados. O pacote só chega às regras de seleção
para o segundo dispositivo virtual se ele não corresponder a nenhuma regra de seleção no primeiro
dispositivo.
60
•
Para alterar a ordem em um dispositivo ADM, vá para a página Editar dispositivo virtual (Propriedades do
ADM | Dispositivos virtuais | Editar) e use as setas para colocá-los na ordem correta.
•
Para alterar a ordem em um dispositivo IPS do Nitro, use as setas na página Dispositivos virtuais
(Propriedades do IPS | Dispositivos virtuais).
Guia de produto
3
Dispositivos virtuais do ADM
Os dispositivos virtuais do ADM monitoram o tráfego em uma interface. Pode haver até quatro filtros
de interface do ADM no sistema. Cada filtro pode ser aplicado a somente um dispositivo virtual ADM
por vez. Se um filtro estiver atribuído a um dispositivo virtual do ADM, ele não aparecerá na lista de
filtros disponíveis até que seja removido do dispositivo.
Pacotes inválidos (um pacote que não configure uma conexão ou parte de uma conexão estabelecida)
são classificados no dispositivo base. Por exemplo, se um dispositivo virtual do ADM procurar pacotes
com uma porta de origem ou de destino igual a 80 e um pacote inválido entrar por uma porta de
origem ou de destino igual a 80, ele será classificado no dispositivo base, e não no dispositivo virtual
do ADM que procura o tráfego da porta de 80. Então, é possível ver eventos no dispositivo base que
aparentemente deveriam ter ido para um dispositivo virtual do ADM.
Consulte também
Adicionar um dispositivo virtual na página 62
Gerenciar regras de seleção na página 61
Gerenciar regras de seleção
As regras de seleção são usadas como filtros para determinar quais pacotes serão processados por um
dispositivo virtual. É possível adicionar, editar e excluir regras de seleção.
A ordem em que as regras de seleção são listadas é importante, pois quando um pacote corresponde
a uma regra pela primeira vez, ele é automaticamente encaminhado para esse dispositivo virtual para
processamento.
Tarefa
Ajuda.
1
2
Selecione um nó de dispositivo IPS ou ADM e clique no ícone Propriedades
.
Clique em Dispositivos virtuais e em Adicionar.
A janela Adicionar dispositivo virtual é aberta.
3
Adicione, edite, remova ou altere a ordem das regras de seleção na tabela.
Consulte também
Dispositivos virtuais na página 59
Página Adicionar regra de seleção na página 62
Guia de produto
61
3
Página Adicionar regra de seleção
A adição de regras de seleção ao dispositivo virtual permite definir quais pacotes o dispositivo
processa.
Opção
Definição
Página Adicionar
regra de seleção
do ADM
Selecione um dos filtros de interface e clique em OK.
Página Adicionar
regra de seleção
do IPS
Insira um valor em pelo menos um dos campos:
Pode haver até quatro filtros de interface do ADM. Cada filtro só pode ser aplicado a
um dispositivo virtual ADM por vez.
• IP/máscara de origem e dest. IP/Máscara — Digite um endereço IP na notação IPv4. São
aceitáveis máscaras para esses endereços IP.
• Protocolo — Digite uma cadeia (por exemplo, tcp). Também é possível digitar o
equivalente numérico de todos os protocolos (por exemplo, 6 para tcp).
• Porta de origem e destino Porta — Digite um valor único para porte, uma faixa de portas
separadas por um ponto-e-vírgula ou uma faixa inclusiva de portas com um
ponto-e-vírgula inicial ou final.
• VLAN — Digite ou selecione um valor entre 0 e 4095, onde 0 significa que
nenhuma filtragem desta regra de seleção é realizada na VLAN.
• Interface — Selecione a porção pública ou privada da interface para filtragem.
Consulte também
Gerenciar regras de seleção na página 61
Adicionar um dispositivo virtual
Você pode adicionar um dispositivo virtual a alguns dispositivos do ADM e IPS, configurando as regras
de seleção que determinam quais pacotes serão processados por cada dispositivo.
Antes de iniciar
Verifique se é possível adicionar dispositivos virtuais ao dispositivo que você selecionou
(consulte Sobre dispositivos virtuais).
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione um dispositivo ADM ou IPS e clique no ícone
Propriedades
.
2
Clique em Dispositivos virtuais | Adicionar.
3
Insira as informações solicitadas e clique em OK.
4
Clique em Gravar para adicionar as configurações ao dispositivo.
Consulte também
Dispositivos virtuais na página 59
Página Dispositivos virtuais na página 63
Página Adicionar dispositivo virtual na página 63
62
Guia de produto
3
Página Dispositivos virtuais
A página Dispositivos virtuais é o ponto de partida para definir as configurações de todos os dispositivos
virtuais para seu dispositivo ADM ou IPS. É possível adicionar, editar e excluir dispositivos e regras de
seleção, o que determina os pacotes que serão processados por cada dispositivo virtual.
Opção
Definição
Tabela Dispositivos virtuais
Relaciona os dispositivos virtuais que estão no IPS ou ADM.
Registro
Ativa ou desativa o registro em todos os dispositivos virtuais.
Definir uma lista de
armazenamento... ícone
Abre a página Opções de registro do ELM para poder adicionar uma lista de
armazenamento aos dispositivos virtuais selecionados.
Adicionar
Abre a página Adicionar dispositivo virtual.
Editar
Abre a página Editar dispositivo virtual, onde é possível alterar as
configurações do dispositivo virtual selecionado.
Remover
Exclui o dispositivo selecionado da tabela.
Setas Mover para cima e Mover
para baixo
Move o dispositivo virtual selecionado para cima ou para baixo na lista
de dispositivos no sistema. A ordem é importante porque os pacotes
são processados a partir do primeiro dispositivo virtual na lista e segue
para baixo a partir daí.
Gravar
Grava toda alteração efetuada nos dispositivos virtuais no IPS ou no
ADM.
Consulte também
Página Adicionar dispositivo virtual
Adicione um dispositivo virtual a um IPS ou um ADM.
Opção
Definição
Nome
Digite um nome para o dispositivo virtual.
URL
Insira o endereço URL onde é possível exibir essas informações do
dispositivo virtual, caso haja algum configurado. Clique no ícone Variáveis
se precisar adicionar uma variável ao endereço.
Ativado
Selecione se quiser que o dispositivo seja ativado.
Lista de armazenamento
Se você tiver um ELM no sistema e quiser que os dados recebidos por este
dispositivo sejam registrados no ELM, clique neste link e selecione a lista
de armazenamento.
IPv4 ou IPv6
No caso de um dispositivo virtual IPS, indique se ele verificará o tráfego de
IPv4 ou IPv6.
Zona
Se houver zonas definidas no sistema (consulte Gerenciamento de zonas ),
selecione a zona à qual este dispositivo virtual deverá ser atribuído.
Descrição
Adicione notas ou informações importantes sobre o dispositivo.
Adicionar
Clique para adicionar regras de seleção ao dispositivo, o que determina
quais pacotes serão processados.
Editar
Clique para alterar as configurações na Regra de seleção.
Remover
Clique para excluir a regra selecionada.
Setas Mover para cima e
Mover para baixo
Altere a ordem das regras.
Guia de produto
63
3
Consulte também
É possível definir como você deseja que os dispositivos da árvore de navegação do sistema sejam
organizados ao adicionar, editar ou excluir tipos de exibições personalizadas.
Tarefa
Ajuda.
1
No painel de navegação do sistema, clique na seta suspensa de tipo de exibição.
2
Para...
Faça isto...
Adicionar um tipo de exibição
personalizado
1 Clique em Adicionar exibição.
Editar tipo de exibição
personalizado
1
Clique no ícone Editar
editar.
2 Altere as configurações e clique em OK.
Excluir um tipo de exibição
personalizado
Clique no ícone Excluir
excluir.
Consulte também
Gerenciar um grupo em um tipo de exibição personalizada
É possível usar grupos em um tipo de exibição personalizada para organizar os dispositivos em
agrupamentos lógicos.
Antes de iniciar
Adicione um tipo de exibição personalizada (consulte Gerenciar tipos de exibição
personalizada).
Tarefa
Ajuda.
64
1
No painel de navegação do sistema, clique na lista suspensa de tipo de exibição.
2
Selecione a exibição personalizada e siga um destes procedimentos:
Guia de produto
3
Para...
Faça isto...
Adicionar um
novo grupo
1
Clique em um sistema ou nó de grupo e clique no ícone Adicionar grupo
barra de ferramentas de ações.
na
3 Arraste e solte os dispositivos na exibição para adicioná-los ao grupo.
Se o dispositivo fizer parte de uma árvore na exibição, um nó duplicado de
dispositivo será criado. Em seguida, você pode excluir a duplicação na árvore de
sistemas.
Editar grupo
Excluir grupo
Selecione o grupo, clique no ícone Propriedades
Propriedades do grupo.
e faça alterações na página
Selecione o grupo e clique no ícone Excluir grupo
. O grupo e os dispositivos
contidos nele são excluídos da exibição personalizada. Os dispositivos não são
excluídos do sistema.
Consulte também
Excluir dispositivos duplicados na árvore de navegação do sistema
Nós de dispositivo duplicados podem aparecer na árvore de navegação do sistema quando você
arrasta e solta dispositivos de uma árvore de sistemas para um grupo ou quando você tem grupos
configurados e faz upgrade do software do ESM. Recomendamos que você o exclua para evitar
confusão.
Tarefa
Ajuda.
1
No painel de navegação do sistema, clique na lista suspensa de tipo de exibição.
2
Selecione o ícone Editar
3
Desmarque os dispositivos duplicados e clique em OK.
ao lado da exibição que inclui os dispositivos duplicados.
Os dispositivos que estavam duplicados agora estão listados somente em seus grupos atribuídos.
Gerenciar vários dispositivos
A opção Gerenciamento de vários dispositivos permite que você inicie, interrompa e reinicialize ou atualize o
software em vários dispositivos de uma vez só.
Guia de produto
65
3
Tarefa
Ajuda.
1
2
3
Na árvore de navegação do sistema, selecione os dispositivos que deseja gerenciar.
Clique no ícone Gerenciamento de vários dispositivos
na barra de ferramentas de ações.
Selecione a operação que deseja executar e os dispositivos nos quais ela será executada e clique
em Iniciar.
Consulte também
Página Gerenciamento de vários dispositivos na página 66
Página Gerenciamento de vários dispositivos
Inicie, interrompa, reinicie ou atualize o software em vários dispositivos de uma vez.
Opção
Definição
Operação
Selecione a operação que deseja executar.
• Iniciar — Inicia os dispositivos selecionados.
• Interromper — Interrompe os dispositivos selecionados.
• Reinicializar — Interrompe e reinicia os dispositivos selecionados.
• Atualizar — Atualiza os dispositivos selecionados, juntamente com o software que
você selecionar, na página Selecionar arquivo de atualização de software.
Nome do dispositivo
Exiba uma lista dos dispositivos que podem ser gerenciados.
Coluna Incluir
Selecione os dispositivos.
Selecionar tudo
Clique para selecionar todos os dispositivos.
Não selecionar nenhum Clique para desmarcar todos os dispositivos.
Iniciar
Clique para iniciar a operação.
Coluna Status
Exiba o status da operação de cada dispositivo.
Fechar
Clique para fechar a página Gerenciamento de vários dispositivos. A operação continuará
até sua conclusão.
Consulte também
Gerenciar vários dispositivos na página 65
Gerenciar links de URL para todos os dispositivos
Você pode configurar um link para cada dispositivo, de modo a exibir as informações do dispositivo em
uma URL.
Antes de iniciar
Configuração do site do URL para o dispositivo.
66
Guia de produto
3
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Configurações
personalizadas | Links do dispositivo.
2
Para adicionar ou editar um URL, destaque o dispositivo, clique em Editar e insira o URL.
O campo URL tem um limite de 512 caracteres.
3
Clique em OK.
Você pode acessar o URL clicando no ícone Abrir URL do dispositivo
Análise de evento e Análise de fluxo de cada dispositivo.
na parte inferior das exibições
Consulte também
Página Links de dispositivo personalizados na página 67
Página Links de dispositivo personalizados
Configure ou remova um link de URL para um dispositivo.
Opção
Definição
Coluna Nome do dispositivo
Lista todos os dispositivos no ESM.
Coluna URL
Mostra os endereços de URL já definidos para cada dispositivo.
Editar
Abre a página Editar URL, onde você pode digitar o endereço do URL.
Remover URL
Exclui o URL para o dispositivo selecionado.
Consulte também
Gerenciar links de URL para todos os dispositivos na página 66
Página Editar URL
Adicione o endereço URL para o dispositivo selecionado.
Opção
Definição
URL
Digite o endereço do site do URL para este dispositivo.
Ícone Variável Se o endereço do URL que você inseriu inclui o endereço de um aplicativo de terceiros e
você precisa anexar variáveis ao endereço do URL representando os dados presentes
em eventos em fluxos, clique no local no endereço do URL onde a variável deve ser
inserida, clique no ícone variável e selecione a variável.
Exibir relatórios de resumo do dispositivo
Os relatórios de resumo do dispositivo mostram os tipos e o número de dispositivos no ESM e a última
vez que um evento foi recebido por cada um deles. Esses relatórios podem ser exportados no formato
de valores separados por vírgula (CSV).
Guia de produto
67
3
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Informações do sistema |
Exibir relatórios.
2
Exiba ou exporte a Contagem de tipos de dispositivo ou o relatório de Hora do evento.
3
Clique em OK.
Consulte também
Página Relatórios de resumo do dispositivo na página 68
Página Relatórios de resumo do dispositivo
Exiba e exporte relatórios sobre todos os dispositivos no sistema.
Opção
Definição
Contagem de tipos de dispositivo Exiba uma lista de tipos de dispositivos e quantos de cada tipo estão no
ESM.
Hora do evento
Exiba a última vez que um evento foi recebido por cada dispositivo no
ESM.
Exportar para CSV
Exporte um relatório no formato CSV contendo essas informações para o
local que você especificar.
Consulte também
Exibir relatórios de resumo do dispositivo na página 67
Exibir um registro do sistema ou dispositivo
Registros do sistema e do dispositivo mostram eventos que ocorreram nos dispositivos. Você pode
exibir a página de resumo, que mostra a contagem de eventos e a hora do primeiro e do último
evento no ESM ou no dispositivo ou exibir uma lista detalhada de eventos na página Registro do sistema
ou Registro do dispositivo.
Tarefa
Ajuda.
1
2
Exibir um resumo dos dados de evento:
•
Dados do sistema – Em Propriedades do sistema, clique em Registro do sistema.
•
Dados do dispositivo – Na página Propriedades do evento, clique em Registro do dispositivo.
Para exibir o registro de eventos, insira um intervalo de tempo e clique em Exibir.
A página Registro do sistema ou Registro do dispositivo lista todos os eventos gerados durante o intervalo de
tempo especificado.
Consulte também
Página
Página
Página
Página
68
Registro do sistema na página 69
Resumo do registro do sistema na página 69
Visualização do registro do dispositivo na página 69
Registro do dispositivo na página 70
Guia de produto
3
Página Registro do sistema
Exibe uma lista detalhada dos eventos e das alterações na configuração de segurança no ESM para o
período que você especificar.
Opção
Definição
Hora de início, Hora de término
Altere o período para a lista de eventos e clique em Atualizar.
Exportar
Clique para exportar partes de um registro completo para um arquivo
de texto simples. Você pode exportar um máximo de 50.000 registros
por vez.
Ícone de filtro na primeira
coluna (Status)
Selecione se você deseja exibir todos os eventos de registros, somente
os relacionados a status ou somente os não relacionados a status.
Eventos de registros relacionados a status são gerados nos
dispositivos individuais e são recuperados quando eventos, fluxos e
registros são obtidos do dispositivo.
Ícone de filtro nas colunas
Categoria, Nome e Nome do
dispositivo.
Clique para filtrar os eventos por categoria, nome do usuário ou
dispositivo.
Consulte também
Exibir um registro do sistema ou dispositivo na página 68
Página Resumo do registro do sistema
Exibe um resumo dos eventos gerados e todas as alterações nas configurações de segurança feitas no
ESM.
Opção
Definição
Contagem de eventos
Exibe o número de eventos gerados no sistema.
Primeiro evento
Exibe a hora em que o primeiro evento foi gerado.
Último evento
Exibe a hora em que o último evento foi gerado.
Hora de início, Hora de término Se você deseja ver uma lista detalhada de eventos, selecione o intervalo
de tempo que deseja exibir.
Exibir
Clique para abrir o Registro do sistema.
Consulte também
Página Visualização do registro do dispositivo
Exiba um resumo de todas as alterações feitas no dispositivo a partir do ESM.
Opção
Definição
Contagem de eventos
Número total de eventos que foram registrados no dispositivo.
Primeiro evento
Data e hora em que o primeiro evento de registro ocorreu.
Último evento
Data e hora em que o último evento de registro ocorreu.
Hora de início, Hora de término Se você desejar exibir eventos para um intervalo de tempo específico,
insira a hora de início e a hora de término nesses campos.
Exibir
Clique para exibir os eventos para o intervalo de tempo especificado.
Consulte também
Guia de produto
69
3
Página Registro do dispositivo
Exiba os detalhes dos eventos que ocorreram em um dispositivo no período especificado.
Opção
Definição
Hora de início, Hora de término
Defina o intervalo de tempo para os eventos que deseja exibir.
Atualizar
Clique para atualizar os dados na tabela.
Exportar
Clique para exportar os eventos listados no registro para um
arquivo de texto simples.
Ícones de filtro
da tabela
no cabeçalho
Clique nos ícones para filtrar os dados incluídos no registro. Cada
filtro fornecerá as opções de filtragem.
Consulte também
Relatórios de status de integridade do dispositivo
Sinalizadores de status de integridade nas cores branco (informativo), amarelo (inatividade ou status
aparecerão ao lado dos nós do sistema, grupo ou dispositivo
do dispositivo) ou vermelho (crítico)
na árvore de navegação do sistema quando um relatório de status de integridade estiver disponível.
70
Guia de produto
3
Ao clicar no sinalizador, a página Alertas de status do dispositivo fornecerá diferentes opções para exibir as
informações e resolver qualquer problema.
Um
sinalizador
neste tipo de
nó...
Abre...
Sistema ou
grupo
A página Resumo de alertas de status do dispositivo, que é um resumo dos alertas de status
para os dispositivos associados ao sistema ou grupo. Ela pode exibir os seguintes
alertas de status:
• Partição excluída — Uma tabela de banco de dados contendo os dados do evento,
fluxo ou registro atingiu o seu tamanho máximo e teve uma partição excluída para
adicionar espaço para novos registros. Dados de evento, fluxo e registro podem
ser exportados para evitar perdas permanentes.
• Espaço da unidade — Uma unidade de disco rígido está cheia ou com pouco espaço.
Isso pode incluir o disco rígido no ESM, ESM redundante ou ponto de montagem
remoto.
• Crítico — O dispositivo não está funcionando corretamente e deve ser corrigido.
• Aviso — Algo no dispositivo não está funcionando como deveria.
• Informativo — O dispositivo está funcionando corretamente, mas o nível de status do
dispositivo foi alterado.
• Fora de sincronização — As configurações do dispositivo virtual, origem de dados ou
servidor de banco de dados no ESM estão fora de sincronização em relação ao que
está no dispositivo.
• Renovado — A tabela de registros para este dispositivo ficou sem espaço e foi
renovada. Isso significa que os novos registros estão sobrescrevendo os antigos.
• Inativo — O dispositivo não gerou eventos ou fluxos durante o período limite de
inatividade.
• Desconhecido — O ESM não pôde se conectar ao dispositivo.
Você pode limpar os sinalizadores Partição excluída, Espaço da unidade, Renovado e Informativo
marcando as caixas junto aos sinalizadores e clicando em Limpar selecionados ou Limpar
tudo.
Dispositivo
A página Alertas de status do dispositivo, que contém botões para locais onde é possível
resolver o problema. Ela pode incluir os seguintes botões:
• Registro — A página Registro do sistema (para o ESM local) ou Registro do dispositivo exibe
um resumo de todas as ações que ocorreram no sistema ou dispositivo.
• Dispositivos virtuais, Origens de dados, Origens VA ou Servidores de banco de dados — Lista os
dispositivos desse tipo no sistema, permitindo que você verifique se há problemas.
• Inativo — A página Limite de inatividade exibe as configurações de limite para todos os
dispositivos. Esse sinalizador indica que o dispositivo não gerou um evento no
intervalo de tempo especificado.
Um sinalizador informativo aparece sempre que um subsistema recupera-se de um status de aviso ou
crítico. Segue uma descrição de cada tipo de sinalizador informativo.
Guia de produto
71
3
Status
Descrição e instruções
Modo de desvio
A Placa de rede (NIC) está no modo de desvio. Possíveis motivos
incluem a falha de um processo crítico do sistema, a configuração
manual do dispositivo para o modo de desvio ou outra falha. Para
retirar o dispositivo do modo de desvio, vá para Propriedades |
Configuração | Interfaces.
A inspeção de pacote
detalhada não está em
execução
A Inspeção detalhada de pacote (DPI) funcionou incorretamente. É
possível que isso se recupere sem intervenção. Caso contrário, reinicie
o dispositivo.
O programa de alertas do
firewall (ngulogd) não está
em execução
O Agregador de alerta do firewall (FAA) funcionou incorretamente. É
possível que isso se recupere sem intervenção. Caso contrário, reinicie
o dispositivo.
O banco de dados não está
em execução
O servidor McAfee Extreme Database (EDB) funcionou incorretamente.
Reiniciar o dispositivo pode resolver o problema, mas o banco de
dados pode precisar ser reconstruído.
Modo de excesso de
assinaturas
Se a rede monitorada estiver ocupada além da capacidade do IPS do
Nitro, os pacotes de rede podem não ser inspecionados. O monitor de
integridade gera um alerta indicando que o IPS do Nitro está com
excesso de assinaturas. Por padrão, o valor do modo de excesso de
assinaturas está definido para descarte. Para alterar o valor, navegue
até o Editor de políticas, clique em Variável no painel Tipos de regras, expanda
a variável packet_inspection e selecione Herdar para a variável
OVERSUBSCRIPTION _MODE. Aprovação e Descarte são permitidos para essa
variável.
O canal de controle não está O processo que oferece suporte ao canal de comunicação com o ESM
em execução
falhou. A reinicialização do dispositivo pode reparar o problema.
72
Os programas RDEP ou
Syslog não estão em
execução
Se houver um mau funcionamento no sistema que lida com as origens
de dados de terceiros (como syslog ou SNMP), um alerta crítico será
gerado. Um alerta de nível de aviso será gerado se o coletor não
receber dados da origem de dados de terceiros em determinado
período. Isso indica que a origem de dados pode estar desativada ou
não estar enviando dados para o Receptor conforme esperado.
O Monitor de integridade
não pôde se comunicar com
o programa controlador da
Inspeção de pacote
detalhada
O Monitor de integridade não pôde se comunicar com a Inspeção de
pacote detalhada para recuperar seu status. Isso pode significar que o
programa de controle não está em execução, e o tráfego de rede pode
não estar passando pelo IPS do Nitro. Reaplicar a política pode resolver
o problema.
O registrador do sistema
não está em execução
O registrador do sistema não está respondendo. A reinicialização do
dispositivo pode reparar o problema.
Pouco espaço livre na
partição do disco rígido
A quantidade de espaço livre em disco está criticamente baixa.
Alerta de velocidade do
ventilador
Os ventiladores estão girando muito devagar ou não estão
funcionando. Até que o ventilador possa ser substituído, mantenha o
dispositivo em um cômodo com ar condicionado para evitar danos.
Alerta de temperatura
A temperatura de componentes críticos está acima do limite. Mantenha
o dispositivo em um cômodo com ar condicionado para evitar danos
permanentes. Verifique se há algo bloqueando o fluxo de ar pelo
dispositivo.
Erros de rede
Existem erros de rede ou um excesso de colisões na rede. A causa
pode ser um grande domínio de colisão ou cabos de rede defeituosos.
Problema em um ponto de
montagem remoto
Há um problema em um ponto de montagem remoto.
Pouco espaço livre em disco
no ponto de montagem
remoto
Há pouco espaço livre em disco no ponto de montagem remoto.
Guia de produto
3
Status
Descrição e instruções
Todos os coletores da
origem de dados que não
receberam comunicação de
uma origem de dados por
pelo menos 10 minutos
O Receptor não recebeu comunicação de uma origem de dados por
pelo menos 10 minutos.
O coletor da origem de
dados não está em
execução
Existe um mau funcionamento no subsistema que lida com as origens
de dados de terceiros específicas (como syslog ou SNMP). O coletor
não recebeu dados da origem de dados de terceiros em determinado
período. A origem de dados pode estar desativada ou não estar
enviando dados para o Receptor conforme esperado.
O Monitor de integridade
não pôde obter um status
válido de um subsistema
O Monitor de integridade não obteve um status válido de um
subsistema.
Recuperação de um status
de aviso ou crítico de um
subsistema
Quando o monitor de integridade é iniciado e interrompido, um alerta
de informações é gerado. Se o monitor de integridade tiver problemas
na comunicação com outros subsistemas nos dispositivos, um alerta
também será gerado. A exibição do registro de eventos pode fornecer
detalhes sobre as causas dos alertas de aviso e críticos.
Excluir um grupo ou um dispositivo
Quando um dispositivo não fizer mais parte do sistema ou um grupo não for mais usado, os exclua da
árvore de navegação do sistema.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, destaque o dispositivo ou grupo que deseja excluir e clique no
ícone Excluir na barra de ferramentas ações.
2
Quando for solicitado a confirmar, clique em OK.
Atualizar dispositivos
É possível atualizar os dispositivos no sistema manualmente para que as informações que eles contêm
correspondam às existentes no ESM.
•
Na barra de ferramentas de ações, clique no ícone Atualizar dispositivos
.
Conecte dispositivos físicos e virtuais ao McAfee ESM para permitir perícias em tempo real,
monitoramento de bancos de dados e aplicativos, correlações avançadas baseadas em regras e riscos
e geração de relatórios de conformidade.
Consulte também
Página Configuração do dispositivo na página 74
Conteúdo
Página Configuração do dispositivo
Event Receiver
Configurações do Enterprise Log Manager (ELM)
Configurações do Advanced Correlation Engine (ACE)
Guia de produto
73
3
Configurações
Configurações
Configurações
Configurações
Configurações
Configurações
Configurações
do
do
do
do
do
do
do
Application Data Monitor (ADM)
Database Event Monitor (DEM)
DESM (ESM distribuído)
ePolicy Orchestrator
Nitro Intrusion Prevention System (Nitro IPS)
McAfee Vulnerability Manager
McAfee Network Security Manager
Página Configuração do dispositivo
Defina configurações de dispositivo e aplique-as ao dispositivo. As configurações disponíveis variam
com base no tipo de dispositivo.
Opção
Definição
Configurações de ACL
Defina as configurações de controle de acesso para limitar o acesso ao
dispositivo.
Configurações avançadas do Defina configurações para registros do DEM.
DEM
74
Aplicar
Clique para gravar as definições de configuração no DEM.
Compactação
Defina o nível de compactação a ser aplicado a todos os dados que entrarem
no ELM.
Dados
Selecione o tipo de dados a serem enviados do ESM para o dispositivo.
Arquivamento de dados
Configure o Receptor para encaminhar um backup dos dados brutos para o
seu dispositivo de armazenamento para armazenamento de longa duração.
IP do ELM
Se você escolheu enviar os dados do dispositivo para o ELM, pode atualizar o
endereço IP para o ELM ao qual o dispositivo está vinculado.
Fluxo
Ative ou desative o registro em log de dados do fluxo.
Interface
Configure as interfaces de rede para o dispositivo com o ESM.
Licença
Exiba e atualize as informações de licenças do DEM.
Registro
Se você tem um dispositivo ELM em seu sistema, defina a lista de registro
padrão para o dispositivo se desejar que os dados recebidos sejam enviados
para o ELM.
Migrar BD
Em um dispositivo ELM, configure um local alternativo para armazenar os
registros gerados.
Configurações de NTP
(Network Time Protocol)
Sincronize a hora do dispositivo com um servidor NTP.
Senhas
Se a regra para o evento cujos dados de sessão você está exibindo for
relacionada a senha, selecione se você deseja que a senha relacionada ao
evento seja exibida na Visualização de sessão.
Restaurar configuração
Restaure o arquivo de configuração do dispositivo salvo durante o processo
de backup do ESM. Esse backup inclui SSH, Rede, SNMP e outros
arquivos .conf.
Interceptações de SNMP
Configure as interceptações de SNMP geradas pelo dispositivo.
Sincronizar dispositivo
Sincronize as configurações da origem de dados ou do dispositivo virtual com
as do ESM. Se estiver sincronizando um Receptor, os dispositivos
dependentes no Receptor também serão adicionados como dispositivos no
McAfee ESM.
Sincronizar ELM
Se você escolheu enviar os dados deste dispositivo para o ELM, sincronize o
ELM com o dispositivo.
Guia de produto
3
Opção
Definição
Arquivos de sincronização
Clique para sincronizar todos os arquivos de configuração de DEM.
Fuso horário
Configure o ADM para o seu fuso horário.
Consulte também
Configuração de dispositivos na página 73
Event Receiver
O Event Receiver possibilita a coleta de eventos de segurança e dados de fluxo da rede de origens de
vários fornecedores, incluindo firewalls, VPNs (redes virtuais privadas), roteadores, IPS/detecção de
intrusão do Nitro, NetFlow, sFlow e outros.
O Event Receiver possibilita a coleta de dados e os normaliza em uma solução única e gerenciável. Dessa
forma, você tem uma exibição única dos dispositivos de vários fornecedores, como Cisco, Check Point,
Juniper. Além disso, é possível coletar dados de fluxo e eventos em dispositivos IPS do Nitro e
roteadores que enviam feeds de dados ao Receiver.
Os Receivers de alta disponibilidade (Receiver de HA) podem ser usados em modo primário e
secundário, atuando como backups um do outro. O Receiver secundário (B) monitora o Receiver
primário (A) de forma contínua, e novas configurações ou informações sobre a política são enviadas
aos dois dispositivos. Quando o Receiver B determina que houve uma falha no Receiver A, o primeiro
desconecta a placa de rede da origem de dados do Receiver A da rede e assume o posto de novo
primário. Ele permanece como primário até que haja intervenção manual para restaurar o Receiver A
como primário.
Consulte também
Exibir eventos de streaming na página 75
Receivers de alta disponibilidade na página 76
Arquivamento de dados brutos do Receptor na página 87
Exibir eventos de streaming
O Visualizador de streaming exibe uma lista de eventos à medida que eles são gerados pelo McAfee ePO,
McAfee Network Security Manager, Receptor, origem de dados, origem de dados filho ou cliente
selecionado. É possível filtrar a lista e selecionar um evento para uma exibição.
®
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione o dispositivo que você precisa exibir e clique no
ícone Exibir eventos de streaming
2
Clique em Iniciar para começar o streaming e em Interromper para interrompê-lo.
3
Selecione uma das ações disponíveis no visualizador.
4
Clique em Fechar.
Consulte também
Página Visualizador de streaming na página 76
Guia de produto
75
3
Página Visualizador de streaming
®
Exiba um fluxo dos eventos gerados pelo McAfee ePO, McAfee Network Security Manager, Receptor,
origem de dados, origem de dados filho ou cliente selecionado.
Opção
Definição
Iniciar
Inicie o streaming.
Interromper
Interrompa o streaming.
Tabela
Exibir os eventos à medida que entram no dispositivo.
Seção Pacote
Exiba os detalhes sobre o evento selecionado.
Ícone Filtros
Para filtrar os eventos à medida que são gerados, clique e insira as informações
que deseja filtrar. Somente os eventos correspondentes aos filtros serão exibidos.
Ícone Colunas
Altere as colunas exibidas na tabela de streaming.
Ícone Limpar tudo
Limpe a lista atual de eventos.
Ícone Iniciar exibição Exiba o evento selecionado em uma exibição. Para vê-lo, feche o visualizador. O
evento aparece na seção de exibições do console.
Consulte também
Exibir eventos de streaming na página 75
Receivers de alta disponibilidade
Os Receivers de alta disponibilidade são usados no modo primário e secundário para que o secundário
possa assumir o controle rapidamente quando o primário falhar. Isso permite uma continuidade na
coleta de dados melhor do que a fornecida por um único Receiver.
O recurso Receivers de alta disponibilidade está fora de conformidade com o FIPS. Se for necessária a
conformidade com as normas FIPS, não use esse recurso.
Essa configuração consiste em dois Receivers, um agindo como o primário ou primário de preferência
e o outro como secundário. O Receiver secundário monitora o primário continuamente. Quando o
secundário observa que o primário falhou, ele interrompe as operações do primário e assume sua
função.
Quando o primário é reparado, ele se torna secundário ou volta a ser o primário. Isso é determinado
pela opção selecionada no campo Dispositivo primário de preferência na guia Receiver de HA (consulte Instalar
dispositivos Receiver de HA.
Os seguintes modelos de Receiver podem ser comprados com a função de alta disponibilidade:
•
ERC-1225-HA
•
ERC-1250-HA
•
ERC-2230-HA
•
ERC-1260-HA
•
ERC-2250-HA
•
ERC-2600-HA
•
ERC-4245-HA
•
ERC-4600-HA
•
ERC-4500-HA
Esses modelos incluem uma porta IPMI (Intelligent Platform Management Interface) e pelo menos
quatro NICs, que são necessários para a funcionalidade de HA (consulte Portas de rede no
Receptor-HA).
76
Guia de produto
3
Os cartões IPMI encerram o receptor que falhou, o que elimina a possibilidade de ambos os NICs DS
usarem o MAC e o IP compartilhado simultaneamente. Os cartões IPMI conectam-se por um cabo
cruzado ou direto ao outro Receptor. Os Receptores conectam-se por um cabo cruzado ou direto ao
NIC de pulsação. Existe um NIC de gerenciamento para comunicação com o ESM, e um NIC da origem
de dados para coleta de dados.
Quando o Receptor primário é executado corretamente e o Receptor secundário está no modo
secundário, ocorre o seguinte:
•
Os Receptores se comunicam constantemente por meio do NIC de pulsação dedicado e do NIC de
gerenciamento.
•
Todos os certificados recebidos, como OPSEC ou Estreamer, são passados para o outro Receptor.
•
Todas as origens de dados usam o NIC da origem de dados.
•
Cada Receptor monitora e relata sua própria integridade. Isso inclui itens de integridade interna,
como erros de disco, congelamentos de banco de dados e links perdidos nos NICs.
•
O ESM se comunica com os receptores periodicamente para determinar seu status e integridade.
•
Toda informação nova sobre configuração é enviada aos Receptores primário e secundário.
•
O ESM envia a política aos Receptores primário e secundário.
•
Interromper/Reinicializar/Terminal/Call Home aplicam-se a cada receptor de forma independente.
As seções a seguir descrevem o que ocorre quando a HA do receptor está com problemas.
Falha do Receptor primário
A determinação da falha do Receptor primário é responsabilidade do Receptor secundário. Ele precisa
determinar essa falha com rapidez e precisão a fim de minimizar a perda de dados. Durante a
recuperação de falhas, todos os últimos dados enviados pelo primário ao ESM e ao ELM se perdem. O
volume de dados perdidos depende da taxa de transferência de dados do Receptor e da taxa do ESM
para efetuar pull dos dados no Receptor. Esses processos concorrentes devem ser cuidadosamente
balanceados para otimizar a disponibilidade dos dados.
Quando o Receptor primário falha completamente (perda de energia, falha de CPU), não ocorre
comunicação de pulsação com o Receptor primário. O corosync reconhece a perda de comunicação e
marca a falha do Receptor primário. O pacemaker no Receptor secundário solicita que o cartão IPMI
no Receptor primário encerre o Receptor primário. O Receptor secundário deduz, então, o endereço
MAC e IP compartilhado e inicia todos os coletores.
Falha do Receptor secundário
O processo de falha do secundário ocorre quando o Receptor secundário deixa de responder à
comunicação de pulsação. Isso significa que o sistema não conseguiu se comunicar com o Receptor
secundário depois de tentar fazê-lo durante um tempo usando as interfaces de gerenciamento e
pulsação.
Se o primário não conseguir obter sinais de pulsação e integridade, o corosync marca a falha do
secundário e o pacemaker utiliza o cartão IPMI secundário para encerrá-lo.
Problema de integridade do primário
A integridade do Receptor primário pode ser gravemente prejudicada. Integridade gravemente
prejudicada inclui um banco de dados que não responde, a interface de uma origem de dados que
para de responder e erros de disco excessivos.
Guia de produto
77
3
Quando o Receptor primário detecta um alerta de healthmon dessas condições, ele termina os
processos do corosync e do pacemaker e configura um alerta de healthmon. O término desses
processos provoca a transferência das tarefas de coleta de dados para o Receptor secundário.
Problema de integridade do secundário
Quando a integridade do Receptor secundário fica gravemente prejudicada, ocorre o seguinte:
•
O Receptor secundário relata problemas de integridade ao ESM quando consultado e termina os
processos do corosync e pacemaker.
•
Se o Receiver secundário ainda integrar o cluster, ele se retirará do cluster e ficará indisponível em
caso de falha do Receiver primário.
•
O problema de integridade será analisado e haverá tentativa de reparo.
•
Se o problema de integridade for solucionado, o Receptor voltará a funcionar normalmente usando
o procedimento Retomar serviço.
•
Se o problema de integridade não for solucionado, o processo Substituir Receiver com falha será
iniciado.
Retomada de serviço
Quando um Receiver volta a funcionar após uma falha (por exemplo, reinicia após uma queda de
energia, reparo de hardware ou reparo de rede), ocorre o seguinte:
•
Os Receivers em modo de alta disponibilidade não começam a coletar dados no momento da
inicialização. Eles ficam no modo secundário até que sejam definidos como primários.
•
O dispositivo primário de preferência assume a função de primário e começa a usar o IP
compartilhado da origem de dados para coletar dados. Se não houver dispositivo primário de
preferência, o dispositivo que estiver como primário no momento começará a usar a origem de
dados compartilhada e a coletar dados.
Para obter detalhes referentes a esse processo, consulte Substituir Receiver com falha.
Upgrade do Receptor-HA
O processo de upgrade do Receptor-HA faz upgrade dos dois receptores em sequência, começando
pelo receptor secundário. Isso ocorre da seguinte forma:
1
O arquivo tarball resultante ao fazer upgrade é carregado no ESM e aplicado ao receptor
secundário.
2
Para alternar a função dos Receptores primário e secundário, use o processo Alternar funções do
Receptor-HA. Assim, o Receptor que passou por upgrade se torna o Receptor primário e o que não
passou por upgrade se torna secundário.
3
O tarball resultante após fazer upgrade é aplicado ao novo receptor secundário.
4
É possível alternar novamente a função dos Receptores primário e secundário usando o processo
Alternar funções do Receptor-HA, de modo que as funções do Receptor original são adotadas
novamente.
Ao fazer upgrade, é melhor não ter um Receiver primário de preferência. Consulte
Se o seu Receiver de HA for configurado com um primário de preferência, é melhor alterar a
configuração antes de fazer o upgrade. Na guia Receiver de HA (consulte Instalar dispositivos Receiver de
HA), selecione Nenhum no campo Dispositivo primário de preferência. Isso permite que você use a opção
Recuperação de falhas, que não fica disponível com uma configuração primária de preferência. Após o
upgrade dos dois Receivers, você poderá aplicar a configuração primária de preferência novamente.
78
Guia de produto
3
Consulte também
Instalar dispositivos Receptor-HA na página 80
Reinicializar o dispositivo secundário na página 81
Configurar HA do receptor com IPv6 na página 81
Redefinir dispositivos HA na página 82
Alternar as funções do Receptor-HA na página 83
Fazer upgrade de Receptores HA na página 84
Verificar o status do Receptor HA na página 85
Substituir Receptor com falha na página 86
Solução de problemas em um Receptor com falha na página 87
Portas de rede em Receptores-HA
Estes diagramas mostram como conectar as portas de rede a um Receptor-HA.
Estabelecer conexão entre receptores de HA 1U
Guia de produto
79
3
Estabelecer conexão entre receptores de HA 2U
Instalar dispositivos Receptor-HA
Defina as configurações dos dispositivos Receptor-HA.
Antes de iniciar
Adicione o Receptor que atua como o dispositivo primário (consulte Adicionar dispositivos
ao console do ESM). Deve haver três ou mais NICS.
O recurso Receivers de alta disponibilidade está fora de conformidade com o FIPS. Se for
necessária a conformidade com as normas FIPS, não use esse recurso.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione o Receptor que será o dispositivo primário e clique
no ícone Propriedades
2
80
.
Clique em Configuração do receptor e em Interface.
Guia de produto
3
Clique na guia Receptor HA e selecione Instalar alta disponibilidade.
4
Preencha as informações solicitadas e clique em OK.
3
É iniciado o processo que codifica o segundo Receptor, atualiza o banco de dados, aplica
globals.conf e sincroniza os dois Receptores.
Consulte também
Reinicializar o dispositivo secundário
Se, por algum motivo, o Receptor secundário sair de serviço, reinstale-o e reinicialize-o em seguida.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do Receptor para o Receptor primário e
clique em Configuração do receptor | Interface | Receptor HA.
2
Confira se o endereço IP correto está no campo IP de gerenciamento secundário.
3
Clique em Reinicializar secundário.
O ESM executa os procedimentos necessários para reinicializar o Receptor.
Consulte também
Configurar HA do receptor com IPv6
Siga este processo para configurar alta disponibilidade com IPV6, pois não é possível configurar o
endereço de IPv6 manualmente usando o LCD.
Antes de iniciar
•
Verifique se o ESM está usando IPv6, de forma manual ou automática (Propriedades do
sistema | Configurações de rede).
•
Saiba qual é o endereço IP compartilhado, que o administrador da rede cria.
Guia de produto
81
3
Tarefa
Ajuda.
1
2
Nos dois Receptores do par de HA:
a
Ligue o Receptor, depois ative o IPv6 usando o LCD.
b
Navegue para Config. ger. IP | Ger. 1 | IPv6 e anote o endereço IP de gerenciamento. Isso pode levar
um tempo em função da latência de rede.
Adicione um desses Receptores ao ESM (consulte Adicionar dispositivos ao console do ESM).
•
Nome – Nome do par de HA.
•
Endereço IP de destino ou URL – Endereço IPv6 de gerenciamento do Receptor de HA, que você
anotou.
3
Selecione o dispositivo recém-adicionado na árvore de navegação do sistema e clique em
Propriedades do receptor | Configuração do receptor | Interface.
4
No campo Modo IPv6, selecione Manual (o único modo com suporte para HA).
5
Clique em Configuração ao lado da interface número 1, digite o endereço IP compartilhado no campo
IPv6 e clique em OK.
Esse endereço é atribuído à interface compartilhada durante a configuração de HA. Se isso não for
feito, a HA não fará failover corretamente.
6
Em Propriedades do receptor, clique em Conexão, insira o endereço IPv6 compartilhado em Endereço IP/Nome
de destino e clique em OK.
7
Continue com o processo de configuração de HA apresentado em Configurar dispositivos de HA do
receptor.
Consulte também
Redefinir dispositivos HA
Se você precisar redefinir os Receptores HA para que retornem ao estado antes de terem sido
configurados como dispositivos HÁ, poderá fazê-lo no console ESM ou, se a comunicação com o
Receptor falhar, no menu LCD.
•
82
Guia de produto
3
Para...
Faça isto...
Redefinir um
Receptor no
console do ESM
1 Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique
em Configuração do receptor | Interface.
2 Desmarque a opção Instalar alta disponibilidade e clique em OK.
3 Clique em Sim na página de aviso e em Fechar.
Ambos os Receptores reiniciam após um tempo limite de cerca de cinco
minutos, retornando os endereços MAC para seus valores originais.
Redefinir o
Receptor primário
ou secundário no
menu LCD
1 No menu LDC do Receptor, pressione X.
2 Pressione a seta até a opção Desativar HA ser exibida.
3 Pressione a seta da direita uma vez para exibir Desativar primário na tela LCD.
4 Para redefinir o Receptor primário, pressione a marca de seleção.
5 Para redefinir o Receptor secundário, pressione a seta para baixo uma vez e
depois a marca de seleção.
Consulte também
Alternar as funções do Receptor-HA
O processo de alternância iniciado pelo usuário permite alternar as funções dos Receptores primário e
secundário.
Talvez você precise fazer isso ao fazer upgrade de um Receptor, preparar um Receptor para ser
devolvido ao fabricante ou mover os cabos de um Receptor. Essa alternância minimiza o volume de
dados perdidos.
Se um coletor (incluindo o dispositivo McAfee ePO) estiver associado a um Receptor-HA e o
Receptor-HA falhar, o coletor não poderá se comunicar com o Receptor-HA até que as alternâncias entre
os dois associe o novo endereço MAC do Receptor com falha ao endereço IP compartilhado. Isso pode
levar de alguns minutos a alguns dias, dependendo da configuração de rede atual.
Guia de produto
83
3
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione o dispositivo do Receptor-HA e clique no ícone
Propriedades
2
.
Selecione Alta disponibilidade | Recuperação de falhas. Ocorre o seguinte:
•
O ESM instrui o Receptor secundário a começar a usar o IP da origem de dados compartilhado e
a coletar dados.
•
O Receptor secundário emite um comando CRM (Cluster Resource Manager) para alternar o IP
compartilhado e o MAC, e inicia os coletores.
•
O ESM faz pull de todos os dados de fluxo e alerta no Receptor primário.
•
O ESM marca o Receptor secundário como o primário e o primário como o secundário.
Consulte também
Fazer upgrade de Receptores HA
O processo de upgrade do Receptor-HA faz o upgrade dos dois receptores em sequência, começando
pelo Receptor secundário.
Antes de iniciar o upgrade, execute o processo de Verificar o status de alta disponibilidade do Receptor
para se certificar de que os dispositivos dos Receptores-HA estejam prontos para o upgrade. Se esse
procedimento não for seguido, poderão ocorrer problemas de inatividade e de upgrade com o
dispositivo.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione o dispositivo do Receptor-HA e clique no ícone
Propriedades
2
.
Faça upgrade do Receptor secundário:
a
Clique em Gerenciamento do receptor e em Secundário.
b
Clique em Atualizar dispositivo, selecione ou procure o arquivo que deseja usar e clique em OK.
O Receptor é reiniciado, e a versão do software é atualizada.
84
c
Em Propriedades do Receptor, clique em Alta disponibilidade | Retomar serviço.
d
Selecione o Receptor secundário e clique em OK.
Guia de produto
3
Altere o Receptor secundário para primário clicando em Alta disponibilidade | Recuperação de falhas.
4
Repita a etapa 2 para fazer upgrade do novo Receptor secundário.
3
Consulte também
Verificar o status do Receptor HA
Determine o status de um par de Receptores HA antes de fazer upgrade.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione o dispositivo Receptor-HA primário e clique no ícone
Propriedades
.
2
Nos campos Status e Status secundário, verifique se o status é OK; Status HA: on-line.
3
Garanta Shell ou SSH para cada Receptor HA e execute o comando ha_status na interface de linha
de comando nos dois Receptores. As informações resultantes mostram o status deste Receptor e
como ele interpreta o status do outro Receptor. Assemelha-se ao seguinte:
OK
hostname=McAfee1
mode=primary
McAfee1=online
McAfee2=online
sharedIP=McAfee1
stonith=McAfee2
corosync=running
hi_bit=no
4
Verifique o seguinte nas informações acima:
•
A primeira linha da resposta é OK.
•
Hostname corresponde ao nome do host na linha de comando menos o número do modelo do
Receptor.
Guia de produto
85
3
•
Mode será primary (primário) se o valor de sharedIP for o nome do host deste Receptor. Se não
for, trata-se do modo secundário.
•
As próximas duas linhas mostram os nomes do host dos Receptores no par de HA e o status em
execução de cada Receptor. O status de ambos é online.
•
corosync= mostra o status da execução de corosync, que deve ser running (em execução).
•
hi_bit é no (não) em um Receptor e yes (sim) no outro. Não importa qual seja qual.
Certifique-se de que somente um dos Receptores HA esteja definido com o valor hi_bit. Se os
dois Receptores HA estiverem definidos com o mesmo valor, entre em contato com o Suporte da
McAfee antes de fazer upgrade para corrigir esse erro de configuração.
5
Garanta Shell ou SSH para cada Receptor HA e execute o comando ifconfig na interface de linha
de comando nos dois Receptores.
6
Verifique o seguinte nos dados gerados:
•
Os endereços MAC em eth0 e eth1 são únicos nos dois Receptores.
•
O Receptor primário tem o endereço IP compartilhado em eth1 e o Receptor secundário não tem
qualquer endereço IP em eth1.
Se os dois Receptores HA estiverem definidos com o mesmo valor, entre em contato com o
suporte da McAfee antes de fazer upgrade para corrigir esse erro de configuração.
Essa verificação garante a funcionalidade do sistema e que não existam endereços IP duplicados, o
que significa que pode ser feito o upgrade dos dispositivos.
Consulte também
Substituir Receptor com falha
Se um Receptor secundário tiver algum problema de integridade que não possa ser solucionado, talvez
seja necessário substituir o Receptor. Quando você receber o novo Receptor, instale-o seguindo os
procedimentos no Guia de configuração e instalação do McAfee ESM . Depois que os endereços IP
forem definidos e os cabos conectados, você poderá retornar o Receptor ao cluster de HA.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do Receptor para o Receptor HA e clique em
Configuração do receptor | Interface.
2
Clique na guia Receptor HA e verifique se a opção Instalar alta disponibilidade está marcada.
3
Verifique se os endereços IP estão corretos e clique em Reinicializar secundário.
O novo Receptor é colocado no cluster e o modo HA é ativado.
86
Guia de produto
3
Consulte também
Solução de problemas em um Receptor com falha
Se um Receptor em uma instalação de HA é desativado por algum motivo, a gravação das origens de
dados, configurações globais, configurações de agregação e outras, parecem falhar e uma mensagem
de erro de SSH é exibida.
Na verdade, as configurações são distribuídas no Receptor que ainda está funcionando. Porém, uma
mensagem de erro é exibida porque ele não consegue sincronizar com o Receptor que está inativo. A
política, entretanto, não é distribuída. Nessa situação, você tem as seguintes opções:
•
Aguardar para distribuir a política até um Receptor secundário estar disponível e sincronizado.
•
Remover o Receptor do modo HA, o que gera dois a cinco minutos de inatividade do cluster de HA,
o que impede a coleta de eventos.
Consulte também
Arquivamento de dados brutos do Receptor
Configure o Receptor para encaminhar um backup dos dados brutos para seu dispositivo de
armazenamento para um armazenamento de longa duração.
Os três tipos de armazenamento aceitos pelo ESM são SMB/CIFS (Server Message Block/Common
Internet File System), NFS (Network File System) e Encaminhamento syslog. SMB/CIFS e NFS
armazenam, na forma de arquivos de dados, um backup de todos os dados brutos enviados ao
Receiver por origens de dados que utilizam os protocolos de e-mail, estream, http, SNMP, SQL, syslog
e agentes remotos. Os arquivos de dados são enviados para o arquivo a cada cinco minutos. O
Encaminhamento syslog envia os dados brutos para os protocolos syslog como um fluxo contínuo de
syslogs combinados para o dispositivo configurado na seção Encaminhamento syslog da página Configurações
de arquivamento de dados. O Receiver pode encaminhar para somente um tipo de armazenamento por vez.
Você pode configurar os três tipos, mas somente um poderá ser ativado para arquivar dados.
Esse recurso não é compatível com os tipos de origem de dados de Netflow, sflow e IPFIX.
Consulte também
Definir configurações de arquivo na página 88
Guia de produto
87
3
Definir configurações de arquivo
Para armazenar dados brutos de mensagens syslog, é necessário definir as configurações usadas pelo
Receptor para arquivamento.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Configuração do
receptor | Arquivamento de dados.
2
Selecione o tipo de compartilhamento e insira as informações solicitadas.
A porta 445 precisa ser aberta no sistema com o compartilhamento CIFS para possibilitar uma
conexão do compartilhamento CIFS. Da mesma forma, a porta 135 precisa ser aberta no sistema
com o compartilhamento SMB para que uma conexão SMB seja estabelecida.
3
Quando estiver pronto para aplicar as alterações ao dispositivo Receptor, clique em OK.
Consulte também
Arquivamento de dados brutos do Receptor na página 87
Página Configurações de arquivamento de dados na página 88
Página Configurações de arquivamento de dados
Defina as configurações usadas pelo Receptor para arquivamento.
Tabela 3-32 Definições da opção de compartilhamento SMB/CIFS
Opção
Definição
Tipo de compartilhamento
Selecione o tipo de compartilhamento SMB ou CIFS.
Endereço IP
Digite o endereço IP do compartilhamento.
Nome do compartilhamento Digite o nome do compartilhamento.
Caminho
Digite o subdiretório no compartilhamento, onde os dados arquivados devem
ser armazenados (por exemplo, TMP/Storage). Se o armazenamento estiver
no diretório raiz do compartilhamento, nenhum caminho é necessário.
Nome de usuário e Senha
Digite um nome do usuário válido para conectar-se ao armazenamento, e a
senha da conta de usuário que está sendo usada na conexão com o
compartilhamento.
Não utilize vírgulas na senha ao se conectar a um compartilhamento SMB/
CIFS.
Conectar
Clique para testar a conexão.
Tabela 3-33 Definições da opção de compartilhamento NFS
Opção
Definição
Endereço IP
Digite o endereço IP e o nome do ponto de montagem.
Ponto de montagem Digite o nome do ponto de montagem.
88
Caminho
Digite o subdiretório no compartilhamento, onde os dados arquivados devem ser
armazenados (por exemplo, TMP/Storage). Se o armazenamento estiver no diretório
raiz do compartilhamento, nenhum caminho é necessário.
Conectar
Guia de produto
3
Tabela 3-34 Definições da opção de compartilhamento Encaminhamento syslog
Opção
Definição
Endereço IPv4 ou Endereço IPv6 Digite o endereço IP do servidor syslog para o qual o fluxo de dados deve
ser encaminhado.
Caminho IPv4 ou Caminho IPv6
Insira a porta do servidor syslog para a qual o fluxo de dados deve ser
encaminhado.
Consulte também
Definir configurações de arquivo na página 88
Exibir eventos de origem para evento de correlação
É possível exibir os eventos de origem para um evento de correlação na exibição Análise de evento.
Antes de iniciar
Uma origem de dados de correlação já deve existir no ESM (consulte Origem de dados de
correlação e Adicionar uma origem de dados).
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, expanda o Receptor e clique em Mecanismo de correlação.
2
Na lista de exibição, clique em Exibições de eventos e selecione Análise de evento.
3
Na exibição Análise de evento, clique no sinal de mais (+) na primeira coluna ao lado do evento de
correlação.
Aparecerá um sinal de mais somente se o evento de correlação tiver eventos de origem.
Os eventos de origem são listados no evento de correlação.
Exibir estatísticas de taxa de transferência do Receiver
Exiba as estatísticas de uso do Receiver, que incluem as taxas de origem de dados (análise) de saída
dos últimos 10 minutos, da última hora e das últimas 24 horas.
Antes de iniciar
Verifique se você tem o privilégio de Gerenciamento de dispositivos.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione um Receiver e clique no ícone Propriedades
2
Clique em Gerenciamento do Receiver | Exibir estatísticas | Taxa de transferência.
3
Exiba as estatísticas do Receiver.
.
Se as taxas de entrada ultrapassarem a taxa de saída em 15 por cento, o sistema sinalizará essa
linha como crítico (nas últimas 24 horas) ou como aviso (na última hora).
Guia de produto
89
3
4
Filtre a origem de dados selecionando as opções Tudo, Crítico ou Aviso.
5
Selecione a unidade de medição para exibir a métrica em número de kilobytes (KBs) ou número de
registros.
6
Para atualizar os dados automaticamente a cada 10 segundos, marque a caixa de seleção Atualização
automática .
7
Classifique os dados clicando no título da coluna relevante.
Origens de dados do Receptor
O McAfee Event Receiver possibilita a coleta de eventos de segurança e dados de fluxo da rede de
origens de vários fornecedores, incluindo firewalls, VPNs (redes virtuais privadas), roteadores, IPS/
detecção de intrusão do Nitro, NetFlow, sFlow e outros. As origens de dados são usadas para controlar
como os dados de registro e eventos são coletados pelo Receptor. É preciso adicionar origens de dados
e definir suas configurações para que possam coletar os dados necessários.
A página Origens de dados é o ponto de partida para gerenciar origens de dados do dispositivo Receptor. É
um meio de você adicionar, editar e excluir origens de dados, além de importá-las, exportá-las e
migrá-las. Você também pode adicionar origens de dados filho e cliente.
Consulte também
Adicionar uma origem de dados na página 90
Selecione o método de coleta de origem de dados Coletar arquivo(s) de cauda na página 126
Definir linha de registro padrão na página 55
Gerenciar origens de dados na página 94
Definir formato de data para origens de dados na página 108
Importar uma lista de origens de dados na página 111
Mover origens de dados para outro sistema na página 124
Exibir os arquivos gerados pelas origens de dados na página 127
Adicionar uma origem de dados
Defina as configurações das origens de dados que precisam ser adicionadas ao Receptor para a coleta
de dados.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione o Receptor ao qual deseja adicionar a origem de
dados e clique no ícone de Propriedades
.
2
Em Propriedades do Receptor, clique em Origens de dados | Adicionar.
3
Selecione o fornecedor e o modelo.
Os campos a serem preenchidos dependem de suas seleções.
4
A origem de dados é adicionada à lista de origens de dados do Receptor, bem como à árvore de
navegação do sistema no Receptor selecionado.
90
Guia de produto
3
Consulte também
Página Adicionar origem de dados na página 92
Página Origens de dados na página 91
Página Renomear tipo de atribuição de regra definida pelo usuário na página 93
Página Origens de dados
Defina as configurações de todas as origens de dados no Receptor.
Opção
Definição
Tabela de origens
de dados
Exiba as origens de dados existentes no sistema, se elas tiverem clientes, e
que tipo de origem de dados elas são. Além disso, ela mostra se o Receptor
processará os dados dessa origem de dados e de que maneira os processará.
As opções são:
• Análise — Os dados coletados são analisados e inseridos no banco de dados.
• Registro em log — Os dados são enviados ao ELM. Eles somente estarão
disponíveis quando há um dispositivo ELM no sistema.
• Interceptação SNMP — A origem de dados aceita as interceptações padrão SNMP
de qualquer dispositivo de rede gerenciável que tenha a capacidade de enviar
interceptações SNMP. As interceptações padrão são: falha de autenticação,
inicialização a frio, perda de vizinho EGP, vincular, desvincular e inicialização a
quente. Assim que as interceptações são recebidas, um evento é gerado para
a origem de dados.
Se for necessário enviar ou receber interceptações SNMP via IPv6, você terá
que formular o endereço IPv6 como um endereço de conversão IPv4. Por
exemplo, a conversão de 10.0.2.84 em IPv6 teria a seguinte forma:
2001:470:B:654:0:0:10.0.2.84 ou 2001:470:B:654::A000:0254.
É possível alterar essas configurações na tabela marcando-as e
desmarcando-as. Você também pode adicionar uma lista de armazenamento ou
um perfil SNMP clicando nos ícones de Registro
ou SNMP
.
Adicionar
Adicione uma nova origem de dados ao Receptor.
Adicionar filho
Adicione origens de dados filho a uma origem de dados já existente. Isso ajuda
a organizar as origens de dados.
Clientes
Adicione origens de dados clientes, que ampliam o número de origens de dados
permitidas em um Receptor.
Editar
Efetue alterações nas configurações da origem de dados selecionada.
Remover
Exclua a origem de dados selecionada.
Importar
Importe uma lista de origens de dados salvas no formato .csv (consulte
Importar uma lista de origens de dados).
Exportar
Exporte uma lista das origens de dados no sistema.
Migrar
Realocar ou redistribuir as origens de dados entre os receptores.
Avançado
Faça upload ou exiba uma definição de origem de dados personalizada.
Guia de produto
91
3
Opção
Definição
Aprender
automaticamente
Configure o Receptor para que aprenda os endereços IP desconhecidos
automaticamente.
Renomear
Altere os nomes das entradas de origem de dados definidas pelo usuário.
Fazer upload
Faça upload de um arquivo da origem de dados selecionada. Esta opção é
somente para syslog.
Gravar
Grave as alterações efetuadas nas configurações da origem de dados no
Receptor.
Consulte também
Página Adicionar origem de dados
As origens de dados são usadas para controlar como os dados de log e eventos são coletados pelo
Receptor. Você deve adicionar as origens de dados e definir as configurações para que elas possam
coletar os dados necessários.
Opção
Definição
Usar perfis de sistema Selecione se desejar usar um perfil para configurar a origem de dados. Somente
os dispositivos baseados no protocolo SNMP e syslog podem ser previamente
preenchidos com configurações de um perfil.
Fornecedor da origem Selecione o fornecedor e o modelo desta origem de dados.
de dados, Modelo da Se você estiver adicionando uma origem de dados de analisador avançado de
origem de dados
syslog (ASP) que gere dados com codificação diferente de UTF-8, selecione Genérico
como fornecedor e Analisador avançado de syslog como modelo.
Formato de dados
Selecione o método de análise.
Recuperação de
dados
Selecione o método de coleta de dados. Ao usar SCP, você deve definir a variável
de ambiente LANG como lang=C.
Se você selecionar Origem de arquivo SCP, os caminhos relativos serão incompatíveis.
É preciso definir o local completo com precisão.
Quando você seleciona Origem de arquivo CIFS ou Origem de arquivo NFS, é necessário
selecionar o método de coleta. Consulte Selecionar método de coleta de origem de
dados Coletar arquivo(s) de cauda para obter detalhes sobre esse campo.
Ativado
Selecione como o Receptor processará os dados.
• Se você selecionar Log, será solicitado a informar detalhes (consulte Definir a
lista de log padrão).
• Se você selecionar Interceptação de SNMP (consulte Processamento de origem de
dados com interceptação de SNMP), selecione o perfil que deseja usar na página
Perfis de origens de dados SNMP. Se o perfil necessário não estiver na lista suspensa,
clique no link Perfis do sistema e adicione um novo perfil (consulte Configurar
perfis).
92
Nome
Digite um nome para a origem de dados.
Endereço IP, Nome
de host, Pesquisar
Insira um único endereço IP ou nome de host. Clique em Pesquisar para adicionar o
nome de host caso tenha inserido um endereço IP ou para adicionar o endereço IP
caso tenha inserido um nome de host. É possível configurar uma origem de dados
WMI com um nome de host e nenhum endereço IP.
Campos
restantes
Preencha os campos restantes, que variam de acordo com o fornecedor, o modelo
do dispositivo, o método de recuperação de dados ou o protocolo do modelo do
dispositivo selecionado.
Guia de produto
3
Opção
Definição
Interface
Defina todas as configurações do Receptor pai (consulte Configurar interfaces).
Verifique se as portas usadas para coleta de dados estão abertas na guia
Comunicação. As portas ficam fechadas por padrão; logo, é necessário configurá-las.
Avançado
Adicione um URL, configure o encaminhamento CEF, defina esta origem de dados
como o coletor oficial de informações para o gerenciamento de identidade do
usuário ou configure esta origem de dados para exportação para outro Receptor.
Consulte também
Página Renomear tipo de atribuição de regra definida pelo usuário
Altere os nomes das entradas de origem de dados definidas pelo usuário para torná-las mais
descritivas.
Opção
Definição
Tabela
Relaciona as regras definidas pelo usuário.
Editar
Clique nessa opção para renomear a origem de dados selecionada.
Consulte também
Processamento de origem de dados com Interceptação de SNMP
A funcionalidade de interceptação de SNMP permite que a origem de dados aceite as interceptações
padrão de SNMP de qualquer dispositivo de rede gerenciável que tenha a capacidade de enviar
interceptações de SNMP.
As intercepções padrão são:
•
Falha de autenticação
•
Desvincular
•
Partida a frio
•
Vinculação e partida a quente
•
Perda de vizinho EGP
Para enviar interceptações SNMP através do IPv6, você deve indicar o endereço IPv6 como um endereço
de conversão IPv4. Por exemplo, convertendo 10.0.2.84 em IPv6 fica assim:
2001:470:B:654:0:0:10.0.2.84 or 2001:470:B:654::A000:0254.
Se você selecionar Interceptação de SNMP, há três opções:
•
Se um perfil não tiver sido selecionado anteriormente, a caixa de diálogo Perfis de origens de dados SNMP
será aberta, permitindo que você escolha o perfil a ser usado.
•
Se um perfil tiver sido selecionado anteriormente, a caixa de diálogo Perfis de origens de dados SNMP
será aberta. Para alterar o perfil, clique na seta para baixo no campo Perfis do sistema e selecione um
novo perfil.
•
Se um perfil tiver sido selecionado anteriormente e você desejar alterá-lo, mas a lista suspensa da
caixa de diálogo Perfis de origens de dados SNMP não incluir o perfil necessário, crie um perfil SNMP de
origem de dados.
Consulte também
Página Perfis de origens de dados SNMP na página 94
Guia de produto
93
3
Página Perfis de origens de dados SNMP
Selecione um perfil SNMP existente para usar com a origem de dados ou adicione um novo perfil
SNMP.
Opção
Definição
Perfis de sistema
Selecione um perfil na lista de perfis ou clique no link e adicione um
novo perfil que possa ser selecionado em seguida.
Sobrescrever atribuição de perfil
existente
Selecione se quiser excluir alguma atribuição de perfil SNMP e o
substitua por este perfil.
Consulte também
Processamento de origem de dados com Interceptação de SNMP na página 93
Gerenciar origens de dados
Você pode adicionar, editar, excluir, importar, exportar e migrar origens de dados, bem como adicionar
origens de dados filho e cliente na página Origens de dados.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origens de dados.
2
Exiba uma lista das origens de dados no Receptor e execute quaisquer das opções disponíveis para
gerenciá-las.
3
Clique em Aplicar ou OK.
Consulte também
SIEM Collector
O SIEM Collector envia Logs de eventos do Windows para um Receiver, usando uma conexão
criptografada.
Sem o IEM Collector, a coleta de eventos do Windows é limitada ao uso do protocolo WMI ou de um
agente de terceiros. Em muitos ambientes, a política de segurança bloqueia o acesso ao sistema para
que você não possa usar o WMI.
O tráfego WMI é texto sem criptografia e somente permite acesso a logs gravados no Log de eventos
do Windows. Não é possível acessar arquivos de log criados por outros serviços, como DNS, DHCP e
IIS ou usando outro agente de terceiro.
Usando o SIEM Collector de forma independente ou como parte de uma implementação existente do
McAfee ePolicy Orchestrator, você poderá adicionar a funcionalidade do WMI a agentes existentes do
McAfee.
Você também pode usar o SIEM Collector como um hub para coletar logs de outros sistemas, via RPC,
sem adicionar o pacote do SIEM Collector a cada sistema.
94
Guia de produto
3
Outras funcionalidades:
•
Plug-in para a coleta de banco de dados SQL definida pelo usuário (compatível com SQL Server e
Oracle).
•
Plug-in para analisar Eventos do Windows exportados em formatos .evt ou .evtx.
•
Plug-in para suporte à auditoria do SQL Server C2 (formato .trc).
Integração de dados de Avaliação de vulnerabilidade
A Vulnerability Assessment (VA) no DEM e no receptor permite integrar dados que podem ser
recuperados de muitos fornecedores de VA.
Esses dados podem ser usados de várias maneiras.
•
Determine a gravidade de um evento com base na vulnerabilidade conhecida do terminal a esse
evento.
•
Defina o sistema para que detecte automaticamente os ativos e seus atributo (sistema operacional
e serviços).
•
Crie e manipule a associação de grupos de ativos definidos pelo usuário.
•
Acesse o resumo e faça uma busca detalhada das informações dos ativos da rede.
•
Modifique a configuração do Editor de políticas, como ativar as assinaturas de MySQL, se for
descoberto algum ativo executando MySQL.
Você pode acessar dados de VA gerados pelo sistema em exibições predefinidas ou nas exibições
personalizadas que você criar. As exibições predefinidas são:
•
Exibições de dashboard | Dashboard de vulnerabilidade de ativos
•
Exibições de conformidade | PCI | Testar sistemas e processos de segurança | 11.2 Varreduras de vulnerabilidade de rede
•
Exibições executivas | Vulnerab. crítica em ativos regulados
Para criar uma exibição personalizada, consulte Adicionar uma exibição personalizada.
Se criar uma exibição que inclua o componente Número total de vulnerabilidades Contagem ou Discagem, você
poderá ver uma contagem aumentada de vulnerabilidades. Isso ocorre porque o feed do McAfee Threat
Intelligence Services (MTIS) adiciona ameaças com base na vulnerabilidade original reportada pela
origem VA (consulte Ativo, ameaça e avaliação de risco).
A equipe da McAfee responsável por regras mantém um arquivo de regras que mapeia um signID da
McAfee a um VIN para uma ou mais referências ao ID de Common Vulnerabilities and Exposures
(CVE), ID de BugTraq, ID de Open Source Vulnerability Database (OSVDB) e/ou ID de Secunia. Esses
fornecedores informam IDs de CVE e BugTraq em suas vulnerabilidades. Portanto, os IDs de CVE e
BugTraq foram incluídos nesta versão.
Definir um perfil de sistema VA
Ao adicionar uma origem eEye REM, na página Adicionar a origem de Vulnerability Assessment, você tem a
opção de usar um perfil do sistema anteriormente definido. Para usar esse recurso, primeiramente é
preciso definir o perfil.
Guia de produto
95
3
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione um dispositivo DEM ou receptor e clique no ícone
Propriedades
.
2
Clique em Vulnerability Assessment | Adicionar.
3
No campo Tipo de origem VA, selecione eEye REM.
4
Clique em Usar perfil de sistema.
5
Clique em Adicionar e selecione Vulnerability Assessment no campo Tipo de perfil.
6
No campo Agente do perfil, selecione a versão de SNMP deste perfil.
Os campos na página são ativados de acordo com a versão selecionada.
7
Consulte também
Guia ou página Avaliação de vulnerabilidade na página 96
Guia ou página Avaliação de vulnerabilidade
As origens de Avaliação de vulnerabilidade (VA) no ESM permitem a você se comunicar com dados de
fornecedores de VA e recuperá-los. Gerencie aqui essas origens.
Opção
Definição
Tabela
Exiba os Receptores e os DEMs no sistema e em suas origens VA.
Adicionar
Adicione uma origem.
Editar
Altere a origem selecionada.
Remover
Exclua a origem VA selecionada.
Recuperar
Recupere os dados de VA para a origem selecionada.
Gravar
Grave as alterações realizadas no dispositivo.
Fazer upload (Qualys) Se você selecionou Upload manual no campo Método ao adicionar uma origem VA,
clique nesta opção para fazer upload do arquivo.
O limite de tamanho para upload de um arquivo de log do Qualys QualysGuard é 2 GB.
Consulte também
Definir um perfil de sistema VA na página 95
Adicionar uma origem VA na página 96
Adicionar uma origem VA
Para comunicar-se com origens VA, é preciso adicionar a origem ao sistema, configurar parâmetros de
comunicação para o fornecedor de VA, programar os parâmetros para que informem com que
frequência os dados serão recuperados e modificar cálculos da gravidade dos eventos.
96
Guia de produto
3
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione um dispositivo DEM ou receptor e clique no ícone
Propriedades
.
2
Clique em Vulnerability Assessment.
3
Adicione, edite, remova ou recupere origens de VA e grave as alterações no dispositivo.
4
Consulte também
Guia ou página Avaliação de vulnerabilidade na página 96
Página Adicionar origem de avaliação de vulnerabilidade na página 97
Página Adicionar origem de avaliação de vulnerabilidade
Adicione uma origem VA ao ESM. Os campos a serem preenchidos variam de acordo com o tipo de
origem VA selecionado. Segue uma lista com todos os campos possíveis.
Opção
Definição
ID cliente
Digite o número do ID cliente Frontline. Esse campo é obrigatório para o
Digital Defense Frontline.
Nome da empresa
No FusionVM, o nome da empresa que deve passar pela varredura. Se esse
campo for deixado em branco, todas as empresas às quais o usuário pertence
serão varridas. Se mais de uma empresa for inserida, separe os nomes por
vírgula.
Recuperação de dados
(Qualys QualysGuard) Selecione o método para recuperar dados VA. HTTP/HTTPS
é o padrão. As outras opções são SCP, FTP, NFS, CIFS e Upload manual.
O limite de tamanho para upload manual de um arquivo de log do Qualys
QualysGuard é 2 GB.
Domínio
Digite o domínio do computador Windows (opcional, a menos que o
controlador ou o servidor do seu domínio existam em um domínio).
Diretório do arquivo de
varredura exportado
O diretório onde os arquivos de varredura exportados são armazenados.
Formato do arquivo de
varredura exportado
O formato do arquivo de varredura exportado (XML, NBE).
Diretório de instalação
O local onde o Saint foi instalado no servidor. O diretório de instalação para
um mecanismo de varredura de appliance Saint é /usr/local/sm/.
Guia de produto
97
3
Opção
Definição
Endereço IP
• Para o eEye REM: o endereço IP do servidor eEye que envia informações
sobre interceptações.
• Para o eEye Retina: o endereço IP do cliente que armazena os arquivos de
varredura exportados (.rtd).
• Para o McAfee Vulnerability Manager: o endereço IP do servidor em que ele
está instalado.
®
• Para o Nessus, OpenVAS, LanGuard e Rapid7 Metasploit Pro: o endereço IP
do cliente que armazena os arquivos de varredura exportados.
• Para o NGS: o endereço IP do sistema que armazena os relatórios Squirrel.
• Para o Rapid7, Lumension, nCircle e Saint: o endereço IP do respectivo
servidor.
Diretório de montagem
Se você selecionar nfs no campo Método, os campos de Diretório de montagem serão
adicionados. Insira o diretório de montagem definido quando você configurou
nfs.
Método
O método a ser usado para recuperar os arquivos de varredura exportados
(montagem SCP, FTP, NFS ou CIFS). O LanGuard sempre usa CIFS.
Senha
• Para McAfee Vulnerability Manager: se você estiver usando o modo de
autenticação do Windows para SQL Server, a senha da caixa Windows. Caso
contrário, a senha do SQL Server.
• Para o Nessus, OpenVAS, LanGuard e Rapid7 Metasploit Pro: a senha do SCP
ou FTP (consulte Nome do usuário).
• Para o NGS: a senha para os métodos SCP e FTP.
• Para Qualys e FusionVM: a senha para o Qualys Front Office ou o nome do
usuário do Fusion VM (consulte Nome de usuário).
• Para o Rapid7 Nexpose, Lumension, nCircle e Saint: a senha a ser usada ao
conectar-se ao servidor Web (consulte Nome do usuário).
• Para o Digital Defense Frontline: a senha da interface da Web.
Porta
A porta de escuta do servidor Web Rapid7 Nexpose, Lumension, nCircle,
McAfee Vulnerability Manager ou Saint. O padrão para o Rapid7 Nexpose é
3780, para o Lumension é 205, para o nCircle é 443, para o McAfee
Vulnerability Manager é 1433 e para o Saint é 22.
Nome do projeto/área de
trabalho
Nome de um projeto ou área de trabalho específica ou deixe o campo em
branco para utilizar todos os projetos ou áreas de trabalho.
Endereço IP do proxy
O endereço IP do proxy HTTP
Senha do proxy
Uma senha para o nome de usuário do proxy.
Porta do proxy
A porta de escuta para o proxy HTTP.
®
Nome de usuário do proxy Um nome do usuário para o proxy.
URL do servidor Qualys ou O URL do servidor Qualys ou FusionVM para consulta.
FusionVM
Caminho remoto e nome
de compartilhamento
Para Nessus com método CIFS, OpenVAS, eEye Retina, Metasploit Pro,
LanGuard e NGS.
Você pode usar barras ou barras invertidas no nome do caminho (por exemplo,
Arquivos de Programas\CIFS\va ou /Arquivos de Programas/CIFS/va).
98
Guia de produto
3
Opção
Definição
Programar receptor ou
Recuperação de dados
DEM
Indique a frequência com que deseja que os dados VA sejam recuperados pelo
Receptor ou pelo DEM:
• Diariamente: selecione a hora em que deseja que os dados sejam recuperados
todos os dias.
• Semanalmente: selecione o dia da semana e a hora em que deseja que os
dados sejam recuperados.
• Mensalmente: selecione o dia do mês e a hora em que deseja que os dados
sejam recuperados.
Se você não deseja que os dados sejam recuperados em um horário
predefinido, selecione Desativado.
O eEye REM não oferece suporte à recuperação de dados da origem; portanto,
os dados devem ser recuperados a partir do Receptor ou DEM.
Programar recuperação de Indique a frequência com a qual você deseja que os dados VA sejam
dados VA
recuperados da origem do VA. Consulte Programar receptor ou Recuperação
de dados DEM para obter detalhes.
Sessão
Saint: a sessão de onde os dados são coletados. Para incluir todas as sessões,
digite Todas.
Senha de autenticação do
SNMP
Se você selecionar authNoPriv ou authPriv no campo Nível de segurança do SNMP, esse
campo será ativado. Insira a senha para o protocolo de autenticação
selecionado no campo Protocolo de autenticação do SNMP.
Protocolo de autenticação
do SNMP
Se você selecionar authNoPriv ou authPriv no campo Nível de segurança do SNMP, esse
campo será ativado. Selecione o tipo de protocolo para essa origem: MD5 ou
SHA1 (SHA1 e SHA se referem ao mesmo tipo de protocolo). Verifique se a sua
configuração do REM Events Server corresponde à opção selecionada.
Comunidade SNMP
A comunidade SNMP definida quando você configurou o REM Events Server.
Senha de privacidade do
SNMP
Se você selecionar authPriv no campo Nível de segurança do SNMP, esse campo será
ativado. Insira a senha para o protocolo de privacidade DES ou AES. No modo
FIPS, AES é a única opção disponível.
Protocolo de privacidade
do SNMP
Se você selecionar authPriv no campo Nível de segurança do SNMP, esse campo será
ativado e você poderá selecionar DES ou AES. No modo FIPS, AES é a única
opção disponível.
Nível de segurança do
SNMP
O nível de segurança que você deseja definir para esta origem.
• noAuthNoPriv — Nenhum protocolo de autenticação ou protocolo de
privacidade
• authNotPriv — Existe um protocolo de autenticação, mas não um protocolo de
privacidade
• authPriv — Existem protocolos de autenticação e de privacidade.
Os campos de autenticação e privacidade do SNMP serão ativados com base
no nível de segurança selecionado. Verifique se a sua configuração do REM
Events Server corresponde à opção selecionada.
Nome de usuário do SNMP O nome de segurança na Configuração do Servidor de eventos REM.
Versão do SNMP
A versão do SNMP para a origem. Os campos do SNMP são ativados com base
na versão selecionada.
ID do mecanismo SNMPv3
(Opcional) O ID do mecanismo SNMPv3 do remetente de interceptações, se
um perfil SNMPv3 for usado.
Senha de sudo
(Opcional) Digite a senha exigida para acessar o diretório de instalação do
Saint (consulte Usar sudo).
Guia de produto
99
3
Opção
Definição
Tempo limite
Este campo permite que você use o valor padrão de tempo limite para uma
origem ou forneça um valor específico de tempo limite. Isso é útil quando você
tem muitos dados VA de um fornecedor e a configuração padrão de tempo
limite não permite que você retorne os dados parcial ou totalmente. Você pode
aumentar o valor de tempo limite para permitir um tempo maior para a
recuperação dos dados VA. Quando um valor é fornecido, ele é usado para
todas as comunicações.
Token
(Opcional) Token de autenticação que pode ser definido nas Configurações
globais do Metasploit.
URL
Digite o URL do servidor Digital Defense Frontline.
Usar proxy HTTP
Se você selecionar usar o proxy HTTP, os campos Endereço IP do proxy, Porta do
proxy, Nome de usuário do proxy e Senha do proxy serão ativados.
Usar modo passivo
Se você selecionar ftp no campo Método, este campo será ativado. Depois, é
necessário selecionar quando usar o modo passivo.
Usar sudo
Selecione esta opção se você tiver acesso ao diretório de instalação do Saint e
desejar usar o acesso (consulte Senha de sudo).
Usar perfil de sistema
(eEye REM)
Selecione se deseja usar um perfil definido anteriormente. Se você selecionar
esta opção, todos os campos SNMP serão desativados. Quando você seleciona
um dos perfis de sistema existentes, os campos são preenchidos com as
informações do perfil selecionado. Para definir um perfil, consulte Definir um
perfil de sistema VA.
Nome do usuário
Digite o nome de usuário do McAfee Vulnerability Manager. Se você estiver
usando o modo de autenticação do Windows para o SQL Server, digite o nome
de usuário da caixa Windows. Caso contrário, ele será o nome de usuário do
SQL Server.
®
• Para Nessus, OpenVAS e Rapid7 Metasploit Pro: o nome do usuário do SCP
ou FTP.
• Para NGS: o nome do usuário para os métodos SCP e FTP.
• Para Qualys ou FusionVM: o nome do usuário do Front Office ou FusionVM
com o qual executar a autenticação.
• Para Rapid7 Nexpose, Lumension, nCircle e Saint: o nome do usuário a ser
usado ao conectar-se ao servidor Web.
• Para o Digital Defense Frontline: o nome do usuário da interface da Web.
Nome da origem VA
Digite o nome desta origem.
Expressão curinga
Uma expressão curinga usada para descrever o nome dos arquivos de
varredura exportados. A expressão curinga pode usar um asterisco (*) ou um
ponto de interrogação (?) com a definição padrão de "caractere curinga" no
nome de um arquivo.
Se você tiver arquivos NBE e XML, é preciso especificar se deseja arquivos
NBE ou XML neste campo (por exemplo, *.NBE ou *.XML). Se você usar
somente um asterisco (*), ocorrerá um erro.
Consulte também
Adicionar uma origem VA na página 96
Recuperar dados de VA
Assim que uma origem for adicionada, será possível recuperar dados de VA. Há duas formas de se
recuperar dados de VA em uma origem: programada ou imediata. Os dois tipos de recuperação podem
ser realizados em todas as origens VA, exceto eEye REM, que precisa ser programada.
100
Guia de produto
3
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do DEM ou Propriedades do Receptor e clique
em Vulnerability Assessment.
2
Selecione uma origem de VA e uma das opções.
Para...
Faça isto...
Recuperar
imediatamente
• Clique em Recuperar.
Programar
recuperação
A tarefa é executada em segundo plano e você é informado se a recuperação
foi bem-sucedida (consulte Solução de problemas de recuperação de VA se
ocorrer algum problema).
1 Clique em Editar.
2 No campo Programar recuperação de dados VA, selecione a frequência.
3 Clique em OK.
4 Na página Vulnerability Assessment, clique em Gravar para gravar as alterações no
dispositivo.
3
4
Clique em OK.
Para exibir os dados, clique no ícone de inicialização rápida do Asset Manager
Vulnerability Assessment.
e selecione a guia
Solução de problemas de recuperação de VA
Quando você recupera dados de VA, é informado se o processo não é bem-sucedido. Aqui estão
alguns motivos que podem prejudicar a recuperação.
Este recurso...
Causas...
Nessus, OpenVAS e
Rapid7 Metasploit
Pro
• Diretório vazio.
• Erro nas configurações.
• Os dados no diretório já foram recuperados, portanto, não são atuais.
Qualys, FusionVM e
Rapid7 Nexpose
Os dados no diretório já foram recuperados, portanto, não são atuais.
Nessus
Se você sobrescreveu um arquivo do Nessus ao fazer upload de um outro
arquivo novo do Nessus file no site do FTP, a data do arquivo permanecerá
igual. Portanto, quando você realizar uma recuperação de VA, nenhum dado
será retornado, porque será entendido como dado antigo. Para evitar essa
situação, exclua o antigo arquivo do Nessus do site do FTP antes de fazer
upload do novo ou use um nome diferente para o arquivo do qual fez upload.
Fornecedores de VA disponíveis
O ESM pode se integrar a esses fornecedores de VA.
Fornecedor de VA
Versão
Digital Defense Frontline
5.1.1.4
eEye REM (servidor de eventos REM)
3.7.9.1721
Guia de produto
101
3
Fornecedor de VA
Versão
eEye Retina
5.13.0, auditorias: 2400
A origem VA eEye Retina é como a origem de dados
Nessus. Você pode optar por usar scp, ftp, nfs ou cifs
para obter arquivos .rtd. Normalmente, é preciso copiar
os arquivos .rtd para um compartilhamento scp, ftp ou
nfs para efetuar pull. Normalmente, os arquivos .rtd
ficam localizados no diretório Retina Scans.
McAfee Vulnerability Manager
6.8, 7.0
Critical Watch FusionVM
4-2011.6.1.48
LanGuard
10.2
Lumension
Suporte do PatchLink Security
Management Console 6.4.5 e versões
posteriores
nCircle
6.8.1.6
Nessus
Compatível com Tenable Nessus versões
3.2.1.1 e 4.2 e formatos de arquivo
NBE, .nessus (XMLv2) e .nessus
(XMLv1); também, formato XML do
OpenNessus 3.2.1
NGS
OpenVAS
3.0, 4.0
Qualys
Rapid7 Nexpose
Rapid7 Metasploit Pro
4.1.4-Atualização 1, formato de arquivo
XML
Você pode deduzir a gravidade de uma exploração
Metasploit que começa com o nome Nexpose
adicionando uma origem Rapid7 VA ao mesmo Receptor.
Se não puder ser deduzida, a gravidade padrão será
100.
Saint
Criar origens de dados automaticamente
É possível configurar o Receptor para criar origens de dados automaticamente usando as cinco regras
padrão fornecidas como o Receptor ou as regras criadas por você.
Antes de iniciar
Garanta que a verificação automática esteja selecionada na caixa de diálogo Eventos, fluxos e
logs (Propriedades do sistema | Eventos, fluxos e logs) ou clique no ícone Obter eventos e fluxos
barra de ferramentas de ações para efetuar pull de eventos e/ou fluxos.
102
na
Guia de produto
3
Tarefa
Ajuda.
1
Em Propriedades do receptor, clique em Origens de dados | Aprender automaticamente.
2
Na janela Aprender automaticamente, clique em Configurar.
3
Na janela Editor de adição automática de regra, garanta que a opção Ativar a criação automática esteja
selecionada, e selecione as regras que deseja que o Receptor use para criar as origens de dados
automaticamente.
4
Clique em Executar se desejar aplicar as regras selecionadas aos dados aprendidos automaticamente
existentes e clique em Fechar.
Consulte também
Configurar aprendizado automático da origem de dados na página 104
Adicionar novas regras de criação automática na página 103
Adicionar novas regras de criação automática
É possível adicionar regras personalizadas a serem usadas pelo Receptor para a criação automática de
origens de dados.
Tarefa
Ajuda.
1
Em Propriedades do receptor, clique em Origens de dados | Aprender automaticamente | Configurar | Adicionar.
2
Na caixa de diálogo Configurar regra de adição automática, adicione os dados necessários para definir a
regra e clique em OK.
A nova regra será adicionada à lista de regras de adição automática na caixa de diálogo Editor de adição
automática de regra. Você então pode selecioná-la para que as origens de dados sejam criadas quando os
dados aprendidos automaticamente atenderem aos critérios definidos na regra.
Consulte também
Criar origens de dados automaticamente na página 102
Página Editor de regra de adição automática na página 103
Página Configurar regra de adição automática na página 104
Página Editor de regra de adição automática
Exiba, selecione e aplique regras de adição automática para criar origens de dados a partir de dados
aprendidos automaticamente.
Opção
Definição
Ativar a criação
automática
Indique se deseja criar origens de dados automaticamente a partir de dados
aprendidos automaticamente. A criação automática ocorre sempre que os
alertas são retirados do Receptor, seja manualmente ou automaticamente pelo
ESM.
Tabela
Exiba as regras de adição automáticas existentes no Receptor e verifique se
estão ativadas. É possível ativar ou desativar as regras nessa lista.
Adicionar
Adicione uma nova regra de adição automática.
Guia de produto
103
3
Opção
Definição
Editar
Faça alterações na regra de adição automática selecionada.
Remover
Exclua a regra de adição automática selecionada.
Executar agora
Aplique as regras que estão ativadas à atual lista de dados aprendidos
automaticamente.
Botões de seta
Mova a regra de adição automática selecionada para cima ou para baixo na lista.
Isso é importante porque os dados aprendidos automaticamente correspondem
às regras na ordem em que aparecem na lista, e uma origem de dados é criada
de acordo com a primeira regra correspondente.
Consulte também
Página Configurar regra de adição automática
Defina os critérios de uma regra que cria origens de dados automaticamente.
Opção
Definição
Descrição
Digite um nome que descreva esta regra.
Tipo
Selecione o tipo de regra na lista suspensa.
Ativar
Selecione se deseja ativar esta regra.
Coluna Critérios de
correspondência para
aprendizado automático
Defina os critérios com que os dados recebidos devem corresponder para
serem adicionados como origem de dados ou cliente.
Coluna Parâmetros para
Defina as configurações para a origem de dados que será criada se os dados
criação de origem de dados/ corresponderem aos critérios.
cliente
• Digite o nome da origem de dados. Este campo aceita variáveis para
representar endereço IP, modelo e nome do host. Por exemplo, você pode
digitar Origem de dados - {MODEL}_{HOST}_{IP}.
• Selecione origem de dados ou cliente.
• Se for um cliente, selecione o pai ao qual ele estará subordinado e escolha
o tipo de cliente.
• Selecione o fornecedor, o modelo, o fuso horário e a zona.
• Se desejar que os dados gerados pela origem de dados (não clientes)
sejam armazenados no ELM, clique em Lista de armazenamento e selecione a
lista de armazenamento.
Consulte também
Configurar aprendizado automático da origem de dados
Configure o ESM para que aprenda os endereços IP automaticamente.
Antes de iniciar
Verifique se as portas estão definidas para Syslog, MEF e fluxos (consulte Configurar
interfaces).
104
Guia de produto
3
O firewall no Receptor abre pelo tempo que você designar, de modo que o sistema possa conhecer um
conjunto de endereços IP desconhecidos. Em seguida, você pode adicionar ao sistema como origens
de dados.
Quando você faz upgrade, os resultados do aprendizado automático são excluídos da página Aprender
automaticamente. Se houver resultados de aprendizado automático para os quais você não tomou qualquer
iniciativa, será preciso executar o aprendizado automático após fazer upgrade para coletar esses
resultados novamente.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origens de dados |
Aprender automaticamente.
2
Defina as configurações conforme o necessário e clique em Fechar.
Consulte também
Criar origens de dados automaticamente na página 102
Página Aprender automaticamente na página 106
Página Origens aprendidas automaticamente na página 108
Página Editar clientes de origens de dados na página 109
Guia de produto
105
3
Página Aprender automaticamente
Configure o Receptor para que aprenda as origens de dados automaticamente.
Opção
Definição
Ativar ou
Desativar
Ative ou desative o aprendizado automático.
As portas do Receptor devem corresponder às origens que estão enviando dados para
que ocorra o aprendizado automático.
• Selecione o tempo de duração do aprendizado automático no campo horas apropriado
(máximo de 24 horas; 0 indica continuidade) e clique em Ativar. O aprendizado
automática começará e o botão mudará para Desativar. Quando o tempo expirar, o
recurso de aprendizado automático será desativado e a tabela será preenchida com os
endereços IP encontrados.
Ao usar o aprendizado automático para o MEF, você não consegue adicionar origens de
dados que sejam aprendidas automaticamente com a ID do host.
• Interrompa o processo antes da conclusão da coleta — clique em Desativar. A coleta
de dados será interrompida, mas os dados coletados até o momento serão
processados.
• Aguarde a conclusão do processo — os dados são coletados por um período
especificado. Os dados são processados e adicionados à tabela.
Todas as informações recuperadas são armazenadas no ESM até o aprendizado
automático ser reativado.
Você pode sair da página Aprender automaticamente e o aprendizado automático continuará
pelo período selecionado. Os campos Status atual exibirão o que está ocorrendo no
processo de aprendizado automático.
• Aprendizado automático interrompido — não está ocorrendo no momento. Isso significa que o
aprendizado automático não foi solicitado ou que o aprendizado e o processamento
solicitado foi concluído.
• Coletando dados — o aprendizado automático foi ativado está coletando os dados. Isso
ocorrerá pelo período especificado.
• Processando dados aprendidos automaticamente — o sistema está processando os dados que
foram coletados. Isso ocorre depois que os dados são coletados pelo tempo
especificado.
• Erro — ocorreu um erro enquanto os dados estavam sendo coletados ou processados.
106
Configurar
Configure regras para que os endereços IP coletados possam ser adicionados como
origens de dados automaticamente se atenderem aos critérios definidos na regra.
Tabela
Exiba os endereços IP das origens de dados que foram aprendidas automaticamente.
Cada uma recebe um nome que consiste no endereço IP e aprendido automaticamente,
e cria uma lista do formato dos registros. O sistema também tenta uma
correspondência com o tipo da origem de dados.
Guia de produto
3
Opção
Definição
Adicionar
Adicione endereços IP aprendidos automaticamente como origens de dados.
1 Selecione um ou mais endereços IP do mesmo tipo na tabela e clique em Adicionar.
2 Na página Origens aprendidas automaticamente, selecione uma das opções:
3 Clique em OK. Ocorre uma das seguintes situações:
• Se os endereços IP selecionados não tiverem um nome associado, você deverá
informar se quer adicionar um prefixo aos endereços selecionados.
– Se você clicar em Não, os endereços IP serão usados como os nomes para essas
origens de dados.
– Se você clicar em Sim, a página Prefixo do nome será exibida. Insira um nome e
clique em OK. Os nomes dessas origens de dados consistirá no nome adicionado e
no endereço IP.
• Se os endereços IP selecionados tiverem nomes, as origens de dados serão
adicionadas à lista na página Origens de dados.
Editar nome
Edite o nome padrão do item selecionado. O campo nome tem um limite de 50
caracteres. Cada nome deve ser exclusivo.
Remover
Exclua os endereços IP selecionados da lista. A lista não é salva até o recurso Aprender
automaticamente ser fechado.
Alterar tipo
Altere o tipo do endereço IP selecionado. Faça isso se o tipo sugerido pelo sistema
estiver incorreto. O pacote pode exibir as informações necessárias para determinar o
tipo correto
Atualizar
Recarregue os dados na página, mudando os dados aprendidos automaticamente e o
status do aprendizado automático de syslog, MEF ou Netflow.
Mostrar pacote Clique para exibir o pacote da origem de dados selecionada.
Consulte também
Guia de produto
107
3
Página Origens aprendidas automaticamente
Ao adicionar origens aprendidas automaticamente como origens de dados no seu Receptor, selecione
as opções de origens que você estiver adicionando.
Opção
Definição
Criar origens de dados para os Cria novas origens de dados para cada uma das origens aprendidas
itens aprendidos
automaticamente selecionadas. Se forem necessárias mais informações
automaticamente selecionados para uma das origens, a página Adicionar origem de dados será aberta
permitindo que você adicione as informações.
Criar clientes para origens de
dados existentes ou criar uma
nova origem de dados com
clientes
Estas opções estão disponíveis:
• Cliente com tipo correspondente: se uma origem de dados existente coincidir
com o IP selecionado, os itens serão adicionados a ele como origens de
dados cliente de correspondência por tipo. Se não existir uma origem de
dados correspondente ao IP selecionado, uma será criada. Os itens
restantes serão adicionados a ele como origens de dados cliente de
correspondência por tipo.
• Cliente com IP correspondente: essa opção permite selecionar a origem de
dados à qual você deseja adicionar esse IP como cliente. Quando você
selecionar essa opção, a lista suspensa ficará ativa. Se houver uma ou
mais origens de dados que coincidam com esse IP, elas serão
relacionadas. Se não houver nenhuma, a única opção disponível será
Nenhuma - criar nova origem de dados. Selecione a origem de dados à qual
deseja adicionar esse IP como cliente e clique em OK.
Consulte também
Definir formato de data para origens de dados
Selecione o formato das datas incluídas nas origens de dados.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione um Receptor e clique no ícone Adicionar origem de dados
.
2
3
Clique em Avançado e faça a seleção no campo Ordem de data:
•
Padrão – Usa a ordem de data padrão (mês antes do dia). Ao usar as origens de dados clientes,
os clientes que usarem essa configuração herdarão a ordem de data da origem de dados pai.
•
Mês antes de dia – O mês vem antes do dia (04/23/2014).
•
Dia antes do mês – O dia vem antes do mês (23/04/2014).
Clique em OK.
Consulte também
108
Guia de produto
3
Adicionar uma origem de dados filho
É possível adicionar origens de dados filhos para ajudá-lo a organizar as origens de dados.
Tarefa
Ajuda.
1
2
Na tabela de origens de dados, clique na origem de dados à qual deseja adicionar uma origem de
dados filho.
3
Clique em Adicionar filho e preencha os campos como faria em uma origem de dados pai.
4
Clique em OK.
A origem de dados é adicionada como filho abaixo da origem de dados pai na tabela e na árvore de
navegação do sistema.
Página Editar clientes de origens de dados
Altere o fuso horário, o modelo, o fornecedor e o tipo de uma origem de dados aprendida
automaticamente.
Opção
Definição
Fornecedor da origem de dados Selecione o fornecedor do cliente ou origem de dados aprendida
automaticamente.
Modelo da origem de dados
Selecione o modelo do cliente ou origem de dados.
Fuso horário
Selecione o fuso horário do cliente ou origem de dados.
Consulte também
Origens de dados cliente
É possível aumentar o número de origens de dados permitidas em um Receptor adicionando origens
de dados de cliente. Para as origens de dados com um syslog, ASP, CEF, MEF, NPP e coletor WMI, é
possível adicionar até 32.766 clientes de origens de dados.
Se a origem de dados já for um pai ou um filho, ou se for uma origem de dados WMI e a opção Usar RPC
estiver selecionada, essa opção não estará disponível.
Agora você pode ter mais de uma origem de dados cliente com o mesmo endereço IP e usar
o número de porta para diferenciá-las. Isso permite separar os dados usando uma porta
diferente para cada tipo de dados e encaminhá-los usando a mesma porta pela qual eles
entraram.
Ao adicionar uma origem de dados cliente (consulte Origens de dados cliente e Adicionar
uma origem de dados cliente), você optará entre usar a porta de origem de dados pai ou
outra porta.
As origens de dados clientes têm estas características:
•
Elas não têm direitos VIPS, Política ou Agente.
•
Elas não são exibidas na tabela Origens de dados.
•
Elas aparecem na árvore de navegação do sistema.
Guia de produto
109
3
•
Elas compartilham a mesma política e os mesmos direitos da origem de dados pai.
•
Elas devem estar no mesmo fuso horário, pois usam a configuração do pai.
As origens de dados cliente do WMI podem ter fusos horários independentes porque o fuso horário é
determinado pela consulta enviada ao servidor WMI.
Consulte também
Adicionar uma origem de dados cliente na página 110
Adicionar uma origem de dados cliente
Adicione um cliente a uma origem de dados já existente para aumentar o número de origens de dados
permitidas no Receptor.
Antes de iniciar
Adicione a origem de dados ao Receptor (consulte Adicionar uma origem de dados).
Tarefa
Ajuda.
1
2
Selecione a origem de dados à qual deseja adicionar o cliente e clique em Clientes.
A página Clientes de origem de dados relaciona os clientes que no momento fazem parte da origem de
dados selecionada.
3
Clique em Adicionar, preencha as informações solicitadas e clique em OK.
Os eventos se direcionam à origem de dados (pai ou cliente) que for mais específica. Por exemplo,
você tem duas origens de dados cliente, uma com um endereço IP 1.1.1.1 e a outra com um endereço
IP 1.1.1.0/24, o que abrange uma faixa. Ambas são do mesmo tipo. Se um evento corresponder a
1.1.1.1, ele irá para o primeiro cliente porque é mais específico.
Consulte também
Origens de dados cliente na página 109
Página Clientes de origem de dados na página 110
Página Adicionar clientes de origens de dados na página 111
Página Clientes de origem de dados
Gerencie os clientes de uma origem de dados.
Opção
Definição
Tabela de clientes Exiba os clientes que fazem parte da origem de dados selecionada na tabela
Origens de dados.
Pesquisar
Caso você esteja procurando um cliente específico, digite o nome dele no campo e
clique em Pesquisar.
Adicionar
Clique para adicionar um cliente à origem de dados.
Editar
Clique para editar o cliente selecionado.
Remover
Clique para excluir o cliente selecionado.
Consulte também
110
Guia de produto
3
Página Adicionar clientes de origens de dados
Adicione um cliente a uma origem de dados.
Opção
Definição
Nome
Digite um nome para este cliente.
Fuso horário
Selecione o fuso horário em que esta origem de dados cliente está localizada.
Ordem de data
Selecione o formato de data: mês antes do dia ou dia antes do mês.
Endereço IP, Nome do host Digite o endereço IP ou o nome do host do cliente. Você pode ter mais de
uma origem de dados cliente com o mesmo endereço IP. A porta é usada para
diferenciá-las.
Requerer TLS do syslog:
Selecione para usar o protocolo de criptografia TLS para syslog.
Porta
Selecione se deseja que o cliente use a mesma porta de seu pai ou outra
porta listada.
Corresponder por tipo
Selecione se deseja corresponder clientes por tipo e escolha o fornecedor e o
modelo deste cliente.
Consulte também
Localizar um cliente
A página Clientes de origem de dados contém todos os clientes do sistema. Como você pode ter mais de
65.000 clientes, existe um recurso de pesquisa para possibilitar a localização de um cliente específico,
caso seja necessário.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origens de dados |
Clientes.
2
Insira as informações que deseja procurar e clique em Pesquisar.
Importar uma lista de origens de dados
A opção Importar na página Origens de dados permite a importação de uma lista de origens de dados salvas
em formato .csv, o que elimina a necessidade de adicionar, editar ou remover cada origem de dados
individualmente.
Há duas situações em que é possível usar esta opção:
Guia de produto
111
3
•
Para importar os dados brutos da origem de dados de um Receptor em um local protegido para um
Receptor em um local não protegido. Se é isso o que você está fazendo, consulte Mover origens de
dados.
•
Para editar as origens de dados em um Receptor adicionando origens de dados à lista existente e
editando ou removendo origens de dados existentes. Se isso for o que você precisa fazer, siga as
etapas a seguir.
Tarefa
Ajuda.
1
Exporte uma lista das origens de dados que estão atualmente no Receiver.
a
b
Clique em Exportar e em Sim para confirmar o download.
c
Selecione o local do download, altere o nome do arquivo se necessário e clique em Salvar.
A lista das origens de dados existentes será salva.
d
Acesse e abra esse arquivo.
Será aberta uma planilha com uma lista dos dados das origens de dados que estão no Receiver
no momento (consulte Campos de planilha na importação de origens de dados).
2
Adicione, edite ou remova as origens de dados na lista.
a
Na coluna A, especifique a ação a ser adotada com essa origem de dados: adicionar, editar ou
remover.
b
Se você está adicionando ou editando origens de dados, insira as informações nas colunas da
planilha.
Não é possível editar a política ou o nome da origem de dados.
c
Salve as alterações efetuadas na planilha.
Não é possível editar uma origem de dados para torná-la uma origem de dados de uma origem de
dados cliente ou vice-versa.
3
Importe a lista para o Receiver.
a
b
Clique em Importar, selecione o arquivo e clique em Fazer upload.
Não é possível alterar a política ou o nome da origem de dados
A página Importar origens de dados é aberta, listando as alterações que foram efetuadas na planilha.
c
Para importar as alterações, clique em OK.
As alterações formatadas corretamente serão adicionadas.
112
d
Se houver erros na formatação das alterações, um Registro de mensagens descreve o erros.
e
Clique em Fazer download de todo o arquivo e clique em Sim.
f
Selecione o local para salvar o download, altere o nome do arquivo se necessário e clique em
Salvar.
Guia de produto
g
3
Abra o arquivo obtido por download.
Ele contém as origens de dados que apresentam erros.
h
Corrija os erros, salve e feche o arquivo.
i
Feche Registro de mensagens e Importar origens de dados, clique em Importar e selecione o arquivo que foi
salvo.
Importar origens de dados relaciona as origens de dados que foram corrigidas.
j
Clique em OK.
Consulte também
Página Fazer upload de definições de origem de dados personalizadas na página 113
Página Fazer upload de definições de origem de dados personalizadas
Adicione definições de origem de dados personalizadas ao seu sistema fazendo upload de um arquivo,
e exiba a lista de definições instaladas.
Opção
Definição
Fazer upload Clique e procure o arquivo .npd de definições de origens de dados personalizadas que
você desejar adicionar ao ESM. Esse arquivo é gerado pela McAfee.
Exibir
Clique para exibir as definições de origens de dados que tiverem sido instaladas.
Consulte também
Campos de planilha para importação de origens de dados
A planilha utilizada para importar as origens de dados tem várias colunas, sendo algumas obrigatórias
e outras somente usadas para tipos de origens de dados específicos.
Campos requeridos para todas as origens de dados
Coluna Descrição
Detalhes
op
Insira uma dessas funções na coluna op:
Operação a ser realizada
na origem de dados
• adicionar = Adicione uma origem de dados.
• editar = Modifique uma origem de dados existente.
• remover = Remova sem reatribuir.
Se esta coluna for deixada em branco, nenhuma ação será
realizada na origem de dados.
rec_id
ID do receptor
dsname Nome da origem de
dados
Este número de ID do dispositivo pode ser encontrado na página
Nome e descrição do Receptor.
Deve ser único no Receptor.
Guia de produto
113
3
Campos usados por todas as origens de dados
Coluna
Descrição
Detalhes
IP
Endereço IP válido
para a origem de
dados
• É obrigatório, exceto se o protocolo = 'corr'.
• Validação realizada para origens de dados ativadas somente.
Exclui:
• Protocolos: cifs, nfs, ftp, scp, http
• Coletor = 'curl' ou 'mount'
• SNMPTrap - Não é válido se outras origens de dados usarem
correspondências de IPAddress e de interceptação SNMP.
• nfxsql - Não é válido se a combinação de IPAddress,
'dbname' e 'port' for encontrada.
• netflow ou opsec - Não é válido se a combinação de
IPAddress e 'port' for encontrada.
• mef é o coletor (se o analisador for mef, o coletor será
automaticamente mef) - Não é válido se mef e protocolo
forem encontrados.
model
A entrada deve ser uma correspondência exata, exceto para
clientes com MatchByFlag = 1 (correspondência por IPAddress)
vendor
A entrada deve ser uma correspondência exata, exceto para
clientes com MatchByFlag = 1 (correspondência por IPAddress)
parent_id
ID da origem de
dados pai
Obrigatório para um agente ou cliente. Se esse ID for um nome,
é feita uma tentativa de encontrar a origem de dados pai com
esse nome, que é um filho do Receiver especificado.
child_type
Tipo de origem de
dados filho
Obrigatório: 0 = não é um filho, 1 = agente, 2 = cliente
match_type Que correspondente
ao cliente
parsing
Obrigatório para adicionar ou editar fontes de dados: 1 =
correspondência por endereço IP, 2 = correspondência por tipo
de fornecedor
Sinalizador ativado de Sinalizador ativado (sim/não), o padrão é sim
origem de dados
Campos usados por origens de dados que não são clientes
Coluna
114
Descrição
Detalhes
snmp_trap_id ID do perfil para interceptação
snmp
O padrão é 0.
elm_logging
Registre-se no elm (sim/não)
O padrão é não.
lista
Nome da lista do elm
O padrão é em branco.
meta-vendor
meta-product
meta_version
url
URL de detalhes do evento
analisador
Método analisador de formato de
dados
O padrão é Padrão.
coletor
Método de recuperação de dados
O padrão é Padrão. Se o analisador for mef, o coletor
será definido como mef. Scp, http, ftp, nfs, cifs
estão corretos se o formato do arquivo simples for
compatível com o protocolo.
Guia de produto
3
Campos obrigatórios se o formato for CEF ou MEF
Coluna
Descrição
Detalhes
criptografar Sinalizador de
O padrão é F. Também usado se o Formato for Padrão, a Recuperação
criptografia de origem for mef e o Protocolo for gsyslog. A criptografia deve ser a mesma
de dados
para todos os mef de mesmo endereço IP.
hostname
Nome do host ou ID
do host
O padrão é em branco. Opcional se o Protocolo for gsyslog ou syslog
— Deve ser único. Opcional se o Protocolo for nas.
agregar
Retransmissão de
syslog
Os valores válidos são em branco e syslogng. O padrão é em
branco. Também usado se o Formato for Padrão, a Recuperação for
Padrão e o Protocolo for gsyslog.
tz_id
ID de fuso horário
O padrão é em branco. Também usado se o Formato for Padrão e
se uma das seguintes condições se aplicar:
• O Protocolo for syslog e o Modelo não for Adiscon Windows Events.
• O Protocolo for nfxsql.
• O Protocolo for nfxhttp.
• O Protocolo for e-mail.
• O Protocolo for estream.
Também usado na compatibilidade de alguns arquivos simples
Outros campos
Coluna
Descrição
Detalhes
profile_id
O nome ou ID do perfil
O padrão é em branco. Se o nome do
perfil não puder encontrar o registro de
perfil, um erro é registrado em log.
exportMcAfeeFile
Sinalizador de transporte de
origem de dados
O padrão é não. Se for sim, este banco
de dados será incluído no transporte de
banco de dados.
exportProfileID
Nome de perfil do
compartilhamento remoto
mcafee_formated_file
Analisar sinalizador de
arquivo de dados brutos
O padrão é não. Se for sim, o método
de análise usará o arquivo de dados
brutos.
mcafee_formated_file_xsum Use o sinalizador de soma de
verificação
O padrão é não. Se for sim, use a soma
de verificação antes de analisar o
arquivo de dados brutos.
mcafee_formated_file_ipsid
O ID original do IPS do Nitro
Obrigatório se estiver usando o arquivo
de dados brutos.
zoneID
Nome da zona
policy_name
O nome ou ID da política
O padrão é em branco. Usado somente
quando novas fontes de dados forem
adicionadas. Este valor não é atualizado
em uma operação de edição.
Campos validados para protocolos específicos
O fornecedor e o modelo determinam o protocolo, exceto quando o formato for Padrão ou CEF e a
Recuperação não for Padrão ou MEF. Então o protocolo será o valor de Recuperação. Esses campos são
validados para o protocolo especificado, se nenhum perfil for especificado.
Guia de produto
115
3
Tabela 3-49
Campos Netflow — Inicia na coluna AF
Coluna
Descrição
Detalhes
netflow_port
O padrão é 9993.
netflow_repeat_enabled Encaminhamento ativado
O padrão é F.
netflow_repeat_ip
Encaminhamento de endereço IP Obrigatório se repeat_enabled = T. O
padrão é em branco.
netflow_repeat_port
Encaminhamento de porta
Tabela 3-50
O padrão é 9996.
Campos rdep — Inicia na coluna AJ
Coluna
Descrição
Detalhes
rdep_sdee_username
Obrigatório
rdep_sdee_password
Obrigatório
rdep_sdee_interval
O padrão é 60 segundos.
Tabela 3-51 Campos opsec — Inicia na coluna AM
Coluna
Descrição
Detalhes
opsec_parent
Sinalizador pai (tipo
de dispositivo)
Obrigatório (T/F). T = a origem de dados é um
pai. F = a origem de dados não é um pai
opsec_authentication
Usar sinalizador de
autenticação
Usado se pai = T, o padrão é F
opsec_appname
Nome do aplicativo
Obrigatório se autenticação = T, opcional se F, o
padrão é em branco
opsec_actkey
Chave de ativação
Obrigatório se autenticação = T, opcional se F, o
padrão é em branco
opsec_parent_id
Nome pai de origem
de dados
Nome pai – obrigatório se pai = F. É registrado
um erro em log se o nome pai da origem de
dados não puder encontrar a origem de dados
pai.
opsec_port
Usado se pai = T, o padrão é 18184
opsec_encryption
Usar sinalizador de
criptografia
Usado se pai = T, o padrão é F
opsec_comm_method
Método de
comunicação
Usado se pai = T, o padrão é em branco. Deve
ser um valor válido:
• '' (blank)
• 'sslca'
• 'asym_sslca'
• 'sslca_clear'
• 'asym_sslca_com
p'
• 'sslca_comp'
• 'asym_sslca_rc4'
• 'sslca_rc4'
• 'asym_sslca_rc4_
comp'
• 'sslca_rc4_comp'
• 'ssl_clear'
opsec_server_entity_dn
Nome distinto da
entidade do servidor
O padrão é em branco. Usado se pai = T.
Obrigatório se tipo de dispositivo = Log
Server/CLM ou Secondary SMS/CMA.
opsec_collect_audit_events Sinalizador para o tipo Usado se pai = T, o padrão é "yes"
de coleta opsec
“eventos de auditoria”
116
Guia de produto
3
Tabela 3-51 Campos opsec — Inicia na coluna AM (continuação)
Coluna
Descrição
Detalhes
opsec_collect_log_events
Sinalizador de
eventos de log para
tipo de coleta
Usado se pai = T, o padrão é "sim".
opsec_type
Tipo de dispositivo
Obrigatório. Os valores válidos para esse campo
são:
Valor Nome na lista suspensa de
thin-client
0
SMS/CMA
1
Dispositivo de segurança
2
Log Server/CLM
3
SMS/CMA secundário
Tabela 3-52 Campos wmi — Inicia na coluna AY
Coluna
Descrição
Detalhes
wmi_use_rpc
Usar o sinalizador RPC O padrão é não.
wmi_logs
Logs de eventos
O padrão é SYSTEM,APPLICATION,SECURITY.
wmi_nbname
Nome NetBIOS
Obrigatório se Recuperação = Padrão, do contrário é opcional. O
wmi_username Nome do usuário
wmi_password Senha
wmi_interval
O padrão é 600.
wmi_version
O padrão é 0.
Tabela 3-53 Campos gsyslog — Inicia na coluna BF
Coluna
Descrição
Detalhes
gsyslog_autolearn Compatível com sinalizador de
syslogs genérico
Valores válidos: T, F, COUNT. O padrão é F.
gsyslog_type
Obrigatório se autolearn = T; do contrário é
opcional. O padrão é 49190.
Atribuição de regra genérica
gsyslog_mask
Usado se Recuperação for Padrão. O padrão é 0.
Tabela 3-54 Campo corr — Coluna BI
Coluna
Descrição
Detalhes
corr_local Usar sinalizador de dados
locais
O padrão é F. Se o modelo do Receptor for ERC-VM-25 ou
ERC-VM-500, a origem de dados não será adicionada. Do
contrário, não pode haver outras origens de dados usando
esse Protocolo.
Tabela 3-55 Campos sdee — Inicia na coluna BJ
Coluna
Descrição
Detalhes
sdee_username
Obrigatório
sdee_password
Obrigatório
sdee_uri
O padrão é cgi-bin/sdee-server.
Guia de produto
117
3
Tabela 3-55 Campos sdee — Inicia na coluna BJ (continuação)
Coluna
Descrição
Detalhes
sdee_interval
sdee_port
O padrão é 443.
sdee_proxy_port
O padrão é 8080.
sdee_use_ssl
O padrão é T.
sdee_proxy_ip
Obrigatório se use_proxy = T. O padrão é em branco.
sdee_proxy_username
sdee_proxy_password
sdee_use_proxy
O padrão é F.
Tabela 3-56 Campos mssql — Inicia na coluna BU
Coluna
Descrição
Detalhes
mssql_parent
Tipo de dispositivo O padrão é T. Servidor = T. Dispositivo gerenciado = F
mssql_port
Usado se pai = T. O padrão é 1433.
mssql_interval
Usado se pai = T. O padrão é 600 segundos.
mssql_username
Obrigatório se pai = T. O padrão é em branco.
mssql_password
Obrigatório se pai = T. O padrão é em branco.
mssql_parent_id Nome pai
Obrigatório se pai = F. É registrado um erro em log se o nome
pai não puder encontrar a origem de dados.
Tabela 3-57 Campos syslog — Inicia na coluna CA
118
Coluna
Descrição
Detalhes
syslog_untrust_iface
Interface menos
confiável
Obrigatório se o Fornecedor for CyberGuard.
syslog_burb
Nome burb da Internet Obrigatório se o Fornecedor for McAfee e o Modelo
for McAfee Firewall Enterprise.
syslog_sg_mc
Sinalizador de centro
de gerenciamento
Opcional se o Fornecedor for Stonesoft
Corporation, o padrão é não
syslog_nsm
Sinalizador de
gerenciador de
segurança
Opcional se o Fornecedor for Juniper Networks e o
Modelo for Netscreen Firewall/Security Manager
ou Netscreen IDP, o padrão é não
syslog_wmi_syslog_format
Opcional se o Fornecedor for Microsoft e o Modelo
for Adiscon Windows Events, o padrão é 0
syslog_wmi_version
Opcional se o Fornecedor for Microsoft e Modelo
for Adiscon Windows Events, o padrão é 2000
syslog_aruba_version
Opcional se o Fornecedor for Aruba, o padrão é
332
syslog_rev_pix_dir
Inverter valores de
rede
Opcional se o Fornecedor for Cisco e o Modelo for
PIX/ASA ou Firewall Services Module, o padrão
é não
syslog_aggregate
Retransmissão de
syslog
Os valores válidos estão em branco e Fornecedor.
syslog_require_tls
T/F
Indica se o TLS está sendo usado para a origem
de dados.
Guia de produto
3
Tabela 3-57 Campos syslog — Inicia na coluna CA (continuação)
Coluna
Descrição
Detalhes
syslog_syslog_tls_port
syslog_mask
A porta a ser usada para TLS de syslog se ele
estiver sendo usado.
Máscara para endereço (Opcional) Permite aplicar uma máscara a um
IP
endereço IP para que uma faixa de endereços IP
possa ser aceita. Um zero (0) no campo significa
que nenhuma máscara foi usada. O padrão é 0.
Tabela 3-58 Campos nfxsql — Inicia na coluna CM
Coluna
Descrição
nfxsql_port
Detalhes
O padrão depende do fornecedor e do modelo:
Padrão Fornecedor
Modelo
9117
Enterasys Networks Dragon Sensor ou Dragon Squire
1433
IBM
ISS Real Secure Desktop
Protector ou ISS Real Secure
Network ou ISS Real Secure
Server Sensor
1433
McAfee
ePolicy Orchestrator ou ePolicy
Orchestrator firewall ou ePolicy
Orchestrator host IPS
3306
Symantec
Symantec Mail Security for SMTP
1433
Websense
Websense Enterprise
1433
Microsoft
Operations Manager
1433
NetIQ
NetIQ Security Manager
1433
Trend Micro
Control Manager
1433
Zone Labs
Integrity Server
1433
Cisco
Security Agent
1127
Sophos
Sophos Antivirus
1433
Symantec
Symantec Antivirus Corporate
Edition Server
443
Outros
nfxsql_userid
Obrigatório
nfxsql_password
Obrigatório
nfxsql_dbname
Nome do banco (Opcional) O padrão é em branco.
de dados
nfxsql_splevel
Nível do
Service Pack
nfxsql_version
Usado se o Fornecedor for IBM e o Modelo for ISS Real Secure Desktop
Protector ou ISS Real Secure Network ou ISS Real Secure Server Sensor. O
padrão é SP4.
(Opcional)
• O padrão é 9i se o Fornecedor for Oracle e o Modelo for Oracle Audits.
• O padrão é 3.6 se o Fornecedor for McAfee e o Modelo for ePolicy
Orchestrator ou ePolicy Orchestrator Firewall ou ePolicy
Orchestrator Host IPS.
Guia de produto
119
3
Tabela 3-58 Campos nfxsql — Inicia na coluna CM (continuação)
Coluna
Descrição
Detalhes
nfxsql_logtype
Tipo de
registro
Obrigatório se o Fornecedor for Oracle e o Modelo for Oracle Audits (FGA,
GA, ou ambos).
nfxsql_sid
SID do banco
de dados
Opcional se o Fornecedor for Oracle e o Modelo for Oracle Audits. O
Tabela 3-59 Campos nfxhttp — Inicia na coluna CU
Coluna
Descrição
Detalhes
nfxhttp_port
O padrão é 433.
nfxhttp_userid
Obrigatório
nfxhttp_password
Obrigatório
nfxhttp_mode
O padrão é seguro.
Tabela 3-60 Campos email — Inicia na coluna CY
Coluna
Descrição
Detalhes
email_port
O padrão é 993.
email_mailbox
Protocolo de e-mail
O padrão é imap pop3.
email_connection
Tipo de conexão
O padrão é ssl clear.
email_interval
email_userid
Obrigatório
email_password
Obrigatório
Tabela 3-61 Campos estream — Inicia na coluna DE
Coluna
Descrição
Detalhes
Esses campos estão na planilha. No entanto, um arquivo de certificação é obrigatório, para que eles
sejam ignorados nesse momento.
jestream_port
O padrão é 993.
jestream_password
Obrigatório
jestream_estreamer_cert_file
Obrigatório
jestream_collect_rna
Tabela 3-62 Campos de origem de arquivos — Inicia na coluna DI
Coluna
Descrição
Detalhes
Usado para os Protocolos cifs, ftp, http, nfs, scp.
fs_record_lines
Número de linhas
por registro
Usado se suporte a arquivo simples. O padrão é 1.
fs_file_check
Intervalo
O padrão é 15 minutos.
fs_file_completion
fs_share_path
fs_filename
Expressão curinga
fs_share_name
120
Obrigatório
Obrigatório se o Protocolo for cifs ou nfs (do contrário, não
usado).
Guia de produto
3
Tabela 3-62 Campos de origem de arquivos — Inicia na coluna DI (continuação)
Coluna
Descrição
Detalhes
fs_username
Usado se o Protocolo for cifs, ftp ou scp. O padrão é em
branco.
fs_password
Usado se o Protocolo for cifs, ftp ou scp. O padrão é em
branco.
fs_encryption
Usado se o Protocolo for ftp ou http. O padrão é não. Também
usado se o suporte a arquivo simples e o Protocolo forem ftp.
fs_port
Usado se o Protocolo for ftp, o padrão é 990. Se o Protocolo for
http, o padrão é 443. Também usado se o suporte a arquivo
simples e o Protocolo forem ftp. O padrão é 80.
fs_verify_cert
Verificar Certificado
SSL
Usado se o Protocolo for ftp ou http. O padrão é não. Também
usado se o suporte a arquivo simples e o Protocolo forem ftp.
fs_compression
Usado se o Protocolo for scp ou sftp. O padrão é não.
fs_login_timeout
Usado se o Protocolo for scp. O padrão é 1 segundo.
fs_copy_timeout
Usado se o Protocolo for scp. O padrão é 1 segundo.
fs_wmi_version
Usado se o suporte a arquivo simples e o Fornecedor forem Microsoft
e o Modelo for Adiscon Windows Events. O padrão é Windows 2000.
fs_aruba_version
Usado se o suporte a arquivo simples e o Fornecedor forem Aruba. O
padrão é 332.
fs_rev_pix_dir
Inverter valores de
rede
Usado se o suporte a arquivo simples e o Fornecedor forem Cisco e
o Modelo for PIX/ASA ou Firewall Services Module. O padrão é não.
fs_untrust_iface
Interface menos
confiável
Obrigatório se o suporte a arquivo simples e o Fornecedor forem
CyberGuard.
fs_burb
Nome burb da
Internet
Obrigatório se o suporte a arquivo simples e o Fornecedor forem
McAfee e o Modelo for McAfee Firewall Enterprise.
fs_nsm
Sinalizador de
gerenciador de
segurança
Opcional se o suporte a arquivo simples e o Fornecedor forem
Juniper Networks e o Modelo for Netscreen Firewall/Security Manager ou
Netscreen IDP. O padrão é não.
fs_autolearn
Suporte a syslogs
genéricos
Opcional se o suporte a arquivo simples e a Recuperação forem
gsyslog. Valores válidos: T, F, COUNT. O padrão é F.
fs_type
Atribuição de regra
genérica
Obrigatório se autolearn = T; do contrário é opcional. O
padrão é 49190.
fs_binary
O padrão é não.
fs_protocol
O padrão é ' — Usado se o analisador for Padrão e o coletor for Origem
de arquivo nfs.
fs_delete_files
Tabela 3-63 Campos sql_ms — Inicia na coluna EH
Coluna
Descrição
Detalhes
sql_ms_port
O padrão é 1433.
sql_ms_userid
Obrigatório
sql_ms_password
Obrigatório
sql_ms_dbname
Nome do banco de dados
Guia de produto
121
3
Tabela 3-64 Campo nas — Coluna EL
Coluna
Descrição Detalhes
nas_type
O padrão é 49190 (Definido pelo usuário 1). Este campo é somente usado para
origens de dados McAfee/PluginProtocol.
Tabela 3-65 Campo ipfix — Coluna EM
Coluna
Descrição
ipfix_transport
Detalhes
Obrigatório. Os valores válidos são TCP e UDP. TCP é o padrão.
Tabela 3-66 Campos snmp — Inicia na Coluna EN
Coluna
Descrição
Detalhes
snmp_authpass
Senha de
autenticação
Obrigatório se:
• traptype = v3trap e secLevel = authPriv ou authNoPriv.
• traptype = v3inform e secLevel = authPriv ou authNoPriv.
snmp_authproto
Protocolo de
autenticação
Os valores válidos são MD5 ou SHA1. Obrigatório se:
• traptype = v3trap e secLevel = authPriv ou authNoPriv.
• traptype = v3inform e secLevel = authPriv ou authNoPriv other
traptypes. O padrão é MD5.
snmp_community Nome da
comunidade
Obrigatório se traptype = v1trap, v2trap, v2inform.
snmp_engineid
Obrigatório se traptype = v3trap
snmp_privpass
Senha de privacidade Obrigatório se:
• traptype = snmpv3trap e secLevel = authPriv
• traptype = snmpv3inform e secLevel = authPriv
snmp_privproto
Protocolo de
privacidade
Os valores válidos são: DES e AES. Obrigatório se:
• traptype = snmpv3trap e secLevel = authPriv
• traptype = snmpv3inform e secLevel = authPriv
Outros traptypes, o padrão é DES.
snmp_seclevel
Nível de segurança
Os valores válidos são: noAuthNoPriv, authNoPriv e authPriv.
Obrigatório se traptype = v3trap ou v3inform.
Outros traptypes, o padrão é noAutNoPriv.
snmp_traptype
Obrigatório. Os valores válidos são: v1trap, v2trap, v2inform,
v3trap e v3inform.
snmp_username
Obrigatório se traptype = snmpv3 ou snmpv3inform.
tipo
Atribuição de regra
padrão
snmp_version
Obrigatório. O padrão é 49190.
Preenchido automaticamente.
Tabela 3-67 sql_ws — Inicia na coluna EY
Coluna
122
Descrição
Detalhes
sql_ws_port
(Opcional) O padrão depende do fornecedor. O
padrão para Websense é 1433.
sql_ws_userid
Obrigatório
Guia de produto
3
Tabela 3-67 sql_ws — Inicia na coluna EY (continuação)
Coluna
Descrição
Detalhes
sql_ws_password
Obrigatório
sql_ws_dbname
(Opcional) O padrão é em branco.
sql_ws_db_instance Nome da instância do banco de
dados
Obrigatório
Tabela 3-68 sql — Inicia na coluna FD
Coluna
Descrição
Detalhes
sql_port
Porta usada para se conectar ao
banco de dados
sql_userid
ID de usuário de banco de dados
sql_password
Senha do banco de dados
sql_dbinstance
Nome da instância do banco de dados
sql_config_logging
Os valores válidos são: 0 (para o banco de
dados do SQL Server Express) e 1 (para o banco
de dados do SQL)
sql_protocol
Se o valor de sql_config_logging for 1, este
será gsql.
sql_dbname
Tabela 3-69 oracleidm — Inicia na coluna FK
Coluna
Descrição
Detalhes
oracleidm_port
Porta usada para se conectar ao banco de dados do Oracle Identify
Manager
oracleidm_userid
ID de usuário para o banco de dados do Oracle Identify Manager
oracleidm_password
Senha para o banco de dados do Oracle Identify Manager
oracleidm_ip_address Endereço IP para o banco de dados do Oracle Identify Manager
oracleidm_dpsid
Nome TNS da conexão em uso
Tabela 3-70 text — Inicia na coluna FP
Coluna
Descrição
Detalhes
Campos usados para a origem de dados do ePolicy Orchestrator.
text_dbinstance Instância do banco de dados na qual o banco de dados do ePolicy
Orchestrator está em execução
text_dbname
Nome do banco de dados do ePolicy Orchestrator
text_password
Senha para o banco de dados do ePolicy Orchestrator
text_port
Porta usada para se conectar ao banco de dados do ePolicy Orchestrator
text_userid
ID de usuário para o banco de dados do ePolicy Orchestrator
Tabela 3-71 gsql — Inicia na coluna FU
Coluna
Descrição
Detalhes
gsql_port
(Opcional) O padrão depende do fornecedor. O
padrão para Websense é 1433.
gsql_userid
Obrigatório
Guia de produto
123
3
Tabela 3-71 gsql — Inicia na coluna FU (continuação)
Coluna
Descrição
Detalhes
gsql_password
Obrigatório
gsql_dbname
(Opcional) O padrão é em branco.
gsql_db_instance Nome da instância do banco
de dados
Obrigatório
gsql_nsmversion Versão NSM
Obrigatório. Se for deixado em branco, padroniza
para a versão 6.x.
Migrar origens de dados para outro Receptor
Você pode realocar ou redistribuir origens de dados entre Receptores no mesmo sistema.
Isso pode ser particularmente útil se você comprar um novo Receptor e quiser balancear as origens de
dados e os dados associados entre os dois Receptores, ou se comprar um Receptor substituto maior e
precisar transferir as origens de dados do atual Receptor para o novo.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do Receptor para o Receptor com as origens
de dados e clique em Origens de dados.
2
Selecione as origens de dados que serão migradas e clique em Migrar.
3
Selecione o novo Receptor no campo Receptor de destino e clique em OK.
Consulte também
Página Migrar origens de dados na página 124
Página Migrar origens de dados
Selecione o Receptor para o qual deseja transferir as origens de dados.
Opção
Definição
Receptor de destino Relaciona todos os Receptores no ESM. Selecione o Receptor para o qual deseja
mover as origens de dados selecionadas.
Consulte também
Migrar origens de dados para outro Receptor na página 124
Mover origens de dados para outro sistema
Para mover as origens de dados de um Receptor para outro em um sistema diferente, é preciso
selecionar as origens de dados a serem movidas, salvá-las e também seus dados brutos em um local
remoto e importá-los para outro Receptor.
Antes de iniciar
Para executar essa função, é preciso ter direitos de gerenciamento de dispositivos em
ambos os Receptores.
Siga esse processo para mover as origens de dados de um Receptor em um local protegido para um
Receptor em um local não protegido.
Existem limitações para a exportação de informações de origens de dados:
124
Guia de produto
3
•
Não é possível transportar origens de dados de fluxo (por exemplo, IPFIX, NetFlow ou sFlow).
•
Os eventos de origem dos eventos correlacionados não são exibidos.
•
Se você realizar uma alteração nas regras de correlação do segundo Receptor, o mecanismo de
correlação não processará essas regras. Quando os dados de correlação são transportados, ele
insere esses eventos a partir do arquivo.
Para...
Faça isto...
Selecionar as
1 Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em
origens de dados e
Origem de dados.
o local remoto
2 Selecione a origem de dados e clique em Editar.
3 Clique em Avançado e selecione Exportar no formato NitroFile.
Os dados são exportados para um local remoto e configurados com o uso de um
perfil.
4 Clique em OK.
Daí em diante, os dados brutos gerados por essa origem de dados são copiados para
o local de compartilhamento remoto.
Criar arquivo de
dados brutos
1 Acesse o local de compartilhamento remoto onde os dados brutos são salvos.
Criar um arquivo
que descreva as
origens de dados
1 Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em
Origem de dados | Importar.
2 Salve os dados brutos que foram gerados em um local que permita mover o
arquivo para o segundo Receptor (como um pen-drive que você leva para o local
não protegido).
2 Localize o arquivo das origens de dados que foi movido e clique em Fazer upload.
3 Na lista Perfil de compartilhamento remoto, selecione o local para salvar os arquivos de
dados brutos. Se o perfil não estiver na lista, clique em Perfil de compartilhamento remoto
e adicione o perfil.
4 Clique em OK.
As origens de dados são adicionadas ao segundo Receptor e os dados brutos serão
acessados por meio do perfil de compartilhamento remoto.
Importar arquivos
de origens de
dados e dados
brutos
1 Na árvore de navegação do sistema, acesse Origens de dados no segundo Receptor e
clique em Importar.
2 Localize o arquivo das origens de dados que foi movido e clique em Fazer upload. A
página Importar origens de dados contém as origens de dados a serem importadas.
3 Na lista Perfil de compartilhamento remoto , selecione o local para salvar os arquivos de
dados brutos. Se o perfil não estiver na lista, clique em Perfil de compartilhamento remoto
e adicione o perfil (consulte Configurar perfis).
4 Clique em OK.
Guia de produto
125
3
Consulte também
Selecione o método de coleta de origem de dados Coletar arquivo(s) de cauda
Se você selecionar Origem de arquivo NFS ou Origem de arquivo CIFS no campo Recuperação de dados ao adicionar
uma origem de dados, precisará escolher um método de coleta.
As opções são:
•
Copiar arquivo(s) – Logs completos são copiados do compartilhamento remoto para o Receptor para
serem processados. Se os arquivos de log forem grandes e atualizados com novas informações
com pouca frequência, copiar todo o arquivo de log pode ser ineficiente e demorado.
•
Coletar arquivo(s) de cauda – Apenas os novos eventos dos logs são lidos remotamente. Sempre que um
log é lido, o método lê da posição onde parou anteriormente. Se o arquivo for alterado
significativamente, isso é detectado e todo o arquivo é relido desde o início.
Tarefa
Ajuda.
1
na
2
Forneça as informações solicitadas selecionando Origem de arquivo CIFS ou Origem de arquivo NFS no campo
Recuperação de dados.
3
No campo Método de coleta, selecione Coletar arquivo(s) de cauda e preencha estes campos:
4
126
Na árvore de navegação do sistema, clique no Receptor e no ícone Adicionar origem de dados
•
Logs delimitados por várias linhas – Selecione para especificar se os eventos possuem comprimento
dinâmico.
•
Delimitador de evento – Insira uma cadeia de caracteres que sinalize o fim de um evento e o início
de outro. Esses delimitadores variam bastante e dependem do tipo de arquivo de log.
•
Delimitador é regex – Selecione se o valor do campo Delimitador de evento será analisado como uma
expressão regular e não um valor estático.
•
Modo de coleta de arquivo de cauda – Selecione Início para analisar completamente os arquivos que são
encontrados na primeira execução, ou Fim, para observar o tamanho do arquivo e coletar
somente novos eventos.
•
Repetir subdiretórios – Selecione para ler a coleção dos diretórios filho (subdiretórios), procurando
correspondências com o campo expressão curinga. Se a opção não for selecionada, ele
pesquisará somente os arquivos do diretório pai.
Preencha os campos restantes e clique em OK.
Guia de produto
3
Consulte também
Página Adicionar origem de dados na página 92
Exibir os arquivos gerados pelas origens de dados
Para exibir arquivos gerados pelas origens de dados, é preciso acessar a página Exibir arquivos. Eles não
podem ser vistos em uma exibição do ESM.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione a origem de dados da McAfee.
2
Na barra de ferramentas de ações, clique no ícone Exibir arquivos
3
4
.
•
Digite um nome de arquivo no campo Filtro de nome de arquivo para localizar um arquivo específico.
•
Altere as configurações no campo Intervalo de tempo para exibir somente os arquivos gerados nesse
período.
•
Clique em Atualizar para atualizar a lista de arquivos.
•
Selecione um arquivo na lista e clique em Fazer download para fazer download do arquivo.
Clique em Cancelar para fechar a página.
Consulte também
Tipo de origem de dados definidos pelo usuário
Essa tabela lista os tipos definidos pelo usuário e seu nome ou entrada correspondente, que é exibido
no editor de origem de dados.
ID
Modelo do
dispositivo
Fornecedor Protocolo Prefixo do nome da regra Tipo do
editor de
regras
49190 Definido pelo usuário 1 N/D
syslog
DefinidopeloUsuário1_
Genérico
syslog
Genérico
syslog
Genérico
syslog
Genérico
syslog
Genérico
Guia de produto
127
3
ID
Modelo do
dispositivo
Fornecedor Protocolo Prefixo do nome da regra Tipo do
editor de
regras
syslog
Genérico
syslog
Genérico
syslog
Genérico
syslog
Genérico
49199 Definido pelo usuário
10
syslog
Genérico
N/D
Origens de dados compatíveis
A McAfee adiciona suporte a novas origens de dados regularmente. Os Receivers podem ter, no
máximo, 2000, 200 ou 50 origens de dados.
Para exibir os atuais Guias de configuração de origem de dados, acesse o Centro de conhecimento.
Estes dispositivos podem ter até 2.000 origens de dados associadas:
•
ERC-1225
•
ENMELM-5600
•
ERC-1250
•
ENMELM-5750
•
ERC-2230
•
ENMELM-6000
•
ERC-2250
•
ELMERC-2230
•
ERC-2600
•
ELMERC-2250
•
ERC-3450
•
ELMERC-2600
•
ERC-4245
•
ELMERC-4245
•
ERC-4600
•
ELMERC-4600
•
ENMELM-2250
•
ESMREC-4245
•
ENMELM-4245
•
ESMREC-5205
•
ENMELM-4600
•
ESMREC-5510
•
ENMELM-5205
O ERC-110 permite somente 50 origens de dados, e todos os outros podem ter no máximo 200.
Estes são os mapas de intervalos das origens de dados:
•
Tipo de origem de dados: 1 a 48.999
•
Tipos definidos pelo usuário: 49.001 a 49.999
•
Reservado à McAfee (por exemplo, conjuntos de regras): 50.001 a 65.534
Se você usar um McAfee Firewall Enterprise Event Reporter (ERU), somente as origens de dados da
McAfee estarão disponíveis.
Configurar para origens de dados específicas
Algumas origens de dados requereem mais informações e configurações especiais.
Consulte essas seções para obter detalhes.
128
Guia de produto
3
•
Check Point
•
Big Fix
•
IBM Internet Security Systems
SiteProtector
•
Common Event Format
•
McAfee ePolicy Orchestrator
•
ArcSight
•
ePolicy Orchestrator 4.0
•
Security Device Event Exchange
•
NSM-SEIM
•
Analisador de syslog avançado
•
Suporte à retransmissão de syslog
•
log de eventos WMI
•
Adiscon
Você também pode consultar os atuais guias de configuração referentes a essas origens de dados no
Centro de conhecimento.
Registro de eventos WMI
WMI é a implementação da Microsoft do WBEM (Web-Based Enterprise Management), como definido
pela DMTF (Distributed Management Task Force).
É a principal tecnologia de gerenciamento dos sistemas operacionais Windows, permitindo o
compartilhamento de informações de gerenciamento entre os aplicativos de gerenciamento. A
possibilidade de obter dados de gerenciamento de computadores remotos é o que torna o WMI
relevante.
WMI está fora de conformidade com FIPS. Se for necessária a conformidade com as normas FIPS, não
use este recurso.
Os registros de eventos WMI são configurados como uma origem de dados e enviados pelo Receptor.
O Receptor sonda o servidor Windows em intervalos definidos e coleta os eventos. O coletor WMI pode
coletar eventos de qualquer registro de eventos de logon no computador Windows. Por padrão, o
Receptor coleta registros de segurança, administração e eventos. Você consegue inserir outros
arquivos de registros, como Directory Service ou Exchange. Os dados do registro de eventos são
coletados nos dados do pacote e podem ser exibidos nos detalhes da tabela de eventos.
O operador precisa ter privilégios administrativos ou de backup nos registros de evento WMI, exceto
quando utilizar o Windows 2008 ou o 2008 R2 se a origem de dados e o usuário estiverem configurados
corretamente (consulte Efetuar pull dos registros de segurança do Windows).
Estes dispositivos adicionais são compatíveis com a origem de dados do WMI:
•
McAfee Antivirus
•
Microsoft SQL Server
•
Windows
•
RSA Authentication Manager
•
Microsoft ISA Server
•
Symantec Antivirus
•
Microsoft Active Directory
•
Microsoft Exchange
Para obter instruções sobre como configurar o WMI do syslog através do Adiscon, consulte Configuração
do Adiscon.
Na configuração de uma origem de dados do WMI, o fornecedor é a Microsoft e o modelo é WMI Event Log.
Guia de produto
129
3
Configurar para efetuar pull dos registros de segurança do Windows
Quando você usa o Windows 2008 ou 2008 R2, os usuários sem privilégios administrativos podem
efetuar pull dos registros de segurança do Windows se a origem de dados do Registro de eventos WMI
e o usuário estiverem configurados corretamente.
Tarefa
Ajuda.
1
Crie um novo usuário no sistema Windows 2008 ou 2008 R2 onde os logs de evento serão lidos.
2
Atribua o usuário ao grupo de leitores de registros de eventos no sistema Windows.
3
Crie uma nova origem de dados do Registro de eventos WMI da Microsoft no McAfee Event
Receiver, inserindo as credenciais do usuário criado na etapa 1 (consulte Adicionar uma origem de
dados).
4
Marque a caixa Usar RPC e clique em OK.
Origem de dados de correlação
Uma origem de dados de correlação analisa dados que fluem de um ESM, detecta padrões suspeitos
no fluxo de dados, gera alertas de correlação que representa esses padrões, e insere esses alertas no
banco de dados de alerta do Receptor.
Um padrão suspeito é representado pelos dados interpretados por regras de política de correlação,
que você pode criar e modificar. Esses tipos de regras são separadas e distintas das regras do Nitro
IPS ou de firewall e têm atributos que especificam seu comportamento.
Somente uma origem de dados de correlação pode ser configurada em um Receptor, de forma
semelhante à configuração do syslog ou OPSEC. Depois de configurar uma origem de dados de
correlação do Receptor, você pode distribuir a política padrão da correlação, editar as regras básicas
nessa política padrão da correlação ou adicionar regras e componentes personalizados e depois
distribuir a política. Você pode ativar ou desativar cada regra e definir o valor dos parâmetros
configuráveis pelo usuário de cada regra. Para obter detalhes sobre a política de correlação, consulte
Regras de correlação.
Quando você adiciona uma origem de dados de correlação, o fornecedor é a McAfee e o modelo é
Mecanismo de correlação.
Quando a origem de dados de correlação é ativada, o ESM envia alertas para o mecanismo de
correlação no Receptor.
130
Guia de produto
3
Gravidade e mapeamento de ações
Os parâmetros de gravidade e ação têm finalidades um pouco distintas. O objetivo deles é mapear um
valor da mensagem do syslog para um valor que se encaixe no esquema do sistema.
•
severity_map — A gravidade aparece como um valor entre 1 (menos grave) e 100 (mais grave)
atribuído aos eventos correspondentes à regra. Em alguns casos, o dispositivo que estiver enviando
a mensagem poderá mostrar a gravidade como um número de 1 a 10 ou como texto (alta, média e
baixa). Quando isso acontece, ele não pode ser capturado como a gravidade, e um mapeamento
precisa ser criado. Por exemplo, esta é uma mensagem proveniente do McAfee IntruShield que
mostra a gravidade na forma de texto.
<113>Apr 21 07:16:11 SyslogAlertForwarder: Attack NMAP: XMAS Probe (Medium)\000
A sintaxe de uma regra que utiliza mapeamento de gravidade teria esta aparência (o mapeamento
de gravidade está em negrito somente para enfatizar):
alert any any any -> any any (msg:"McAfee Traffic"; content:"syslogalertforwarder";
severity_map:High=99,Medium=55,Low=10; pcre:"(SyslogAlertForwarder)\x3a\s+Attack\s+
([^\x27]+)\x27([^\x28]+)\x28"; raw; setparm:application=1; setparm:msg=2;
setparm:severity=3; adsid:190; rev:1;)
severity_map : High=99,Medium=55,Low=10. Isso mapeia o texto para um número no formato
utilizável.
setparm : severity=3. Informa para utilizar a terceira captura e defini-la igual à gravidade. Todos
os modificadores setparm funcionam dessa forma.
•
action_map — Usado exatamente como a gravidade. Action representa a ação executada pelo
dispositivo do outro fornecedor. O objetivo é criar um mapeamento que seja útil ao usuário final.
Por exemplo, esta é uma mensagem de falha na entrada do OpenSSH.
Dec 6 10:27:03 nina sshd[24259]: Failed password for root from 10.0.12.20 port
49547 ssh2
alert any any any -> any any (msg:"SSH Login Attempt"; content:"sshd";
action_map:Failed=9,Accepted=8;
pcre:"sshd\x5b\d+\x5d\x3a\s+((Failed|Accepted)\s+password)\s+for\s+((invalid|
illegal)\s+user\s+)?(\S+)\s+from\s+(\S+)(\s+(\S+)\s+port\s+(\d+))?"; raw;
setparm:msg=1; setparm:action=2; setparm:username=5; setparm:src_ip=6; adsid:190;
rev:1;)
A ação (Falha) é mapeada para um número. Esse número representa as diferentes ações que
podemos usar no nosso sistema. Veja abaixo a lista completa de tipos de ação utilizáveis.
•
0 = nulo
•
20 = interrupção
•
1 = aprovação
•
21 = com aviso
•
2 = rejeição
•
22 = confiável
•
3 = descarte
•
23 = não confiável
•
sdrop
•
24 = falso positivo
•
5 = alerta
•
25 = alerta-rejeição
•
6 = padrão
•
26 = alerta-descarte
•
7 = erro
•
27 = alerta-sdrop
•
8 = êxito
•
28 = reinicialização
Guia de produto
131
3
•
9 = falha
•
29 = bloqueio
•
10 = emergência
•
30 = limpeza
•
11 = crítico
•
31 = limpeza-falha
•
12 = aviso
•
32 = continuação
•
13 = informativo
•
33 = infectado
•
14 = depuração
•
34 = movimento
•
15 = integridade
•
35 = mover-falha
•
16 = adição
•
36 = quarentena
•
17 = modificação
•
37 = quarentena-falha
•
18 = remoção
•
38 = remover-falha
•
19 = inicialização
•
39 = negado
Nesse exemplo, Falha é mapeada da mensagem do syslog para 9, que o sistema relata como
Falha.
Esta é uma divisão da estrutura de uma regra.
Alert any any any -> any any (msg:”Login Attempt”; content:”sshd”; action_map or
severity_map (if you need it); pcre:”your regular expression goes here”; raw;
setparm:data_tag_goes_here; adsid:190; rev:1;)
Analisador de syslog avançado
O ASP (Analisador de syslog avançado) oferece um mecanismo para a análise de dados das
mensagens de syslog com base em regras definidas pelo usuário. As regras instruem o ASP a
reconhecer uma determinada mensagem e em que parte dos dados de evento específicos dessa
mensagem se encontram itens como IDs de assinatura, endereços IP, portas, nomes de usuário e
ações.
O ASP pode ser utilizado em dispositivos que não foram especificamente identificados na página
Adicionar origem de dados ou quando o analisador específico de origem não interpreta corretamente as
mensagens ou interpreta integralmente os pontos de dados relacionados aos eventos recebidos. Ele
também é ideal para pesquisar em origens de registros complexos, como servidores Linux e UNIX.
Essa funcionalidade requer a gravação de regras (consulte Adicionar regras de analisador de syslog
avançado) ajustadas ao seu ambiente Linux ou UNIX.
É possível adicionar uma origem de dados ASP ao Receptor selecionando Syslog como o fornecedor
(consulte Adicionar uma origem de dados). Depois de fazer isso, siga as instruções do fabricante do
dispositivo para configurar o dispositivo syslog, para que envie dados do syslog para o endereço IP do
Receptor.
Ao adicionar uma origem ASP, é importante que você aplique uma política antes de coletar dados de
evento. Se você ativar o Suporte a syslogs genéricos, poderá aplicar uma política sem regras e começar a
coletar dados de evento genericamente.
Algumas origens de dados, incluindo os servidores Linux e UNIX, podem produzir grandes volumes de
dados não uniformes. Isso faz com que o Receptor não agrupe corretamente eventos semelhantes. Isso
resulta em uma variedade de eventos aparentemente grande, quando na verdade ocorre a repetição do
mesmo evento, porém com dados de syslog variáveis enviados ao Receptor.
A adição de regras ao ASP permitir um uso mais eficiente dos dados de evento. O ASP utiliza um
formato muito semelhante ao do Snort.
132
Guia de produto
3
ACTION Protocol Src_ip Src_port -> Dst_ip Dst_port (keyword: option; keyword:
option;...;)
Ao concatenar um valor literal com uma subcaptura de PCRE nas versões 9.0.0 e versões posteriores,
coloque os literais entre as aspas individualmente se contiverem espaços ou outros caracteres, e deixe
as referências da subcaptura de PCRE sem aspas.
As regras são definidas da forma a seguir.
Seção
Campo
Cabeçalho da
regra
Descrição
O cabeçalho da regra contém a ação de Alerta (Alert) e o formato any
any any. A regra é:
ALERT any any any -> any any
Ação
O que fazer com o evento quando ocorre uma correspondência. As
opções são:
• ALERT — Registrar evento
• DROP — Registrar o evento, mas não encaminhar
• SDROP — Não registrar ou encaminhar o evento
• PASS — Encaminhar se estiver definido, mas não registrar
Protocolo
Se o evento define um protocolo, filtre a correspondência de fato, de
acordo com o protocolo.
IP origem/
destino
Se o evento define um endereço IP de origem ou de destino, filtre a
correspondência de fato com base nesse endereço.
Porta
origem/
destino
Se o evento define uma porta de origem ou de destino, filtre a
correspondência de fato com base nessa porta.
Corpo da regra
O corpo da regra contém a maioria dos critérios de correspondência e
define como os dados devem ser analisados e registrados no banco de
dados do ESM. Elementos do corpo da regra são definidos em pares de
palavra-chave e opção. Algumas palavras-chave não são seguidas de
opção.
msg
(Obrigatório) A mensagem a ser associada à regra. Essa é a cadeia
exibida no ESM Thin Client para fins de geração de relatórios, a menos
que seja substituída por uma mensagem detectada por pcre/setparm
(veja abaixo). O primeiro trabalho da msg é o nome da categoria,
seguida da mensagem propriamente dita (msg: "category rule
message").
content
(Opcional — um ou mais) A palavra-chave content é um qualificador de
texto que não é um caractere curinga para filtrar previamente os
Eventos à medida que eles passam pelo conjunto de regras, que
também pode conter espaços (por exemplo, content:"search 1"; content
"something else")
procname
Em muitos sistemas UNIX e Linux, o nome do processo (e ID do
processo) faz parte de um cabeçalho de mensagem syslog padronizado.
A palavra-chave procname pode ser usada para filtrar correspondências
de eventos para a regra. Usada para excluir ou filtrar correspondências
de eventos, onde o texto da mensagem de dois processos em um
servidor Linux ou UNIX pode ser semelhante ou igual.
adsid
ID da origem de dados a ser usado. Este valor substitui a Atribuição de regra
padrão no editor de origens de dados.
sid
ID de assinatura da regra. É o ID de correspondência usado no ESM Thin
Client, a menos que seja substituído por um sid detectado por pcre/
setparm.
Guia de produto
133
3
Seção
Campo
Descrição
rev
Revisão de regra. Usada para rastrear alterações.
gravidade
Valor entre 1 (menos grave) e 100 (mais grave) atribuído a eventos
correspondentes à regra.
pcre
A palavra-chave PCRE é uma correspondência de Perl Compatible
Regular Expression (Expressão Regular Compatível com Perl) para
eventos de entrada. O PCRE vem entre aspas e todas as ocorrências de
"/" são tratadas como um caractere normal. O conteúdo entre
parênteses é mantido para uso da palavra-chave setparm. A
palavra-chave PCRE pode ser modificada pelas palavras-chave nocase,
nomatch, raw e setparm.
nocase
Faz com que o conteúdo de PCRE seja correspondido,
independentemente de o caso corresponder ou não.
nomatch
Inverte a correspondência de PCRE (equivalente a !~ no Perl).
raw
Compare o PCRE à mensagem de syslog inteira, incluindo os dados do
cabeçalho (recurso, daemon, data, host/IP, nome e nome e ID de
processo). Normalmente o cabeçalho não é usado na correspondência
de PCRE.
setparm
Pode ocorrer mais de uma vez. A cada grupo de parênteses no PCRE, é
atribuído um número na ordem de ocorrência. Esses números podem ser
atribuídos a marcas de dados (por exemplo: setparm:username=1). O
texto capturado no primeiro grupo de parênteses é obtido e atribuído à
marca de dados do nome do usuário. As marcas reconhecidas estão na
tabela abaixo.
Marca
Descrição
* sid
Este parâmetro capturado substitui o sid da regra correspondida.
* msg
Este parâmetro capturado substitui o nome ou a mensagem da regra
correspondida.
* action
Este parâmetro capturado indica a ação executada pelo dispositivo de terceiros.
* protocol
* src_ip
Substitui o IP da origem syslog que é o IP de origem padrão de um evento.
* src_port
* dst_ip
* dst_port
* src_mac
* dst_mac
* dst_mac
* genid
Usada para modificar o sid armazenado no banco de dados, usada para
correspondências do snort que não são da McAfee em pré-processadores snort.
* url
Reservada, mas ainda não usada.
* src_username
Primeiro nome do usuário (de origem).
* username
Nome alternativo para src_username.
* dst_username
Segundo nome do usuário (de destino).
* domain
* hostname
* application
134
Guia de produto
3
Marca
Descrição
* severity
Deve ser um inteiro.
* action map
Permite mapear ações específicas do produto para as ações da McAfee. O mapa de
ações diferencia maiúsculas de minúsculas. Exemplo: alert any any any -> any
any (msg:"OpenSSH Accepted Password"; content:"Accepted password for ";
action_map:Accepted=8, Blocked=3; pcre:"(Accepted)\s+password\s+for\s+(\S
+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31;
rev:1;)). Consulte Gravidade e mapa de ação para obter detalhes.
* severity map
Permite mapear gravidades específicas do produto para a gravidade da McAfee.
Assim como action map, severity map diferencia maiúsculas e minúsculas.
Exemplo: alert any any any -> any any (msg:"OpenSSH Accepted Password";
content:"Accepted password for "; severity_map:High=99, Low=25, 10=99,
1=25; pcre:"(Accepted)\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.
\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;))pri(?:\x3d|\x3a)\s*(?:p
\x5f)?([^\x2c]+). Consulte Gravidade e mapa de ação para obter detalhes.
* var
Esta é outra forma de usar setparms. O uso vantajoso, entretanto, é criar um
valor a partir de várias capturas de vários PCREs. É possível criar mais de um
PCRE que capture somente um pequeno trecho da cadeia, em vez de um PCRE
grande com várias capturas. Este é um exemplo de captura de nome do usuário,
domínio e criação de endereço de e-mail para armazenar no campo objectname.
• Syntax = var:field=${PCRE:Capture}
• PCRE = não o PCRE real, mas o número do pcre. Se a regra tem dois PCREs,
você terá um PCRE de 1 ou 2.
• Capture = não a captura real, mas o número (primeira, segunda ou terceira
captura [1,2,3])
• Amostra de mensagem: um homem chamado Jim trabalha para a McAfee.
• PCRE: (Jim).*?(McAfee)
• Regra: alert any any any -> any any (msg:"Var User Jim"; content:"Jim";
pcre:"(Jim)"; pcre:"(McAfee)"; var:src_username=${1:1}; var:domain=${2:1};
var:objectname=${1:1}@${2:1}.com raw; classtype:unknown; adsid:190; sev:
25; sid:610061000; rev:1; normID:1209008128; gensys:T;)
• Usuário de origem mapeado: Jim
• Domínio mapeado: McAfee
• Nome de objeto mapeado: [email protected]
* sessionid
Este é um inteiro.
* commandname O valor é uma cadeia.
* objectname
O valor é uma cadeia.
* event_action
Esta marca é usada para definir a ação padrão. Você não pode usar event_action e
action_map na mesma regra. Por exemplo, se você tiver um evento para um êxito
no login, poderá usar a marca event_action e padronizar a ação como êxito (por
exemplo, event_action:8;).
Guia de produto
135
3
Marca
Descrição
* firsttime_fmt
Usada para definir a primeira vez do evento. Consulte a lista de formatos.
* lasttime_fmt
Usada para definir a última vez do evento. Consulte a lista de formatos. Você pode
usar isso com setparm ou var (var:firsttime="${1:1}" ou setparm:lasttime="1").
Por exemplo:
alert any any any -> any any (msg:"SSH Login Attempt"; content:"content";
firsttime_fmt:"%Y-%m-%dT%H:%M:%S.%f"; lasttime_fmt:"%Y-%m-%dT%H:
%M:%S.%f" pcre:"PCRE goes here; raw; setparm:firsttime=1;
setparm:lasttime=1; adsid:190; rev:1;)
Para obter detalhes sobre os formatos atuais com suporte, consulte http://
pubs.opengroup.org/onlinepubs/009695399/functions/strptime.html.
%Y - %d - %m %H : %M : %S
%m - %d - %Y %H : %M : %S
%b %d %Y %H : %M : %S
%b %d %Y %H - %M - %S
%b %d %H : %M : %S %Y
%b %d %H - %M - %S %Y
%b %d %H : %M : %S
%b %d %H - %M - %S
%Y %H : %M : %S
%Y %H - %M - %S
%m - %d - %Y
%H : %M : %S
%H - %M - %S
%Y é um ano com quatro dígitos
%m é o número do mês (1 a 12)
%d é a data (1 a 31)
%H é a hora (1 a 24)
%M são os minutos (0 a 60)
%S são os segundos (0 a 60)
%b é a abreviação do mês (jan, fev)
Este é um exemplo de regra que identifica uma senha com base em login OpenSSH e efetua pull do
endereço IP de origem, porta de origem e nome do usuário do evento:
alert any any any -> any any (msg:"OpenSSH Accepted Password";content:"Accepted
password for ";pcre:"Accepted\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s
+port\s+(\d+)";setparm:username=1;setparm:src_ip=2;setparm:src_port=3;sid:31;rev:1;)
Para informar-se sobre os recursos on-line do PCRE, acesse http://perldoc.perl.org/perlre.html.
Adicionar uma origem de dados ASP com codificação diferente
O ESM lê dados codificados em UTF-8. Se você tiver uma origem de dados ASP que gere dados com
codificação diferente, será necessário indicar isso ao adicionar a origem de dados.
136
Guia de produto
3
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, clique em um Receptor e clique no ícone Adicionar origem de dados
.
2
Selecione Genérico no campo Fornecedor da origem de dados e selecione Analisador avançado de syslog no
campo Modelo da origem de dados.
3
Insira as informações solicitadas e selecione a codificação correta no campo Codificação.
Os dados dessa origem de dados são formatados para que possam ser lidos pelo Receptor que forem
recebidos.
Security Device Event Exchange (SDEE)
O formato SDEE descreve uma maneira padrão de representar eventos gerados por vários tipos de
dispositivos de segurança. A especificação SDEE indica que os eventos do SDEE são transportados
com os protocolos HTTP ou HTTPS. Os servidores HTTP que usam o SDEE para fornecer informações
de eventos a clientes são chamados de provedores de SDEE, ao passo que os iniciadores de
solicitações de HTTP são chamados de clientes de SDEE.
A Cisco definiu algumas extensões para o padrão SDEE, chamando-o de padrão CIDEE. O Receptor
pode agir como um cliente SDEE que solicita dados CIDEE gerados pelos sistemas de prevenção a
intrusões.
Diferente de alguns outros tipos de origens de dados compatíveis com o Receptor, o SDEE utiliza um
modelo de "pull" em vez de um modelo de "push". Isso significa que periodicamente o Receptor
contata o provedor de SDEE e solicita os eventos gerados desde a solicitação do último evento. Toda
vez que os eventos são solicitados ao provedor de SDEE, eles são processados e armazenados no
banco de dados de eventos do Receptor, prontos para serem recuperados pelo ESM.
É possível adicionar um provedor de SDEE a um Receptor como uma origem de dados. Para isso,
basta selecionar a Cisco como o fornecedor e IOS IPS (SDEE) como o modelo de origem de dados
(consulte Adicionar uma origem de dados).
O Receptor é capaz de extrair as informações de um evento SDEE/CIDEE:
•
Endereços IP de origem e destino
•
Portas de origem e destino
•
Protocolo
•
Hora do evento
•
Contagem de eventos (o CIDEE fornece um formulário de agregação de eventos, que o Receptor
cumpre)
•
ID de assinatura e subID
•
A ID de evento do ESM é calculada a partir da ID de assinatura do SDEE e da ID de subassinatura
do CIDEE segundo esta fórmula:
ID do ESMI = (ID do SDEE * 1000) + subID do CIDEE
Portanto, se a ID de assinatura do SDEE for 2000 e a ID de subassinatura do CIDEE for 123, a ID
de evento do ESMI será 2000123.
•
VLAN
Guia de produto
137
3
•
Gravidade
•
Descrição do evento
•
Conteúdo do pacote (se disponível).
Se o Receptor estiver se conectando ao provedor de SDEE pela primeira vez, a data e a hora atuais
serão utilizadas como ponto de partida para a solicitação de eventos. Futuras conexões solicitarão
todos os eventos desde o último pull bem-sucedido.
Adicionar uma origem de dados ArcSight
Adicione origens de dados aos dispositivos ArcSight.
Tarefa
Ajuda.
1
2
Na árvore de navegação do sistema, selecione o nó Receptor.
Clique no ícone Adicionar origem de dados
3
Selecione ArcSight no campo Fornecedor da origem de dados e selecione Common Event Format no campo
Modelo da origem de dados.
4
Digite um nome para a origem de dados e o endereço IP do ArcSight.
5
Preencha os demais campos (consulte Adicionar uma origem de dados).
6
Clique em OK.
7
Configure uma origem de dados para cada origem que encaminhe dados para o dispositivo
ArcSight.
Os dados recebidos de ArcSight são analisados para poderem ser exibidos no console do ESM.
Common Event Format (CEF)
Atualmente, o ArcSight converte eventos de 270 origens de dados em Common Event Format (CEF)
usando conectores inteligentes. CEF é um padrão de interoperabilidade para dispositivos que geram
eventos ou registros. Ele contém as informações mais relevantes do dispositivo e facilita a análise e o
uso de eventos.
A mensagem do evento não precisa ser gerada explicitamente pelo produtor do evento. A mensagem
é formatada com o uso de um prefixo comum, composto de campos delimitados por uma barra (|). O
prefixo é obrigatório e todos os campos especificados precisam estar presentes. Campos adicionais
são especificados na extensão. O formato é:
CEF:Versão|Fornecedor do dispositivo|Produto do dispositivo|Versão do dispositivo|
IDdeclasseEventoDispositivo|Nome|Gravidade|Extensão
138
Guia de produto
3
A parte da extensão da mensagem é um espaço reservado para campos adicionais. Veja a seguir
definições para os campos com prefixo:
•
Versão é um inteiro e identifica a versão do formato CEF. Os consumidores de eventos usam essas
informações para determinar o que o campo representa. No momento, somente a versão 0 (zero)
está estabelecida no formato acima. A experiência pode exigir que outros campos sejam
adicionados ao "prefixo", o que requer uma mudança no número da versão. A adição de novos
formatos ocorre no corpo dos padrões.
•
Fornecedor do dispositivo, Produto do dispositivo e Versão do dispositivo são cadeias que identificam, com
exclusividade, o tipo de dispositivo remetente. Dois produtos não podem usar o mesmo par de
dispositivo-fornecedor e dispositivo-produto. Não existe uma autoridade central gerenciando esses
pares. Os produtores de eventos têm que atribuir pares com nomes exclusivos.
•
IDdeclasseEventoDispositivo é um identificador exclusivo por tipo de evento. Pode ser uma cadeia ou um
número inteiro. DeviceEventClassId identifica o tipo de evento relatado. No âmbito do IDS (sistema
de detecção de intrusões), cada assinatura ou regra que detectar uma certa atividade tem uma
deviceEventClassId exclusiva atribuída. Esse é um requisito para outros tipos de dispositivos
também. E ajuda os mecanismos de correlação a lidar com os eventos.
•
Nome é uma cadeia que representa uma descrição do evento que seja legível e compreensível. O
nome do evento não deve conter informações que sejam mencionadas especificamente em outros
campos. Por exemplo: "Port scan from 10.0.0.1 targeting 20.1.1.1" não é um bom nome de
evento. Deve ser: "Port scan." As outras informações são redundantes e podem ser obtidas nos
outros campos.
•
Gravidade é um número inteiro e reflete a importância do evento. Somente números de 0 a 10 são
permitidos, onde 10 indica o evento mais importante.
•
Extensão é um conjunto de pares de chave-valor. As chaves fazem parte de um conjunto
previamente definido. O padrão aceita a inclusão de chaves adicionais, como descrito
posteriormente. Um evento pode conter qualquer número de pares de chave-valor em qualquer
ordem, separadas por espaços. Se um campo tiver um espaço, como um nome de arquivo, ele
poderá ser registrado da mesma maneira. Por exemplo:
fileName=c:\Arquivos de Programas\ArcSight é um token válido.
Esta é uma mensagem de amostra para ilustrar como seria a aparência:
Sep 19 08:26:10 zurich CEF:0|security|threatmanager|1.0|100|worm successfully stopped|
10|src=10.0.0.1 dst=2.1.2.2 spt=1232
Se você usa NetWitness, seu dispositivo precisa ser configurado corretamente para enviar o CEF ao
Receptor. Por padrão, quando se usa o NetWitness, o formato CEF será este:
CEF:0|Netwitness|Informer|1.6|{name}|{name}|Medium | externalId={#sessionid}
proto={#ip.proto} categorySignificance=/Normal categoryBehavior=/Authentication/Verify
categoryDeviceGroup=/OS categoryOutcome=/Attempt categoryObject=/Host/Application/
Service act={#action} deviceDirection=0 shost={#ip.host} src={#ip.src}
spt={#tcp.srcport} dhost={#ip.host} dst={#ip.dst} dport={#tcp.dstport}
duser={#username} dproc=27444 fileType=security cs1={#did} cs2={#password} cs3=4 cs4=5
cn1={#rid} cn2=0 cn3=0
O formato correto requer que você altere "dport" acima para "dpt."
Guia de produto
139
3
Instalação de Adiscon
O WMI do syslog é compatível com o Adiscon.
O seguinte formato de cadeia deve ser usado no Event Reporter para que a origem de dados Adiscon
de eventos do Microsoft Windows funcione corretamente:
%sourceproc%,%id%,%timereported:::uxTimeStamp%,%user%,%category%,%Param0%;%Param1%;
%Param2%;%Param3%;%Param4%;%Param5%;%Param6%;%Param7%;%Param8%;%Param9%;%Param10%;
%Param11%;%Param12%;%Param13%;%Param14%;%Param15%
Suporte à retransmissão de syslog
Encaminhar eventos de vários dispositivos por meio do RelayServer de um syslog para o Receptor
requer procedimentos adicionais.
É preciso adicionar uma única origem de dados de retransmissão de syslog para aceitar o fluxo de
dados e origens de dados adicionais. Dessa forma, o Receptor pode dividir o fluxo de dados nas
origens de dados iniciais. Compatibilidade com Sylog-ng e Splunk. Este diagrama descreve o cenário:
1
Dispositivo Cisco ASA
5
Origem de dados 1 — retransmissão de
syslog
2
Dispositivo SourceFire Snort
6
Origem de dados 2 — Cisco ASA
3
Dispositivo TippingPoint
7
Origem de dados 3 — SourceFire Snort
4
Retransmissão de syslog
8
Origem de dados 4 — TippingPoint
Usando esse cenário como exemplo, é preciso configurar a origem de dados de retransmissão de
syslog (5) para receber o fluxo de dados da retransmissão de syslog (4), selecionando syslog no campo
Retransmissão de syslog. Depois que a origem de dados de retransmissão de syslog estiver configurada,
adicione as origens de dados dos dispositivos individuais (6, 7 e 8), selecionando Nenhum no campo
Retransmissão de syslog, porque o dispositivo não é um servidor de retransmissão de syslog.
O recurso Fazer upload de mensagens do syslog não funciona em uma configuração de retransmissão de syslog.
O cabeçalho do syslog deve ser configurado para assemelhar-se a este exemplo: 1 <123> 345 Oct 7
12:12:12 2012 mcafee.com httpd[123]
onde
140
1=
versão do syslog (opcional)
345 =
tamanho do syslog (opcional)
<123> =
recurso (opcional)
Oct 7 12:12:12 2012 =
data. Compatibilidade com centenas de formatos (obrigatório)
Guia de produto
3
mcafee.com
nome de host ou endereço IP (ipv4 ou ipv6) (obrigatório)
httpd =
nome do aplicativo (opcional)
[123]
pid do aplicativo (opcional)
:=
dois-pontos (opcional)
Os campos de dados e nome do host podem aparecer em qualquer ordem. Um endereço IPv6 pode ser
inserido entre colchetes [ ].
Executar a ferramenta de configuração NSM-SIEM (Security Information and Event
Management)
Antes de configurar uma origem de dados NSM, é preciso executar a ferramenta de configuração
NSM-SIEM (Security Information and Event Management).
Tarefa
Ajuda.
1
2
Faça download da ferramenta de configuração.
a
Procure o site de download de produtos da McAfee.
b
Insira o número de concessão do cliente na caixa de pesquisa Fazer download de meus produtos.
c
Clique em Pesquisar. Os arquivos de atualização do produto podem ser encontrados no link de
download do <nome do produto> <versão> do MFE.
d
Leia o EULA da McAfee e clique em Concordo.
e
Faça download dos arquivos da ferramenta de configuração NSM-SIEM (Security Information and Event
Management).
Execute a ferramenta de configuração no servidor NSM.
A ferramenta precisa localizar o caminho padrão até o NSM. Se ela não o localizar, procure.
3
Insira nome, senha e nome do banco de dados SQL do NSM especificados na instalação do NSM.
4
Insira o nome do usuário e a senha do SIEM (Security Information and Event Management) na
origem de dados e no endereço IP do Receptor onde a origem de dados foi adicionada.
Essas informações foram inseridas na tela de origem de dados.
Configuração do ePolicy Orchestrator
Você pode configurar várias origens de dados do ePolicy Orchestrator, todas apontando para o mesmo
endereço IP, com nomes diferentes no campo do nome do banco de dados.
Permite configurar quantas origens de dados do ePolicy Orchestrator você quiser e tê-las todas
apontando para um banco de dados diferente no servidor central. Preencha os campos ID de usuário e
Senha com as informações que garantem o acesso ao banco de dados ePolicy Orchestrator, e o campo
Versão com a versão do dispositivo ePolicy Orchestrator. A porta padrão é 1433.
Nome do banco de dados é obrigatório. Se houver um traço no nome do banco de dados, você terá que
colocar o nome entre colchetes (por exemplo, [ePO4_WIN-123456]).
A opção Consulta ePO permite que você consulte o dispositivo ePolicy Orchestrator e crie origens de
dados cliente. Se a opção padrão Corresponder por tipo for selecionada no campo Usar origens de dados clientes
e você clicar em Consulta ePO, o dispositivo ePolicy Orchestrator será consultado e todos os produtos
compatíveis do ePolicy Orchestrator serão adicionados às origens de dados cliente.
Guia de produto
141
3
Estes produtos serão compatíveis se estiverem totalmente integrados ao ePolicy Orchestrator:
•
ANTISPYWARE
•
MNAC
•
DLP
•
POLICYAUDITOR
•
EPOAGENT
•
SITEADVISOR
•
GSD
•
VIRUSCAN
•
GSE
•
SOLIDCORE
•
HOSTIPS
Se a opção Correspondência de IP for selecionada, o dispositivo ePolicy Orchestrator será consultado e
criará origens de dados cliente para todos os terminais do banco de dados ePolicy Orchestrator. Se
houver mais de 256 terminais no banco de dados ePolicy Orchestrator, serão criadas várias origens de
dados com clientes.
Os dados da avaliação de risco da McAfee são adquiridos nos servidores ePolicy Orchestrator. É
possível especificar vários servidores ePolicy Orchestrator de onde adquirir dados do McAfee Risk
Advisor. Os dados do McAfee Risk Advisor são obtidos por meio de uma consulta do banco de dados
SQL Server do ePolicy Orchestrator. A consulta do banco de dados gera uma lista de pontuação
comparativa entre IP e reputação e fornece valores constantes para a reputação baixa e valores de
reputação alta. Todas as listas do ePolicy Orchestrator e do McAfee Risk Advisor se mesclam, e os IPs
duplicados recebem a pontuação mais alta. A lista mesclada é enviada, com os valores baixos e altos,
a todos os dispositivos do ACE para pontuação dos campos SrcIP e DstIP.
Quando você adiciona uma origem de dados do ePolicy Orchestrator e clica em OK para salvá-la, você
é solicitado a informar se deseja usá-la para configurar dados do McAfee Risk Advisor. Se você clicar
em Sim, uma fonte de enriquecimento de dados e as duas regras de pontuação ACE (se aplicáveis)
serão criadas e implementadas. Para exibi-las, vá até as páginas Ativar enriquecimento de dados e Pontuação
de correlação de risco. Para usar as regras de pontuação, é necessário criar um gerenciador de correlação
de risco (consulte Adicionar um gerenciador de correlação de risco).
IBM Internet Security System SiteProtector
O Receptor é capaz de recuperar eventos de um servidor ISS (Internet Security Systems)
SiteProtector consultando o banco de dados Microsoft SQL Server que o SiteProtector usou para
armazenar seus eventos.
Diferente de alguns outros tipos de origens de dados compatíveis com o Receptor, a recuperação de
eventos de um servidor SiteProtector é feita com um modelo de "pull" em vez de um modelo de
"push". Isso significa que periodicamente o Receptor entra em contato com o banco de dados
SiteProtector e solicita novos eventos ocorridos desde o pull do último evento. Toda vez que os
eventos são recuperados do servidor SiteProtector, eles são processados e armazenados no banco de
dados de eventos do Receptor, prontos para serem recuperados pelo ESM.
Existes duas opções de tipo de dispositivo disponíveis: Servidor e Dispositivo gerenciado. Instalar uma
origem de dados com o tipo de dispositivo Servidor selecionado é o requisito mínimo para coletar
eventos em um servidor SiteProtector.
Depois que a origem de dados do servidor SiteProtector estiver configurada, todos os eventos
coletados no SiteProtector aparecerão como pertencentes a essa origem de dados, sem relação com o
ativo real que relatou o evento ao servidor SiteProtector. Para que os eventos sejam melhor
categorizados de acordo com o ativo gerenciado que relatou o evento ao SiteProtector, você pode
configurar origens de dados adicionais do SiteProtector com o tipo Dispositivo gerenciado selecionado.
142
Guia de produto
3
A opção Avançado na parte inferior da página possibilita definir um URL que possa ser usado para iniciar
URLs específicos durante a exibição de dados de evento. Você também pode definir fornecedor,
produto e versão a serem usados para encaminhamento de eventos CEF (Common Event Format).
Essas configurações são opcionais.
Para que o Receptor consulte o banco de dados SiteProtector em busca de eventos, a instalação do
Microsoft SQL Server que hospeda o banco de dados usado pelo SiteProtector deve aceitar conexões
do protocolo TCP/IP.
Consulte a documentação do Microsoft SQL Server para obter informações de como ativar esse
protocolo e definir a porta usada para essas conexões (o padrão é a porta 1433).
Quando o Receptor se conecta ao banco de dados SiteProtector pela primeira vez, novos eventos
gerados são recuperados. Futuras conexões solicitam todos os eventos que ocorreram depois do
último evento que foi recuperado com sucesso.
O Receptor extrai essas informações de um evento do SiteProtector:
•
Endereços IP de origem e destino (IPv4)
•
Contagem de eventos
•
Portas de origem e destino
•
VLAN
•
Protocolo
•
Gravidade
•
Hora do evento
•
Descrição do evento
Configurar o Check Point
Configure origens de dados que abranjam Provedor 1, Alta disponibilidade do Check Point e a maioria
dos ambientes padrão do Check Point.
Seu primeiro passo é adicionar a origem de dados pai do Check Point (consulte Adicionar uma origem
de dados). É preciso adicionar uma origem de dados para o servidor de registros se a origem de dados
pai não estiver agindo como um servidor de registros e você tiver um servidor de registros dedicado.
Adicione também origens de dados filho se necessário. Se o ambiente é de alta disponibilidade, é
necessário adicionar uma origem de dados filho para cada SMS/CMA secundário.
Tarefa
Ajuda.
1
Adicione uma origem de dados pai do SMS/CMA, onde o aplicativo/certificado OPSEC está
armazenado ou, no caso de um Receptor-HA, o SMS/CMA primário.
OPSEC está fora de conformidade com FIPS. Se for necessária a conformidade com as normas FIPS,
não use este recurso (consulte o Apêndice A).
2
Clique em Opções.
3
Na página Configurações avançadas, selecione o método de comunicação e digite o Nome distinto da entidade
do servidor desta origem de dados.
4
Clique em OK duas vezes.
5
Faça o seguinte, se necessário:
Guia de produto
143
3
Se receber esta
mensagem de
erro...
Faça o seguinte...
SIC Error for lea: Client
1 Verifique se selecionou as configurações corretas para Usar autenticação e
could not choose an
Usar criptografia quando adicionou a origem de dados de Check Point.
authentication method for
service lea (Erro do SIC
Se você selecionou somente Usar autenticação, o cliente OPSEC tenta se
para o lea: o cliente
comunicar com o servidor de registros usando "sslca_clear". Se você
não pôde escolher um
selecionou Usar autenticação e Usar criptografia, o cliente OPSEC tenta se
método de
comunicar com o servidor de registros usando "sslca." Se você não
autenticação para o
selecionou nenhum dos dois, o cliente OPSEC tenta se comunicar com o
lea do serviço)
servidor de registros usando "none".
2 Verifique se o aplicativo OPSEC usado para se comunicar com o servidor
de registros Check Point tem a opção LEA (LEA) selecionada na seção
Client Entities (Entidades de cliente).
3 Se esses dois procedimentos estiverem corretos, localize o arquivo
sic_policy.conf na instalação do servidor de registros Check Point. Por
exemplo, em um sistema R65 baseado em Linux, o arquivo fica
localizado em /var/opt/CPshrd-R65/conf.
4 Quando você determinar o método de comunicação (método de
autenticação no arquivo) que possibilita a comunicação de LEA com o
servidor de registros, selecione-o na página Configurações avançadas como o
Método de comunicação.
SIC Error for lea: Peer sent
wrong DN: <expected dn>
(Erro do SIC para o
lea: par enviou nome
diferenciado incorreto:
<nome diferenciado
esperado>
6
• Na caixa de texto Nome distinto da entidade do servidor, insira a cadeia que
representa "<expected dn>" na mensagem de erro.
Uma alternativa é localizar o nome distinto do servidor de registros Check
Point verificando o objeto de rede desse servidor na interface do usuário
do Smart Dashboard.
O nome diferenciado do SMS/CMA será como o DN do aplicativo OPSEC,
basta substituir a primeira entrada por CN=cp_mgmt. Por exemplo,
considere um nome diferenciado do aplicativo OPSEC de
CN=mcafee_OPSEC,O=r75..n55nc3. O nome diferenciado de SMS/CMA
será CN=cp_mgmt,O=r75..n55nc3. O nome diferenciado do servidor de
registros seria CN=CPlogserver,O=r75..n55nc3.
Adicione uma origem de dados filho para cada firewall, servidor de registros ou SMS/CMA
secundário que seja gerenciado pela origem de dados pai que foi configurada (consulte Adicionar
uma origem de dados filho).
O tipo de dispositivo das origens de dados de todos os firewalls/gateways é Dispositivo de segurança. O
Console de relatório pai utiliza a origem de dados pai como padrão.
Conjuntos de regras da McAfee
Essa tabela lista os conjuntos de regras da McAfee com os IDs de origem de dados externos.
144
ID de origem de
dados
Nome de exibição
RSID correspondente Intervalo da regra
50201
Firewall
0
2.000.000 – 2.099.999
50202
Firewall personalizado
0
2.200.000 – 2.099.999
50203
Assinaturas personalizadas
0
5.000.000 – 5.999.999
50204
Internas
0
3.000.000 – 3.999.999
50205
Vulnerabilidade e exploração 2
N/D
Guia de produto
3
ID de origem de
dados
Nome de exibição
RSID correspondente Intervalo da regra
50206
Conteúdo adulto
5
N/D
50207
Bate-papo
8
N/D
50208
Política
11
N/D
50209
Ponto a ponto
14
N/D
50210
Multimídia
17
N/D
50211
Alfa
25
N/D
50212
Vírus
28
N/D
50213
Perimeter Secure Application 31
N/D
50214
Gateway
33
N/D
50215
Malware
35
N/D
50216
SCADA
40
N/D
50217
MCAFEESYSLOG
41
N/D
Origens de ativos do Receptor
Ativo é qualquer dispositivo na rede que tenha um endereço IP. A guia Ativo do Asset Manager permite
criar ativos, modificar suas marcas, criar grupos de ativos, adicionar origens de ativos e atribuir um
ativo a um grupo de ativos. Também permite manipular os ativos que são aprendidos de um dos
fornecedores de VA.
O recurso Origens de ativos em Propriedades do Receptor possibilita a recuperação de dados no Active Directory,
caso você tenha algum. Depois que esse processo estiver concluído, você poderá filtrar dados de
eventos selecionando os usuários ou grupos recuperados nos campos de filtro de consulta da exibição
Usuário de origem e Usuário de destino. Isso melhora a sua capacidade de fornecer dados de conformidade
para requisitos como PCI. Um ESM pode ter somente uma origem de ativos. Os receptores podem ter
várias origens de ativos.
Se duas origens de descoberta de ativos (como Vulnerability Assessment e Descoberta de rede)
encontrarem o mesmo ativo, o método de descoberta que tiver a maior prioridade adicionará o ativo à
tabela. Se duas origens de descoberta tiverem a mesma prioridade, a última a descobrir o ativo terá
prioridade sobre a primeira.
Consulte também
Adicionar origem de ativos na página 145
Adicionar origem de ativos
Para recuperar dados de um Active Directory, é preciso configurar um Receptor.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origens de ativos.
2
Clique em Adicionar e preencha as informações solicitadas.
3
Clique em OK e em Gravar na página Origens de ativos.
Consulte também
Origens de ativos do Receptor na página 145
Guia de produto
145
3
Configurações do Enterprise Log Manager (ELM)
O ELM oferece suporte a armazenamento, gerenciamento, acesso e geração de relatórios de dados de
log.
Os dados recebidos pelo ELM são organizados em listas de armazenamento, cada qual composta por
dispositivos de armazenamento. Um tempo de retenção é associado a cada lista de armazenamento, e
os dados são mantidos na lista durante o período especificado. As normas governamentais,
corporativas e do setor requerem o armazenamento de logs por diferentes períodos.
É possível configurar uma pesquisa e trabalhos de verificação de integridade no ELM. Cada um desses
trabalhos acessa os logs armazenados e recupera ou verifica os dados definidos no trabalho. Depois,
você pode exibir os resultados e exportar as informações.
Para configurar um ELM, é preciso saber:
•
As origens que armazenam os logs no ELM
•
As listas de armazenamento necessárias e os tempos de retenção de dados
•
Os dispositivos de armazenamento necessários para armazenar os dados
Em geral, as origens que armazenam logs no ELM e as listas de armazenamento necessárias são
conhecidas. Entretanto, não se sabe quais são os dispositivos de armazenamento necessários para
armazenar os dados. A melhor abordagem para lidar com essa incerteza é:
1
Fazer uma estimativa conservadora dos requisitos de armazenamento.
Desde a versão 9.0.0, as listas de armazenamento do ELM requerem 10% do espaço alocado para
espelhar a sobrecarga. Considerar esses 10% ao calcular o espaço necessário.
146
2
Configurar os dispositivos de armazenamento ELM para que atendam aos requisitos estimados.
3
Revisar logs sobre o ELM durante um período curto.
4
Usar informações estatísticas sobre o armazenamento ELM para alterar as configurações do
dispositivo a fim de acomodar os requisitos de armazenamento de dados reais.
Guia de produto
3
Preparação para o armazenamento de dados no ELM
Existem vários procedimentos para a configuração de um ELM para armazenar dados.
Etapa Ação
Descrição
1
De acordo com os requisitos de instalação do ELM, defina os diferentes
tempos necessários para a retenção de dados. Os tempos de retenção
comuns são:
Definir tempo para
a retenção de
dados
• SOX – 7 anos
• Basel II – 7 anos
• PCI – 1 ano
• HIPAA – 6 ou 7 anos
• GLBA – 6 anos
• NERC – 3 anos
• EU DR Diretiva – 2 anos
• FISMA – 3 anos
2
Definir origens de
dados de log
O objetivo aqui é definir todas as origens de registros que estão
armazenadas no ELM e avaliar o tamanho médio do registro em byte e a
média de registros gerados por dia para cada um. Basta ser uma
estimativa. Talvez seja mais fácil estimar o tamanho médio em bytes do
registro e a média de registros gerados por dia para cada tipo de origem
(como firewall, roteador, Nitro IPS, ADM, DEM, ELM), e depois estimar o
número de origens para cada tipo. A etapa seguinte requer a associação
de cada origem a um tempo de retenção, como definido na etapa 1,
para garantir que isso seja considerado na estimativa dos tipos de
origem (por exemplo, SOX Firewall, PCI DEM).
3
Definir listas de
armazenamento
Com base nos requisitos de instalação do ELM, associe cada origem de
registros, ou origem, a um tempo de retenção dos dados, definindo o
conjunto de listas de armazenamento necessárias para a instalação do
ELM.
4
Para cada lista de armazenamento, estime os requisitos de
Estimar os
armazenamento correspondentes usando uma destas equações:
requisitos de
tamanho da lista
• Usando origens individuais:
de armazenamento
IRSGB = 0.1*(DRTD*SUM(DSAB*DSALPD))/(1024*1024*1024)
Onde
IRSGB = Armazenamento inicial necessário em gigabytes
DRTD = Tempo de armazenamento de dados em dias
SUM() = O total de origens de dados
DSAB = Média de bytes da origem de dados por registro
DSALPD = Média de registros da origem de dados por dia
• Usando tipos de origens:
IRSGB = 0.1*(DRTD*SUM(NDS*DSTAB*DSTALPD))/
(1024*1024*1024)
Onde
IRSGB = Armazenamento inicial necessário em gigabytes
NDS = Número de origem de dados de determinado tipo
SUM() = O total de tipos de origens de dados
DSTAB = Média de bytes do tipo da origem de dados por registro
DSTALPD = Média de registros do tipo da origem de dados por dia
Guia de produto
147
3
Etapa Ação
Descrição
5
Criar dispositivos
Crie um ou mais dispositivos de armazenamento ELM com tamanho
de armazenamento suficiente para armazenar cada IRSGB de dados (consulte Adicionar um
iniciais
dispositivo de armazenamento).
6
Criar listas de
armazenamento
Para cada lista de armazenamento definida na etapa 3, crie uma lista de
armazenamento do ELM usando o tempo de retenção associado na etapa
1, os valores de IRSGB associados da etapa 4 e os dispositivos de
armazenamento associados da etapa 5 (consulte Adicionar uma lista de
armazenamento).
7
Iniciar o registro
em log de dados
Configure origens para enviar seus registros para o ELM, e permita que
o façam por um ou dois dias.
8
Refinar estimativas Para cada lista de armazenamento criada na etapa 6, refine sua
dos requisitos de
estimativa dos requisitos de armazenamento usando a seguinte
tamanho da lista
equação:
de armazenamento
RSGB = 1.1*DRTD*SPABRPD/(1024*1024*1024)
Onde
RSGB = Armazenamento necessário em gigabytes
SPABRPD = Valor diário de “Taxas médias de bytes” da lista de
armazenamento em seu relatório estatístico
9
Modificar ou criar
dispositivos de
armazenamento
Para cada valor de RSGB na etapa 8, modifique ou crie dispositivos de
armazenamento ELM para que tenham tamanho suficiente para
armazenar RSGB em dados.
10
Modificar listas de
armazenamento
Se necessário, modifique cada lista de armazenamento criada na etapa
6 adicionando os dispositivos de armazenamento criados na etapa 9, ou
aumente a alocação do dispositivo de armazenamento existente.
Configuração de armazenamento do ELM
Para armazenar registros, o ELM deve ter acesso a pelo menos um dispositivo de armazenamento.
A necessidade de armazenamento de uma instalação ELM é uma função do número de origens de
dados, das características de registro e das necessidades de tempo de armazenamento de dados. A
necessidade de armazenamento varia com o passar do tempo, porque tudo pode mudar durante uma
instalação ELM.
Para obter detalhes relativos à estimativa e ao ajuste das necessidades de armazenamento do
sistema, consulte Configurações do ELM.
Terminologia de armazenamento do ELM
Revise estes termos para trabalhar com armazenamento do ELM:
148
•
Dispositivo de armazenamento — Um dispositivo de armazenamento de dados que pode ser
acessado de um ELM. Alguns modelos de ELM oferecem um dispositivo de armazenamento
integrado, alguns oferecem um recurso de conexão SAN e outros oferecem as duas opções. Todos
os modelos ELM oferecem um recurso de conexão NAS.
•
Alocação de armazenamento — Um volume específico de armazenamento de dados em um
determinado dispositivo (por exemplo, 1 TB em um dispositivo de armazenamento NAS).
•
Tempo de armazenamento de dados — O tempo durante o qual um registro é armazenado.
Guia de produto
3
•
Lista de armazenamento — Uma ou mais alocações de armazenamento, que, juntas,
especificam o volume total de armazenamento, e um tempo de armazenamento de dados, que
especifica o número máximo de dias em que um registro ficará armazenado.
•
Origem do registro — Qualquer origem de registros que um ELM armazena.
Tipos de dispositivo de armazenamento ELM
Quando você estiver adicionando um dispositivo de armazenamento a um ELM, deverá selecionar o
tipo de dispositivo. Há algumas coisas que você precisa ter em mente ao adicionar ou editar o
dispositivo.
Tipo de
dispositivo
Detalhes
NFS
Para editar o ponto de montagem remoto do dispositivo de armazenamento que
contém o Banco de dados de gerenciamento do ELM, use a opção Migrar BD para
mover o banco de dados para um dispositivo de armazenamento diferente (consulte
Migrar o banco de dados do ELM). Em seguida, você pode alterar com segurança o
campo do ponto de montagem remoto e mover o banco de dados novamente para o
dispositivo de armazenamento atualizado.
CIFS
• O uso do tipo de compartilhamento CIFS com versões de servidor Samba
posteriores a 3.2 pode resultar na perda de dados.
• Ao conectar-se a um compartilhamento CIFS, não use vírgulas em sua senha.
• Se você estiver usando um computador com Windows 7 como um
compartilhamento CIFS, consulte Desativar compartilhamento de arquivo
HomeGroup.
iSCSI
• Não use vírgulas em sua senha ao conectar-se a um compartilhamento iSCSI.
• A tentativa de conectar vários dispositivos a um IQN pode causar a perda de
dados e outros problemas de configuração.
SAN
A opção SAN só estará disponível se houver uma placa SAN instalada no ELM e
volumes SAN disponíveis.
Local virtual
Esta opção fica disponível apenas quando um dispositivo local virtual é adicionado
ao ELM virtual. Formate o dispositivo antes de usá-lo para armazenamento
(consulte Configurar uma unidade local virtual para armazenar dados).
Desativar compartilhamento de arquivo HomeGroup
O Windows 7 requer o uso do compartilhamento de arquivo HomeGroup, que funciona com outros
computadores com Windows 7 instalado, mas não com Samba. Para usar um computador com
Windows 7 como um compartilhamento CIFS, é necessário desativar o compartilhamento de arquivo
HomeGroup.
Tarefa
Ajuda.
1
Abra o Painel de Controle do Windows 7 e selecione Central de Rede e Compartilhamento.
2
Clique em Alterar as configurações de compartilhamento avançadas.
3
Clique no perfil Residência ou Trabalho e certifique-se de que ele esteja rotulado de acordo com o seu
perfil atual.
4
Ative a descoberta de rede, o compartilhamento de arquivo e de impressora e a pasta pública.
Guia de produto
149
3
5
Vá para a pasta que deseja compartilhar usando o CIFS (tente primeiro a pasta pública) e clique
nela com o botão direito do mouse.
6
Selecione Propriedades e clique na guia Compartilhamento.
7
Clique em Compartilhamento avançado e selecione Compartilhar esta pasta.
8
(Opcional) Altere o nome do compartilhamento e clique em Permissões.
Certifique-se de que as permissões estejam definidas como você deseja (uma marca de seleção em
Alterar = gravável). Se você ativou compartilhamentos protegidos por senha, deverá ajustar as
configurações aqui para ter certeza de que o usuário do Ubuntu está incluído na permissão.
Adicionar um dispositivo de armazenamento para vincular a uma lista de
armazenamento
Para adicionar um dispositivo de armazenamento à lista de locais de armazenamento, defina os
respectivos parâmetros.
Na edição de um dispositivo de armazenamento, você pode aumentar o tamanho, mas não pode
reduzi-lo. Um dispositivo não poderá ser excluído se estiver armazenando dados.
Tarefa
Ajuda.
1
Na árvore de navegação de sistemas, selecione Propriedades de ELM e clique em Listas de armazenamento.
2
Clique em Adicionar ao lado da tabela superior.
3
Na página Adicionar dispositivo de armazenamento, forneça as informações solicitadas.
4
Clique em OK para salvar as configurações.
O dispositivo será adicionado à lista de dispositivos de armazenamento disponíveis do ELM.
Você pode editar ou excluir dispositivos de armazenamento da tabela na página Listas de armazenamento.
Consulte também
Página Adicionar dispositivo de armazenamento na página 150
Página Selecione um dispositivo de armazenamento na página 151
Página Adicionar dispositivo de armazenamento
Defina os parâmetros de conexão de um dispositivo de armazenamento usados em uma lista de
armazenamento para retenção de dados.
150
Opção
Definição
Tipo de dispositivo
Selecione o tipo de dispositivo de armazenamento. Migrar o banco de
dados do ELM requer pelo menos 506 GB de espaço livre em disco.
Consulte Tipos de dispositivo de armazenamento do ELM em Configuração
de armazenamento do ELM para obter detalhes sobre cada tipo.
Nome
Digite um nome para o dispositivo de armazenamento.
Guia de produto
3
Opção
Definição
Tamanho máximo
Selecione o espaço máximo de armazenamento que você deseja alocar no
dispositivo.
• Ao adicionar um dispositivo de armazenamento remoto ao ELM, Tamanho
máximo é padronizado como 4 GB. Um por cento do espaço de
armazenamento é reservado para o gerenciamento do armazenamento
remoto.
• Ao adicionar um dispositivo de armazenamento do local virtual, Tamanho
máximo é padronizado como a capacidade total de armazenamento do
dispositivo. 6 GB de espaço de armazenamento é reservado para o
gerenciamento do armazenamento virtual. Não é possível ajustar esse
campo.
Endereço IP, Ponto de
montagem remoto, Caminho
remoto
Digite essas informações para o dispositivo NFS.
Endereço IP, Nome do
compartilhamento remoto,
Caminho, Nome de usuário,
Senha
Digite essas informações para o dispositivo CIFS.
Dispositivo iSCSI
Selecione o dispositivo que você adicionou (consulte Adicionar um
dispositivo iSCSI).
IQN do iSCSI
Selecione o IQN.
SAN
Selecione o volume de SAN adicionado (consulte Formatar um dispositivo
de armazenamento SAN para armazenar dados do ELM)
Volume local virtual
Selecione o dispositivo de armazenamento do local virtual. Esta opção fica
disponível apenas quando o tipo de dispositivo é Local virtual.
Consulte também
Adicionar um dispositivo de armazenamento para vincular a uma lista de armazenamento na
página 150
Página Selecione um dispositivo de armazenamento
Selecione os dispositivos de armazenamento que deverão ser vinculados à lista de armazenamento.
Opção
Definição
Dispositivos de armazenamento Selecione o dispositivo que deseja adicionar. Se o dispositivo desejado não
de dados
estiver na lista, adicione-o (consulte Adicionar um dispositivo de
armazenamento).
Um dispositivo pode ser atribuído a mais de uma lista por vez.
Espaço de armazenamento
Selecione o espaço máximo nesse dispositivo para armazenar dados.
Dez por cento do espaço de armazenamento é usado para sobrecarga. Se
você selecionar 4 GB no campo de espaço de armazenamento, 3,6 GB de
4 estão realmente disponíveis para armazenar dados.
Dispositivo de armazenamento
de dados espelhados
Caso você queira que os dados desse dispositivo de armazenamento
sejam espelhados em outro dispositivo, selecione o segundo dispositivo de
armazenamento (consulte Adicionar armazenamento de dados espelhados
do ELM).
Guia de produto
151
3
Consulte também
Adicionar um dispositivo de armazenamento para vincular a uma lista de armazenamento na
página 150
Adicionar ou editar uma lista de armazenamento
Uma lista de armazenamento inclui uma ou mais alocações de armazenamento e um tempo de
armazenamento de dados. Adicione-os ao ELM para definir onde os registros de ELM serão
armazenados e por quanto tempo deverão ser retidos.
Tarefa
Ajuda.
1
Na árvore de navegação de sistemas, selecione Propriedades de ELM e clique em Lista de armazenamento.
2
Clique em Adicionar ou em Editar ao lado da tabela inferior e preencha ou altere as informações
solicitadas.
3
Clique em OK.
Você pode editar os parâmetros depois de salvá-los e ainda excluir uma lista de armazenamento,
desde que essa lista e os dispositivos alocados para ela não estejam armazenando dados.
Consulte também
Página Listas de armazenamento na página 152
Página Adicionar lista de armazenamento na página 153
Página Listas de armazenamento
Gerencie dispositivos e listas de armazenamento para armazenar dados do ELM.
Opção
Definição
Adicionar dispositivo de
armazenamento
Adicione um dispositivo de armazenamento a ser usado com uma
lista de armazenamento para retenção de dados.
Editar dispositivo de
armazenamento
Altere as configurações de um dispositivo de armazenamento
existente.
Excluir dispositivo de
armazenamento
Exclua um dispositivo de armazenamento do sistema.
Adicionar lista de armazenamento
Adicione uma lista de armazenamento para reter um volume
máximo de dados por um período específico.
Editar lista de armazenamento
Altere as configurações de uma lista de armazenamento existente.
Excluir lista de armazenamento
Exclua uma lista de armazenamento do sistema.
Reconstruir
Repare listas de armazenamento espelhadas que perderam
conexão com um dos dispositivos de armazenamento. Esta opção
só estará disponível quando houver um problema com uma lista
de armazenamento espelhada.
Reduzir tamanho
Reduza o espaço definido para cada alocação.
Atualizar
Atualize as informações das tabelas.
Consulte também
Adicionar ou editar uma lista de armazenamento na página 152
152
Guia de produto
3
Página Adicionar lista de armazenamento
Adicione uma lista de armazenamento para armazenar dados de registro do ELM.
Opção
Definição
Nome da lista de
armazenamento
Digite um nome para essa lista.
Tempo de armazenamento de
dados
Selecione o tempo durante o qual você deseja armazenar os dados.
Dispositivos de armazenamento
de dados vinculados
Lista os dispositivos vinculados a essa lista de armazenamento. Para
adicionar dispositivos, clique em Adicionar.
Alocações espelhadas que usam protocolos de rede (CIFS, NFS e iSCSI)
requerem configurações específicas para funcionar de forma confiável,
como se estivessem no mesmo switch e com uma latência baixa. As
especificações de rede recomendadas são:
• Latência total (servidor mais rede) — 10 ms
• Taxa de transferência total (servidor mais rede) — 20 Mb/s
O espelhamento presume disponibilidade de 100% do
compartilhamento.
Coluna Ativado
Selecione os dispositivos que você deseja ativar para armazenar dados.
Os dispositivos de armazenamento espelhados são desativados até a
conclusão do processo de espelhamento.
As alocações de dispositivo da lista de armazenamento criadas no ESM 9.0.0 e versões posteriores
estão limitadas a 1 terabyte por alocação. Para criar uma lista com mais de 1 terabyte, é necessário
adicionar vários dispositivos de 1 terabyte.
Consulte também
Adicionar ou editar uma lista de armazenamento na página 152
Mover uma lista de armazenamento
É possível mover uma lista de armazenamento de um dispositivo para outro.
Antes de iniciar
Configure o dispositivo de armazenamento para o qual você deseja mover a lista de
armazenamento como um espelho do dispositivo que detém a lista no momento (consulte
Adicionar armazenamento de dados espelhados do ELM).
Tarefa
Ajuda.
1
Na árvore de navegação de sistemas, selecione o dispositivo ELM que detém a lista de
armazenamento e clique no ícone Propriedades
.
2
Clique em Listas de armazenamento.
3
Na tabela Listas de armazenamento, clique nos dispositivos espelhados que estão na lista a ser movida.
Guia de produto
153
3
4
Clique em Editar e, na lista suspensa Dispositivos de armazenamento de dados, selecione o dispositivo que
espelha a lista de armazenamento a ser movida.
Agora, ele passa a ser o dispositivo de armazenamento de dados principal.
5
Para espelhar o novo dispositivo de armazenamento de dados, selecione um dispositivo na lista
suspensa Dispositivo de armazenamento de dados espelhados e clique em OK.
Reduzir o tamanho da alocação de armazenamento
Se um dispositivo de armazenamento estiver cheio em virtude do espaço alocado para listas de
armazenamento, talvez seja necessário reduzir o espaço definido para cada alocação. Poderá ser
necessário alocar espaço nesse dispositivo para mais listas de armazenamento.
Caso a redução do tamanho da alocação afete os dados, eles serão movidos para outras alocações na
lista, se houver espaço disponível. Se não houver espaço disponível, os dados mais antigos serão
excluídos.
Tarefa
Ajuda.
1
2
Na tabela inferior, selecione a lista que será reduzida e clique em Reduzir tamanho.
3
Insira o valor desejado de redução do armazenamento e clique em OK.
Espelhamento do armazenamento de dados do ELM
Você pode configurar um segundo dispositivo de armazenamento do ELM para espelhar os dados
coletados no dispositivo principal.
Se o dispositivo principal ficar inoperante por alguma razão, o dispositivo de backup continuará
armazenando os dados que chegarem. Quando o dispositivo principal voltar a ficar on-line novamente,
será automaticamente sincronizado com o de backup e retomará o armazenamento dos dados que
chegam. Se o dispositivo principal ficar permanentemente inoperante, você poderá reatribuir o backup
para torná-lo principal no ESM e designar um outro dispositivo para espelhá-lo.
Quando ambos os dispositivos ficam inoperantes, é exibido um sinalizador de status de integridade
ao lado do dispositivo ELM na árvore de navegação de sistemas.
Uma lista de armazenamento espelhada pode perder conexão com seu dispositivo de armazenamento.
O motivo da perda pode ser:
•
Falha no servidor de arquivos ou na rede entre o ELM e o servidor de arquivos.
•
O servidor de arquivos ou a rede foram desligados para manutenção.
•
Um arquivo de alocação foi acidentalmente excluída.
Quando há um problema no espelho, os dispositivos de armazenamento mostram um ícone de aviso
na tabela Listas de armazenamento. Você pode usar depois a função Reconstruir para repará-lo.
Adicionar armazenamento de dados espelhados do ELM
Qualquer dispositivo de armazenamento adicionado à lista de dispositivos disponíveis que tenha o
espaço necessário pode ser usado para espelhar os dados salvos em um dispositivo de
armazenamento do ELM.
Antes de iniciar
Adicione ao ESM os dois dispositivos que você deseja usar para espelhar um ao outro.
154
Guia de produto
3
Tarefa
Ajuda.
1
Na árvore de navegação de sistemas, selecione Propriedades de ELM e clique em Listas de armazenamento.
2
Clique em Adicionar ao lado da tabela inferior
3
Na página Adicionar lista de armazenamento, insira as informações solicitadas e clique em Adicionar para
selecionar o dispositivo de armazenamento e o de espelhamento.
Um dispositivo pode ser atribuído a mais de uma lista por vez.
4
Clique em OK duas vezes.
Reconstruir uma lista de armazenamento espelhada
Se uma lista de armazenamento espelhada perder conexão com seus dispositivos de armazenamento,
você poderá usar a função Reconstruir para reparar isso.
Tarefa
Ajuda.
1
2
Passe o mouse sobre os dispositivos espelhados que exibem um ícone de aviso.
Uma dica de ferramenta informa que a alocação de ELM está sendo reconstruída ou que o
dispositivo espelhado precisa ser reconstruído.
3
Para reconstruir os dispositivos espelhados, clique nos dispositivos e em Reconstruir.
Quando o processo for concluído, você será notificado que a reconstrução da alocação foi
bem-sucedida.
Desativar um dispositivo de espelhamento
Para deixar de usar um dispositivo de espelhamento da lista de armazenamento, selecione um outro
dispositivo para substituí-lo ou selecione Nenhum.
Tarefa
Ajuda.
1
Na árvore de navegação de sistemas, selecione o ELM que mantém a lista de armazenamento de
espelhamento no momento na árvore de navegação de sistemas e clique no ícone Propriedades
2
.
Clique em Listas de armazenamento, selecione os dispositivos espelhados na tabela Lista de armazenamento e
clique em Editar.
Guia de produto
155
3
3
4
Execute uma das seguintes ações:
•
Se o dispositivo selecionado no campo Dispositivo de armazenamento de dados espelhados for aquele que
você deseja desativar, clique na seta suspensa do campo e selecione um outro dispositivo para
espelhar o dispositivo de armazenamento de dados ou selecione Nenhum.
•
Se o dispositivo selecionado no campo Dispositivo de armazenamento de dados for aquele que você
deseja desativar, clique na seta suspensa do campo e selecione um outro dispositivo que atue
como o dispositivo de armazenamento de dados.
Clique em OK para salvar as alterações.
Se o dispositivo não for mais de espelhamento, ele continuará aparecendo na tabela Dispositivo de
armazenamento.
Configurar o armazenamento de dados externos
Existem quatro tipos de armazenamento externo que podem ser configurados para armazenar dados
do ELM: iSCSI, SAN, DAS e local virtual. Quando conectar esses tipos de armazenamento externo ao
ELM, você poderá configurá-los para que armazenem dados do ELM.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Armazenamento de dados.
O sistema retorna todos os dispositivos de armazenamento disponíveis nas guias apropriadas.
2
Clique na guia iSCSI, SAN, DAS ou Local virtual e siga as etapas necessárias.
3
Adicionar um dispositivo iSCSI
Para usar um dispositivo iSCSI para armazenamento no ELM, é preciso configurar conexões com o
dispositivo.
Tarefa
Ajuda.
1
2
Na guia iSCSI, clique em Adicionar.
3
Se a conexão for bem-sucedida, o dispositivo e seus IQNs serão adicionados à lista Configuração do
iSCSI, bem como à lista Tipo de dispositivo na página Adicionar dispositivo de armazenamento (consulte
Adicionar um dispositivo de armazenamento).
Quando um IQN começa a armazenar logs do ELM, o destino do iSCSI não pode ser excluído. Devido
a essa limitação, não deixe de configurar o destino do iSCSI com espaço suficiente para
armazenamento no ELM.
4
156
Antes de usar um IQN para armazenamento no ELM, selecione-o na lista e clique em Formato.
Guia de produto
5
Para verificar seu status durante a formatação, clique em Verificar status.
6
Para descobrir ou redescobrir os IQNs, clique no dispositivo iSCSI e em Descobrir.
3
Tentativas de atribuir mais de um dispositivo a um IQN podem resultar em perda de dados.
Consulte também
Guia iSCSI na página 157
Página Configuração do iSCSI na página 157
Guia iSCSI
Conecte um dispositivo de armazenamento iSCSI ao ESM para que ele possa armazenar dados do
ELM.
Opção
Definição
Adicionar
Adicione os parâmetros necessários para a conexão com o dispositivo iSCSI.
Excluir
Exclua a conexão iSCSI selecionada.
Descobrir
Descubra ou redescubra os IQNs do iSCSI selecionado.
Verificar status
Verifique o status do IQN durante sua formatação.
Formato
Formate o IQN selecionado antes de usá-lo para armazenamento no ELM.
Consulte também
Adicionar um dispositivo iSCSI na página 156
Página Configuração do iSCSI
Opção
Definição
Nome
Digite o nome do dispositivo iSCSI.
Endereço IP
Digite o endereço IP do dispositivo iSCSI.
Porta
Selecione a porta para o dispositivo iSCSI.
Consulte também
Configurar o armazenamento de dados do ESM na página 270
Formatar um dispositivo de armazenamento SAN para armazenar dados do ELM
Se você tem uma placa SAN no sistema, pode usá-la para armazenar dados do ELM.
Antes de iniciar
Instale uma placa SAN no sistema (consulte Instalar os adaptadores qLogic 2460 ou 2562
SAN no Guia de instalação do McAfee ESM ou contate o suporte da McAfee).
Guia de produto
157
3
Tarefa
Ajuda.
1
2
Clique na guia SAN e verifique o status dos volumes de SAN detectados.
3
•
Formatação obrigatória — O volume precisa ser formatado e não aparece na lista dos volumes
disponíveis na página Adicionar dispositivo de armazenamento.
•
Formatação — O volume está no processo de ser formatado e não aparece na lista de volumes
disponíveis.
•
Pronto — O volume é formatado e tem um sistema de arquivos reconhecível. Esses volumes
podem ser usados para armazenar dados do ELM.
Se houver algum volume que não esteja formatado e você desejar armazenar dados, clique nele e
em Formatar.
Quando um volume é formatado, todos os dados armazenados são excluídos.
4
Para verificar se a formatação está concluída, clique em Atualizar.
Se a formatação estiver concluída, o status muda para Pronto.
5
Para exibir os detalhes de um volume na parte inferior da página, clique no volume.
Agora você pode configurar o volume SAN formatado como um dispositivo para armazenamento no
ELM.
Atribuir um dispositivo DAS para armazenar dados
Você pode atribuir dispositivos DAS disponíveis para armazenar dados no ELM.
Antes de iniciar
Configure dispositivos DAS.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione o ELM que será atribuído ao dispositivo DAS e clique
no ícone Propriedades
.
Em um dispositivo multifuncional, é possível atribuir o DAS ao ESM selecionando o ESM e clicando
no ícone Propriedades.
2
Clique em Armazenamento de dados e clique na guia DAS.
A tabela DAS contém os dispositivos disponíveis para armazenamento.
3
Na tabela, clique em um dos dispositivos que não foram atribuídos para armazenar dados do ELM
ou do ESM.
4
Clique em Atribuir e em Sim na página de aviso.
Depois de atribuir um dispositivo, não será possível mudar.
158
Guia de produto
3
O ELM é reiniciado.
Configure a unidade do local virtual para armazenar dados
Detecte e formate o dispositivo de armazenamento virtual no ELM virtual. Ele pode ser usado para
migração do banco de dados e listas de armazenamento.
Antes de iniciar
Adicione um dispositivo de armazenamento virtual ao ELM virtual a partir de seu ambiente
virtual. Para adicionar o armazenamento, consulte a documentação do ambiente da
máquina virtual.
Ambientes virtuais compatíveis
•
VMWare
•
KVM
•
Amazon Web Service
Formatos de unidades compatíveis
•
SCSI
•
SATA
O IDE não é compatível.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione o ELM virtual, clique no ícone Propriedades
clique em Armazenamento de dados.
e
Um ícone de carregamento aparece enquanto o sistema retorna todos os dispositivos de
armazenamento. Se o sistema tiver um ESM redundante, os dispositivos serão retornados na guia
Redundante.
As partições de raiz e inicialização não são opções viáveis de armazenamento.
2
Clique na guia Local virtual, depois selecione um dispositivo na lista de dispositivos virtuais
disponíveis.
A guia Local virtual fica disponível apenas quando o sistema detecta um armazenamento virtual.
3
Se a coluna Status informar Formatação obrigatória, clique em Formatar para formatar o dispositivo com o
formato de arquivo ext4.
O status mudará para Pronto.
Você agora pode usar este dispositivo para migração de banco de dados e listas de armazenamento.
Guia de produto
159
3
Redundância de ELM
Você pode fornecer redundância para o log, adicionando um ELM em espera ao ELM independente
atual no seu sistema.
Para ativar a redundância, configure os endereços IP e outras informações de rede em dois ELMs
(consulte Configurar redundância de ELM). O ELM em espera deve ter dispositivos de armazenamento
com espaço combinado suficiente para coincidir com o armazenamento no ELM ativo. Após a
instalação, a configuração nos dois ELMs é sincronizada, e o ELM em espera mantém a sincronização
de dados entre os dois dispositivos.
Há várias ações que você pode realizar ao trabalhar com redundância de ELM: alternar, retomar
serviço, suspender, remover e exibir status. Todas as ações estão disponíveis na página Propriedades do
ELM | Redundância de ELM .
Alternar
Se o ELM principal deixar de funcionar ou precisar ser substituído, selecione Alternar ELM. O ELM em
espera é ativado, e o sistema associa todos os dispositivos de log a ele. As ações de log e configuração
ficam bloqueadas durante o processo de alternância.
Retomar serviço
Se o ELM em espera deixar de funcionar, você deverá retomar seu serviço quando ele retornar. Se não
for detectada nenhuma alteração nos arquivos de configuração, a redundância continuará como antes.
Se o sistema detectar diferenças, a redundância continuará nas listas de armazenamento que não
tiverem problemas, mas será exibido um status de erro, informando que uma ou mais listas não foram
configuradas. Você deve corrigir essas listas manualmente.
Se o ELM em espera tiver sido substituído ou reconfigurado, ele será detectado pelo sistema, que
solicitará que você o recodifique. O ELM ativo sincronizará todos os arquivos de configuração com o
ELM em espera, e a redundância continuará como antes.
Suspender
Você poderá suspender a comunicação com o ELM em espera se ele tiver deixado de funcionar ou isso
estiver prestes a acontecer por algum motivo. Todas as interrupções na comunicação e notificações de
erro da redundância são mascaradas. Quando o ELM em espera for retomado, siga o processo de
retomada do serviço.
Desativar redundância no ELM
Você pode desativar a redundância do ELM selecionando Remover. O ELM ativo salva uma cópia dos
arquivos de configuração de redundância. Se esse arquivo de backup for localizado na ativação da
redundância de ELM, você será solicitado a responder se deseja restaurar os arquivos de configuração
salvos.
Exibir status
Você pode exibir detalhes sobre o estado da sincronização de dados entre o ELM ativo e o ELM em
espera selecionando Status.
Consulte também
Configurar redundância de ELM na página 161
160
Guia de produto
3
Configurar redundância de ELM
Se tiver um dispositivo do ELM independente no sistema, você poderá fornecer redundância para o
log, adicionando um ELM em espera.
Antes de iniciar
Você deve ter um ELM independente instalado (consulte o Guia de instalação do McAfee
Enterprise Security Manager 9.5.0) e adicionado ao console do ESM (consulte Adicionar
dispositivos ao console do ESM). Você também deve ter um ELM em espera instalado, mas
não adicionado ao console. Verifique se não há dados no ELM em espera. Entre em contato
com o suporte da McAfee se precisar redefinir padrões de fábrica.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, clique no ELM e no ícone Propriedades
.
2
Na página Propriedades do ELM, clique em Redundância de ELM e em Ativar.
3
Digite o endereço IP e a senha do ELM em espera e clique em OK.
4
Na página Propriedades do ELM, clique em Listas de armazenamento e verifique se a guia Ativo está
selecionada.
5
Adicione dispositivos de armazenamento ao ELM ativo (consulte Adicionar um dispositivo de
armazenamento para vincular a uma lista de armazenamento).
6
Clique na guia Espera e adicione dispositivos de armazenamento que tenham espaço combinado
suficiente para coincidir com o armazenamento no ELM ativo.
7
Adicione uma ou mais listas de armazenamento a cada ELM (consulte Adicionar ou editar uma lista
de armazenamento).
A configuração nos dois ELMs agora está sincronizada, e o ELM em espera mantém a sincronização dos
dados entre os dois dispositivos.
Consulte também
Redundância de ELM na página 160
Página Redundância de ELM na página 161
Página Redundância de ELM
Ativar e gerenciar a redundância de ELM.
Opção
Definição
Disponível somente quando a redundância do ELM não estiver ativada.
Ativar
Clique e adicione dados do ELM em espera para ativar a redundância do ELM.
Disponível somente quando a redundância do ELM estiver ativada
Remover
Clique para desativar a redundância no ELM.
Alternar ELMs
Clique para alternar os ELMs para que o ELM em espera seja o ELM principal. O sistema
associa todos os dispositivos de log a ele. As ações de log e configuração ficam
bloqueadas durante o processo de alternância.
Guia de produto
161
3
Tabela 3-79 Definições de opções (continuação)
Opção
Definição
Suspender
Clique para suspender a comunicação com o ELM em espera se ele estiver com
problemas. Todas as interrupções na comunicação e notificações de erro da
redundância são mascaradas. Ao retornar ao ELM em espera, clique em Retomar serviço.
Status
Clique para exibir detalhes sobre o estado da sincronização de dados entre o ELM ativo
e em espera.
Retomar serviço Clique para que um ELM em espera reparado ou substituído retome serviço. Se o
sistema retornar o ELM e não detectar nenhuma alteração nos arquivos de
configuração, a redundância continuará como antes. Se o sistema detectar diferenças,
o processo de redundância continuará nas listas de armazenamento sem problemas, e
você será informado de que uma ou mais listas não foram configuradas. Corrija essas
listas manualmente.
Se você substituir ou reconfigurar o ELM em espera, ele será detectado pelo sistema,
que solicitará que você o recodifique. O ELM ativo sincronizará todos os arquivos de
configuração com o ELM em espera, e o processo de redundância continuará como
antes.
Consulte também
Configurar redundância de ELM na página 161
Gerenciamento da compactação do ELM
Compacte os dados que entram no ELM para economizar espaço em disco ou processar mais registros
por segundo.
As três opções são Baixa (padrão), Média e Alta. Esta tabela mostra detalhes sobre cada nível.
Nível Taxa de compactação Percentual de compactação Percentual do máximo de
máxima
registros processados por
segundo
Baixa
14:1
72%
100%
Média
17:1
87%
75%
Alta
20:1
100%
50%
As taxas reais de compactação variam de acordo com o conteúdo dos registros.
•
Se você estiver mais preocupado em economizar espaço em disco, e menos com o número de
registros que poderá processar por segundo, opte pela compactação alta.
•
Se estiver mais preocupado com o processamento de mais registros por segundo do que em
economizar espaço em disco, opte pela compactação baixa.
Consulte também
Definir compactação do ELM na página 162
Definir compactação do ELM
Selecione o nível de compactação para os dados recebidos no ELM a fim de economizar espaço em
disco ou processar mais registros.
162
Guia de produto
3
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Configuração do ELM |
Compactação.
2
Selecione o nível de compactação do ELM e clique em OK.
Você será notificado quando o nível for atualizado.
Consulte também
Gerenciamento da compactação do ELM na página 162
Página Compactação do ELM na página 163
Página Compactação do ELM
Selecione o nível de compactação a ser aplicado aos dados processados por este ELM.
Opção
Definição
Nível de compactação do ELM Selecione Baixa, Média ou Alta. Consulte Definir compactação do ELM para
obter detalhes sobre cada uma dessas configurações.
Consulte também
Definir compactação do ELM na página 162
Backup e restauração do ELM
Se houver alguma falha do sistema ou perda de dados, é preciso fazer backup das configurações
atuais nos dispositivos ELM. Todas as configurações, incluindo o banco de dados de registros do ELM,
são salvas. Não é realizado backup dos verdadeiros registros que estão armazenados no ELM.
É recomendável espelhar os dispositivos que armazenam os dados do registro no ELM e espelhar o
banco de dados de gerenciamento do ELM. O recurso de espelhamento fornece backup dos dados do
registro em tempo real.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do ELM.
2
Certifique-se de selecionar Informações do ELM e clicar em Backup e restauração.
3
Para...
Faça isto...
Fazer backup do ELM agora
Forneça as informações solicitadas e clique em Fazer backup
agora.
Fazer backup das configurações do
ELM automaticamente
Selecione a frequência e forneça as informações.
Restaurar backup agora
Clique em Restaurar backup agora. O banco de dados do ELM é
restaurado com as configurações de um backup anterior.
Guia de produto
163
3
Tarefas
•
Restaurar dados de registro e banco de dados de gerenciamento do ELM na página 164
Para substituir um ELM, restaure os dados de registro e banco de dados de gerenciamento
no novo ELM. Neste trabalho, os dados de registro e banco de dados devem ser
espelhados.
Consulte também
Página Backup e restauração na página 164
Página Backup e restauração
Faça backup das atuais configurações de um dispositivo ELM para poder restaurá-las caso ocorra falha
do sistema ou perda de dados.
Opção
Definição
Frequência de backup Para fazer backup das configurações automaticamente, selecione essa opção e
insira a frequência.
Local de backup
Selecione o tipo de compartilhamento e insira as informações sobre o local remoto
em que as informações serão salvas.
Conectar
Fazer backup agora
Clique para fazer backup dos dados agora.
Restaurar o backup
Clique para restaurar o banco de dados do ELM com as configurações de um
backup anterior. O armazenamento de dados do ELM não é restaurado.
Restaurar ELM
Restaure o banco de dados de gerenciamento e o armazenamento de dados do
ELM.
Consulte também
Backup e restauração do ELM na página 163
Restaurar dados de registro e banco de dados de gerenciamento do ELM
Para substituir um ELM, restaure os dados de registro e banco de dados de gerenciamento no novo
ELM. Neste trabalho, os dados de registro e banco de dados devem ser espelhados.
Para restaurar os dados de um antigo ELM em um novo ELM, não crie um novo ELM usando o assistente
Adicionar dispositivo.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do ELM para o ELM que deve ser
substituído.
Uma página de aviso informa que o sistema não consegue localizar o ELM.
2
Feche a página de aviso e clique em Conexão.
3
Insira o endereço IP do novo ELM e clique em Gerenciamento de chaves | Codificar dispositivo.
Você será informado quando o novo dispositivo for codificado corretamente.
4
164
Insira a senha a ser associada a este dispositivo e clique em Avançar.
Guia de produto
3
5
Clique em Informações do ELM | Backup e restauração | Restaurar ELM.
6
Ressincronize cada dispositivo conectado ao ELM clicando em Sincronizar ELM na página Propriedades |
Configuração de cada dispositivo.
O banco de dados de gerenciamento e o armazenamento de dados do ELM são restaurados no novo
ELM. Esse processo pode levar várias horas.
Definir um local de armazenamento alternativo
Para armazenar registros de banco de dados de gerenciamento do ELM fora do ELM, é preciso definir o
local de armazenamento alternativo. Também é possível selecionar um segundo dispositivo para
espelhar o que está armazenado.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Configuração do ELM |
Migrar BD.
2
Selecione o dispositivo de armazenamento e um dispositivo de espelhamento.
3
Clique em OK.
Consulte também
Migração do banco de dados do ELM na página 166
Substituir um banco de dados de gerenciamento espelhado do ELM na página 166
Página Selecione local do banco de dados na página 165
Página Selecione local do banco de dados
Defina o local alternativo para armazenar registros do banco de dados de gerenciamento do ELM, bem
como um local de backup.
Opção
Definição
Gigabytes de espaço
Defina a quantidade de espaço a ser alocada para o banco de dados de
gerenciamento.
Dispositivos de armazenamento
de dados
Selecione o local para armazenar o banco de dados de gerenciamento.
Se precisar adicionar um dispositivo à lista ou editar um dispositivo que
esteja na lista, consulte Adicionar um dispositivo de armazenamento.
Dispositivo de armazenamento de Selecione um segundo local de armazenamento para espelhar o
dados espelhados
dispositivo de armazenamento de dados.
Se você fizer upgrade do sistema de uma versão anterior à 9.0, a
primeira vez em que você optar por espelhar um dos dispositivos
existentes, o processo será demorado.
Consulte também
Definir um local de armazenamento alternativo na página 165
Exibir uso do armazenamento do ELM
Exibir o uso do armazenamento no ELM pode ajudá-lo a tomar decisões referentes à alocação de
espaço no dispositivo.
Guia de produto
165
3
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Gerenciamento do ELM.
2
Clique em Exibir uso.
A página Estatísticas de uso é aberta, mostrando as estatísticas do dispositivo e das listas de
armazenamento no ELM.
3
Clique em OK.
Migração do banco de dados do ELM
O banco de dados de gerenciamento do ELM armazena os registros que rastreiam os registros
enviados ao ELM. O volume de espaço em disco disponível no dispositivo ELM para armazenar o banco
de dados de gerenciamento depende do modelo.
Quando você adiciona o dispositivo pela primeira vez, o sistema verifica se há espaço em disco
suficiente para armazenar os registros. Se não houver, você deverá definir um local alternativo para o
armazenamento do banco de dados de gerenciamento. Se o dispositivo tem espaço em disco
suficiente, mas você prefere salvar o banco de dados em outro local, pode usar Migrar BD, na página
Propriedades do ELM, para configurar esse local.
A opção Migrar BD pode ser usada a qualquer momento. Entretanto, se você migrar o banco de dados
de gerenciamento quando ele contiver registros, a sessão do ELM ficará suspensa por várias horas até
a conclusão da migração, o que depende do número de registros existentes. É recomendável definir
esse local alternativo quando você configurar o dispositivo ELM pela primeira vez.
Consulte também
Substituir um banco de dados de gerenciamento espelhado do ELM na página 166
Substituir um banco de dados de gerenciamento espelhado do ELM
Se um dispositivo de armazenamento de banco de dados de gerenciamento espelhado estiver com
algum problema, convém substituí-lo.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione o dispositivo ELM com o dispositivo de
armazenamento de banco de dados de gerenciamento que está com problema e clique no ícone
Propriedades
.
2
Clique em Configuração do ELM e selecione Migrar BD.
3
No campo Dispositivos de armazenamento de dados, selecione o dispositivo que aparece na lista suspensa
Dispositivo de armazenamento de dados espelhados.
4
Selecione um novo dispositivo no campo Dispositivo de armazenamento de dados espelhados ou selecione
Nenhum para interromper o espelhamento.
Se o dispositivo em questão não estiver na lista suspensa, adicione-o primeiramente à tabela
Dispositivo de armazenamento.
166
Guia de produto
3
Consulte também
Migração do banco de dados do ELM na página 166
Recuperação de dados do ELM
Para recuperar dados do ELM, é necessário criar trabalhos de pesquisa e verificação de integridade na
página Dados.
Um trabalho de verificação de integridade verifica se os arquivos definidos foram alterados desde que
foram originalmente armazenados. Isso pode servir de alerta de modificação não autorizada de
arquivos críticos de conteúdo ou do sistema. Os resultados da verificação mostram quais arquivos
foram alterados. Se nenhum arquivo tiver sido alterado, você será notificado de que a verificação foi
bem-sucedida.
O sistema limita-se a um total de 50 pesquisas e trabalhos de verificação de integridade ao mesmo
tempo. Se houver mais de 50 no sistema, você será informado de que a pesquisa não pode ser
realizada. Se existirem pesquisas no sistema, será possível excluí-las para que uma nova pesquisa
seja realizada. Caso não existam pesquisas, o administrador do sistema excluirá as pesquisas ou os
trabalhos de verificação de integridade iniciados por outros usuários para que você possa executar a
pesquisa.
Depois que a pesquisa é iniciada, ela continua em execução até ser concluída ou até alcançar um dos
limites estabelecidos, mesmo que você feche a página Dados. É possível retornar a essa tela para
verificar o status, que é exibido na tabela Resultados da pesquisa.
Consulte também
Criar um trabalho de pesquisa na página 167
Criar um trabalho de verificação de integridade na página 167
Exibir resultados de uma pesquisa ou verificação de integridade na página 169
Uso de regex para consultas no ELM na página 170
Criar um trabalho de pesquisa
Para procurar arquivos no ELM que correspondam a seus critérios, defina um trabalho de pesquisa na
página Dados. Nenhum dos campos desta tela é obrigatório. Entretanto, quanto melhor você definir a
pesquisa, mais provavelmente recuperará os dados requeridos em menos tempo.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Dados.
2
Na guia Pesquisar registros e arquivos, preencha as informações solicitadas e clique em Pesquisar.
Consulte também
Recuperação de dados do ELM na página 167
Criar um trabalho de verificação de integridade
Você pode verificar se os arquivos foram alterados desde que foram armazenados originalmente
criando um trabalho de verificação de integridade na página Dados. Nenhum dos campos da guia
Verificação de integridade é obrigatório. Entretanto, quanto melhor você definir a pesquisa, maiores as
chances de verificar a integridade dos dados requeridos em menos tempo.
Guia de produto
167
3
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Dados.
2
Clique na guia Verificação de integridade, faça as seleções solicitadas e clique em Pesquisar.
Consulte também
Guia Verificação de integridade na página 168
Guia Verificação de integridade
Defina os parâmetros para verificar se os arquivos foram alterados desde que foram armazenados
originalmente.
Opção
Definição
Registros, Arquivos
Selecione se quiser verificar registros do ELM, arquivos do ELM ou ambos.
Período
Selecione o período para a verificação dos dados.
Dispositivo
Clique no ícone de filtro
e selecione os dispositivos a serem verificados.
Tipo de dispositivo
verificados.
e selecione os tipos de dispositivos a serem
Filename
Se quiser que determinado arquivo seja verificado, digite o nome.
O nome do arquivo não
diferencia maiúsculas e
minúsculas
Se quiser que o nome do arquivo não diferencie maiúsculas e minúsculas,
selecione esta opção.
Tempo limite de pesquisa
Para limitar o tempo gasto na pesquisa, selecione o número de horas. Se
selecionar zero, não haverá limite de tempo.
Tamanho máximo do
arquivo de resultados
Para limitar o tamanho do arquivo de resultados, selecione o número máximo
de MB.
Campo Abrir
Digite um nome descritivo para este trabalho.
Pesquisar
Clique para iniciar o trabalho.
Resultados da pesquisa
Exibir a lista de trabalhos concluídos. O status de cada trabalho será indicado
na coluna Estado.
• Aguardando — O trabalho ainda não começou a ser processado. O sistema
somente pode processar dez trabalhos por vez, na ordem em que são
recebidos.
• Executando — O trabalho está em andamento.
• Concluído — O trabalho foi encerrado. É possível exibir os resultados ou fazer
download da exportação.
• Limite atingido — O limite de tempo ou de tamanho foi atingido. É possível
exibir os resultados, mas eles estão incompletos.
Exibir
168
Exiba os resultados do trabalho selecionado.
Guia de produto
3
Opção
Definição
Exportar
Exporte os resultados do trabalho selecionado.
Todas as pesquisas do ELM podem ser perdidas se você remover mais de uma
unidade VM extra do ESM de uma vez. Para evitar perder os resultados,
exporte os resultados da pesquisa do ELM.
Excluir
Marque o trabalho selecionado para exclusão.
Recarregar pesquisa
Execute o trabalho selecionado novamente.
Consulte também
Exibir resultados de uma pesquisa ou verificação de integridade
Depois que uma pesquisa ou uma verificação de integridade estiver concluída, você poderá exibir os
resultados.
Antes de iniciar
Execute um trabalho de pesquisa ou de verificação de integridade que produza resultados.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do ELM.
2
Clique em Dados e selecione a guia Pesquisar registros e arquivos ou Verificação de integridade.
3
Realce o trabalho que deseja exibir na tabela Resultados da pesquisa e clique em Exibir.
A página Resultados de pesquisa no ELM exibe os resultados do trabalho.
Todas as pesquisas do ELM podem se perder se você remover mais de uma unidade VM extra do ESM
de uma vez. Para evitar perder resultados, exporte os resultados da pesquisa no ELM.
Consulte também
Página Resultados de pesquisa no ELM na página 170
Guia de produto
169
3
Página Resultados de pesquisa no ELM
Exiba e gerencie os resultados de uma pesquisa do ELM.
Opção
Definição
Parâmetros
Exiba os parâmetros que foram usados para gerar os resultados na página.
Exportar
Exporte um resumo dos dados.
Todas as pesquisas do ELM podem se perder se você remover mais de uma
unidade VM extra do ESM de uma vez. Para evitar perder resultados, exporte
os resultados da pesquisa no ELM.
Fazer download do arquivo Para salvar os dados de arquivos específicos, realce os arquivos na tabela e
clique nesta opção.
Valor
Exiba o valor do item selecionado na lista.
Consulte também
Uso de regex para consultas no ELM
O ELM usa índices de bloom para otimizar consultas. Embora a maioria das PCREs (Perl Compatible
Regular Expressions) possa ser usada para pesquisas no ELM, nem toda PCRE pode ser otimizada para
usar o bloom.
O otimizador de regex de bloom realiza um ajuste prévio para fornecer pesquisas ideais, mas você
pode obter resultados de consultas ainda melhores se tiver algumas informações em mente.
•
É possível usar somente as partes obrigatórias da expressão regular para filtragem de bloom. O
filtro de bloom somente usa subcadeias na expressão regular que existe em cada cadeia
correspondente. A única exceção é que você pode usar uma profundidade de um nível ou um
agrupamento, como (seth|matt|scott|steve).
•
Não é possível usar partes obrigatórias de uma expressão regular com menos de quatro caracteres.
Por exemplo, seth.*grover usa seth e grover com o bloom, mas tom.*wilson somente usa
wilson, pois tom é muito curto.
•
Não é possível usar agrupamentos que contenham subcadeias não constantes ou uma subcadeia
muito curta. Por exemplo, (start|\w\d+|ending) não pode ser usado, pois o item do meio na
lista OR não é uma constante que possa ser pesquisada no bloom. Outro exemplo: (seth|tom|
steve) não pode ser usado, pois tom é muito curto, mas (seth|matt|steve) pode ser usado.
The regex-to-bloom query is run by the optimizer process for the database. That optimizer
deconstructs the regex and finds the mandatory constant substrings.
As an example, the original regular expression is:
\|\|(626|629|4725|4722)\|\|.*\|\|(bbphk)\|\|
A única parte que o bloom usa dessa expressão é bbphk. Essa alteração reduz o conjunto de pesquisa
de mais de um milhão de arquivos para 20.000.
É possível otimizar ainda mais a expressão regular da seguinte forma:
(\|\|626\|\||\|\|629\|\||\|\|4725\|\||\|\|4722\|\|).*\|\|bbphk\|\|
Nesse exemplo, as barras (\|\|) passaram de antes e depois do primeiro grupo para antes e depois
de cada elemento do grupo, e isso resulta no seguinte:
170
Guia de produto
3
•
Possibilita a inclusão dos caracteres de barra vertical.
•
Os elementos do primeiro grupo, que eram ignorados por terem apenas três caracteres, passam a
ter mais de quatro caracteres, podendo ser usados.
Além disso, os parêntesis em torno de bbphk foram removidos, pois não eram necessários e indicavam
ao filtro de bloom que se tratava de um novo subgrupo. Esses tipos de ajustes manuais na expressão
regular podem reduzir ainda mais a pesquisa a somente cerca de 2.000 arquivos.
Consulte também
Configurações do Advanced Correlation Engine (ACE)
O McAfee Advanced Correlation Engine (ACE) identifica e pontua eventos de ameaça em tempo real,
usando lógica baseada em regra e em risco.
Identifique o que você considera importante (usuários ou grupos, aplicativos, servidores específicos ou
sub-redes) para ser alertado pelo ACE se o ativo for ameaçado. Trilhas de auditoria e reproduções
históricas são importantes para o cumprimento de regras, conformidade e perícias.
Configure o ACE usando modos históricos ou de tempo real:
•
Modo de tempo real — Os eventos são analisados assim que coletados para detecção imediata de
riscos e ameaças.
•
Modo histórico — Reproduz dados disponíveis coletados por um dos mecanismos de correlação,
ou ambos, para detecção de riscos e ameaças históricos. Quando o ACE descobre novos ataques de
dia zero, ele determina se a organização foi exposta a esse ataque anteriormente para detecção de
ameaças de dia subzero.
Os dispositivos ACE complementam os recursos de correlação de eventos existentes do ESM
fornecendo dois mecanismos de correlação dedicados. Defina cada dispositivo ACE com sua própria
política, conexão, configurações de recuperação de eventos e logs, e gerenciadores de risco.
•
Correlação de risco — Gera uma pontuação de risco usando uma correlação sem regras. A
correlação baseada em regra somente detecta padrões de ameaça conhecidos, exigindo
atualizações e ajustes de assinatura constantes para ser eficaz. A correlação sem regras substitui
assinaturas de detecção por uma configuração única: identifique o que é importante para os seus
negócios (como um determinado serviço ou aplicativo, grupo de usuários ou tipos de dados
específicos). A Correlação de risco então rastreia toda atividade relacionada a esses itens, criando uma
pontuação de risco dinâmica que aumenta ou diminui de acordo com a atividade em tempo real.
Quando uma pontuação de risco excede um determinado limite, o ACE gera um evento e emite um
alerta sobre as condições de ameaça crescentes. Ou o mecanismo tradicional de correlação
baseada em regra pode usar o evento como condição de um incidente maior. O ACE mantém uma
trilha de auditoria completa de pontuações de risco para permitir análises e investigações
completas das condições de ameaça ao longo do tempo.
•
Correlação baseada em regra — Detecta ameaças usando a correlação de eventos tradicional
baseada em regra para analisar as informações coletadas em tempo real. O ACE correlaciona todos
os logs, eventos e fluxos de rede com informações contextuais, como identidade, funções,
vulnerabilidades etc., para detectar padrões que indiquem uma ameaça maior.
Os appliances Event Receiver são compatíveis com correlação baseada em regra em toda a rede. O
ACE complementa essa funcionalidade com um recurso de processamento dedicado que
correlaciona volumes maiores de dados, suplementando relatórios de correlação existentes ou
descarregando-os completamente.
Guia de produto
171
3
Defina cada dispositivo ACE com sua própria política, conexão, configurações de recuperação de
eventos e logs, e gerenciadores de risco.
Selecionar tipo de dados do ACE
O ESM coleta dados de evento e de fluxo. Selecione quais dados serão enviados para o ACE. O padrão
é somente dados de evento.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades de ACE e clique em Configuração do ACE.
2
Clique em Dados e selecione Dados de evento, Dados de fluxo ou ambos.
3
Clique em OK.
Adicionar um gerenciador de correlação
Para usar a correlação de regra ou de risco, é necessário adicionar gerenciadores de correlação de
regra ou risco.
Antes de iniciar
Deve haver um dispositivo ACE no ESM (consulte Adicionar dispositivos ao console do
ESM).
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades de ACE.
2
Clique em Gerenciamento de correlação, depois em Adicionar.
3
Selecione o tipo de gerenciador que deseja criar e clique em OK.
Consulte Configurações do Advanced Correlation Engine (ACE) para obter informações sobre os tipos
de gerenciadores.
4
Insira as informações solicitadas, depois clique em Concluir.
Adicionar um gerenciador de correlação de risco
Você deve adicionar gerenciadores para ajudar a calcular os níveis de risco dos campos designados.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades de ACE e clique em Gerenciamento de correlação
de risco.
2
Clique em Adicionar e preencha as informações solicitadas em cada guia.
3
Clique em Finalizar e em Gravar para gravar os gerenciadores no dispositivo.
Consulte também
Página Gerenciamento de correlação na página 173
Assistente para Adicionar Gerenciador de correlação na página 173
172
Guia de produto
3
Página Gerenciamento de correlação
Administre os gerenciadores de correlação, que ajudam a calcular os níveis de risco.
Opção
Definição
Tabela
Exiba os gerenciadores de correlação existentes no ACE.
Adicionar
Adicione um novo gerenciador de correlação.
Editar
Edite o gerenciador de correlação selecionado.
Remover
Exclua o gerenciador selecionado.
Ativado
Ative o gerenciador selecionado.
Número máximo de combinações de Selecione o número máximo de combinações de campos que um
campos
gerenciador pode ter. Esse limite ajuda no tempo de processamento no
sistema. Esse número é em milhares.
Grava todos os gerenciadores de correlação no dispositivo.
Gravar
Consulte também
Adicionar um gerenciador de correlação de risco na página 172
Assistente para Adicionar Gerenciador de correlação
Adicione um gerenciador de correlação para ajudar a calcular os níveis de risco.
Guia
Opção
Principal Nome
Definição
Digite um nome para o gerenciador.
Ativar
Desmarque a opção para desativar o gerenciador.
Usar dados de evento,
Usar dados de fluxo
Selecione uma das opções, ou ambas, para indicar o tipo de dados que
deseja usar.
Registro, Listas de
armazenamento
Selecione Registro para salvar os registros no ELM. Selecione a lista de
armazenamento no ELM onde desejar salvar os registros.
Caso você não tenha selecionado um ELM para armazenar os dados,
consulte Definir lista de registro padrão.
Zona
Para atribuir os dados a uma zona, selecione-a na lista suspensa
(consulte Gerenciamento de zonas).
Tolerância de ordem de
tempo
(Correlação de regras somente) Selecione o tempo durante o qual a
correlação de regras permitirá eventos fora de ordem. Por exemplo, se
a configuração for 60 minutos, um evento com atraso de 59 minutos
ainda será usado.
Campos Campo
Percentual
Selecione os campos que esse gerenciador deve usar para correlacionar
eventos (máximo de cinco por gerenciador).
Selecione o percentual que cada campo deve conter. Eles devem somar
a pontuação geral de 100%.
As atualizações de risco, quando são abaixo de 100% crítico, relatam o
estado crítico de acordo com o que você definiu como FYI, Secundário,
Aviso, Principal e Crítico (consulte a guia Limites). Por exemplo, se o seu
conceito de FYI for 50% do valor crítico, quando o risco atingir 50% do
crítico, a gravidade será, na verdade, 20 em vez de 50.
Guia de produto
173
3
Guia
Opção
Definição
Correlacionar
Selecione caso não queira que um campo seja usado para determinar
exclusividade. Em virtude da exigência de memória, a correlação em
vários campos de alta cardinalidade não é recomendada.
O número de linhas de risco geradas dependerá do número de
combinações exclusivas de todos os campos correlacionados.
Limites
Filtros
Seção superior
Defina os limites de pontuação para um evento ser disparado para cada
nível crítico.
Seção inferior
Defina a taxa para a pontuação decair. A configuração padrão é: a cada
120 segundos em que uma pontuação estiver em um período, ela
decairá 10 por cento até atingir a pontuação 5. O período dos valores
de campo exclusivos é excluído.
Lógica AND, Lógica OR
Configure a estrutura dos filtros usando elementos lógicos (consulte
Elementos lógicos).
Componente de campos
de filtro
Arraste e solte o ícone Corresponder ao componente
sobre um elemento
lógico e, em seguida, preencha a página Adicionar campo de filtro.
Para editar as condições de um componente depois de ele ter sido
do componente
adicionado a um elemento lógico, clique em Menu
e selecione Editar. Em seguida, você pode alterar as configurações.
Consulte também
Adicionar um gerenciador de correlação de risco na página 172
Adicionar pontuação de correlação de risco
É necessário adicionar instruções condicionais que atribuam uma pontuação a um campo de destino.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades de ACE e clique em Pontuação de correlação de
risco.
2
Clique em Adicionar e preencha as informações necessárias.
3
Clique em OK.
Consulte também
Página Pontuação de correlação de risco na página 175
Assistente de Pontuação de correlação de risco na página 175
174
Guia de produto
3
Página Pontuação de correlação de risco
A pontuação de correlação de risco permite adicionar instruções condicionais de pontuação. Elas são
baseadas em um campo de risco que contém um valor que compõe uma pontuação definida para um
campo de risco de destino.
Opção Definição
Tabela
Exiba as pontuações de correlação de risco existentes.
Adicionar Adicione uma pontuação de correlação de risco.
Editar
Altere as configurações da pontuação selecionada.
Remover Exclua a pontuação selecionada.
Ativado
Selecione para ativar a pontuação de correlação de risco referente à instrução condicional
selecionada. A configuração é refletida na coluna Ativado da tabela.
Gravar
Grave as novas configurações no dispositivo.
Consulte também
Adicionar pontuação de correlação de risco na página 174
Assistente de Pontuação de correlação de risco
Adicione uma instrução condicional que atribua uma pontuação.
Opção
Definição
Pontuação ativada
Selecione se quiser desativar a instrução condicional.
Tipo de dado
Selecione o tipo de dado que deseja que apareça na instrução condicional. É
possível selecionar Evento, Fluxo ou os dois.
Campo de pontuação
Procure o campo para receber a pontuação desejada.
Campo de pesquisa
Procure o campo para associar o tipo de origem.
Tipo de origem
Selecione o tipo de origem para usar como comparação. Se o tipo de origem
selecionado contiver um valor de pontuação além do valor correspondente,
essa pontuação será aplicada, ou você poderá inserir uma pontuação
manualmente marcando a caixa de seleção na coluna Usar pontuação.
Valor
Digite ou selecione o valor para comparação. As opções disponíveis nesta
coluna variam conforme o tipo de origem selecionado na coluna anterior.
Usar pontuação
Marque a caixa de seleção para usar uma pontuação digitada manualmente.
Pontuação
A pontuação a ser dada para o Campo de pontuação selecionado. É possível aplicar
uma pontuação combinada ao campo de pontuação ao inserir diversas regras
na grade.
Peso
Peso dado à linha ou tipo de origem referente a uma pontuação combinada da
instrução condicional. Não pode exceder 100%.
Botão Adicionar linha
Clique para adicionar uma nova linha condicional à instrução condicional
inteira.
Peso total
Total de todas as linhas ou tipos de origem sob a coluna de peso.
Intervalo de pontuação de
risco atual para
O intervalo da pontuação que pode ser dada ao campo selecionado como o
campo da pontuação, dependendo do resultado das linhas condicionais.
Consulte também
Adicionar pontuação de correlação de risco na página 174
Guia de produto
175
3
Uso da correlação histórica
A opção de correlação histórica permite a correlação de eventos passados.
Quando uma nova vulnerabilidade é descoberta, é importante verificar os registros e eventos
históricos para saber se você foi explorado antes. Com o recurso de reprodução simples de rede do
ACE, os eventos históricos podem ser reproduzidos através do mecanismo de correlação sem regra
Correlação de risco e do mecanismo de correlação de eventos com base em regras padrão, e você pode
examinar os eventos históricos em relação ao cenário de ameaça atual. Isso pode ser útil nas
seguintes situações:
•
Você não tinha a correlação configurada no momento em que determinados eventos foram
disparados e percebe que a correlação poderia ter revelado informações valiosas.
•
Você está configurando uma nova correlação com base nos eventos disparados no passado e quer
testá-la para confirmar se ela fornece os resultados desejados.
Ao usar a correlação histórica, esteja ciente de que:
•
A correlação em tempo real é interrompida até a desativação da correlação histórica.
•
A distribuição de risco é distorcida pela agregação de evento.
•
Quando você muda o gerenciador de risco novamente para correlação de risco em tempo real, os
limites devem ser ajustados.
Para configurar e executar a correlação histórica, é necessário:
1
Adicionar um filtro de correlação histórica.
2
Executar uma correlação histórica.
3
Fazer download e exibir os eventos históricos correlacionados.
Consulte também
Adicionar e executar correlação histórica na página 176
Fazer download e exibir os eventos de correlação histórica. na página 177
Adicionar e executar correlação histórica
Para correlacionar eventos passados, você precisa configurar um filtro de correlação histórica e
executar a correlação.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades de ACE e clique em Histórico.
2
3
Selecione Ativar correlação histórica e clique em Aplicar.
A correlação em tempo real é interrompida até a desativação da correlação histórica.
4
Selecione os filtros que deseja executar e clique em Executar agora.
O ESM examina os eventos, aplica os filtros e empacota os eventos que se aplicam.
Consulte também
Uso da correlação histórica na página 176
Página Correlação histórica na página 177
Página Filtro de correlação histórica na página 177
176
Guia de produto
3
Página Correlação histórica
Configure um filtro para correlacionar eventos passados.
Opção
Definição
Ativar correlação histórica Selecione esta opção caso queira ativar a correlação histórica no ACE.
A correlação em tempo real é suspensa quando a correlação histórica está
ativada.
Tabela
Exiba os filtros atualmente no ACE.
Adicionar
Adicione um filtro para recuperar dados de evento de correlação histórica.
Editar
Altere as configurações do filtro selecionado.
Remover
Exclua um filtro.
Executar agora
Execute os filtros selecionados agora. O ESM examina os eventos, aplica os
filtros e empacota os eventos que se aplicam.
Consulte também
Página Filtro de correlação histórica
Adicione um filtro de correlação histórica para correlacionar eventos passados.
Opção
Definição
Nome
Digite um nome para o filtro.
Período
Selecione o período para correlacionar os eventos históricos.
Campos restantes Selecione ou digite o que deseja filtrar. Uma dica é exibida na parte inferior da
página para cada campo que você clica.
Consulte também
Fazer download e exibir os eventos de correlação histórica.
Depois de executar a correlação histórica, você poderá fazer download e exibir os eventos gerados.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades de ACE e clique em Eventos e registros | Obter
eventos.
Os eventos resultantes da execução da correlação histórica são obtidos por download no ESM.
2
Feche Propriedades de ACE.
3
Para exibir os dados:
a
Na árvore de navegação do sistema, selecione o dispositivo do ACE para o qual você acabou de
executar os dados históricos.
b
Na lista suspensa de períodos, na barra de ferramentas de exibição, selecione o período
especificado ao configurar a execução.
Guia de produto
177
3
O painel de exibição mostra os resultados da consulta.
Consulte também
Uso da correlação histórica na página 176
Configurações do Application Data Monitor (ADM)
O McAfee Application Data Monitor (ADM) rastreia todo o uso de dados confidenciais na rede,
analisando protocolos subjacentes, a integridade das sessões e o conteúdo dos aplicativos.
Ao detectar uma violação, o ADM preserva todos os detalhes da sessão do aplicativo para uso em
resposta a incidentes e perícias ou para exigências de auditoria e conformidade. Ao mesmo tempo, o
ADM permite a visibilidade de ameaças disfarçadas de aplicativos legítimos.
O ADM pode detectar quando informações confidenciais são transmitidas em anexos de e-mail,
mensagens instantâneas, transferências de arquivos, publicações em HTTP ou outros aplicativos.
Personalize os recursos de detecção do ADM definindo seus próprios dicionários de informações
confidenciais e pessoais. Dessa forma, o ADM poderá detectar esses tipos de dados confidenciais,
alertar a equipe apropriada e registrar a transgressão em log para manter uma trilha de auditoria.
O ADM monitora, decodifica e detecta anomalias nos seguintes protocolos de aplicativo:
•
Transferência de arquivo: FTP, HTTP, SSL (configuração e certificados somente)
•
E-mail: SMTP, POP3, NNTP, MAPI
•
Bate-papo: MSN, AIM/Oscar, Yahoo, Jabber, IRC
•
Webmail: Hotmail, Hotmail DeltaSync, Yahoo mail, AOL Mail, Gmail
•
P2P: Gnutella, bitTorrent
•
Shell: SSH (detecção somente), Telnet
O ADM aceita expressões de regras e as testa em relação ao tráfego monitorado, inserindo registros
na tabela de eventos do banco de dados para cada regra disparada. Ele armazena o pacote que
disparou a regra no campo de pacote da tabela de eventos. Ele também adiciona metadados do nível
do aplicativo às tabelas de consultas e dbsession do banco de dados para cada regra disparada. Ele
armazena uma representação em texto da pilha do protocolo no campo de pacote da tabela de
consultas.
O ADM pode gerar os seguintes tipos de evento:
178
•
Metadados – O ADM gera um evento de metadados para cada transação na rede e inclui detalhes,
como endereços, protocolo, tipo de arquivo, nome de arquivo. O aplicativo insere os eventos de
metadados na tabela de consulta e agrupa os eventos na tabela de sessão. Por exemplo, quando
uma sessão do FTP transfere três arquivos, o ADM os agrupa.
•
Anomalia de protocolo - As anomalias de protocolo são codificadas nos módulos de protocolo e
incluem eventos, como um pacote TCP (Protocolo de controle de transmissão) é curto demais para
conter um cabeçalho válido, e um servidor SMTP (Simple Mail Transfer Protocol) retorna um código
de resposta inválido. Os eventos de anomalia de protocolo são raros e são colocados na tabela de
eventos.
•
Disparo de regra – As expressões de regra geram eventos de disparo de regra, detectando
anomalias nos metadados gerados pelo mecanismo ICE (Internet Communications Engine). Esses
eventos podem incluir anomalias, como protocolos usados fora do horário normal ou uma
comunicação inesperada entre um servidor SMTP e o FTP. Os eventos de disparo de regra devem
ser raros e colocados na tabela de eventos.
Guia de produto
3
A tabela de eventos contém um registro de cada anomalia de protocolo detectada ou evento de
disparo de regra. Os registros de evento são vinculados às tabelas de sessão e de consulta por meio
da ID de sessão, em que estão disponíveis mais detalhes sobre as transferências na rede (eventos de
metadados) que dispararam o evento. Além disso, cada evento é vinculado à tabela de pacotes em
que estão disponíveis os dados brutos do pacote que disparou o evento.
A tabela de sessões contém um registro para cada grupo de transferências na rede relacionadas (por
exemplo, um grupo de transferências de arquivos do FTP na mesma sessão). Os registros de sessão
são vinculados à tabela de consultas por meio da ID de sessão em que estão disponíveis mais detalhes
sobre cada uma das transferências na rede (eventos de metadados). Além disso, se uma transferência
dentro da sessão causar uma anomalia de protocolo ou disparar uma regra, haverá um vínculo à
tabela de eventos.
A tabela de consultas contém um registro de cada evento de metadados (transferências de conteúdo
que ocorrem na rede). Os registros de consulta são vinculados à tabela de sessões com o ID de
sessão. Se a transferência na rede representada pelo registro disparar uma anomalia de protocolo ou
regra, haverá um vínculo à tabela de eventos. Haverá também um vínculo à tabela de pacotes usando
o campo de texto no qual a representação textual do protocolo ou pilha de conteúdo completos são
encontrados.
Configurar o fuso horário do ADM
O dispositivo ADM é definido como GMT, mas o código ADM espera que o dispositivo seja configurado
com o seu fuso horário. Como resultado, as regras usam os gatilhos de hora como se você estivesse
em GMT e não quando você espera que usem.
Você pode configurar o ADM com o fuso horário esperado. Esse aspecto é levado em consideração na
avaliação das regras.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do ADM e clique em Configuração do ADM.
2
Clique em Fuso horário e selecione o seu fuso horário.
3
Clique em OK.
Consulte também
Página Configurar o fuso horário do ADM na página 179
Página Configurar o fuso horário do ADM
Configure o fuso horário dos eventos registrados por este ADM.
Consulte também
Configurar o fuso horário do ADM na página 179
Exibir senha na Visualização de sessão
O Visualizador de sessão permite que você veja os detalhes das últimas 25.000 consultas do ADM em uma
sessão. As regras de alguns eventos podem ser relacionadas à senha. Você pode selecionar se as
senhas serão exibidas no Visualizador de sessão. Por padrão, as senhas não são exibidas.
Guia de produto
179
3
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do ADM e clique em Configuração do ADM.
A opção Senhas indica que o registro está Desligado.
2
Clique em Senhas, selecione Ativar registro de senhas e clique em OK.
O sistema executa o comando e informa quando o processo é concluído.
Agora, a opção Senhas indica que o registro está Ligado.
Dicionários do Application Data Monitor (ADM)
Ao gravar regras para o ADM, use dicionários que traduzam chaves capturadas na rede para um valor
definido. Ou liste chaves sem um valor que assumam um booliano verdadeiro quando as chaves
estiverem presentes.
Os dicionários do ADM permitem especificar chaves de um arquivo rapidamente, em vez de precisar
gravar uma regra individual para cada palavra. Por exemplo, configure uma regra para selecionar
e-mails que contenham palavras específicas, compile um dicionário com palavras impróprias e importe
esse dicionário. Você pode criar uma regra como a seguinte para verificar a existência de e-mails com
conteúdo que inclua uma das palavras do dicionário:
protocol == email && naughtyWords[objcontent]
Ao gravar regras com o editor de regras do ADM, você pode selecionar o dicionário de referência da
regra.
Os dicionários aceitam até milhões de entradas.
A adição de um dicionário a uma regra envolve as seguintes etapas:
1
Configurar e salvar um dicionário que lista as chaves e, se necessário, os valores.
2
Gerenciamento do dicionário no ESM.
3
Atribuição do dicionário a uma regra.
Consulte também
Configuração de dicionário do ADM na página 180
Gerenciar Dicionários de ADM na página 183
Consulta a um dicionário de ADM na página 185
Exemplos de dicionário do ADM na página 182
Configuração de dicionário do ADM
Um dicionário é um arquivo de texto sem formatação que consiste em uma entrada por linha. Existem
dicionários de coluna única e de coluna dupla. As colunas duplas incluem uma chave e um valor.
As chaves podem ser IPv4, MAC, número, expressão regular e cadeia. Os tipos de valor são booleano,
IPv4, IPv6, MAC, número e cadeia. Um valor é opcional e assumirá booliano verdadeiro como padrão,
se não houver valor presente.
Os valores em um dicionário de coluna única ou dupla devem ser um dos tipos compatíveis com o
ADM: cadeia, expressão regular, número, IPv4, IPv6 ou MAC. Os dicionários do ADM devem seguir
estas diretrizes de formatação:
180
Guia de produto
3
Tipo
Regras de sintaxe
Exemplos
Conteúdo
correspondente
Cadeia
• As cadeias devem estar
entre aspas duplas
“Conteúdo inválido”
Conteúdo inválido
• As expressões regulares
ficam entre barras simples
/[Aa]pple/
“Ele disse: \”Conteúdo inválido
\””
• As aspas duplas de uma
cadeia devem ser seguidas
por caracteres de escape
com barras invertidas antes
de cada uma das aspas
Expressão
regular
Números
/apple/i
• As barras e os caracteres
/ [0-9]{1,3}\.[0-9]{1,3}\.
de expressão regular
[0-9]\.[0-9]/
reservados dentro da
/1\/2 de todos/
expressão regular devem
ser seguidos por caracteres
de escape com barras
invertidas
Ele disse: “Conteúdo
inválido”
Apple ou apple
Apple ou apple
Endereços IP:
1.1.1.1
127.0.0.1
1/2 de todos
• Valores decimais (0-9)
Valor decimal
123
• Valores hexadecimais
(0x0-9a-f)
Valor hexadecimal
0x12ab
Valor octais
0127
Literais boolianos
verdadeiro
• Valores octal (0-7)
Boolianos
• Podem ser verdadeiros ou
falsos
falso
• Todos em minúsculas
IPv4
• Podem ser escritos em
notação quádrupla
pontilhada padrão
notação CIDR
192.168.1.1
192.168.1.1
192.168.1.0/24
192.168.1.[0 – 255]
192.168.1.0/255.255.255.0
192.168.1.[0 – 255]
formato longo com
máscaras completas
As seguintes informações se aplicam aos dicionários:
•
Listas (vários valores separados por vírgula dentro de colchetes) não são permitidas nos
dicionários.
•
Uma coluna pode ser composta somente por um único tipo de ADM compatível. Isso significa que
tipos diferentes (cadeia, expressão regular, IPv4) não podem ser misturados e correspondidos
dentro de um único arquivo de dicionário do ADM.
•
Eles podem conter comentários. Todas as linhas que começam com o caractere sustenido (#) são
consideradas um comentário dentro de um dicionário do ADM.
•
Os nomes podem conter somente caracteres alfanuméricos e sublinhados, com tamanho máximo
de 20 caracteres.
Guia de produto
181
3
•
Não há suporte para as listas dentro deles.
•
Em versões anteriores ao ADM 8.5.0, eles precisam ser editados ou criados fora do ESM com um
editor de texto de sua escolha. Eles podem ser importados ou exportados do ESM para facilitar a
modificação ou a criação de novos dicionários do ADM.
Consulte também
Dicionários do Application Data Monitor (ADM) na página 180
Exemplos de dicionário do ADM
O mecanismo do ADM pode corresponder o conteúdo do objeto ou qualquer outra métrica ou
propriedade a um dicionário de coluna única para verdadeiro ou falso (existe ou não existe no
dicionário).
Tabela 3-91 Exemplos de dicionário de coluna única
Tipo de dicionário
Exemplo
Dicionário de cadeia com
palavras de spam comuns
“Cialis”
“cialis”
“Viagra”
“viagra”
“site adulto”
“Site adulto”
“compre já! não perca tempo!”
Dicionário de expressão regular /(password|passwd|pwd)[â-z0-9]{1,3}(admin|login|password|
para palavras-chave de
user)/i
autorização
/(customer|client)[â-z0-9]{1,3}account[â-z0-9]{1,3}number/i
/fund[â-z0-9]{1,3}transaction/i
/fund[â-z0-9]{1,3}transfer[â-z0-9]{1,3}[0-9,.]+/i
Dicionário de cadeia contendo
valores do hash para
executáveis inválidos
conhecidos
"fec72ceae15b6f60cbf269f99b9888e9"
"fed472c13c1db095c4cb0fc54ed28485"
"feddedb607468465f9428a59eb5ee22a"
"ff3cb87742f9b56dfdb9a49b31c1743c"
"ff45e471aa68c9e2b6d62a82bbb6a82a"
"ff669082faf0b5b976cec8027833791c"
"ff7025e261bd09250346bc9efdfc6c7c"
Endereços IP de ativos críticos
192.168.1.12
192.168.2.0/24
192.168.3.0/255.255.255.0
192.168.4.32/27
192.168.5.144/255.255.255.240
182
Guia de produto
3
Tabela 3-92 Exemplos de dicionário de coluna dupla
Tipo de dicionário
Exemplo
Dicionário de cadeia com
palavras de spam comuns e
categorias
“Cialis” “medicamento”
“cialis” “medicamento”
“Viagra” “medicamento”
“viagra” “medicamento”
“site adulto” “adulto”
“Site adulto” “adulto”
“compre já! não perca tempo!” “fraude”
Dicionário de expressão
regular para palavras-chave
de autorização e categorias
/(password|passwd|pwd)[â-z0-9]{1,3}(admin|login|password|
user)/i “credentials”
/(customer|client)[â-z0-9]{1,3}account[â-z0-9]{1,3}number/i
“pii”
/fund[â-z0-9]{1,3}transaction/i “sox”
/fund[â-z0-9]{1,3}transfer[â-z0-9]{1,3}[0-9,.]+/i “sox”
Dicionário de cadeia contendo "fec72ceae15b6f60cbf269f99b9888e9" “cavalo de Troia”
valores do hash para
"fed472c13c1db095c4cb0fc54ed28485" “Malware”
executáveis inválidos
conhecidos e categorias
"feddedb607468465f9428a59eb5ee22a" “Virus”
"ff3cb87742f9b56dfdb9a49b31c1743c" “Malware”
"ff45e471aa68c9e2b6d62a82bbb6a82a" “Adware”
"ff669082faf0b5b976cec8027833791c" “cavalo de Troia”
"ff7025e261bd09250346bc9efdfc6c7c" “Virus”
Endereços IP de ativos
críticos e grupos
192.168.1.12 “Ativos críticos”
192.168.2.0/24 “LAN”
192.168.3.0/255.255.255.0 “LAN”
192.168.4.32/27 “DMZ”
192.168.5.144/255.255.255.240 “Ativos críticos”
Consulte também
Gerenciar Dicionários de ADM
Depois de configurar e salvar um novo dicionário, é necessário importá-lo para o ESM. Você pode
também exportar, editar ou excluir o dicionário.
Tarefa
Ajuda.
1
No Editor de políticas, clique em Ferramentas e selecione Gerenciador de dicionários do ADM.
A tela Gerenciar Dicionários de ADM lista os quatro dicionários padrão (rede de bots, foullanguage,
icd9_desc, e spamlist) e todos os dicionários que foram importados para o sistema.
Guia de produto
183
3
2
Execute uma das ações disponíveis e clique em Fechar.
Consulte também
Página Gerenciar Dicionários de ADM na página 184
Página Editar Dicionário de ADM na página 184
Página Importar Dicionários de ADM na página 184
Página Gerenciar Dicionários de ADM
Gerencie a lista de dicionários de ADM disponíveis no ESM para poder usá-los nas regras ADM.
Opção Definição
Importar Clique para importar um dicionário de ADM para o ESM.
Exportar Clique para exportar o dicionário de ADM selecionado para um arquivo local.
Editar
Clique para editar o dicionário selecionado.
Excluir
Exclua o dicionário selecionado.
Quando você exclui um dicionário, qualquer tentativa de distribuir um conjunto de regras que
contém regras que consultam esse dicionário falha na compilação. Se esse dicionário for
atribuído a uma regra, regrave a regra para que ela não consulte o dicionário (consulte
Consultar um dicionário) ou não conclua a exclusão.
Consulte também
Página Editar Dicionário de ADM
Faça alterações em um dicionário de ADM.
Opção
Definição
Pesquisar Se você deseja pesquisar uma entrada específica, digite-a no campo e clique.
Tabela
Exibe as entradas existentes. Você pode adicionar novas entradas e alterar ou excluir as
existentes.
Consulte também
Página Importar Dicionários de ADM
Importe um Dicionário de ADM para o ESM.
Opção
Definição
Dicionário
Procure o arquivo de dicionário e faça upload.
Tipo de chave Selecione o tipo de chave usado no dicionário.
Se houver discrepância entre o que você selecionou nos campos Tipo de chave e Tipo de valor e
o que está contido no arquivo, receberá um aviso de que os dados são inválidos.
Tipo de valor
184
Selecione o tipo de valor usado no dicionário.
Guia de produto
3
Consulte também
Consulta a um dicionário de ADM
Quando um dicionário é importado para o ESM, você pode consultá-lo ao gravar regras.
Antes de iniciar
Importe o dicionário para o ESM.
Tarefa
Ajuda.
1
No painel Tipos de regras do Editor de políticas, clique em Novo | Regra de ADM.
2
Adicione as informações solicitadas e arraste e solte um elemento lógico para a área Lógica da
expressão.
3
Arraste e solte o ícone Componente da expressão
no elemento lógico.
4
Na página Componente da expressão, selecione o dicionário no campo Dicionário.
5
Preencha os campos restantes e clique em OK.
Consulte também
Material de referência das regras do ADM
Este apêndice inclui material que pode ajudar você a adicionar as regras do ADM ao Editor de políticas.
Consulte também
Sintaxe de regras de ADM na página 185
Tipos de termo de regra do ADM na página 188
Referências de métrica de regra do ADM na página 190
Propriedades específicas de protocolo na página 192
Anomalias de protocolo na página 194
Sintaxe de regras de ADM
As regras de ADM são muito semelhantes às expressões C.
A principal diferença é um conjunto mais extenso de literais (números, cadeias, expressões regulares,
endereços IP, endereços MAC e boolianos). Os termos de cadeia podem ser comparados com literais
de cadeia e Regex para testar seu conteúdo, mas eles podem também ser comparados com números
para testar o tamanho. Os termos numéricos, endereço IP e endereço MAC só podem ser comparados
com o mesmo tipo de valor de literal. A única exceção é que tudo pode ser tratado como booliano para
testar sua existência. Alguns termos podem ter vários valores, por exemplo, a regra a seguir seria
disparada nos arquivos PDF dentro de arquivos .zip : type = = application/zip && type = =
application/pdf.
Guia de produto
185
3
Tabela 3-96
Operadores
Operador
Descrição
Exemplo
&&
Elemento lógico AND
protocol = = http && type = = image/gif
||
Elemento lógico OR
time.hour < 8 || time.hour > 18
^^
Elemento lógico XOR
email.from = = "[email protected]" ^êmail.to = = "[email protected]"
!
NOT unário
! (protocol = = http | | protocol = = ftp)
==
Igual a
type = = application/pdf
!=
Diferente de
srcip ! = 192.168.0.0/16
>
Maior que
objectsize > 100M
>=
Maior ou igual a
time.weekday > = 1
<
Menor que
objectsize < 10 K
<=
Menor ou igual a
time.hour < = 6
Tabela 3-97 Literais
Literal
Exemplo
Número
1234, 0x1234, 0777, 16K, 10M, 2G
Cadeia
"uma cadeia"
Regex
/[A-Z] [a-z]+/
IPv4
1.2.3.4, 192.168.0.0/16, 192.168.1.0/255.255.255.0
MAC
aa:bb:cc:dd:ee:ff
Bool
verdadeiro, falso
Tabela 3-98 Compatibilidade do tipo de operador
Tipo
Operadores
Notas
Número = =, ! =, >, > =, <, < =
Cadeia
= =, ! =
Comparar conteúdo de cadeia com Cadeia/Expressão regular
Cadeia
>, > =, <, <=
Comparar tamanho da cadeia
IPv4
= =, ! =
MAC
= =, ! =
Bool
= =, ! =
A comparação com verdadeiro/falso também é compatível com a
comparação implícita com verdadeiro, por exemplo, a
comparação a seguir testa se o termo email.bcc ocorre:
email.bcc
Tabela 3-99 Gramática de expressão regular de ADM
Operadores básicos
186
|
Alternação (ou)
*
Zero ou mais
+
Um ou mais
Guia de produto
3
Tabela 3-99 Gramática de expressão regular de ADM (continuação)
Operadores básicos
?
Zero ou um
()
Agrupamento (a | b)
{}
Intervalo de repetição {x} ou {,x} ou {x,} ou {x,y}
[]
Intervalo [0-9a-z] [abc]
[^ ]
Intervalo exclusivo [âbc] [^0-9]
.
Qualquer caractere
\
Caractere de escape
Caracteres de escape
\d
Dígito [0-9]
\D
Não dígito [^0-9]
\e
Caracteres de escape (0x1B)
\f
Avanço de página (0x0C)
\n
Avanço de linha (0x0A)
\r
Retorno de carro (0x0D)
\s
Espaço em branco
\S
Não é espaço em branco
\t
Tabulação (0x09)
\v
Tabulação vertical (0x0B)
\w
Palavra [A-Za-z0-9_]
\W
Não é palavra
\x00
Representação hexadecimal
\0000
Representação octal
^
Início de linha
S
Fim de linha
As âncoras de início e fim de linha (^ e $) não funcionam em objcontent.
Classes de caractere POSIX
[:alunum:]
Dígitos e letras
[:alpha:]
Todas as letras
[:ascii:]
Caracteres ASCII
[:blank:]
Espaço e tabulação
Guia de produto
187
3
Classes de caractere POSIX
[:cntrl:]
Caracteres de controle
[:digit:]
Dígitos
[:graph:]
Caracteres visíveis
[:lower:]
Letras minúsculas
[:print:]
Caracteres e espaços visíveis
[:punct:]
Pontuação e símbolos
[:space:]
Todos os caracteres com espaço em branco
[:upper:]
Caracteres em maiúsculas
[:word:]
Caracteres de palavra
[:xdigit:]
Dígito hexadecimal
Consulte também
Material de referência das regras do ADM na página 185
Tipos de termo de regra do ADM
Todos os termos de uma regra do ADM têm um tipo específico.
Cada termo é um endereço IP, um endereço MAC, um número, uma cadeia ou um booliano. Além
disso, há dois tipos extras de literal: expressões regulares e listas. Um termo de tipo específico
somente pode ser comparado, em geral, com um literal do mesmo tipo ou uma lista de literais do
mesmo tipo (ou uma lista de listas de...). Existem três exceções a essa regra:
188
1
Um termo de cadeia pode ser comparado com um literal numérico para testar seu tamanho. A
seguinte regra será disparada se uma senha contiver menos de oito caracteres (a senha é um
termo de cadeia): senha < 8
2
Um termo de cadeia pode ser comparado com uma expressão regular. A seguinte regra será
disparada se uma senha contiver somente letras minúsculas: senha == /^[a-z]+$/
3
Todos os termos podem ser testados com literais boolianos para testar se eles ocorrem. A seguinte
regra será disparada se um e-mail contiver um endereço CC (email.cc é um termo de cadeia):
email.cc == verdadeiro
Guia de produto
3
Tipo
Descrição de formato
Endereços
IP
• Os literais de endereço IP são gravados em notação quádrupla pontilhada padrão e
não ficam entre aspas: 192.168.1.1
• Os endereços IP podem ter uma máscara gravada em notação CIDR padrão. Não
deve haver nenhum espaço em branco entre o endereço e a máscara:
192.168.1.0/24
• Os endereços IP podem também ter máscaras gravadas na forma longa:
192.168.1.0/255.255.255.0
Endereços
MAC
• Os literais de endereço MAC são gravados usando notação padrão, como os
endereços IP, eles não ficam entre aspas: aa:bb:cc:dd:ee:ff
Números
• Todos os números nas regras do ADM são números inteiros de 32 bits. Eles podem
ser gravados em decimal: 1234
• Eles podem ser gravados em hexadecimal: 0xabcd
• Eles podem ser gravados em octal: 0777
• Eles podem ter um multiplicador anexado para multiplicar por 1024 (K), 1048576
(M) ou 1073741824 (G): 10 M
Cadeias
• As cadeias ficam entre aspas duplas: "esta é uma cadeia"
• As cadeias podem usar sequências de caracteres de escape C padrão: "\tEsta é uma
\"cadeia\" que contém\x20sequências de caracteres de escape\n"
• Na comparação de um termo com uma cadeia, o termo inteiro deve corresponder à
cadeia. Se uma mensagem de e-mail tiver um endereço de origem de
algué[email protected], a seguinte regra não será disparada: e-mail.de ==
“@algumlugar.com”
• Para corresponder somente uma parte do termo, deverá ser usado um literal de
expressão regular. Os literais de cadeia devem ser usados quando possível, porque
são mais eficazes.
Todos os termos de URL e endereço de e-mail são normalizados antes da
correspondência, por isso, não é necessário considerar itens com comentários dentro
dos endereços de e-mail.
Boolianos
• Os literais boolianos são verdadeiros e falsos.
Guia de produto
189
3
Tipo
Descrição de formato
Expressões
regulares
• Os literais de expressão regular usam a mesma notação como linguagens, como
Javascript e Perl, colocando a expressão regular entre barras: /[a-z]+/
• As expressões regulares podem ser seguidas de sinalizadores modificadores padrão,
embora "i" seja o único reconhecido no momento (não faz distinção de maiúsculas e
minúsculas): /[a-z]+/i
• Os literais de expressão regular devem usar a sintaxe POSIX Extended. Atualmente,
as extensões Perl funcionam para todos os termos, exceto para o termo de conteúdo,
mas isso poderá mudar em versões futuras.
• Na comparação de um termo com uma expressão regular, a expressão regular
corresponde a qualquer subcadeia dentro do termo, a menos que operadores âncora
sejam aplicados dentro da expressão regular. A seguinte regra é disparada quando
um e-mail é visto com um endereço “[email protected]”: e-mail.de == /
@algumlugar.com/
Listas
• Os literais de lista consistem em um ou mais literais entre colchetes e separados por
vírgula: [1, 2, 3, 4, 5]
• As listas podem conter qualquer tipo de literal, inclusive outras listas: [192.168.1.1,
[10.0.0.0/8, 172.16.128.0/24]]
• As listas devem conter somente um tipo de literal. Não é válido misturar cadeias e
números, cadeias e expressões regulares, endereços IP e endereços MAC.
• Quando uma lista é usada com qualquer operador relacional que não seja diferente
de (!=), a expressão será verdadeira se o termo corresponder a algum literal da
lista. A seguinte regra será disparada se o endereço IP de origem corresponder a
algum endereço IP da lista: srcip == [192.168.1.1, 192.168.1.2, 192.168.1.3]
• Isso equivale a: srcip == 192.168.1.1 || srcip == 192.168.1.2 || srcip ==
192.168.1.3
• Quando usada com o operador diferente de (!=), a expressão será verdadeira se o
termo não corresponder a todos os literais da lista. A seguinte regra será disparada
se o endereço IP de origem não for 192.168.1.1 ou 192.168.1.2: srcip !=
[192.168.1.1, 192.168.1.2]
• Isso equivale a: srcip != 192.168.1.1 && srcip != 192.168.1.2
• As listas podem também ser usadas com outros operadores relacionais, embora isso
não faça muito sentido. A seguinte regra será disparada se o tamanho do objeto for
superior a 100 ou se for superior a 200: objectsize > [100, 200]
• Isso equivale a: objectsize > 100 || objectsize > 200
Consulte também
Referências de métrica de regra do ADM
Seguem abaixo as listas de referências de métrica para expressões de regra do ADM, que estão
disponíveis na página Componente da expressão quando você adiciona uma regra de ADM.
Para as propriedades comuns e anomalias comuns, o valor de tipo parâmetro que você pode inserir
para cada um está mostrado entre parênteses após a referência de métrica.
Propriedades comuns
190
Guia de produto
3
Propriedade ou termo
Descrição
Protocolo (número)
O protocolo do aplicativo (HTTP, FTP, SMTP)
Conteúdo do objeto (cadeias)
O conteúdo de um objeto (texto dentro de um documento,
mensagem de e-mail, mensagem de bate-papo). A
correspondência de conteúdo não está disponível para dados
binários. Os objetos binários podem, entretanto, ser detectados
usando o Tipo de objeto (objtype)
Tipo de objeto (número)
Especifica o tipo de conteúdo conforme determinado pelo ADM
(Documentos do Office, Mensagens, Vídeos, Áudio, Imagens,
Arquivos, Executáveis)
Tamanho do objeto (número)
Tamanho do objeto. Os multiplicadores numéricos K, M e G podem
ser adicionados após o número (10 K, 10 M, 10 G)
Objeto do Hash (cadeia)
O hash do conteúdo (atualmente MD5)
Endereço IP de origem do objeto O endereço IP de origem do conteúdo. O endereço IP pode ser
(número)
especificado como 192.168.1.1, 192.168.1.0/24,
192.168.1.0/255.255.255.0
Endereço IP de destino do objeto O endereço IP de destino do conteúdo. O endereço IP pode ser
(número)
192.168.1.0/255.255.255.0
Porta de origem do objeto
(número)
A porta TCP/UDP de origem do conteúdo
Porta de destino do objeto
(número)
A porta TCP/UDP de destino do conteúdo
Endereço IP v6 de origem do
objeto (número)
O endereço IP v6 de origem do conteúdo
Endereço IPv6 de destino do
objeto (número)
O endereço IPv6 de destino do conteúdo
Endereço MAC de origem do
objeto (nome Mac)
O endereço MAC de origem do conteúdo (aa:bb:cc:dd:ee:ff)
Endereço MAC de destino do
objeto (nome Mac)
O endereço MAC de destino do conteúdo (aa:bb:cc:dd:ee:ff)
Endereço IP de origem do fluxo
(IPv4)
Endereço IP de origem do fluxo. O endereço IP pode ser
192.168.1.0/255.255.255.0
Endereço IP de destino do fluxo
(IPv4)
Endereço IP de destino do fluxo. O endereço IP pode ser
192.168.1.0/255.255.255.0
Porta de origem do fluxo
(número)
Porta TCP/UDP de origem do fluxo
Porta de destino do fluxo
(número)
Porta TCP/UDP de destino do fluxo
Endereço IPv6 de origem do
fluxo (número)
Endereço IPv6 de origem do fluxo
Endereço IPv6 de destino do
fluxo (número)
Endereço IPv6 de destino do fluxo
Endereço MAC de origem do
fluxo (nome Mac)
Endereço MAC de origem do fluxo
Endereço MAC de destino do
fluxo (nome Mac)
Endereço MAC de destino do fluxo
VLAN (número)
ID da LAN virtual
Guia de produto
191
3
Propriedade ou termo
Descrição
Dia da semana (número)
O dia da semana. Os valores válidos são de 1 a 7; em que 1 é
segunda-feira.
Hora do dia (número)
A hora do dia definida como GMT. Os valores válidos são 0 a 23.
Tipo de conteúdo declarado
(cadeia)
Tipo do conteúdo conforme especificado pelo servidor. Na teoria,
Tipo de objeto (objtype) é sempre o tipo real e o Tipo de conteúdo
declarado (content-type) não é confiável, porque ele pode ser
falsificado pelo servidor/aplicativo.
Senha (cadeia)
Senha usada pelo aplicativo na autenticação.
URL (cadeia)
URL do site. Aplica-se somente ao protocolo HTTP.
Nome do arquivo (cadeia)
Nome do arquivo que está sendo transferido.
Nome de exibição (cadeia)
Nome do host (cadeia)
Nome do host especificado na pesquisa de DNS.
Anomalias comuns
•
Usuário desconectado (Booliano)
•
Erro de autorização (Booliano)
•
Êxito na autorização (Booliano)
•
Falha na autorização (Booliano)
Consulte também
Propriedades específicas de protocolo
Além de fornecer propriedades que são comuns na maioria dos protocolos, o ADM fornece
propriedades específicas de protocolo que podem ser usadas com regras de ADM. Todas as
192
Guia de produto
3
propriedades específicas de protocolo estão disponíveis também na página Componente de expressão ao
adicionar uma regra de ADM.
Exemplos de propriedades específicas de protocolo
Essas propriedades se aplicam a estas tabelas:
* Somente detecção
** Sem descriptografia, captura certificados X.509 e dados criptografados
*** Via módulo RFC822
Tabela 3-100 Módulos de protocolo de transferência de arquivo
FTP
HTTP
SMB*
SSL**
Nome de exibição
Nome de exibição
Nome de exibição
Nome de exibição
Nome do arquivo
Nome do arquivo
Nome do arquivo
Nome do arquivo
Nome do host
Nome do host
Nome do host
Nome do host
URL
Referer
URL
Todos os cabeçalhos HTTP
Tabela 3-101 Módulos de protocolo de e-mail
DeltaSync
MAPI
NNTP
POP3
SMTP
Cópia oculta***
Cópia oculta
Cópia oculta***
Cópia oculta***
Cópia oculta***
Com cópia***
Com cópia
Com cópia***
Com cópia***
Com cópia***
Nome de exibição
Nome de exibição
Nome de exibição
Nome de exibição
Nome de exibição
De***
De
De***
De***
De***
Nome do host
Nome do host
Nome do host
Nome do host
Nome do host
Assunto***
Assunto
Assunto***
Assunto***
Para***
Para***
Para
Para***
Para***
Assunto***
Nome do usuário
Nome do usuário
Tabela 3-102 Módulos de protocolo de Webmail
AOL
Gmail
Hotmail
Yahoo
Nome do anexo
Nome do anexo
Nome do anexo
Nome do anexo
Cópia oculta***
Cópia oculta***
Cópia oculta***
Cópia oculta***
Com cópia***
Com cópia***
Com cópia***
Com cópia***
Nome de exibição
Nome de exibição
Nome de exibição
Nome de exibição
Nome do arquivo
Nome do arquivo
Nome do arquivo
Nome do arquivo
Nome do host
Nome do host
Nome do host
Nome do host
De***
De***
De***
De***
Assunto***
Assunto***
Assunto***
Assunto***
Para***
Para***
Para***
Para***
Guia de produto
193
3
Consulte também
Anomalias de protocolo
Além das propriedades comuns e propriedades específicas de protocolo, o ADM detecta também
centenas de anomalias em protocolos de transporte, de aplicativos e de nível inferior. Todas as
propriedades de anomalia de protocolo são de tipo Booliano e estarão disponíveis na página Componente
de expressão quando você estiver adicionando uma regra de ADM.
Tabela 3-103
IP
Termo
Descrição
ip.too-small
O pacote IP é pequeno demais para conter um cabeçalho válido.
ip.bad-offset
O deslocamento de dados IP ultrapassa o final do pacote.
ip.fragmented
O pacote IP está fragmentado.
ip.bad-checksum
A soma de verificação do pacote IP não corresponde aos dados.
ip.bad-length
O campo de totlen do pacote IP ultrapassa o final do pacote.
Tabela 3-104 TCP
Termo
Descrição
tcp.too-small
O pacote TCP é pequeno demais para conter um cabeçalho
válido.
tcp.bad-offset
O deslocamento de dados do pacote TCP ultrapassa o final do
pacote.
tcp.unexpected-fin
Sinalizador FIN de TCP definido em estado não estabelecido.
tcp.unexpected-syn
Sinalizador SYN de TCP definido em estado estabelecido.
tcp.duplicate-ack
Dados de ACKs do pacote TCP que já foram confirmados.
tcp.segment-outsidewindow
O pacote TCP está fora da janela (janela menor do módulo TCP,
não a janela real).
tcp.urgent-nonzero-withouturg- flag O campo de urgência TCP é diferente de zero, mas o sinalizador
URG não foi definido.
Tabela 3-105 DNS
194
Termo
Descrição
dns.too-small
O pacote DNS é pequeno demais para conter um cabeçalho válido.
dns.question-name-past-end
O nome da pergunta DNS ultrapassa o final do pacote.
dns.answer-name-past-end
O nome da resposta DNS ultrapassa o final do pacote.
dns.ipv4-address-length-wrong
Endereço IPv4 da resposta DNS não tem 4 bytes de comprimento.
dns.answer-circular-reference
A resposta DNS contém referência circular.
Guia de produto
3
Consulte também
Configurações do Database Event Monitor (DEM)
O McAfee Database Event Monitor (DEM) consolida a atividade de banco de dados em um repositório
de auditoria central e fornece normalização, correlação, análise e geração de relatórios dessa
atividade. Se a atividade do servidor de banco de dados ou rede coincidir com padrões conhecidos que
indiquem acesso de dados maliciosos, o DEM gerará um alerta. Além disso, todas as transações serão
registradas em log para serem usadas na conformidade.
O DEM permite gerenciar, editar e ajustar regras de monitoramento de banco de dados na mesma
interface que fornece análise e geração de relatórios. Você pode ajustar perfis de monitoramento de
banco de dados específicos facilmente (as regras que serão impostas, as transações que serão
registradas em log), reduzindo os falsos positivos e melhorando a segurança como um todo.
O DEM faz auditoria de forma não invasiva das interações dos seus usuários e aplicativos com os seus
bancos de dados, monitorando pacotes de rede semelhantes a sistemas de detecção de intrusão. Para
que você possa monitorar toda a atividade de servidor de banco de dados na rede, coordene a
distribuição inicial do DEM com as suas equipes de rede, segurança, conformidade e bancos de dados.
Suas equipes de rede usam portas de expansão em switches, “taps” (derivações) de rede ou hubs
para replicar tráfego de banco de dados. Esse processo permite que você escute ou monitore o tráfego
em seus servidores de banco de dados e crie um log de auditoria.
Visite o site da McAfee para obter informações sobre versões e plataformas de servidor de banco de
dados compatíveis.
Sistema operacional
Banco de dados
Appliance do DEM
Windows (todas as versões)
Microsoft SQL Server¹
MSSQL 7, 2000, 2005, 2008,
2012
Windows, UNIX/Linux (todas as
versões)
Oracle²
Oracle 8.x, 9.x, 10 g, 11 g (c),
11 g R2³
Sybase
11.x, 12.x, 15.x
DB2
8.x, 9.x, 10.x
Informix (disponível na versão 11.5
8.4.0 e versões posteriores)
Windows, UNIX/Linux (todas as
versões)
UNIX/Linux (todas as versões)
Mainframe
MySQL
Sim, 4.x, 5.x, 6.x
PostgreSQL
7.4.x, 8.4.x, 9.0.x, 9.1.x
Teradata
12.x, 13.x, 14.x
Cache do InterSystems
2011.1.x
Greenplum
8.2.15
Vertica
5.1.1-0
DB2/zOS
Todas as versões
Guia de produto
195
3
Sistema operacional
Banco de dados
Appliance do DEM
AS400
DB2
Todas as versões
1 A compatibilidade da descriptografia de pacote com o Microsoft SQL Server está disponível na
versão 8.3.0 e versões posteriores.
2 A compatibilidade com a descriptografia de pacote com a Oracle está disponível na versão 8.4.0 e
versões posteriores.
3 O Oracle 11 g está disponível na versão 8.3.0 e versões posteriores.
As informações a seguir se aplicam a esses servidores e versões:
•
Há compatibilidade com versões de 32 bits e 64 bits de sistemas operacionais e plataformas de
banco de dados.
•
O MySQL é compatível somente com plataformas Windows de 32 bits.
•
A descriptografia de pacote é compatível com MSSQL e Oracle.
Atualizar licença do DEM
O DEM é enviado com uma licença padrão. Se você alterar os recursos do DEM, a McAfee enviará uma
nova licença em uma mensagem de email e você precisa atualizá-la.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Configuração do DEM.
2
Clique em Licença | Atualizar licença, cole as informações enviadas para você pela McAfee no campo.
3
Clique em OK.
O sistema atualiza a licença e informa quando está concluído.
4
Distribuir a política para o DEM.
Consulte também
Página Atualizar Licença do DEM na página 196
Página Atualizar Licença do DEM
Exibir as restrições atuais de licença DEM e atualizar a licença.
Opção
Definição
Atualizar licença
Clique para atualizar a Licença do DEM.
Página Atualizar licença
Copie a licença enviada para você pela McAfee, cole-a aqui e clique em OK.
Consulte também
Atualizar licença do DEM na página 196
Sincronizar arquivos de configuração DEM
Quando os arquivos de configuração DEM estão fora de sincronia com o dispositivo DEM, você precisa
gravar os arquivos de configuração no DEM.
196
Guia de produto
3
Tarefa
Ajuda.
1
2
Clique em Arquivos de sincronização.
Uma mensagem exibe o status da sincronização.
Definir configurações avançadas do DEM
Essas configurações avançadas alteram ou aumentam o desempenho do DEM.
Tarefa
Ajuda.
1
2
Clique em Avançada e defina as configurações ou desmarque as opções se começar a experimentar
uma carga pesada no DEM.
3
Clique em OK.
Consulte também
Página Opções avançadas do DEM na página 197
Página Opções avançadas do DEM
Alterar ou melhorar o desempenho do DEM.
Opção
Definição
Defina estas configurações conforme o necessário.
Nível de detalhes do
arquivo de registro
Defina o nível de detalhes das informações de registro enviadas do agente do
DEM para o DEM Manager. Estas são as três opções: Informações, Aviso e
Depuração.
Se você selecionar Depuração, as informações são muito detalhadas e podem
consumir muito espaço em disco.
Porta de registro do
Alterar as portas padrão de serviço e de Registro do agente. Essas são as
agente e Porta de serviço postas usadas para comunicação com o agente.
do agente
Usar criptografia
Selecione para criptografar ou não as informações enviadas para o gerenciador
do DEM pelo agente do DEM. Este registro é descriptografado quando recebido.
IP do servidor Kerberos
Digite o endereço IP do servidor Kerberos se desejar recuperar nomes de
usuário da análise de protocolo para autenticação de banco de dados usando a
segurança integrada do Windows.
Várias configurações de IP, Porta e VLAN pode ser especificadas usando o
seguinte formato: IP;PORT;VLAN;IP;PORT (por exemplo,
10.0.0.1;88;11,10.0.0.2;88;12). IPv6 também é compatível usando-se o
mesmo formato.
Guia de produto
197
3
Opção
Definição
Memória compartilhada
Escolha o tamanho do buffer que o DEM usa para processar eventos de banco
de dados. O aumento do tamanho do buffer proporciona um melhor
desempenho.
Repositório de eventos
Selecione o local pelo qual os eventos são recuperados. Se você selecionar
Arquivo, o arquivo no DEM local será lido e os eventos serão analisados. Se você
selecionar EDB, os eventos serão coletados pelo banco de dados.
Opção
Definição
Desmarque qualquer uma dessas opções se começar a experimentar uma carga pesada no DEM.
Captura de pacote do McAfee
Firewall
Oferece uma forma mais rápida para o DEM analisar os dados do banco
de dados.
Rastreamento de transação
Rastreia as transações de banco de dados e ajusta as alterações
automaticamente. Desmarque para aumentar a velocidade do DEM.
Rastreamento de identidade do
usuário
Rastreia as identidades do usuário quando elas não são propagadas para
o banco de dados, pois nomes de usuário genéricos estão sendo usados
para acessar o banco de dados. Desmarque para aumentar a velocidade
do DEM.
Máscaras de dados confidenciais Impede a exibição não autorizada de dados confidenciais ao substituir as
informações confidenciais por uma cadeia genérica definida pelo usuário,
chamada de máscara. Desmarque para aumentar a velocidade do DEM.
Auditoria do host local
Realiza a auditoria dos hosts locais para rastrear caminhos de acesso
desconhecidos no banco de dados e enviar eventos em tempo real.
Desmarque para aumentar a velocidade do DEM.
Análise de consultas
Realiza inspeções de consultas. Desmarque para aumentar a velocidade
do DEM.
Captura da primeira linha de
resultados
Permite exibir a primeira linha de resultados de uma consulta quando
você recupera um pacote de um evento e a gravidade de uma instrução
foi configurada para menos de 95. Desmarque para aumentar a
velocidade do DEM.
Vincular suporte variável
Reutiliza a variável de vinculação Oracle várias vezes sem apresentar a
sobrecarga de precisar analisar o comando novamente a cada vez que ele
é executado.
Consulte também
Definir configurações avançadas do DEM na página 197
Aplique as configurações do DEM
As alterações feitas nas configurações do DEM precisam ser aplicadas ao DEM. Se você não aplicar
alguma alteração de configurações, a opção Aplicar na Configuração do DEM permite que você faça isso em
todas as configurações do DEM.
Tarefa
Ajuda.
1
2
Clique em Aplicar.
Uma mensagem informa quando as configurações forem gravadas no DEM.
198
Guia de produto
3
Definição de ações para eventos do DEM
As configurações do Gerenciamento de ações no DEM definem ações e operações para eventos, que são
usadas nas regras de filtragem e na política de acesso a dados do DEM. Você pode adicionar regras
personalizadas e definir Operação nas ações padrão e personalizada.
O DEM vem com ações padrão, que você pode ver clicando em Editar global na página Gerenciamento de
ações e com estas operações padrão:
•
nenhuma
•
scripts
•
ignorar
•
redefinir
•
descartar
Se você selecionar Script como a operação, um nome de alias (SCRIPT ALIAS) será necessário,
apontando para o script (SCRIPT NAME) que precisa ser executado quando o evento crítico acontecer.
O script passa por duas variáveis de ambiente, ALERT_EVENT e ALERT_REASON. ALERT_EVENT
contém uma lista de métricas separada por dois pontos. O DEM oferece um script bash de amostra /
home/auditprobe/conf/sample/process_alerts.bash para demonstrar como a ação crítica pode ser
capturada em um script.
Ao trabalhar com ações e operações, tenha isso em mente:
•
Ações são listadas em ordem de prioridade.
•
Um evento não age enviando uma interceptação ou página SNMP a não ser que você especifique
isso como a ação de alerta.
•
Quando uma regra se qualifica para mais de um nível de alerta, somente o nível mais alto de alerta
é acionável.
•
Eventos são gravados em um arquivo de eventos, independentemente da ação. A única exceção é
uma operação de Descarte.
Consulte também
Adicionar uma ação do DEM na página 199
Editar uma ação personalizada do DEM na página 200
Definir a operação para uma ação DEM na página 200
Adicionar uma ação do DEM
Se você adicionar uma ação ao gerenciamento de ações do DEM, ela aparecerá na lista de ações
disponíveis de uma regra do DEM no Editor de políticas. Você poderá selecioná-la como a ação de uma
regra.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, clique no ícone Editor de políticas
Gerenciador de ações do DEM.
e clique em Ferramentas |
A página Gerenciamento de ações do DEM lista as ações existentes na ordem de prioridade.
Não é possível alterar a ordem de prioridade das ações padrão.
2
Clique em Adicionar e insira um nome e uma descrição para a ação.
Não é possível excluir uma ação personalizada depois que ela é adicionada.
Guia de produto
199
3
3
Clique em OK.
A nova ação será adicionada à lista de Gerenciamento de ações do DEM.
A operação padrão de uma ação personalizada é Nenhum. Para alterar essa configuração, consulte
Definir a operação de uma ação do DEM.
Consulte também
Definição de ações para eventos do DEM na página 199
Página Regra de ação do DEM na página 200
Página Regra de ação do DEM
Defina as configurações de uma ação do DEM.
Opção
Definição
Nome da ação
Digite o nome dessa ação.
Descrição
(Opcional) Digite uma descrição dessa ação.
Consulte também
Editar uma ação personalizada do DEM
Depois de ter adicionado uma ação à lista de gerenciamento de ações do DEM, poderá ser necessário
editar o nome ou alterar a prioridade dela.
Tarefa
Ajuda.
1
2
3
Gerenciador de ações do DEM.
e clique em Ferramentas |
Clique na ação personalizada que você precisa alterar e siga um destes procedimentos:
•
Para alterar a ordem de prioridade, clique nas setas para cima ou para baixo até que esteja na
posição correta.
•
Para alterar o nome ou a descrição, clique em Editar.
Clique em OK para salvar suas configurações.
Consulte também
Definir a operação para uma ação DEM
Todas as ações de regra tem uma operação padrão. Quando você adiciona uma ação DEM
personalizada, a operação padrão é Nenhuma. Você pode alterar a operação de qualquer ação para
Ignorar, Descartar, Script ou Redefinir.
200
Guia de produto
3
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Gerenciamento de ação.
2
Destaque a ação que deseja editar e clique em Editar.
3
Selecione uma operação e clique em OK.
Consulte também
Página Gerenciamento de ações na página 201
Página Gerenciamento de ações do DEM na página 202
Página Gerenciamento de ações
Altere a operação de uma ação de regra.
Opção
Definição
Operação
Selecione o que deseja que essa ação faça se a regra acionar um evento. As opções
são:
• Nenhuma — Não fazer nada.
• Ignorar — Mantém o evento no banco de dados, mas não aparece na interface do
usuário.
• Descartar — Não mantém o evento no banco de dados ou mostra na interface do
usuário.
• Script — Executa um script que você define.
• Redefinir — Tenta quebrar a conexão do banco de dados enviando pacotes TCP RST
para o cliente e o servidor.
Nome do script Se você selecionar Script como a operação, defina o nome do script. Se não houver
scripts na lista suspensa, clique em Nome do script e selecione um arquivo de script na
página Gerenciamento do arquivo de script.
Consulte também
Guia de produto
201
3
Página Gerenciamento de ações do DEM
Adicione e organize ações globais para poder selecioná-las como uma ação de uma regra.
Opção
Definição
Adicionar
Clique para adicionar uma nova ação.
Depois que uma ação personalizada for adicionada, ela não poderá ser
excluída.
Editar
Altere o nome ou a descrição da ação personalizada selecionada.
Setas Mover para cima e Mover
para baixo
Altere a ordem das ações personalizadas.
Não é possível alterar a ordem de prioridade das ações padrão
Consulte também
Trabalhar com máscaras de dados confidenciais
As máscaras de dados confidenciais impedem a exibição não autorizada de dados confidenciais que
possam estar presentes no registro do evento, substituindo esses dados por uma cadeia genérica,
chamada de máscara. Três máscaras de dados confidenciais padrão são adicionadas ao banco de
dados do ESM quando você adiciona um dispositivo DEM ao sistema, mas você pode adicionar novos e
editar ou remover existentes.
Há três máscaras padrão:
•
Nome da máscara confidencial: máscara de número de cartão de crédito
Expressão: ((4\d{3})|(5[1-5]\d{2})|(6011))-?\d{4}-?\d{4}-?\d{4}|3[4,7]\d{13}
Índice de subcadeia: \0
Padrão de máscara: ####-####-####-####
•
Nome de máscara confidencial: mascarar os 5 primeiros caracteres do número do seguro social
Expressão: (\d\d\d-\d\d)-\d\d\d\d
Padrão de máscara: ###-##
•
Nome de máscara confidencial: mascarar a senha de usuário na instrução SQL
Expressão: create\s+user\s+(\w+)\s+identified\s+by\s+(\w+)
Padrão de máscara: ********
Consulte também
Gerenciar máscaras de dados confidenciais na página 202
Gerenciar máscaras de dados confidenciais
Para proteger as informações confidenciais inseridas no sistema, você pode adicionar máscaras de
dados confidenciais e editar ou remover as existentes.
202
Guia de produto
3
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Máscaras de dados
confidenciais.
2
Selecione uma opção e insira as informações necessárias.
3
Clique em OK e clique em Gravar para adicionar as configurações no DEM.
Consulte também
Trabalhar com máscaras de dados confidenciais na página 202
Página Máscaras de dados confidenciais na página 203
Página Máscaras de dados confidenciais
Adicione uma máscara de dados confidenciais para proteger as informações confidenciais inseridas no
ESM.
Opção
Definição
Nome da máscara
confidencial
Digite um nome para a máscara de dados confidenciais.
Expressão
Digite uma expressão REGEX em conformidade com a sintaxe
Perl-Compatible Regular Expression (PCRE) (consulte Trabalhar com
máscaras de dados confidenciais para obter exemplos).
Índice de subcadeia
Selecione uma opção.
Opções são adicionadas com base no número de parênteses () usados na
expressão. Para um conjunto de parênteses, as opções são \0 e \1. Se você
selecionar \0, a cadeia completa será substituída pela máscara. Se você
selecionar \1, somente as cadeias serão substituídas pela máscara.
Padrão de máscara
Digite o padrão de máscara que precisa aparecer no local do valor original.
Consulte também
Gerenciar máscaras de dados confidenciais na página 202
Gerenciamento da identificação do usuário
Grande parte da segurança está baseada em um princípio simples de que os usuários precisam ser
identificados e diferenciados uns dos outros. Ainda assim, nomes de usuário genéricos frequentemente
Guia de produto
203
3
são usados para acessar o banco de dados. O gerenciamento do identificador oferece uma forma de
capturar o nome do usuário real, se ele existe em qualquer lugar da consulta, usando padrões REGEX.
Os aplicativos podem ser manipulados de forma relativamente fácil para se aproveitarem desse
recurso de segurança. Duas regras de identificador definidas são adicionadas ao banco de dados do
ESM quando você adiciona um dispositivo DEM ao sistema.
•
Nome da regra do identificador: obter o nome do usuário na instrução SQL
Expressão: select\s+username=(\w+)
Aplicativo: Oracle
•
Nome da regra do identificador: obter o nome do usuário no procedimento armazenado
Expressão: sessionStart\s+@appname='(\w+)', @username='(\w+)',
Aplicativo: MSSQL
A correlação de usuário avançado é possível pela correlação do DEM, do aplicativo, do servidor Web, do
sistema e dos registros de identidade de gerenciamento de acesso no ESM.
Consulte também
Adicionar uma regra do identificador de usuário na página 204
Adicionar uma regra do identificador de usuário
Para associar as consultas do banco de dados aos indivíduos, você pode usar as regras do identificador
do usuário existentes ou adicionar uma nova regra.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Gerenciamento de
identificador.
2
Clique em Adicionar e insira as informações solicitadas.
3
Clique em OK e clique em Gravar para gravar as configurações no DEM.
Consulte também
Gerenciamento da identificação do usuário na página 203
Página Regras do identificador de usuário na página 205
204
Guia de produto
3
Página Regras do identificador de usuário
Adicionar uma regra do identificador de usuário para associar consultas do banco de dados a
indivíduos.
Opção
Definição
Nome da regra do
identificador
Digite um nome para esta regra do identificador.
Expressão
Digite uma expressão REGEX em conformidade com a sintaxe PCRE (consulte
Gerenciar identificação de usuário para obter exemplos).
O operador REGEX implementa a biblioteca PCRE para a correspondência de
padrão usando a mesma semântica do Perl 5. A sintaxe geral é: <"metric
name"> REGEX <"pattern">. Para obter informações sobre o PCRE, consulte
http://www.pcre.org.
Aplicativo
Selecione o aplicativo (tipo de banco de dados) onde as informações foram
observadas.
Índice de subcadeia
Selecionar uma subcadeia.
Opções são adicionadas com base no número de parênteses () usados na
expressão. Se tiver um conjunto de parênteses, suas opções são: \0 e \1.
Consulte também
Adicionar uma regra do identificador de usuário na página 204
Sobre servidores de banco de dados
Os servidores de banco de dados monitoram a atividade do banco de dados. Se a atividade em um
servidor de banco de dados corresponder a um padrão conhecido que indique o acesso de dados
maliciosos, um alerta será gerado. Cada DEM pode monitorar um máximo de 255 servidores de banco
de dados.
No momento, o DEM é compatível com os seguintes servidores e versões de banco de dados.
Sistema operacional
Banco de dados
Appliance do DEM
Windows (todas as versões)
Microsoft SQL Server¹
MSSQL 7, 2000, 2005, 2008,
2012
Windows, UNIX/Linux (todas
as versões)
Oracle²
Oracle 8.x, 9.x, 10g, 11g³, 11g
R2
Sybase
11.x, 12.x, 15.x
DB2
8.x, 9.x, 10.x
Informix (consulte a nota 4)
11.5
MySQL
Sim, 4.x, 5.x, 6.x
PostgreSQL
7.4.x, 8.4.x, 9.0.x, 9.1.x
Teradata
12.x, 13.x, 14.x
Cache do InterSystem
2011.1.x
UNIX/Linux (todas as versões) Greenplum
Mainframe
8.2.15
Vertica
5.1.1-0
DB2/zOS
Todas as versões
Guia de produto
205
3
Sistema operacional
Banco de dados
Appliance do DEM
AS 400
DB2
Todas as versões
1 A compatibilidade da descriptografia de pacote com o Microsoft SQL Server está disponível nas
versões 8.3.0 e versões posteriores.
2 A compatibilidade com a descriptografia de pacote com a Oracle está disponível nas versões 8.4.0
e versões posteriores.
3 O Oracle 11g está disponível na versão 8.3.0 e versões posteriores.
4 A compatibilidade com Informix está disponível na versão 8.4.0 e versões posteriores.
•
Há compatibilidade com versões de 32 bits e 64 bits de sistemas operacionais e plataformas de
banco de dados.
•
O MySQL é compatível somente com plataformas Windows de 32 bits.
•
A descriptografia de pacote é compatível com MSSQL e Oracle.
Consulte também
Gerenciar servidores de banco de dados na página 206
Gerenciar notificações de descoberta do banco de dados na página 208
Gerenciar servidores de banco de dados
A página Servidor de banco de dados é o ponto inicial para o gerenciamento das configurações de todos os
servidores de bancos de dados de seu dispositivo DEM.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Servidores de banco de
dados.
2
Selecione uma das opções disponíveis.
3
Clique em OK.
Consulte também
Sobre servidores de banco de dados na página 205
Gerenciar notificações de descoberta do banco de dados na página 208
Página Servidores de banco de dados na página 206
Página Adicionar servidor de banco de dados na página 207
Página Servidores de banco de dados
O dispositivo do DEM monitora bancos de dados que estão definidos nos servidores de banco de
dados.
Opção
Definição
Tabela
Exiba a lista de servidores de banco de dados no DEM.
Adicionar
Adicione um novo servidor de banco de dados.
Adicionar agente O agente McAfee DEM não é mais vendido. Se você adquiriu uma licença do agente do
DEM com uma versão anterior à 9.2 e precisa de ajuda, ligue para o Suporte McAfee.
206
Guia de produto
3
Opção
Definição
Editar
Faça alterações no servidor de banco de dados selecionado.
Remover
Exclua o servidor de banco de dados selecionado.
Copiar
Crie uma cópia do servidor de banco de dados selecionado.
Gravar
Aplique as configurações dos servidores do banco de dados no DEM.
Ativar
Clique se quiser receber uma notificação de alerta quando os novos servidores do
banco de dados forem encontrados.
Desativar
Clique se quiser desativar a notificação.
Consulte também
Página Adicionar servidor de banco de dados
Adicionar Servidor de banco de dados para monitorar a atividade do banco de dados. No máximo 255
servidores de banco de dados podem ser associados a um único DEM.
Opção
Definição
Ativado
Selecione se deseja que o DEM processe os dados deste servidor de banco de
dados. Se estiver desativado, as configurações serão salvas no ESM para uso
posterior.
Lista de armazenamento Clique e selecione uma lista de armazenamento se desejar que os dados
recebidos sejam enviados para o dispositivo ELM.
Zona
Se tiver zonas definidas em seu sistema, selecione a zona à qual deseja atribuir
esse servidor de banco de dados. Para adicionar uma zona ao sistema, clique em
Zona.
Tipo de banco de dados Selecione o tipo de banco de dados. Os campos restantes variam com base no
que você seleciona neste campo.
O DEM implementa o driver PI JDBC para se conectar ao sistema PI. O PI SQL
Data Access Server (DAS) serve como um gateway entre o driver PI JDBC e o PI
OLEDB. Ele oferece comunicações seguras de rede (https) com o PI JDBC e
executa consultas como um consumidor (cliente) PI OLEDB.
Nome do Servidor de
banco de dados
Digite um nome para este servidor de banco de dados.
Se tiver selecionado PIServer no campo Tipo de banco de dados, este campo será
Nome de origem de dados DAS, que é o nome do servidor PI sendo acessado pelo
gateway Data Access Server (DAS). Deve ser exatamente conforme especificado
na configuração DAS. Pode ser o mesmo do nome de host DAS se o servidor DAS
estiver instalado no mesmo host do servidor PI.
URL do dispositivo
Se tiver uma disponível, digite o endereço da URL na qual é possível exibir
informações do servidor de banco de dados. Se o endereço da URL inserido
incluir o endereço de um aplicativo de terceiros, anexe variáveis ao endereço da
URL clicando no ícone de variáveis
Endereço IP
.
Digite um único endereço IP para este servidor de banco de dados ou DAS no
campo de endereço IP. Este campo aceita um único endereço IP na anotação de
ponto IPv4. Não são aceitas máscaras nesses endereços IP.
Guia de produto
207
3
Opção
Definição
Grupo de prioridade
Atribuir o servidor de banco de dados a um grupo de prioridade. Isso permite
que você balanceie a carga dos dados processados pelo DEM. Você pode exibir
uma lista dos servidores de banco de dados e dos grupos de prioridades aos
quais eles pertencem na tabela Servidores de banco de dados.
ID da LAN virtual
Digite a ID da LAN virtual, se necessário. Se você digitar o valor "0", ele
representará todas as VLANs.
Opção de codificação
Selecione uma das opções disponíveis: Nenhum, UTF8 e BIG5.
Selecionar opções
especiais
Selecione uma das seguintes (opções disponíveis dependendo do tipo de banco
de dados selecionado):
• Redirecionamento de porta deverá ser especificado se você estiver monitorando um
servidor Oracle em execução em uma plataforma Windows.
• O servidor usa pipes nomeados precisa estar selecionado se o servidor de banco de
dados usar o protocolo SMB de pipes nomeados. O nome de pipe padrão para
MSSQL é \\.\pipe\sql\query e a porta padrão é a 445.
• Portas dinâmicas precisa estar selecionado se o servidor de banco de dados tiver
portas dinâmicas TCP ativadas. Digite um número de porta para o servidor de
banco de dados ou DAS no campo Porta. A porta é a porta de serviço do
servidor de banco de dados na qual ele ouve buscando conexões. Números de
porta padrão comuns são: 1433 para Microsoft SQL Server (MSSQL), 1521
para Oracle, 3306 para MySQL, 5461 para Data Access Server (DAS) e 50000
para DB2/UDB.
Autenticação Kerberos
Selecione se desejar que o SQL server execute a autenticação Kerberos.
Tipo de criptografia RSA Selecione Nenhuma ou RSA.
Nível de criptografia
RSA
Selecione a opção apropriada com base em sua escolha de criptografia forçada:
Descriptografar pacotes de login se Criptografia forçada for Não; Descriptografar todos os pacotes
se Criptografia forçada for Sim.
Chave RSA
Clique em Procurar e selecione o arquivo Chave RSA ou copie a chave do arquivo e
cole-a no campo Chave RSA.
O console do ESM aceita somente certificados RSA do formato de arquivo .pem
sem senha.
Nome do usuário
Digite o nome do usuário de entrada PI DAS. Como o PI DAS está instalado no
Windows, ele usa a segurança integrada do Windows. O nome do usuário precisa
ser especificado como domínio\entrada.
Senha
Digite a senha do nome do usuário DAS.
Recuperar registros de
arquivos
Selecione se deseja que o banco de dados de Arquivos do servidor PI seja
sondado em busca de alterações ao ponto ALL.
Pontos a serem
monitorados
Digite uma lista de pontos separados por vírgulas para que somente esses
pontos sejam monitorados.
Consulte também
Gerenciar notificações de descoberta do banco de dados
O DEM tem um recurso de detecção de banco de dados que oferece uma lista de exceção de
servidores de banco de dados que não estão sendo monitorados. Isso permite que um administrador
de segurança descubra novos servidores de bancos de dados adicionados ao ambiente e portas de
ouvinte ilegais abertas para acessar dados dos bancos de dados. Quando essa opção está ativada,
208
Guia de produto
3
você recebe uma notificação de alerta que aparece na exibição Análise de evento. Você então pode
escolher se quer adicionar o servidor aos que estão sendo monitorados em seu sistema.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Servidores de banco de
dados | Ativar.
Você será notificado quando estiver ativado.
2
Clique em OK para fechar as Propriedades do DEM .
3
Para exibir as notificações, clique no dispositivo DEM na árvore de navegação do sistema e
selecione Exibições de eventos | Análise de eventos.
4
Para adicionar o servidor a seu sistema, selecione a exibição Análise de eventos e clique no ícone Menu
e selecione Adicionar servidor.
Consulte também
Sobre servidores de banco de dados na página 205
Configurações do DESM (ESM distribuído)
O DESM (ESM distribuído) fornece uma arquitetura distribuída que permite a um ESM pai se conectar
e reunir dados de até 100 dispositivos. O pai efetua pull de dados do dispositivo com base em filtros
definidos por você. Além disso, você pode fazer uma busca detalhada dos dados que se originaram e
permanecem no ESM do dispositivo.
O DESM deve aprovar o ESM pai para permitir que ele efetue pull de eventos. O pai pode definir
filtros, sincronizar origens de dados e enviar seus tipos personalizados por push. Ele somente pode
obter regras ou eventos do DESM quando for aprovado.
Se você entrar com direitos de administrador no DESM, será exibida esta notificação: “Este ESM foi
adicionado como um ESM distribuído em outro servidor. Aguardando aprovação para se conectar." Ao
clicar em Aprovar ESMs hierárquicos, você pode selecionar o tipo de comunicação que o ESM pai pode ter
com o DESM.
O ESM pai não gerencia dispositivos que pertencem ao ESM do dispositivo. O ESM pai mostra a Árvore
de sistemas do ESM do dispositivo com a qual está diretamente conectado. Ele não efetua pull de
eventos do ESM filho dos dispositivos nem os exibe. Barras de ferramentas estão desativadas para
todos os filhos do DESM.
O pai não gerencia dados que residem no ESM do dispositivo. Em vez disso, um subconjunto do
dispositivo dos dados do ESM é transferido e armazenado no ESM pai, com base nos filtros que você
definir.
Adicionar filtros DESM
Os dados transferidos do ESM do dispositivo para o DESM pai dependem de filtros definidos pelo
usuário. Salvar esses filtros equivale a aplicar o filtro no ESM do dispositivo para que os hashes ou
conjuntos de bits possam ser gerados. Como o objetivo do recurso DESM é permitir a reunião de
dados específicos do ESM do dispositivo (e não TODOS os dados), você deve definir filtros para os
dados que serão recuperados pelo ESM do dispositivo.
Guia de produto
209
3
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do DESM e clique em Filtros.
2
Insira os dados solicitados e clique em OK.
Configurações do ePolicy Orchestrator
É possível adicionar um dispositivo do ePolicy Orchestrator ao ESM, com seus aplicativos listados como
filhos na árvore de navegação do sistema. Depois de ter se autenticado, você poderá acessar algumas
funções do ESM e atribuir marcas do ePolicy Orchestrator a endereços IP de origem ou destino
diretamente e a eventos gerados por alarmes.
É necessário associar o ePolicy Orchestrator a um Receiver porque o pull dos eventos é efetuado a
partir do Receiver, não do ePolicy Orchestrator.
Você deve ter privilégios de leitura no banco de dados mestre e no banco de dados do ePolicy
Orchestrator para usar o ePolicy Orchestrator.
®
Se o dispositivo do McAfee ePO tiver um servidor McAfee Threat Intelligence Exchange (TIE), ele será
adicionado automaticamente quando você adicionar o dispositivo McAfee ePO ao ESM (consulte
Integração do Threat Intelligence Exchange).
Iniciar o ePolicy Orchestrator
Se você tiver um dispositivo ou uma origem de dados do ePolicy Orchestrator no ESM e o endereço IP
do ePolicy Orchestrator na Rede local, poderá iniciar a interface do ePolicy Orchestrator no ESM.
Antes de iniciar
Adicione um dispositivo ou uma origem de dados do ePolicy Orchestrator ao ESM.
Esse recurso está disponível no ePolicy Orchestrator 4.6 e versões posteriores.
Tarefa
Ajuda.
1
Selecione uma exibição na árvore de navegação de sistemas.
2
Selecione um resultado de um componente do gráfico de barra, lista, pizza ou tabela que retorna
dados de IPs de origem e de destino.
3
210
No menu do componente
, clique em Ação | Iniciar o ePO.
•
Se você tiver somente um dispositivo ou uma origem de dados do ePolicy Orchestrator no
sistema e tiver selecionado um IP de origem ou um IP de destino na etapa 1, o ePolicy
Orchestrator será iniciado.
•
Se você tiver mais de um dispositivo ou uma origem de dados do ePolicy Orchestrator no
sistema, selecione o dispositivo que deseja acessar, e o ePolicy Orchestrator será iniciado.
•
Se você selecionou um evento ou fluxo em um componente de tabela na etapa 1, escolha se
deseja acessar o endereço IP de origem ou de destino, e o ePolicy Orchestrator será iniciado.
Guia de produto
3
Autenticação do dispositivo McAfee ePO
A autenticação é necessária para usar a marcação ou as ações do McAfee ePO ou do McAfee Real Time
for McAfee ePO.
Há dois tipos de autenticação:
•
Conta global individual – Se você pertencer a um grupo com acesso ao dispositivo do McAfee ePO,
poderá usar esses recursos depois de inserir as credenciais globais.
•
Separar conta para cada dispositivo por usuário — Você precisa de privilégios para exibir o
dispositivo na árvore de dispositivos.
Quando você usar ações, marcas ou o McAfee Real Time for McAfee ePO, use o método selecionado de
autenticação. Se as credenciais não forem encontradas ou forem inválidas, você será solicitado a
inserir credenciais válidas, que deverão ser salvas para futura comunicação com o dispositivo.
Relatórios em execução, enriquecimento de dados e listas de observação dinâmicas em segundo plano
por meio do McAfee Real Time for McAfee ePO usam as credenciais do McAfee ePO originalmente
fornecidas.
Configuração de autenticação de conta separada
A autenticação de conta global é a configuração padrão. Há duas etapas a serem realizadas para
configurar a autenticação de conta separada.
1
Verifique se a opção Requer autenticação do usuário está selecionada ao adicionar o dispositivo do McAfee
ePO ao ESM ou ao definir suas configurações de conexão (consulte Adicionar dispositivos ao
console do ESM ou Alterar a conexão com o ESM).
2
Insira suas credenciais na página Opções (consulte Adicionar credenciais de autenticação do McAfee
ePO).
Adicionar credenciais de autenticação do McAfee ePO
Antes de usar as marcações ou ações do McAfee ePO ou o McAfee Real Time for McAfee ePO, é
necessário adicionar as credenciais de autenticação ao ESM.
Antes de iniciar
Instale o dispositivo do McAfee ePO no ESM (consulte Adicionar dispositivos ao console do
ESM).
Contate o administrador do sistema se não tiver o nome do usuário e a senha para acessar
o dispositivo.
Tarefa
Ajuda.
1
Na barra de navegação do sistema do console do ESM, clique em opções e em Credenciais do ePO.
2
Clique no dispositivo e em Editar.
3
Fornece o nome do usuário e a senha, e clique em Testar conexão.
4
Clique em OK.
Guia de produto
211
3
Atribuir marcas do ePolicy Orchestrator ao endereço IP
A guia Marcação do ePO lista as marcas disponíveis. Você poderá atribuir marcas a eventos gerados por
um alarme e exibi-las, se um alarme tiver marcas do ePolicy Orchestrator. Além disso, poderá
selecionar uma ou mais marcas na página e aplicá-las a um endereço IP.
Para acessar a funcionalidade de marcação, é necessário ter as permissões Aplicar, excluir e limpar marcas e
Agentes de ativação; exibir Log de atividades do agente no ePolicy Orchestrator.
Tarefa
Ajuda.
1
Na árvore de navegação de sistemas, selecione Propriedades de ePO e clique em Marcação.
2
Forneça as informações solicitadas e clique em Atribuir.
As marcas selecionadas são aplicadas ao endereço IP.
Consulte também
Página Marcação na página 212
Página Marcação
Atribua marcas a um endereço IP.
Opção
Definição
Tabela de marcação Lista as marcas disponíveis no dispositivo.
Endereço IP a atribuir...
Digite o nome do host ou endereço IP (aceita lista delimitada por vírgula) e
selecione uma ou mais marcas na lista Marcas.
Para acessar a funcionalidade de marcação, é necessário ter as permissões
Aplicar, excluir e limpar marcas e Agentes de ativação; exibir Registro de atividades do agente.
Cliente de ativação
Selecione para ativar o aplicativo e aplicar as marcas imediatamente.
Atribuir
Clique para aplicar as marcas selecionadas ao endereço IP.
Consulte também
Atribuir marcas do ePolicy Orchestrator ao endereço IP na página 212
Aquisição de dados do McAfee Risk Advisor
É possível especificar vários servidores ePolicy Orchestrator dos quais serão obtidos os dados do
McAfee Risk Advisor. Os dados são obtidos por meio de uma consulta no banco de dados do SQL
Server do ePolicy Orchestrator.
A consulta do banco de dados gera uma lista de pontuação comparativa entre IP e reputação e fornece
valores constantes para a reputação baixa e valores de reputação alta. Todas as listas de ePolicy
Orchestrator e McAfee Risk Advisor são mescladas, e os IPs duplicados obtêm a pontuação mais alta.
Essa lista mesclada é enviada, com valores baixos e altos, para quaisquer dispositivos do ACE usados
para pontuar os campos SrcIP e DstIP.
Quando você adiciona o ePolicy Orchestrator, o sistema perguntará se deseja configurar os dados do
McAfee Risk Advisor. Se você clicar em Sim, a origem de enriquecimento de dados e duas regras de
pontuação ACE (se aplicável) serão criadas e implementadas. Para exibi-las, vá para as páginas
Enriquecimento de dados e Pontuação de correlação de risco. Para usar as regras de pontuação, é necessário criar
um gerenciador de correlação de risco.
212
Guia de produto
3
Ativar a aquisição de dados do McAfee Risk Advisor
Quando você ativa a aquisição de dados do McAfee Risk Advisor no ePolicy Orchestrator, é gerada uma
lista de pontuação e enviada a qualquer dispositivo do ACE que seja usado para pontuar os campos
SrcIP e DstIP.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades de ePO | Gerenciamento de dispositivose clique
em Ativar.
Você será informado quando a aquisição for ativada.
2
Clique em OK.
Consulte também
Página Gerenciamento do ePO na página 213
Página Gerenciamento do ePO
Gerencie o log do ELM, a atribuição de zona, a atualização do aplicativo, a prioridade e a aquisição de
dados do McAfee Risk Advisor.
Opção
Definição
Gerenciar registro do
ELM
Configure a lista de registro padrão para o dispositivo selecionado (consulte
Definir lista de registro padrão). Esta opção só estará disponível se houver um
ELM no ESM.
Zona
Atribua o McAfee ePO a uma zona ou altere a configuração atual (consulte
Gerenciamento de zonas ).
Dispositivo de
atualização manual
Atualize a lista de aplicativos do dispositivo McAfee ePO e compile uma origem de
dados cliente para cada aplicativo.
Hora da última
atualização
Exiba o último horário em que os aplicativos foram atualizados.
Ativar MRA
Ative a aquisição de dados do McAfee Risk Advisor (consulte Aquisição de dados
do McAfee Risk Advisor).
Prioridade
Você pode ter mais de um dispositivo McAfee ePO, origem de ativos ou dispositivo
de avaliação de vulnerabilidade configurado para receber os mesmos ativos ou
ameaças. Se você tiver, selecione a prioridade que as informações desse
dispositivo McAfee ePO devem ter se as mesmas informações forem recebidas
pelos dispositivos.
Por exemplo, o seu computador está sendo monitorado pelo ePO-1 e VA-1. O
ePO-1 coleta informações de software e hardware do seu computador e o VA-1
coleta a informação de que o seu computador tem o Windows instalado. Defina o
ePO-1 para que tenha prioridade mais alta do que o VA-1 para que as informações
que ele coletar não possam ser sobrescritas pelas informações coletadas pelo
VA-1.
Agendar atualização
do aplicativo
Para atualizar automaticamente a lista de aplicativos do seu dispositivo ePolicy
Orchestrator, selecione a frequência na lista suspensa.
Consulte também
Ativar a aquisição de dados do McAfee Risk Advisor na página 213
Guia de produto
213
3
Realizar ações do McAfee Real Time for McAfee ePO
Execute ações do McAfee Real Time for McAfee ePO nos resultados de uma pergunta do ESM e do
componente que contêm um endereço IP na exibição.
Antes de iniciar
Crie e execute uma pergunta do McAfee Real Time for McAfee ePO (consulte Dashboard de
consulta do McAfee ePO para McAfee Real Time for McAfee ePO).
Tarefa
Ajuda.
1
No console do ESM, clique no ícone de menu
em um componente de exibição que mostre os
resultados de uma pergunta do McAfee Real Time for McAfee ePO.
2
Destaque Ações e clique em Ações do Real Time for ePO.
3
Na guia Dispositivos, selecione os dispositivos do McAfee ePO nos quais realizará a ação.
4
Na guia Ações, clique em uma ação na lista de ações disponíveis para os dispositivos selecionados.
5
Na guia Filtros, especifique um conjunto de filtros para aplicar à pergunta e clique em Finalizar.
Os filtros não estão disponíveis nos componentes ou no dashboard do McAfee ePO.
Integração do Threat Intelligence Exchange
O Threat Intelligence Exchange verifica a reputação de programas executáveis em terminais
conectados a esses arquivos.
Quando o dispositivo McAfee ePO é adicionado ao ESM, o sistema detecta automaticamente se um
servidor Threat Intelligence Exchange está conectado ao dispositivo. Em caso positivo, o ESM começa
a escutar os eventos de log e DXL.
Pode haver atraso quando o ESM se conecta ao DXL.
Quando o servidor Threat Intelligence Exchange é detectado, as listas de observação do Threat
Intelligence Exchange, enriquecimento de dados e regras de correlação são adicionadas
automaticamente, e os alarmes do Threat Intelligence Exchange são ativados. Você receberá uma
notificação visual, que inclui um link para o resumo de alterações feitas. Você também receberá
notificação se o servidor Threat Intelligence Exchange for adicionado ao servidor McAfee ePO depois
que o dispositivo tiver sido adicionado ao ESM.
Quando os eventos do Threat Intelligence Exchange forem gerados, você poderá exibir seu histórico
de execução (consulte Exibir histórico de execução do Threat Intelligence Exchange e ações de
configuração) e selecione as ações que você deseja realizar para os dados maliciosos.
Regras de correlação
Seis regras de correlação são otimizadas para dados do Threat Intelligence Exchange. Elas geram
eventos que você pode pesquisar e classificar.
214
•
TIE — Reputação do GTI alterada de boa para má
•
TIE — Arquivo malicioso (SHA-1) encontrado em um número cada vez maior de hosts
•
TIE — Nome do arquivo malicioso encontrado em um número cada vez maior de hosts
Guia de produto
3
•
TIE — Vários arquivos maliciosos encontrados em um único host
•
TIE — Reputação do TIE alterada de boa para má
•
TIE — Aumento de arquivos maliciosos encontrados em todos os hosts
Alarmes
O ESM tem dois alarmes que podem ser disparados quando eventos importantes do Threat
Intelligence Exchange são detectados.
•
Limite de arquivos incorretos do TIE excedido é disparado a partir da regra de correlação TIE – Arquivo malicioso
(SHA-1) encontrado em um número cada vez maior de hosts.
•
Arquivo desconhecido do TIE executado é disparado a partir de um evento do TIE específico e adiciona
informações à lista de observação IPs de origem de dados do TIE.
Lista de observação
A lista de observação IPs de origem de dados do TIE mantém uma lista de sistemas que dispararam o alarme
Arquivo desconhecido do TIE executado. É uma lista de observação estática sem expiração.
Histórico de execução do Threat Intelligence Exchange
É possível exibir o histórico de execução de qualquer evento do Threat Intelligence Exchange (consulte
Exibir histórico de execução do Threat Intelligence Exchange e configurar ações), que inclui uma lista
de endereços IP que tentaram executar o arquivo. Nesta página, você pode selecionar um item e
realizar uma destas ações:
•
Criar uma lista de observação.
•
Adicionar as informações a uma lista negra.
•
Anexar as informações a uma lista de
observação.
•
Exportar as informações para um
arquivo .csv.
•
Criar um alarme.
Consulte também
Exibir histórico de execução do Threat Intelligence Exchange e ações de configuração na
página 215
Exibir histórico de execução do Threat Intelligence Exchange e ações de
configuração
A página do histórico de execução do Threat Intelligence Exchange exibe uma lista de sistemas que
executaram o arquivo associado ao evento selecionado por você.
Antes de iniciar
Deve haver um dispositivo do ePolicy Orchestrator com um servidor Threat Intelligence
Exchange no ESM.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema do console do ESM, clique no dispositivo do ePolicy
Orchestrator.
2
Na lista de suspensa de exibições, selecione Exibições de eventos | Análise de evento e clique no evento.
Guia de produto
215
3
3
Clique no ícone do menu
e selecione Ações | Histórico de execução do TIE.
4
Na página Histórico de execução do TIE, exiba os sistemas que executaram o arquivo do Threat
Intelligence Exchange.
5
Para adicionar esses dados ao seu fluxo de trabalho, clique em um sistema e no menu suspenso
Ações e selecione uma opção para abrir sua página do ESM.
6
Configure a ação que tiver selecionado (consulte a Ajuda online para obter instruções).
Consulte também
Integração do Threat Intelligence Exchange na página 214
Consultar dispositivos do McAfee ePO sobre um relatório ou uma exibição
Você pode consultar vários dispositivos do McAfee ePO sobre um relatório ou uma exibição se eles
estiverem integrados ao McAfee Real Time for McAfee ePO.
Antes de iniciar
Verifique se os dispositivos do McAfee ePO a serem consultados estão integrados ao McAfee
Real Time for McAfee ePO.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, clique no sistema, clique no ícone Propriedades
seguida clique em Relatórios.
e, em
2
Clique em Adicionar, preencha as seções 1 a 4 e clique em Adicionar na seção 5.
3
No editor de Layout de relatório, arraste e solte um componente da Tabela, do Gráfico de barras ou do Gráfico
de pizza.
4
No Assistente de consulta, selecione Real Time for McAfee ePO na lista suspensa e selecione o elemento ou a
pergunta para a consulta.
5
Clique em Avançar, clique em Dispositivos e selecione os dispositivos do McAfee ePO para consulta.
6
(Opcional) Clique em Filtros, adicione valores de filtros para a consulta e clique em OK.
7
Se você tiver selecionado Pergunta personalizada do ePO na lista suspensa, clique em Campos, selecione
os elementos que deseja incluir na pergunta e clique em OK.
8
Clique em Finalizar para fechar o Assistente de consulta, defina as propriedades no painel Propriedades e
salve o relatório.
Consultar os dispositivo do McAfee ePO sobre enriquecimento de dados
Você pode consultar vários dispositivos do McAfee ePO sobre enriquecimento de dados se eles
estiverem integrados ao McAfee Real Time for McAfee ePO.
Antes de iniciar
Verifique se os dispositivos do McAfee ePO a serem consultados estão integrados ao McAfee
Real Time for McAfee ePO.
216
Guia de produto
3
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione o sistema, clique no ícone Propriedades
em Enriquecimento de dados.
e clique
2
Clique em Adicionar, digite um nome e selecione as opções desejadas na guia Principal.
3
Na guia Origem, selecione o McAfee Real Time for McAfee ePO no campo Tipo e selecione os
dispositivos no campo Dispositivo.
4
Defina as configurações restantes nas guias Consulta, Pontuação e Destino, e clique em Finalizar.
Consultar dispositivos McAfee ePO no dashboard do McAfee Real Time for
McAfee ePO
Você pode realizar uma consulta de vários dispositivos McAfee ePO na exibição do dashboard do
McAfee Real Time for McAfee ePO.
Antes de iniciar
Verifique se os dispositivos McAfee ePO a serem consultados estão integrados com o
McAfee Real Time for McAfee ePO.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, clique nos dispositivos McAfee ePO a serem consultados.
2
No console do ESM, clique na lista de exibições e selecione McAfee Real Time for McAfee ePO.
3
Selecione os filtros no painel Filtros:
4
a
Na seção Elementos, clique no campo aberto e selecione os elementos para a consulta.
b
Na seção Filtros, selecione o tipo de filtro e digite o filtro no campo aberto.
c
Selecione a ação do filtro e digite o valor.
Clique no ícone Executar consulta
.
Configurações do Nitro Intrusion Prevention System (Nitro
IPS)
O dispositivo McAfee Nitro Intrusion Prevention System (Nitro IPS) detecta tentativas sofisticadas de
intrusão na rede, registrando e impedindo-as ativamente. O dispositivo Nitro IPS inclui um gerenciador
de dados incorporado (usado para administração, análise e aquisição de dados) e análise avançada de
intrusões, como a detecção de anomalias.
O dispositivo aprova, descarta e registra em log pacotes de forma seletiva e conforme eles chegam,
com base em um conjunto de regras definidas pelo usuário que são especificadas pela linguagem de
regras padrão do setor. Cada dispositivo Nitro IPS também contém um componente de firewall
totalmente funcional controlado por regras de firewall padrão no setor, o que oferece recursos de
inspeção de pacotes de baixo nível e um log do sistema padrão no setor.
Guia de produto
217
3
Assistente de detecção de anomalias
A detecção de anomalias está acessível a qualquer IPS do Nitro ou dispositivo virtual, mas é útil
somente para aqueles que coletam dados de fluxo. O Assistente de detecção de anomalias com base em taxa
mostra uma lista com a descrição de todas as variáveis disponíveis no dispositivo selecionado.
Algumas regras de firewall são baseadas em taxa. Uma regra com base em taxa é uma regra que
dispara um alerta somente se o tráfego da rede exceder os limites definidos pelas variáveis de
categoria de firewall no Editor de políticas. Os valores padrão para essas variáveis podem não fazer
sentido para o tráfego da rede, por isso o Assistente de detecção de anomalias com base em taxa oferece a
capacidade de analisar os gráficos dos dados de fluxo da rede, por ter relação com esses parâmetros.
Então, você pode selecionar os valores padrão, especificar seu próprio valor ou preferir que o ESM
analise os dados e tente fazer a estimativa mais próxima de quais devem ser esses valores com base
no histórico do tráfego da rede. Cada rede é diferente, portanto recomendamos que você esteja
familiarizado com o histórico de seu tráfego. Para isso, reveja os relatórios de análise visual e escolha
os valores mais adequados às suas necessidades.
O assistente realiza muitos cálculos complexos a fim de chegar aos valores sugeridos para os
parâmetros de anomalia com base em taxa e fornecer uma análise visual dos padrões de tráfego de
sua rede. Caso seu IPS do Nitro, dispositivo virtual, seu Receptor e sua origem de dados tenham
grande quantidade de dados de fluxo, o ideal é que você limite o intervalo de tempo usado nesses
cálculos. Use a atividade de rede normal por alguns dias ou por uma semana como base para o cálculo
desses valores. Usar um período mais longo pode fazer com que os cálculos demorem mais do que o
desejado.
Veja abaixo uma lista com as regras de firewall para anomalias com base em taxa e as variáveis que
afetam sua operação:
Regra
Variáveis
Large inbound byte rate
LARGE_INBOUND_BYTE_RATE_LIMIT,
LARGE_INBOUND_BYTE_RATE_SECONDS
Large inbound bytes
LARGE_INBOUND_BYTES_LIMIT
Large inbound network connections rate LARGE_IB_CONN_RATE_BURST,
LARGE_IB_CONN_RATE_LIMIT
Large inbound packet rate
LARGE_INBOUND_PACKET_RATE_LIMIT,
LARGE_INBOUND_PACKET_RATE_SECS
Pacote de entrada grande
LARGE_INBOUND_PACKETS_LIMIT
Large outbound byte rate
LARGE_OUTBOUND_BYTE_RATE_LIMIT,
LARGE_OUTBOUND_BYTE_RATE_SECONDS
Large outbound network connection rate LARGE_OB_CONN_RATE_BURST,
LARGE_OB_CONN_RATE_LIMIT
Large outbound packet rate
LARGE_OUTBOUND_PACKET_RATE_LIMIT,
LARGE_OUTBOUND_PACKET_RATE_SECS
Large outbound packets
LARGE_OUTBOUND_PACKETS_LIMIT
Long connection duration
LONG_DURATION_SECONDS
Consulte também
Editar as variáveis de detecção de anomalias na página 218
Gerar um Relatório de análise na página 219
Editar as variáveis de detecção de anomalias
O Assistente de detecção de anomalias com base em taxa lista as variáveis de detecção de anomalias e oferece
diversas opções para você analisar os dados de detecção de anomalias com base em taxa.
218
Guia de produto
3
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione um IPS do Nitro ou um dispositivo virtual que colete
dados de fluxo e clique no ícone Propriedades
.
2
Clique em Editar no campo Assistente de detecção de anomalias.
3
Execute uma das funções disponíveis e clique em OK.
Consulte também
Assistente de detecção de anomalias na página 218
Gerar um Relatório de análise na página 219
Gerar um Relatório de análise
O Relatório de análise fornece uma análise visual de diversos aspectos do tráfego de sua rede.
Este relatório é útil para se ter uma ideia dos padrões do tráfego de sua rede, por meio de uma
inspeção visual. Os dados coletados podem ajudá-lo a tomar decisões ao escolher os valores dos
parâmetros de regras de anomalia com base em taxa.
Para gerar um relatório, o dispositivo deve ter pelo menos 10.000 fluxos gerados.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione um IPS do Nitro que esteja coletando dados de fluxo
e clique no ícone Propriedades
.
2
Clique em Editar no campo Assistente de detecção de anomalias.
3
Clique em Análise | Relatório de análisee selecione o intervalo de tempo e a variável para o relatório.
4
Clique em OK.
O relatório será gerado. As escalas vertical e horizontal podem ser ampliadas ou reduzidas. Basta
clicar e arrastar os ícones circulares nos eixos do gráfico, se houver.
Consulte também
Assistente de detecção de anomalias na página 218
Editar as variáveis de detecção de anomalias na página 218
Acessar regras padrão e de firewall
As regras são adicionadas e mantidas no Editor de políticas. No entanto, é possível ler, gravar, exibir,
exportar e importar regras padrão e de firewall a partir do IPS ou dos dispositivos virtuais do IPS.
As regras não devem ser mantidas regularmente a partir dessa página. Alterar as regras desse modo
faz com que as configurações de políticas de dispositivos fiquem dessincronizadas com as configurações
do Editor de políticas.
Guia de produto
219
3
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades de IPS e clique em Regras de firewall ou em
Regras padrão.
2
Selecione uma das opções e clique em OK.
Consulte também
Regras de firewall na página 220
Página Regras padrão ou Regras de firewall na página 221
Regras de firewall
As regras de firewall são usadas para detectar eventos de rede com base nas informações do pacote,
como protocolo, porta ou endereço IP em um IPS do Nitro.
A política de firewall varre os pacotes de entrada e toma decisões com base nas informações iniciais
encontradas antes de o pacote ser passado para o mecanismo de inspeção de pacote detalhada. As
regras de firewall bloquearão, por exemplo, endereços IP falsificados e inválidos, entre outras coisas.
Elas também rastreiam a taxa e o tamanho do tráfego da rede.
Estes são os tipos de regras de firewall:
•
Anomaly (Anomalia) — Detecta anomalias. Várias regras baseadas em anomalia coincidem umas
com as outras e são usadas com os valores definidos na guia Variáveis. Por exemplo, a regra Conexão
de longa duração e a variável Longa duração em segundos são usadas juntas para determinar o número de
segundos até a regra ser disparada. Para ver mais detalhes específicos sobre cada regra, verifique
a seção de detalhe, localizada na parte inferior da página.
•
Anti-Spoof (Antispoof) — Detecta endereços IP inválidos. Por exemplo, se um endereço IP interno
reservado for visto entrando na rede através de um dispositivo, a regra antispoof será disparada.
•
Blacklist (Lista negra) — Determina a ação que será executada em pacotes que estão sendo
enviados de um endereço IP ou porta, e para eles, e que estão na lista negra.
•
DHCP — Ativa e desativa a capacidade de permitir tráfego DHCP em um dispositivo.
•
IPv6 — Detecta o tráfego IPv6.
•
Port-Block (Bloqueio de porta) — Bloqueia determinadas portas.
Detecção de anomalias
Algumas regras de firewall são baseadas em taxa. Uma regra baseada em taxa é aquela que dispara
um alerta somente quando o tráfego da rede excede os limites definidos pelas variáveis de categoria
do firewall no Editor de políticas. Os valores padrão dessas variáveis podem não fazer sentido para o
tráfego da rede, por isso, o Assistente Detecção de anomalias com base em taxa permite analisar gráficos de
dados do fluxo da rede relacionados a esses parâmetros (consulte Assistente de detecção de
anomalias).
Exceções do firewall
Algumas vezes, as exceções do firewall são necessárias para permitir que determinados tipos de
tráfego passem pelo firewall que, de outra maneira, seriam bloqueados. Por exemplo, se um endereço
interno válido chega da rede externa, por exemplo, uma VPN, ela dispara um alerta de Entrada de
bogons. Para interromper o alerta, é preciso configurar uma exceção para a regra de firewall.
220
Guia de produto
3
Você pode também optar por tratar uma exceção como uma exceção aos padrões definidos em outras
exceções, criando uma exceção para a lista de exceções (ou seja, incluir um endereço ou bloco de
endereços). Se um endereço precisa ser verificada com a regra de firewall e o endereço IP está em um
bloco de endereços que já foi aceito, ele pode ser excluído da lista de exceções inserindo o endereço
IP (ou máscara) e marcando a caixa.
Por exemplo, a lista de exceções já contém o bloco de endereços 10.0.0.0/24. Todos os endereços
desse intervalo são uma exceção à regra. Se o endereço de origem 10.0.0.1 estiver ativo para essa
regra, selecione Tratar como uma exceção aos padrões definidos em outras exceções e digite 10.0.0.1 no campo de
origem. A regra de firewall será aplicada ao 10.0.0.1, mas não será aplicada a nenhum outro endereço
do bloco 10.0.0.0/24, porque 10.0.0.1 é agora a exceção à lista de exceções.
Consulte também
Acessar regras padrão e de firewall na página 219
Adicionar uma regra de firewall personalizada na página 508
Adicionar exceções de firewall na página 509
Página Regras padrão ou Regras de firewall
As regras são adicionadas e mantidas no Editor de políticas. No entanto, é possível ler, gravar, exibir,
exportar e importar regras padrão e de firewall a partir do IPS.
Opção Definição
Ler
Recupere as regras do dispositivo. As regras são armazenadas em um buffer no banco de
dados do ESM.
Gravar
Grave as regras da cópia do banco de dados em buffer do ESM para o dispositivo.
Exibir
Exiba as regras armazenadas na cópia em buffer do ESM.
Exportar Exporte as regras da cópia em buffer do ESM para um arquivo local.
Importar Importe as regras do arquivo local, sobrescrevendo a cópia em buffer do ESM. Caso deseje
que essas regras sejam gravadas no dispositivo, clique em Gravar.
Consulte também
Acessar regras padrão e de firewall na página 219
Lista negra do IPS ou dispositivo virtual
A lista negra bloqueia o fluxo de tráfego no dispositivo antes que ele seja analisado pelo mecanismo
de inspeção profunda de pacote.
Com o Editor de lista negra, é possível gerenciar manualmente as configurações de origens bloqueadas,
destinos bloqueados e configurações de exclusão do dispositivo. Também é possível selecionar se o
dispositivo ficará ou não sujeito às configurações da Lista negra global. A caixa de seleção Incluir lista negra
global na parte superior do editor deve estar selecionada caso você deseje que o dispositivo inclua
essas configurações.
A página Editor de lista negra inclui três guias:
•
Origens bloqueadas — Corresponde ao endereço IP de origem do tráfego que passa pelo dispositivo.
•
Destinos bloqueados — Corresponde ao endereço IP de destino do tráfego que passa pelo dispositivo.
•
Exclusões — Fornece imunidade contra adição automática em qualquer uma das listas negras.
Endereços IP críticos (por exemplo, servidor DNS e outros, ou estações de trabalho do
administrador do sistema) podem ser adicionados às exclusões para garantir que nunca sejam
colocados automaticamente na lista negra, independente de quais eventos possam gerar.
Guia de produto
221
3
As entradas nas guias Origens bloqueadas e Destinos bloqueados podem ser configuradas para restringir o
efeito da lista negra em uma porta de destino específica.
Os hosts também podem ser adicionados ou removidos manualmente da lista negra. Quando uma das
guias do Editor de lista negra está selecionada, é possível adicionar ou modificar uma entrada. Entre os
campos que requerem a inclusão de uma entrada, estão: Endereço IP, Porta (versão 6.2.x e versões
posteriores) e Duração (permanente ou temporária). Há também o campo opcional Descrição.
Ao adicionar entradas, lembre-se de que:
•
As opções Adicionar e Modificar são ativadas com base nas informações que você altera. Quando você
altera um endereço IP ou porta, a opção Adicionar é ativada. Se você alterar a duração ou a
descrição, a opção Modificar será ativada.
•
As entradas nas listas Origens bloqueadas e Destinos bloqueados podem ser configuradas para incluir na
lista negra em todas as portas ou uma porta específica.
•
As entradas que usam um intervalo de endereços IP com máscara devem ser configuradas com a
porta definida para qualquer (0) e a duração deve ser permanente.
•
As entradas devem ser adicionadas de modo temporário (especificado em minutos, horas ou dias)
ou permanente. No entanto, as entradas adicionadas em Exclusões devem ser permanentes.
•
Embora essas listas requeiram um formato de endereço IP, há uma ferramenta incluída que ajuda a
dar significado a esses endereços. Após a inserção de um endereço IP ou nome de host no campo
Endereço IP, o botão ao lado do controle terá as opções Resolver ou Pesquisar, com base no valor
inserido. Selecionar Resolver resolverá o nome de host inserido e preencherá o campo Endereço IP com
essas informações, além de mover o nome de host para o campo Descrição. Selecionar Pesquisar fará
uma pesquisa no endereço IP e preencherá o campo Descrição com os resultados da pesquisa.
Alguns sites têm mais de um endereço IP, ou têm endereços IP que nem sempre são os mesmos;
portanto, não confie na ferramenta para garantir o bloqueio de alguns sites.
Você pode selecionar o endereço IP na lista e exibir os eventos gerados por eles em um relatório de
resumo. Isso permite que você veja os eventos disparados por infratores, eventos adicionados à lista
negra, ou outros ataques que os infratores possam ter provocado antes de serem colocados na lista
negra.
O Editor de lista negra também permite aplicar, recarregar e remover eventos.
Consulte também
Gerenciar a lista negra do IPS na página 222
Configurar inclusão automática na lista negra na página 223
Gerenciar a lista negra do IPS
Você poderá gerenciar a lista negra do IPS no Editor de lista negra. É possível adicionar, modificar ou
excluir itens, gravar alterações na lista negra, ler informações novas e atualizadas a partir do
dispositivo, exibir eventos gerados pelos endereços IP infratores e pesquisar ou resolver um nome do
host ou endereço IP.
Tarefa
Ajuda.
222
1
Na árvore de navegação do sistema, selecione Propriedades de IPS e clique em Lista negra | Editor.
2
Selecione a guia Origens bloqueadas, Destinos bloqueados ou Exclusões.
3
Execute as ações necessárias e clique em Fechar.
Guia de produto
3
Consulte também
Lista negra do IPS ou dispositivo virtual na página 221
Página Editor de lista negra na página 223
Página Editor de lista negra
Gerenciar configurações da lista negra para origens bloqueadas, destinos bloqueados e exclusões.
Opção
Definição
Incluir lista negra global
Selecione caso queira adicionar as entradas da lista negra global a essa lista
negra.
Guia Origens
bloqueadas
Gerencie os endereços IP de origem que deseja bloquear.
Guia Destinos
bloqueados
Gerencie os endereços IP de destino que deseja bloquear.
Guia Exclusões
Gerencie a lista de endereços IP que nunca devem ser colocados na lista negra
automaticamente, como servidores DNS e outros, ou a estação de trabalho do
administrador do sistema.
Endereço IP
Ao adicionar um item à lista, digite o endereço IP.
Pesquisa
Clique para pesquisar a descrição do endereço IP que você forneceu.
Adicionar
Depois de digitar o endereço IP, clique para adicioná-lo à lista.
Porta
Digite um número de porta caso queira restringir o efeito da lista negra a uma
porta de destino específica. A configuração padrão é zero (0), que permite
qualquer porta.
Modificar
Altere a descrição de um item já incluído na lista negra e clique nessa opção.
Descrição
(Opcional) Insira uma descrição para o endereço IP ou clique em Pesquisar para
localizar uma descrição. Para alterar a descrição de um endereço existente,
digite as alterações e clique em Modificar.
Duração
Selecione o período de duração da lista negra.
Ícone Gravar
Clique quando estiver pronto para salvar os novos itens no ESM. Se você sair
da página da lista negra antes de gravar as alterações, elas não serão salvas.
Ícone Ler
Clique para atualizar origens bloqueadas, destinos bloqueados e exclusões.
Ícone Remover
Clique para remover o item selecionado da lista negra. O campo Status muda
para Excluir na próxima gravação.
Ícone Exibir eventos
Clique para gerar um relatório de eventos a partir dos endereços IP infratores.
O relatório aparece como uma exibição no console.
Consulte também
Configurar inclusão automática na lista negra
A página Configurações de inclusão automática na lista negra permite gerenciar as configurações de inclusão
automática na lista negra para esse dispositivo.
As configurações de inclusão automática na lista negra são executadas com base no dispositivo.
Guia de produto
223
3
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades de IPS e clique em Lista negra | Configurações.
2
Defina as configurações conforme o necessário e clique em OK.
Consulte também
Lista negra do IPS ou dispositivo virtual na página 221
Página Configurações de inclusão automática na lista negra na página 224
Página Configurações de inclusão automática na lista negra
Definir as configurações de inclusão automática na lista negra para o dispositivo selecionado.
Opção
Definição
Os alertas de lista negra
devem ser disparados
quando a contagem de
eventos atingir
Usa a contagem de agregação de evento para inclusão na lista negra somente
depois de uma regra ter sido disparada um determinado número de vezes. O
valor padrão é 10. Para inclusão na lista negra após somente uma violação de
regra incluída automaticamente na lista negra, defina esse valor como 1.
Duração para inclusão
automática na lista negra
Define o número de vezes que um endereço IP infrator deve ser mantido na
lista negra antes de ser removido. O valor pode ser especificado em minutos,
horas ou dias.
Adicionar à lista de
destinos bloqueados se o
alerta for disparado em
resposta
Adiciona o host infrator de um evento à lista negra de origem e à lista de
destinos bloqueados. Essa ação é necessária porque alguns eventos são
gerados pelo iniciador de uma conexão, enquanto outros são gerados pelo host
na outra extremidade da conexão como resposta à solicitação dos iniciadores.
Quando um host é adicionado à lista negra, as próximas tentativas desse host
de enviar dados pelo dispositivo gerarão um dos quatro eventos a seguir:
Destino de entrada da LISTA NEGRA (2000050), Origem de entrada da LISTA
NEGRA (2000049), Destino de saída da LISTA NEGRA (2000052) ou Origem de
saída da LISTA NEGRA (2000051). O bloqueio é o padrão para esses eventos,
isto é, todo tráfego proveniente de origens ou destinos incluídos na lista negra
não passará pelo dispositivo. No entanto, a ação realizada para esses quatro
eventos da lista negra pode ser alterada como qualquer outra regra. Essas
quatro regras específicas da lista negra poderão ser encontradas quando a
opção Firewall for selecionada no painel Tipos de regras do Editor de políticas.
Consulte também
Configurações do McAfee Vulnerability Manager
O McAfee Vulnerability Manager pode ser adicionado ao ESM como um dispositivo, permitindo que
você inicie uma varredura no McAfee Vulnerability Manager a partir do ESM. Isso pode ser útil caso
você tenha comprado um dispositivo McAfee Vulnerability Manager e queira executá-lo a partir do
ESM.
O McAfee Vulnerability Manager deve estar associado a um Receptor, pois o pull de eventos é efetuado
a partir do Receptor e não do McAfee Vulnerability Manager.
Consulte também
Obter certificado e senha do McAfee Vulnerability Manager na página 225
Executar varreduras do McAfee Vulnerability Manager na página 225
Configurar a conexão do McAfee Vulnerability Manager na página 225
224
Guia de produto
3
Obter certificado e senha do McAfee Vulnerability Manager
Você deve obter o certificado e a senha do McAfee Vulnerability Manager antes de configurar as
conexões de McAfee Vulnerability Manager. Essa tarefa não é executada no ESM.
Tarefa
Ajuda.
1
No servidor que está executando o Foundstone Certificate Manager, execute o Foundstone
Certificate Manager.exe.
2
Clique na guia Criar certificados SSL.
3
No campo Endereço de host, digite o nome do host ou o endereço IP do sistema que hospeda a
interface da Web para o McAfee Vulnerability Manager e clique em Resolver.
4
Clique em Criar certificado usando Nome Comum para gerar a senha e um arquivo zip.
5
Faça upload do arquivo zip e copie a senha gerada.
Consulte também
Configurações do McAfee Vulnerability Manager na página 224
Executar varreduras do McAfee Vulnerability Manager
A página Varreduras exibe todas as varreduras de vulnerabilidade que estão sendo executadas ou foram
executadas a partir do McAfee Vulnerability Manager, bem como seus status. Quando você abrir essa
página, um API verificará se há credenciais padrão de login da Web. Se houver, a lista de varreduras é
preenchida com base nas credenciais e atualizada a cada 60 segundos. Você também pode iniciar uma
nova varredura a partir dessa página.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do MVM e clique em Varreduras.
2
Clique em Nova varredura e insira as informações solicitadas.
3
Clique em OK.
Quando a varredura estiver finalizada, ela será adicionada à lista de varreduras.
Consulte também
Configurar a conexão do McAfee Vulnerability Manager
Você deve configurar as conexões do McAfee Vulnerability Manager com o banco de dados para efetuar
pull dos dados de avaliação de vulnerabilidade a partir do McAfee Vulnerability Manager, e com a
interface de usuário da Web para executar varreduras no McAfee Vulnerability Manager.
Antes de iniciar
Você deve obter o certificado e a senha do McAfee Vulnerability Manager
Guia de produto
225
3
A alteração dessas configurações não afeta o dispositivo. Afeta somente o modo como o dispositivo se
comunica com o ESM.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do MVM e clique em Conexão.
2
Consulte também
Configurações do McAfee Network Security Manager
O McAfee Network Security Manager pode ser adicionado ao ESM como um dispositivo, permitindo que
você acesse as funções a partir do ESM. Esse recurso é útil se você tiver comprado um dispositivo e
desejar acessá-lo a partir do ESM.
Ao adicionar um dispositivo do McAfee Network Security Manager ao ESM, os sensores do dispositivo
serão listados como filhos do dispositivo na árvore de navegação do sistema. O dispositivo deve estar
associado a um Receptor, pois o pull de eventos é efetuado a partir do Receptor, e não do McAfee
Network Security Manager.
Consulte também
Adicionar uma entrada à lista negra na página 226
Adicionar ou excluir uma entrada da lista negra removida na página 227
Coleta da Camada 7 em um dispositivo NSM na página 227
Adicionar uma entrada à lista negra
O McAfee Network Security Manager aplica a lista negra por meio de sensores. A página Lista negra
exibe as entradas da lista negra que foram definidas para o sensor selecionado. Nessa página, é
possível adicionar, editar e excluir itens da lista negra.
Você deve ser superusuário para utilizar a função de lista negra.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades de NSM, clique em Lista negra e selecione um
sensor.
2
Para aplicar as entradas da lista negra global ao sensor, selecione Incluir lista negra global.
O item de lista negra global será adicionado à lista. Caso haja endereços IP duplicados, o endereço
da lista negra global sobrescreverá o endereço do McAfee Network Security Manager.
Se você selecionar essa opção, não poderá desfazer a ação automaticamente. Os itens deverão ser
excluídos manualmente.
3
A entrada ficará visível na lista negra até que sua duração expire.
226
Guia de produto
3
Consulte também
Configurações do McAfee Network Security Manager na página 226
Página Adicionar entrada à lista negra NSM na página 227
Página Adicionar entrada à lista negra NSM
Defina as configurações de uma entrada da lista negra.
Opção
Definição
Endereço IP
Digite o endereço IP que deseja adicionar à lista negra.
Duração
Selecione o período de permanência desejado para esse endereço na lista negra.
Descrição
Digite uma descrição para essa entrada.
Consulte também
Adicionar ou excluir uma entrada da lista negra removida
Qualquer entrada iniciada no ESM com duração ainda válida, mas que não é retornada na lista de
entradas da lista negra quando o McAfee Network Security Manager (Manager) é consultado, é exibida
com o status Removida e o ícone do sinalizador.
Essa condição ocorre se a entrada foi removida, mas a remoção não foi iniciada no ESM. Você pode
readicionar essa entrada ou excluí-la da lista negra.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades de NSM e clique em Lista negra.
2
Selecione a entrada removida na lista de entradas da lista negra e clique em Adicionar ou Excluir.
3
Consulte também
Coleta da Camada 7 em um dispositivo NSM
Os dados da Camada 7 são preenchidos no banco de dados do NSM depois que o evento do NSM é
gravado em seu banco de dados. Ele não vem no sistema como parte do evento.
Para efetuar pull das informações da Camada 7 pelo NSM, você pode atrasar o pull do evento para que
os dados da Camada 7 sejam incluídos. Esse atraso se aplica a todos os eventos do NSM, não apenas
os associados aos dados da Camada 7.
Você pode definir esse atraso ao realizar três ações no NSM:
Guia de produto
227
3
•
Adicionar um dispositivo NSM da McAfee ao console
•
Configurar um dispositivo NSM
•
Adicionar uma origem de dados do NSM
Adicionar um dispositivo NSM da McAfee
Ao adicionar um dispositivo NSM ao ESM (consulte Adicionar dispositivos ao console do ESM),
selecione Ativar coleta da Camada 7 e defina o atraso na quarta página do Assistente para adicionar dispositivo.
Configurar um dispositivo NSM
Depois de adicionar um dispositivo NSM ao console do ESM, você pode configurar as definições de
conexão do dispositivo (consulte Alterar conexão com o ESM). Você pode selecionar Ativar coleta da Camada 7 e
definir o atraso na página Conexão.
Adicionar uma origem de dados do NSM
Para adicionar uma origem de dados do NSM a um Receptor (consulte Adicionar uma origem de
dados), selecione McAfee no campo Fornecedor de origem de dados e Network Security Manager - SQL Pull (ASP) no
campo Modelo de origem de dados. Você pode selecionar Ativar coleta da Camada 7 e definir o atraso na página
Adicionar origem de dados.
Consulte também
Os serviços auxiliares incluem servidores Remedy, servidores do protocolo NTP e servidores DNS.
Configure esses servidores para se comunicar com o ESM.
Conteúdo
Informações gerais do sistema
Definir configurações do servidor Remedy
Parar atualização automática da árvore de sistemas do ESM
Definição de configurações de mensagem
Configurar NTP em um dispositivo
Definir configurações de rede
Sincronização da hora do sistema
Instalar um novo certificado
Configurar perfis
Configuração de SNMP
228
Guia de produto
3
Informações gerais do sistema
Na página Propriedades do sistema | Informações do sistema você pode ver informações gerais sobre o sistema
e o status de várias funções. Na página Registro do sistema, você pode ver eventos que ocorreram no
sistema ou nos dispositivos.
Você pode consultar essas informações ao falar com o suporte da McAfee sobre o seu sistema, ao
configurar recursos como agregação de eventos ou fluxos, ou para verificar o status de uma
atualização de regras ou backup do sistema.
•
Sistema, ID de cliente, Hardware e Número de série fornecem informações sobre o sistema e seu atual status
operacional.
•
O Status do banco de dados é exibido quando o banco de dados está executando outras funções (por
exemplo, uma reconstrução de banco de dados ou em segundo plano), assim como o status dessas
funções. Um status OK significa que o banco de dados está operando normalmente.
•
O Relógio do sistema mostra a data e hora em que as Propriedades do sistema foram abertas ou atualizadas
pela última vez.
•
Atualização de regras, Eventos, fluxos e logs e Backup e restauração mostram a última vez que as regras foram
atualizadas; eventos, fluxos e logs foram recuperados; e um backup e restauração foi executado.
•
Quando no modo FIPS, Autoteste FIPS e Status mostram a última vez que um autoteste FIPS foi
executado e o seu status.
•
Exibir relatórios exibe os relatórios Contagem de tipos de dispositivo do ESM e Hora do evento.
Consulte também
Página Informações do sistema na página 229
Página Informações do sistema
Exibe informações gerais sobre o sistema e o status de várias funções. Isso pode ser útil ao conversar
com o Suporte da McAfee sobre o seu sistema, ao configurar recursos como agregação de eventos ou
fluxos ou para verificar o status atual de uma atualização de regra ou backup do sistema.
Opção
Definição
Sistema
O tipo de dispositivo, a versão do software e o número de compilação e o
número de ID da máquina, que é um número exclusivo atribuído a cada
dispositivo.
ID de cliente
O número que você recebe ao configurar suas credenciais permanentes com a
McAfee.
Hardware
Informações sobre o hardware e memória.
Número de série
O número de série do fabricante para o dispositivo.
Relógio do sistema (GMT)
A data e a hora em que a página Propriedades do sistema foi aberta ou atualizada
pela última vez. Se você clicar no link, poderá fazer alterações no relógio do
sistema e nas configurações de NTP.
Sincronizar relógios do
dispositivo
Sincroniza a hora do ESM e dos servidores NTP com os dispositivos.
Atualização de regras
A última vez que as regras foram atualizadas; como elas foram atualizadas; e,
se você ainda não configurou suas credenciais permanentes, quando sua
licença irá expirar (consulte Verificar atualizações de regra ou Obter
credenciais de download de regras).
Evento, fluxos e registros
A última vez que o sistema procurou por eventos, fluxos e registros e quando
ele procurará novamente. Você pode clicar no link para fazer download agora
ou configurar a verificação automática (consulte Eventos, fluxos e registros).
Guia de produto
229
3
Opção
Definição
Backup e restauração
A última vez que um backup do sistema foi executado e se ele foi feito manual
ou automaticamente. Clique no link para definir configurações de backup e
restauração (consulte Backup e restauração das configurações do sistema).
Status do banco de dados
O status do banco de dados. Se ele estiver executando uma função, como uma
reconstrução do banco de dados ou em segundo plano, ele exibirá o status
dessa função. Um status OK significa que ele está operando normalmente.
Atualizar as informações
do sistema
Atualiza os dados exibidos na página.
Relatórios de resumo do
dispositivo
Exibe os relatórios Contagem de tipos de dispositivo e Hora do evento. Você pode
exportar um arquivo .csv com esses dados.
Consulte também
Informações gerais do sistema na página 229
Definir configurações do servidor Remedy
Se tiver um sistema Remedy configurado, mas é necessário definir as configurações de reparação para
que o ESM possa se comunicar com ele.
Antes de iniciar
Configuração de seu sistema Remedy.
Tarefa
Ajuda.
1
personalizadas | Remedy.
2
Na página Configuração do Remedy, digite as informações de seu sistema Remedy e clique em OK.
Quando você seleciona Enviar evento ao Remedy
na exibição Análise de evento, o email é preenchido com
as informações que você inseriu nesta página.
Consulte também
Página Configuração Remedy na página 230
Página Configuração Remedy
Defina as configurações do Servidor de e-mail Remedy para que o ESM possa se comunicar com seu sistema
Remedy.
230
Opção
Definição
Host
Digite o host para seu sistema Remedy.
Porta
Altere o número da porta, se necessário.
Usar TLS
Selecione se você desejar usar TLS como protocolo de criptografia
Nome do usuário
Digite o nome do usuário para o sistema Remedy, caso seja necessário.
Senha
Digite a senha para o sistema Remedy, caso seja necessário.
Guia de produto
3
Opção
Definição
Endereço De
Digite o endereço de e-mail do remetente da mensagem do Remedy.
Endereço Para
Digite o endereço de e-mail para o qual a mensagem do Remedy será enviada.
Consulte também
Definir configurações do servidor Remedy na página 230
Parar atualização automática da árvore de sistemas do ESM
A árvore de sistemas do ESM é atualizada automaticamente a cada cinco minutos. Você pode parar a
atualização automática, se necessário.
Antes de iniciar
Para alterar esta configuração, é necessário ter direitos de Gerenciamento de sistemas .
Durante a atualização, não é possível selecionar dispositivos na árvore. Caso você tenha muitos
dispositivos no ESM, isso poderá interferir no acesso à página Propriedades dos dispositivos.
Tarefa
Ajuda.
1
2
Na árvore de sistemas, selecione o ESM e clique no ícone Propriedades
.
Clique em Configurações personalizadas, depois desmarque a opção Atualização automática na árvore de sistemas.
Você pode atualizar manualmente a árvore de sistemas clicando no ícone Atualizar dispositivos
barra de ferramentas de ações da árvore de sistema.
na
Ao definir ações de um alarme ou configurar o método de entrega de um relatório, você pode optar
por enviar mensagens. Primeiro, conecte o ESM ao servidor de e-mail e identifique os destinatários da
mensagem por e-mail, SMS, SNMP ou syslog.
O ESM envia notificações de alarme usando o protocolo SNMP v1. O SNMP usa o User Datagram
Protocol (UDP) como o protocolo de transporte para passar dados entre os gerenciadores e agentes.
Em uma configuração típica de SNMP, agentes como o ESM podem enviar eventos a servidores SNMP
(normalmente chamados de Estação de Gerenciamento de Rede [NMS]) utilizando pacotes de dados
conhecidos como interceptações. Outros agentes na rede podem receber relatórios de eventos da
mesma maneira como recebem notificações. Devido às limitações de tamanho dos pacotes de
interceptação do SNMP, o ESM envia cada linha do relatório em uma interceptação separada.
O syslog também pode enviar relatórios de CSV de consultas gerados pelo ESM. O syslog envia esses
relatórios de CSV de consultas em uma linha por mensagem de syslog, com os dados de cada linha
dos resultados da consulta organizados em campos separados por vírgula.
Consulte também
Conecte seu servidor de e-mail na página 232
Gerenciar destinatários na página 232
Adicionar grupos de destinatários de e-mail na página 233
Criar modelos de mensagem de alarme na página 338
Configurar alarmes de correlação para incluir eventos de origem na página 340
Gerenciar destinatários de alarme na página 341
Guia de produto
231
3
Conecte seu servidor de e-mail
Defina as configurações para conectar-se a seu servidor de e-mail, para poder enviar alarmes e
mensagens de relatório.
Antes de iniciar
Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com
privilégios de gerenciamento de usuários.
Ajuda.
Tarefa
1
2
Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades
.
Clique em Configurações de e-mail e insira as informações solicitadas para conectar seu servidor de
e-mail.
Opção
Descrição
Host e Porta
Insira o host e a porta do seu servidor de e-mail.
Usar TLS
Selecione se você desejar usar o protocolo de criptografia TLS.
Nome do usuário e senha Digite o nome do usuário e a senha para acessar o servidor de e-mail.
Título
Digite um título genérico para todas as mensagens de e-mail enviadas do
seu servidor de e-mail, por exemplo, o endereço IP do ESM para identificar
qual ESM gerou a mensagem.
De
Digite o seu nome.
Configurar destinatários
Adicionar, editar ou remover destinatários (consulte Gerenciar destinatários
de alarme na página 341).
3
Envie um e-mail de teste para verificar as configurações.
4
Adicionar, editar ou remover destinatários (consulte Gerenciar destinatários de alarme na página
341).
5
Clique em Aplicar ou OK para salvar as configurações.
Consulte também
Definição de configurações de mensagem na página 231
Gerenciar destinatários
As mensagens de alarmes ou relatórios podem ser enviadas em diversos formatos. Cada formato tem
uma lista de destinatários que você pode gerenciar. Os endereços de e-mail podem ser agrupados
para que você possa enviar uma mensagem a vários destinatários de uma vez só.
Tarefa
Ajuda.
232
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Configurações de e-mail.
2
Clique em Configurar destinatários e selecione a guia na qual deseja adicioná-los.
Guia de produto
3
3
Clique em Adicionar e adicione as informações solicitadas.
4
Clique em OK.
O destinatário será adicionado ao ESM e você poderá selecioná-lo em qualquer lugar do ESM onde
destinatários são utilizados.
Consulte também
Adicionar grupos de destinatários de e-mail
Agrupe os destinatários de e-mail para poder enviar uma mensagem a diversos destinatários de uma
só vez.
Antes de iniciar
Os destinatários e seus endereços de e-mail devem estar no sistema (consulte Adicionar
um usuário).
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, clique no sistema e no ícone Propriedades
.
2
Clique em Configurações de e-mail, clique em Configurar destinatários, depois em Grupos de e-mail | Adicionar.
3
Digite um nome para o grupo, selecione os usuários que farão parte desse grupo e clique em OK.
O grupo é adicionado à seção Grupos de destinatários de e-mail da página Grupos de e-mail.
Consulte também
Configurar NTP em um dispositivo
Sincronize a hora do dispositivo com o ESM usando um servidor NTP (Network Time Protocol).
Tarefa
Ajuda.
1
2
Clique em Configuração | NTP.
3
.
Tarefas
•
Exibir o status dos servidores NTP na página 234
Exiba o status de todos os servidores NTP no ESM.
Guia de produto
233
3
Consulte também
Página Configurar servidores NTP na página 234
Página Configurar servidores NTP
Gerencie os servidores NTP do dispositivo indique se deseja usar servidores NTP para sincronização de
hora.
Opção
Definição
Usar servidor(es) NTP para
sincronização de hora
Selecione essa opção para usar servidores NTP para sincronizar a hora do
dispositivo em vez de usar o relógio do sistema.
Tabela
Exiba os servidores NTP padrão e qualquer outro que tenha sido adicionado
ao dispositivo.
Coluna Servidor NTP
Adicione os endereços IP para servidores NTP que você deseja adicionar ao
dispositivo clicando na coluna. Você pode adicionar até 10 servidores.
Os endereços de servidor NTP nos dispositivos de classe IPS devem ser
endereços IP.
Colunas Chave de
autenticação e ID da chave
Digite a chave de autenticação e o ID da chave para cada servidor NTP
(entre em contato com seu administrador de rede caso não tenha essas
informações).
Status
Clique para exibir o status dos servidores NTP na lista. Se você tiver feito
alterações na lista de servidores, deverá clicar em OK para salvar as
alterações e fechar a página; depois, abra a página novamente antes de
clicar em Status.
Consulte também
Configurar NTP em um dispositivo na página 233
Exibir o status dos servidores NTP
Exiba o status de todos os servidores NTP no ESM.
Antes de iniciar
Adicione servidores NTP ao ESM ou a dispositivos (consulte Sincronização da hora do
sistema ou Configurar NTP em um dispositivo).
Tarefa
Ajuda.
1
2
Na árvore de navegação do sistema, execute uma das seguintes ações:
•
Selecione Propriedades do sistema | Informações do sistema e clique em Relógio do sistema.
•
Na árvore de navegação do sistema, selecione um dispositivo, clique no ícone Propriedades e
selecione Configuração | NTP.
Clique em Status, exiba os dados do servidor NTP e clique em Fechar.
Consulte também
Configurar NTP em um dispositivo na página 233
Página Status do servidor NTP na página 235
234
Guia de produto
3
Página Status do servidor NTP
Exiba o status dos servidores NTP. Se você fez alterações à lista de servidores NTP nas páginasRelógio
do sistema ou Configurar servidores NTP, pode levar até 10 minutos para que as mudanças apareçam nesta
página.
Opção
Definição
Coluna Servidor NTP Lista os endereços IP dos servidores NTP. Estas marcações podem aparecer antes
do endereço:
• * – Servindo sendo consultado no
momento
• x – Registrador falso de origem
• + – Selecionado, incluído no
conjunto final
• . – Selecionado do fim da lista de
candidatos
• # – Selecionado, distância excede
o valor máximo
• - – Descartado por algoritmo do
cluster
• o – Selecionado, PPS (Pulso Por
Segundo) usado
Coluna Acessível
Sim significa que o servidor é acessível e não significa que ele não é acessível.
Coluna Autenticação Nenhuma significa que nenhuma credencial foi fornecida, Incorreta significa que as
credenciais estavam incorretas e sim significa que as credenciais corretas foram
fornecidas.
Coluna Condição
A condição corresponde à marca na coluna Servidor NTP. Candidato significa que é
uma escolha possível, sys.peer significa que é a escolha atual e rejeição significa que
ele está inacessível. Se todos os servidores estiverem marcados com rejeição, é
possível que a configuração de NTP esteja sendo reiniciada.
Consulte também
Definir configurações de rede
Configure o modo como o ESM se conecta à sua rede, adicionando o gateway do servidor e os
endereços IP do servidor DNS do ESM, definindo as configurações do servidor proxy, configurando o
SSH e adicionando rotas estáticas.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Configurações de rede.
2
Preencha as informações para configurar a conexão com a sua rede.
3
Guia de produto
235
3
Tarefas
•
Configurar a porta IPMI no ESM ou em dispositivos na página 247
Configure a rede da porta IPMI para configurar o IPMI no ESM ou em seus dispositivos.
•
Defina um valor de saída máximo para o ESM.
•
Configurar DHCP na página 254
O protocolo DHCP é usado em redes IP para a distribuição dinâmica de parâmetros de
configuração de rede, como endereços IP para interfaces e serviços.
•
Configurar o DHCP na VLAN na página 254
O protocolo DHCP é usado em redes IP para a distribuição dinâmica de parâmetros de
configuração de rede, como endereços IP para interfaces e serviços.
Página Configurações de rede
Defina as configurações para a conexão entre o ESM e a sua rede.
Guia
Opção
Definição
Principal
Interface 1 e Interface 2 Selecione Interface 1, Interface 2 ou ambas e clique em Instalação. Pelo
menos uma interface deve estar sempre ativada.
As versões 4 e 5 do Firefox atualmente são incapazes de remover o
"[ ]" do endereço ao verificar o certificado; portanto, não
conseguem resolver endereços IPv6 ao tentar obter os certificados
no IPv6. Para contornar esse problema, adicione um registro para o
endereço IPv6 no arquivo /etc/hosts (Linux) ou em C:\WINDOWS
\system32\drivers\etc\hosts (Windows) e use o nome de host em
vez do endereço IPv6 para navegar para o ESM.
Ativar SSH
Selecione essa opção para permitir conexões SSH. Pelo menos uma
(não disponível em interface deve ser definida para ativar SSH.
modo FIPS)
O ESM e os dispositivos usam uma versão de SSH habilitada para
FIPS. Os clientes SSH OpenSSH, Putty, dropbear, Cygwin ssh,
WinSCP e TeraTerm foram testados e funcionam. Caso esteja usando
Putty, a versão 0.62 é compatível e você pode fazer download em
http://www.chiark.greenend.org.uk/~sgtatham/putty/
download.html.
Porta SSH
Insira a porta específica cujo acesso é permitido.
Clique em Chaves SSH. Se você tiver ativado conexões SSH, a(s)
máquina(s) listada(s) se comunica(m). Para descontinuar a
comunicação, exclua o ID da máquina da lista.
Configurações de IPv6
Selecione Manual ou Automático para ativar o modo IPv6.
• Se a configuração estiver Desligada, o modo IPv6 estará desativado.
• Se você selecionar Automático, os campos IPv6 primário e IPv6 secundário
serão desativados. Cada host determina seu endereço a partir do
conteúdo de anúncios recebidos do usuário. O padrão IEEE EUI-64
será usado para definir a parte do ID de rede do endereço.
• Se você selecionar Manual, os campos IPv6 primário e IPv6 secundário
serão ativados. Adicione os endereços IPv6 nesses campos.
Avançado
236
Configure mensagens do protocolo ICMP e a IPMI (Intelligent Platform Management
Interface) no ESM ou em seus dispositivos.
Guia de produto
3
Guia
Opção
Definição
Mensagens ICMP
Selecione uma das seguintes opções para ICMP:
• Redirecionamentos — O ESM ignora mensagens redirecionadas.
• Destino inacessível — O ESM gera uma mensagem quando não for
possível entregar um pacote ao destino por motivos que não sejam
o congestionamento.
• Ativar PING — O ESM envia uma mensagem de Resposta de eco em
resposta a uma mensagem de Solicitação de eco enviada a um
endereço IPv6 multicast/anycast.
Configurações de IPMI
Se você tiver uma NIC da IPMI conectada a um switch e precisar
gerenciar os dispositivos ESM remotamente por uma placa IPMI,
adicione as configurações de IPMI:
• Ativar configurações de IPMI — Selecione para ter acesso aos comandos
da IPMI.
• VLAN, Endereço IP, Máscara de rede, Gateway — Insira as configurações
para definir a rede para a porta IPMI.
Proxy
Tráfego
Rotas
estáticas
Se a sua rede usa um servidor proxy, configure a conexão com o ESM.
IPv4 ou IPv6
Em dispositivos, se você possui uma interface usando um endereço
IPv6, pode selecionar IPv6. Caso contrário, IPv4 será selecionado.
Endereço IP, Porta,
Nome de usuário,
Senha
Insira as informações requeridas para conectar-se ao servidor proxy.
Autenticação básica
Selecione para implementar a verificação de autenticação básica.
Defina um valor de saída de dados máximo para uma rede e máscara para controlar a
taxa pela qual o tráfego de saída é enviado.
Tabela
Exiba os controles existentes que você tiver configurado.
Coluna Rede
saída com base no que você tiver definido.
Coluna Máscara
Coluna Taxa de
transferência máxima
Exiba a taxa de transferência máxima que você definiu para cada
rede.
Adicionar, Editar,
Excluir
Rotas estáticas
Adicione, edite ou remova rotas estáticas. Rota estática é um
conjunto especificado de instruções sobre como atingir um host ou
uma rede não disponíveis por meio do gateway padrão. Quando você
adiciona uma rota estática, a alteração passa por push para o ESM e
tem efeito imediatamente quando você clica em Aplicar. Depois que as
alterações são aplicadas, o ESM é reinicializado, o que causará a
perda de todas as sessões.
Consulte também
Guia de produto
237
3
Guia Proxy
Se a sua rede usar um servidor proxy, configure a conexão com o ESM.
Opção
Definição
IPv4 ou IPv6 (não disponível em todas as
guias Proxy)
Se você tiver uma interface usando um endereço IPv6,
poderá selecionar IPv6. Caso contrário, IPv4 será
selecionado.
Endereço IP, Porta, Nome de usuário, Senha
Insira as informações requeridas para conectar-se ao
servidor proxy.
Selecione para implementar a verificação de autenticação
básica.
Guia Rede nos dispositivos
Defina as configurações da interface de rede para cada dispositivo. Os campos nesta página dependem
do dispositivo.
Tabela 3-128 Definições das opções da guia Rede
Opção
Definição
Configuração da
placa de rede de
desvio
Configure a placa de rede de desvio para que o dispositivo transmita todo o tráfego,
inclusive tráfego malicioso (consulte Configurar placas de rede de desvio).
Dispositivos no modo de detecção de intrusão não possuem recursos de desvio e,
portanto, apresentam o status Operação normal.
Coletar fluxos
(Opcional) Selecione se deseja coletar fluxos do tráfego de ida e volta no
dispositivo.
ELM EDS SFTP
Se você tiver privilégios de usuário de Acesso ELM SFTP, poderá exibir e fazer
download de arquivos de log do ELM armazenados para os dispositivos. Se você
tiver privilégios de Gerenciamento do dispositivo, poderá alterar a porta para acessar os
arquivos no campo ELM EDS SFTP. Não use estas portas: 1, 22, 111, 161, 695, 1333,
1334, 10617 ou 13666.
É recomendável que você use esse recurso com um dos seguintes clientes FTP:
WinSCP 5.11, FileZilla, CoreFTP LE ou FireFTP.
HOME_NET
Digite os endereços IPs pertencentes à sua organização que determinem a direção
do tráfego de fluxo que o dispositivo coletará.
Interfaces
Selecione as interfaces a serem usadas e insira os endereços IP para o tipo IPv4 ou
IPv6. Se você digitar um endereço IPv4, adicione também o endereço da máscara
de rede. Se você digitar um endereço IPv6, inclua a máscara de rede no endereço,
ou você receberá uma mensagem de erro.
Para permitir que o dispositivo seja usado a partir de várias redes (limitado a MGT
1 <interface primária> e MGT 2 <primeira interface suspensa> somente), adicione
mais interfaces.
Para ativar o bonding da NIC, selecione Gerenciamento no primeiro campo, depois
digite o mesmo endereço IP e máscara de rede como NIC principal (primeira linha
na caixa de diálogo).
Modo IPv6
Selecione se o modo IPv6 deve ser ativado.
• Desligado: O modo IPv6 não está ativado. Os campos IPv6 são desativados.
• Automático: o modo IPv6 está ativado. Cada host determina seu endereço a partir
do conteúdo de anúncios recebidos do usuário. Ele usa o padrão IEEE EUI-64 para
definir a parte do ID de rede do endereço. Os campos IPv6 são desativados.
• Manual: o modo IPv6 está ativado. Os campos IPv6 são ativados.
238
Guia de produto
3
Tabela 3-128 Definições das opções da guia Rede (continuação)
Opção
Definição
Modo
(Opcional) Alterar o modo para IDS. Essa configuração só pode ser alterada no
dispositivo Nitro IPS.
Porta SSH
Selecione a porta pela qual o acesso será permitido entre o ESM e o dispositivo.
Caminhos de
tráfego
Defina o número de caminhos de tráfego de rede que passam pelo dispositivo. Esse
valor só pode ser alterado no Nitro IPS, e ele deve estar no modo IPS. Para cada
caminho, deve haver duas interfaces que não sejam usadas como interfaces de
gerenciamento.
Consulte também
Configurar interfaces de rede na página 241
Página Propriedades da interface
Defina as configurações da interface 1 ou 2.
Opção
Definição
DHCP
Se você não estiver trabalhando no ambiente de nuvem, selecione para ativar
serviços DHCP. O DHCP é útil se você precisar redefinir os endereços IP da sua rede.
Se você estiver usando um ESM ou ELM redundante, a redundância será
interrompida se o endereço IP do dispositivo redundante for alterado.
IPv4 , Máscara de
rede, IPv6
Digite o endereço IP e a máscara de rede para IPv4.
As versões 4 e 5 do Firefox atualmente são incapazes de remover o "[ ]" do endereço
ao verificar o certificado; portanto, não conseguem resolver endereços IPv6 ao
tentar obter os certificados no IPv6. Para contornar esse problema, adicione um
registro para o endereço IPv6 no arquivo /etc/hosts (Linux) ou em C:\WINDOWS
\system32\drivers\etc\hosts (Windows) e use o nome de host em vez do endereço
IPv6 para navegar para o ESM.
Gateway
Insira o gateway que funciona com sua configuração de rede. Ele deve ser um
endereço IPv4.
Servidor DNS 1 e 2 Especifique pelo menos um servidor DNS. Sem um servidor DNS, o ESM não pode
verificar as assinaturas e atualizações de software dos servidores McAfee. Recursos
como e-mails e WHOIS também ficam indisponíveis sem um servidor DNS válido.
Esses são os campos AND/OR para endereços IPv4 e IPv6. Você deve ter um
endereço IPv6 definido na Interface 1 ou 2 para usá-lo como endereço de servidor
DNS.
Configurar VLANS e Clique em Avançado.
aliases
• Caso esteja usando uma VLAN, adicione-a ao ESM.
• Se você tiver mais de um endereço IP para um dispositivo de rede, adicione um
alias.
Guia de produto
239
3
Guia Comunicação
Defina as configurações de comunicação para a interface entre o dispositivo e o ESM. Os campos nesta
página dependem do dispositivo.
Tabela 3-130 Definições das opções da guia Comunicação no dispositivo Receptor
Opção
Definição
Porta SNMP, Porta Selecione a porta para a qual o firewall no Receptor se abre para a escuta de
syslog, Porta
informações da origem de dados do protocolo de entrada. Uma porta igual a 0
sFlow
significa que a coleta está desativada.
O Receptor realiza a coleta de syslog UDP e TCP.
Porta syslog TLS
Selecione a porta para a qual o firewall no Receptor se abre para a escuta de
informações da origem de dados do protocolo TLS de entrada. A porta padrão é
10514. Uma porta igual a 0 significa que a coleta de syslog TLS está desativada. Ao
adicionar uma origem de dados, você pode especificar que somente TLS syslog seja
aceito da origem de dados caso essa porta esteja ativada. TLS oferece suporte
somente para certificados autoassinados.
Porta MEF
informações da origem de dados MEF de entrada. A porta padrão é 8081. Uma porta
igual a 0 significa que a coleta MEF está desativada.
Todas as origens de dados MEF com o mesmo endereço IP devem ser marcadas como
criptografada ou não criptografada.
Porta IPFIX
informações da origem de dados do protocolo IPFIX de entrada. A porta padrão é
4739. Uma porta igual a 0, que é o padrão e significa que a coleta IPFIX está
desativada.
Portas NetFlow
Selecione as portas para a qual o firewall no Receptor se abre para a escuta de
informações da origem de dados do protocolo NetFlow de entrada. Essa lista contém
várias portas separadas por vírgulas. Um valor em branco nesse campo significa que
a coleta NetFlow está desativada.
Endereço DHCP
Uma faixa de endereços IP DHCP que permite a coleta de registros enviados para o
Event Receiver a partir de origens de dados DHCP dentro dessa faixa. Uma origem de
dados DHCP pode ser qualquer formato de dados compatível e enviado ao Receptor
McAfee Labs pelo Windows Event Collector.
Gerenciamento de interfaces de rede
A comunicação com um dispositivo pode ocorrer utilizando-se interfaces públicas e privadas dos
caminhos de tráfego. Isso significa que o dispositivo estará invisível na rede, já que não requer um
endereço IP.
Interface de gerenciamento
Alternadamente, administradores de rede podem configurar uma interface de gerenciamento com um
endereço IP para comunicação entre o ESM e o dispositivo. Estes recursos de dispositivo requerem o
uso de uma interface de gerenciamento:
240
•
Controle total de cartões de rede de desvio
•
Uso de sincronização de hora NTP
•
Syslog gerado pelo dispositivo
•
Notificações SNMP
Guia de produto
3
Os dispositivos são equipados com pelo menos uma interface de gerenciamento, o que fornece ao
dispositivo um endereço IP. Com um endereço IP, o dispositivo pode ser acessado diretamente pelo
ESM sem o direcionamento da comunicação para outro nome do host ou endereço IP de destino.
Não conecte a interface de rede de gerenciamento a uma rede pública, já que ela estará visível para a
rede pública e sua segurança pode ser comprometida.
Para um dispositivo em execução no modo Nitro IPS, deve haver duas interfaces para cada caminho
de tráfego de rede. Para o modo de detecção de intrusão, deve haver um mínimo de duas interfaces
de rede no dispositivo. Você pode configurar mais de uma interface de rede de gerenciamento no
dispositivo.
Placa de rede de desvio
Um dispositivo no modo de desvio permite a passagem de todo o tráfego, inclusive tráfego malicioso.
Em circunstâncias normais, você pode sofrer uma perda de conexão de um a três segundos quando o
dispositivo alterna para o modo de desvio e de 18 segundos quando ele sai. Estar conectado a certos
switches, como alguns modelos do Cisco Catalyst, pode alterar esses números. Nesse caso, você pode
sofrer uma perda de conexão de 33 segundos quando o dispositivo alterna para o modo de desvio e
quando sai.
Se esse for o seu caso, você pode ativar o port fast na porta do switch e configurar manualmente a
velocidade e o duplex para que as horas voltem ao normal. Certifique-se de definir todas as quatro
portas (switch, duas no Nitro IPS e em outro dispositivo) com as mesmas configurações; do contrário,
você poderá ter um problema de negociação no modo de desvio (consulte Configurar placas de rede
de desvio).
As opções de desvio disponíveis dependem do tipo de placa de rede de desvio no dispositivo, Tipo 2 ou
Tipo 3.
Vínculo de interface do ESM
O ESM tenta ativar automaticamente o modo de NIC vinculado quando detecta duas interfaces de
gerenciamento que usam o mesmo endereço IP. Quando o modo vinculado é ativado, as interfaces são
atribuídas ao mesmo endereço IP e MAC. O modo de vínculo usado é o modo 1 (backup ativo).
Para desativar o vínculo de NIC, altere o endereço IP de uma das interfaces, de forma que elas deixem
de ser correspondentes. Em seguida, o sistema automaticamente desativa o modo de NIC vinculado.
Consulte também
Adicionar VLANs e aliases na página 244
Adicionar rotas estáticas na página 245
Placa de rede de desvio na página 246
Configurar placas de rede de desvio na página 247
Configurar interfaces de rede
Configurações de interface determinam como o ESM se conecta com o dispositivo. Você deve defini-las
para cada dispositivo.
Guia de produto
241
3
Tarefa
Ajuda.
1
2
Clique na opção Configuração do dispositivo e depois em Interfaces.
3
Insira os dados conforme solicitado e clique em Aplicar.
.
Todas as alterações são enviadas por push para o dispositivo e têm efeito imediatamente. Depois que
as alterações são aplicadas, o dispositivo é reinicializado, o que causa a perda de todas as sessões.
Consulte também
Gerenciamento de interfaces de rede na página 240
Guia Rede nos dispositivos na página 238
Guia Avançado nos dispositivos na página 243
Página Interfaces avançadas na página 244
Guia Rede nos dispositivos
Defina as configurações da interface de rede para cada dispositivo. Os campos nesta página dependem
do dispositivo.
Tabela 3-131 Definições das opções da guia Rede
Opção
Definição
Configuração da
placa de rede de
desvio
Configure a placa de rede de desvio para que o dispositivo transmita todo o tráfego,
inclusive tráfego malicioso (consulte Configurar placas de rede de desvio).
Dispositivos no modo de detecção de intrusão não possuem recursos de desvio e,
portanto, apresentam o status Operação normal.
Coletar fluxos
(Opcional) Selecione se deseja coletar fluxos do tráfego de ida e volta no
dispositivo.
ELM EDS SFTP
Se você tiver privilégios de usuário de Acesso ELM SFTP, poderá exibir e fazer
download de arquivos de log do ELM armazenados para os dispositivos. Se você
tiver privilégios de Gerenciamento do dispositivo, poderá alterar a porta para acessar os
arquivos no campo ELM EDS SFTP. Não use estas portas: 1, 22, 111, 161, 695, 1333,
1334, 10617 ou 13666.
É recomendável que você use esse recurso com um dos seguintes clientes FTP:
WinSCP 5.11, FileZilla, CoreFTP LE ou FireFTP.
HOME_NET
242
Digite os endereços IPs pertencentes à sua organização que determinem a direção
do tráfego de fluxo que o dispositivo coletará.
Guia de produto
3
Tabela 3-131 Definições das opções da guia Rede (continuação)
Opção
Definição
Interfaces
Selecione as interfaces a serem usadas e insira os endereços IP para o tipo IPv4 ou
IPv6. Se você digitar um endereço IPv4, adicione também o endereço da máscara
de rede. Se você digitar um endereço IPv6, inclua a máscara de rede no endereço,
ou você receberá uma mensagem de erro.
Para permitir que o dispositivo seja usado a partir de várias redes (limitado a MGT
1 <interface primária> e MGT 2 <primeira interface suspensa> somente), adicione
mais interfaces.
Para ativar o bonding da NIC, selecione Gerenciamento no primeiro campo, depois
digite o mesmo endereço IP e máscara de rede como NIC principal (primeira linha
na caixa de diálogo).
Modo IPv6
Selecione se o modo IPv6 deve ser ativado.
• Desligado: O modo IPv6 não está ativado. Os campos IPv6 são desativados.
• Automático: o modo IPv6 está ativado. Cada host determina seu endereço a partir
do conteúdo de anúncios recebidos do usuário. Ele usa o padrão IEEE EUI-64 para
definir a parte do ID de rede do endereço. Os campos IPv6 são desativados.
• Manual: o modo IPv6 está ativado. Os campos IPv6 são ativados.
Modo
(Opcional) Alterar o modo para IDS. Essa configuração só pode ser alterada no
dispositivo Nitro IPS.
Porta SSH
Selecione a porta pela qual o acesso será permitido entre o ESM e o dispositivo.
Caminhos de
tráfego
Defina o número de caminhos de tráfego de rede que passam pelo dispositivo. Esse
valor só pode ser alterado no Nitro IPS, e ele deve estar no modo IPS. Para cada
caminho, deve haver duas interfaces que não sejam usadas como interfaces de
gerenciamento.
Consulte também
Guia Avançado nos dispositivos
Defina as configurações de rede avançadas no dispositivo selecionado. Os campos nesta página variam
com base no dispositivo com o qual você está trabalhando.
Opção
Definição
Mensagens ICMP
Selecione uma das seguintes opções para ICMP.
Redirecionamentos — Caso esta opção seja selecionada, o ESM ignorará mensagens
redirecionadas.
Destino inacessível — Se essa opção for selecionada, o ESM gerará uma mensagem
quando não for possível entregar um pacote ao destino por motivos que não
sejam o congestionamento.
Ativar ping — Se essa opção for selecionada, o ESM enviará uma Resposta de eco à
mensagem de Solicitação de eco enviada a um endereço IPv6 multicast/anycast.
Configurações de
IPMI
Para gerenciar remotamente os dispositivos do ESM pelo cartão IPMI quando uma
NIC de IPMI for conectada a um switch, adicione as configurações de IPMI.
• Ativar configurações de IPMI — Selecione para ter acesso aos comandos da IPMI.
• VLAN, Endereço IP, Máscara de rede, Gateway — Insira as configurações para definir a
rede para a porta IPMI.
Consulte também
Guia de produto
243
3
Página Interfaces avançadas
Adicione VLANs e aliases à interface.
Opção
Definição
Adicionar alias
Destaque a VLAN para a qual deseja adicionar o alias e clique nela. Essa opção não fica
disponível se o DHCP estiver selecionado.
Adicionar VLAN Clique para adicionar uma VLANs à interface.
Editar
Destaque um alias ou uma VLAN na tabela e clique para alterar suas configurações.
Excluir
Destaque um alias ou uma VLAN na tabela e clique para excluí-lo(a).
Consulte também
Adicionar VLANs e aliases
Adicione redes virtuais de área local (VLANs) e aliases a uma interface ACE ou ELM. Os aliases são
endereços IP e pares de máscaras de rede atribuídos que você adiciona quando tem um dispositivo de
rede que possui mais de um endereço IP.
Tarefa
Ajuda.
1
seguida clique na Configuração do dispositivo.
2
Na seção Interfaces da guia Rede, clique em Configuração, depois em Avançado.
3
Clique em Adicionar VLAN, insira as informações solicitadas e clique em OK.
4
Selecione a VLAN onde deseja adicionar o alias e clique em Adicionar alias.
5
, em
Consulte também
Página Adicionar alias na página 244
Página Adicionar VLAN na página 245
Página Adicionar alias
Adicione um alias, ou seja, uma combinação de endereço IP e máscara de rede, se você tem um
dispositivo de rede que possui mais de um endereço IP.
244
Opção
Definição
VLAN
Exiba a VLAN em que este alias se encontra. Esse campo é preenchido previamente
com o número da VLAN à qual o alias está sendo adicionado. Se essa for a VLAN
Desmarcada, esse número será 0.
Versão IP
Selecione se o endereço IP está no formato IPv4 ou IPv6.
Guia de produto
3
Opção
Definição
Endereço IP
Digite o endereço IP do alias.
Máscara de rede Se o endereço estiver no formato IPv4, digite a máscara de rede.
Consulte também
Página Adicionar VLAN
Adicione uma VLANs a esta interface.
Opção
Definição
VLAN
Digite um número para a VLAN.
DHCP
Se você não estiver trabalhando no ambiente de nuvem, selecione para ativar serviços
DHCP. O DHCP é útil se você precisar redefinir os endereços IP da sua rede.
Se você estiver usando um ESM ou ELM redundante, a redundância será interrompida se
o endereço IP do dispositivo redundante for alterado.
IPv4 ou IPv6
Selecione a versão IP. IPv4 é selecionado por padrão. Se você tiver IPv6 definido para
Manual ou Automático na página Configurações de rede, o botão de seleção IPv6 estará ativado.
Selecione se o endereço IP estiver no formato IPv6. Quando selecionado, o campo
Máscara de rede é desativado.
Endereço IP
Digite o endereço IP para a VLAN.
Máscara de rede Se o endereço IP estiver no formato IPv4, adicione a máscara de rede.
Consulte também
Adicionar rotas estáticas
Uma rota estática é um conjunto de instruções sobre como acessar um host ou uma rede que não
esteja disponível pelo gateway padrão.
Tarefa
Ajuda.
1
2
Clique em Configuração | Interfaces.
3
Ao lado da tabela Rotas estáticas, clique em Adicionar.
4
Insira as informações e clique em OK.
.
Consulte também
Guia Rotas estáticas na página 246
Página Adicionar rota estática na página 246
Guia de produto
245
3
Guia Rotas estáticas
Rota estática é um conjunto especificado de instruções sobre como atingir um host ou uma rede não
disponíveis por meio do gateway padrão. Se o ESM ou os dispositivos precisarem de rotas estáticas
para se comunicar com a rede, gerencie-os aqui.
Opção
Definição
Tabela Rotas estáticas
Exiba as rotas estáticas do sistema.
Adicionar
Clique para adicionar as informações de uma rota estática.
Editar
Clique para alterar as configurações da rota estática selecionada.
Remover
Clique para excluir a rota estática selecionada.
Consulte também
Página Adicionar rota estática
Adicione uma rota estática para fornecer instruções sobre como acessar um host ou rede que não está
disponível pelo gateway padrão.
Opção
Definição
IPv4 ou IPv6
Selecione se esta rota estática buscará tráfego IPv4 ou IPv6.
Rede e Gateway
Digite o endereço IP da rede e do gateway para a rota.
Máscara
Selecione a máscara.
Consulte também
Placa de rede de desvio
Um dispositivo no modo de desvio permite a passagem de qualquer tráfego, inclusive tráfego
malicioso.
Em circunstâncias normais, você pode sofrer uma perda de conexão de um a três segundos quando o
dispositivo alterna para o modo de desvio e de 18 segundos quando ele sai. Estar conectado a certos
switches, como alguns modelos do Cisco Catalyst, pode alterar esses números. Nesse caso, você pode
sofrer uma perda de conexão de 33 segundos quando o dispositivo alterna para o modo de desvio e
quando sai.
Se esse for o seu caso, você pode ativar o port fast na porta do switch e configurar manualmente a
velocidade e o duplex para que as horas voltem ao normal. Certifique-se de definir todas as quatro
portas (switch, no IPS Nitro e outro dispositivo) para as mesmas configurações; do contrário, você
pode ter um problema de negociação no modo de desvio.
As opções de desvio disponíveis dependem do tipo de placa de rede de desvio no dispositivo, Tipo 2 ou
Tipo 3.
Vínculo de interface do ESM
O ESM tenta ativar automaticamente o modo de NIC vinculado quando detecta duas interfaces de
gerenciamento que usam o mesmo endereço IP. Quando o modo vinculado é ativado, as interfaces são
atribuídas ao mesmo endereço IP e MAC. O modo de vínculo usado é o modo 1 (backup ativo).
Para desativar o vínculo de NIC, altere o endereço IP de uma das interfaces, de forma que elas deixem
de ser correspondentes. Em seguida, o sistema automaticamente desativa o modo de NIC vinculado.
246
Guia de produto
3
Consulte também
Configurar placas de rede de desvio
Nos dispositivos IPS, é possível definir as configurações de placa de rede de desvio para permitir a
passagem de todo o tráfego.
Os dispositivos ADM e DEM estão sempre no modo IDS. É possível exibir o tipo e o status da placa de
rede de desvio, mas não é possível alterar suas configurações.
Tarefa
Ajuda.
1
.
2
Clique em Configuração | Interfaces.
3
Na página Configurações da interface de rede, vá para a seção Configuração de placa de rede de desvio, na parte
inferior.
4
Exiba o tipo e o status ou, em um IPS, altere as configurações.
5
Clique em OK.
Consulte também
Configuração de porta IPMI no ESM ou em dispositivos
É possível configurar a porta IPMI no ESM ou em qualquer um dos seus dispositivos.
Isso permite executar várias ações:
•
Conecte o NIC (Network interface controller) do IPMI em um switch para que ele fique disponível
para o software IPMI.
•
Acesse uma KVM (Kernel-based Virtual Machine) baseada em IPMI.
•
Defina a senha de IPMI para o usuário padrão após o upgrade para o ESM 9.4.0.
•
Acesse os comandos IPMI como ligar e status de energia.
•
Redefina a placa IPMI.
•
Realize uma redefinição a quente e a frio.
Configurar a porta IPMI no ESM ou em dispositivos
Configure a rede da porta IPMI para configurar o IPMI no ESM ou em seus dispositivos.
Guia de produto
247
3
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione o sistema ou qualquer dispositivo e clique no ícone
Propriedades
2
3
.
Acesse a guia Configurações de rede Avançado.
•
No ESM, clique em Configurações de rede | Avançado.
•
Em um dispositivo, clique na opção Configuração e em Interfaces | Avançado
Selecione Ativar configurações de IPMI e digite a VLAN, o endereço IP, a máscara de rede e o gateway do
IPMI.
Se Ativar configurações de IPMI estiver esmaecido no BIOS do dispositivo, será necessário atualizar o
BIOS do sistema. Instale o SSH no dispositivo e abra o arquivo /etc/areca/system_bios_update/
Contents‑README.txt.
4
Clique em Aplicar ou em OK.
Se estiver fazendo upgrade do seu dispositivo, você pode receber uma mensagem orientando a
alterar a senha ou recodificar o dispositivo. Se essa mensagem for exibida, altere a senha do
sistema ou recodifique o dispositivo para definir uma nova senha para configurar a IPMI.
Consulte também
Página Configurações de rede na página 236
Página Configurações de rede
Defina as configurações para a conexão entre o ESM e a sua rede.
Guia
Opção
Definição
Principal
Interface 1 e Interface 2 Selecione Interface 1, Interface 2 ou ambas e clique em Instalação. Pelo
menos uma interface deve estar sempre ativada.
As versões 4 e 5 do Firefox atualmente são incapazes de remover o
"[ ]" do endereço ao verificar o certificado; portanto, não
conseguem resolver endereços IPv6 ao tentar obter os certificados
no IPv6. Para contornar esse problema, adicione um registro para o
endereço IPv6 no arquivo /etc/hosts (Linux) ou em C:\WINDOWS
\system32\drivers\etc\hosts (Windows) e use o nome de host em
vez do endereço IPv6 para navegar para o ESM.
Ativar SSH
Selecione essa opção para permitir conexões SSH. Pelo menos uma
(não disponível em interface deve ser definida para ativar SSH.
modo FIPS)
O ESM e os dispositivos usam uma versão de SSH habilitada para
FIPS. Os clientes SSH OpenSSH, Putty, dropbear, Cygwin ssh,
WinSCP e TeraTerm foram testados e funcionam. Caso esteja usando
Putty, a versão 0.62 é compatível e você pode fazer download em
http://www.chiark.greenend.org.uk/~sgtatham/putty/
download.html.
Porta SSH
248
Insira a porta específica cujo acesso é permitido.
Guia de produto
3
Guia
Opção
Definição
Clique em Chaves SSH. Se você tiver ativado conexões SSH, a(s)
máquina(s) listada(s) se comunica(m). Para descontinuar a
comunicação, exclua o ID da máquina da lista.
Configurações de IPv6
Selecione Manual ou Automático para ativar o modo IPv6.
• Se a configuração estiver Desligada, o modo IPv6 estará desativado.
• Se você selecionar Automático, os campos IPv6 primário e IPv6 secundário
serão desativados. Cada host determina seu endereço a partir do
conteúdo de anúncios recebidos do usuário. O padrão IEEE EUI-64
será usado para definir a parte do ID de rede do endereço.
• Se você selecionar Manual, os campos IPv6 primário e IPv6 secundário
serão ativados. Adicione os endereços IPv6 nesses campos.
Avançado
Configure mensagens do protocolo ICMP e a IPMI (Intelligent Platform Management
Interface) no ESM ou em seus dispositivos.
Mensagens ICMP
Selecione uma das seguintes opções para ICMP:
• Redirecionamentos — O ESM ignora mensagens redirecionadas.
• Destino inacessível — O ESM gera uma mensagem quando não for
possível entregar um pacote ao destino por motivos que não sejam
o congestionamento.
• Ativar PING — O ESM envia uma mensagem de Resposta de eco em
resposta a uma mensagem de Solicitação de eco enviada a um
endereço IPv6 multicast/anycast.
Configurações de IPMI
Se você tiver uma NIC da IPMI conectada a um switch e precisar
gerenciar os dispositivos ESM remotamente por uma placa IPMI,
adicione as configurações de IPMI:
• Ativar configurações de IPMI — Selecione para ter acesso aos comandos
da IPMI.
• VLAN, Endereço IP, Máscara de rede, Gateway — Insira as configurações
para definir a rede para a porta IPMI.
Proxy
Tráfego
Se a sua rede usa um servidor proxy, configure a conexão com o ESM.
IPv4 ou IPv6
Em dispositivos, se você possui uma interface usando um endereço
IPv6, pode selecionar IPv6. Caso contrário, IPv4 será selecionado.
Endereço IP, Porta,
Nome de usuário,
Senha
Insira as informações requeridas para conectar-se ao servidor proxy.
Selecione para implementar a verificação de autenticação básica.
Defina um valor de saída de dados máximo para uma rede e máscara para controlar a
taxa pela qual o tráfego de saída é enviado.
Tabela
Exiba os controles existentes que você tiver configurado.
Coluna Rede
saída com base no que você tiver definido.
Coluna Máscara
Coluna Taxa de
transferência máxima
Exiba a taxa de transferência máxima que você definiu para cada
rede.
Guia de produto
249
3
Guia
Rotas
estáticas
Opção
Definição
Adicionar, Editar,
Excluir
Rotas estáticas
Adicione, edite ou remova rotas estáticas. Rota estática é um
conjunto especificado de instruções sobre como atingir um host ou
uma rede não disponíveis por meio do gateway padrão. Quando você
adiciona uma rota estática, a alteração passa por push para o ESM e
tem efeito imediatamente quando você clica em Aplicar. Depois que as
alterações são aplicadas, o ESM é reinicializado, o que causará a
perda de todas as sessões.
Consulte também
Definir controle de tráfego de rede no ESM
Defina um valor de saída máximo para o ESM.
Esse recurso é útil quando há restrições de banda larga e você precisa controlar a quantidade de
dados que pode ser enviada por cada ESM. As opções são Kb (quilobits), Mb (megabits) e Gb
(gigabits) por segundo.
Tenha cuidado ao configurar esse recurso porque a limitação de tráfego pode resultar em perda de
dados.
Tarefa
Ajuda.
1
2
.
Clique em Configurações de rede e na guia Tráfego.
A tabela listará os controles existentes.
3
Para adicionar controles para um dispositivo, clique em Adicionar, insira o endereço de rede e
máscara, defina a taxa e clique em OK.
Se você definir a máscara como zero (0), todos os dados enviados serão controlados.
4
Clique em Aplicar.
A velocidade do tráfego de saída do endereço de rede especificado é controlada.
Consulte também
Guia Tráfego na página 53
Página Adicionar taxa de transferência na página 54
250
Guia de produto
3
Guia Tráfego
Você pode definir um valor de saída de dados máximo para uma rede e máscara para controlar a taxa
de envio do tráfego.
Opção
Definição
Coluna Rede
saída com base no que você definiu.
Coluna Máscara
Coluna Taxa de transferência máxima Exiba a taxa de transferência máxima que você definiu para cada
rede.
Adicionar, Editar, Excluir
Consulte também
Página Adicionar taxa de transferência
Defina um valor de saída de dados máximo para uma rede e máscara para controlar a taxa de envio
do tráfego de saída.
Opção Definição
Rede
Digite o endereço da rede em que você deseja controlar o tráfego de saída.
Máscara (Opcional) Selecione uma máscara para o endereço de rede.
Taxa
Selecione Kb (quilobits), Mb (megabits) ou Gb (gigabits) e a taxa por segundo para o tráfego
de envio.
Consulte também
Trabalhar com nomes de host
O nome do host de um dispositivo é, normalmente, mais útil do que o endereço IP. É possível
gerenciar os nomes de host para associá-los a seus respectivos endereços IP.
Na página Hosts, pode-se adicionar, editar, remover, pesquisar, atualizar e importar nomes de host,
além de definir em quanto tempo o nome do host aprendido automaticamente expira.
Ao exibir os dados de um evento, você pode mostrar os nomes de host associados aos endereços IP
do evento clicando no ícone Mostrar nomes de host
, localizado ao final da exibição de componentes.
Se os eventos existentes não estiverem marcados com um nome do host, o sistema fará uma busca
na tabela de hosts do ESM e marcará os endereços IP com seus respectivos nomes do host. Se os
endereços IP não estiverem listados na tabela de hosts, o sistema realizará uma pesquisa de Sistema
de Nomes de Domínio (DNS) para localizá-los. Os resultados da pesquisa são mostrados na exibição e
adicionados à tabela de hosts.
Na tabela de hosts, esses dados são marcados como Aprendidos automaticamente e expiram depois do
período designado no campo As entradas expiram após, localizado abaixo da tabela de hosts, na
páginaPropriedades do sistema | Hosts. Se os dados já tiverem expirado, outra pesquisa de DNS será
realizada na próxima vez que você selecionar a opção Mostrar nomes de host em uma exibição.
A tabela de hosts lista os nomes de host adicionados e aprendidos automaticamente e seus endereços
IP. É possível adicionar informações à tabela de hosts manualmente, digitando um nome do host e seu
endereço IP individualmente ou importando uma lista delimitada por tabulação de nomes do host e
Guia de produto
251
3
endereços IP (consulte Importar uma lista de nomes de host). Quanto mais dados forem adicionados
dessa maneira, menos tempo será gasto em pesquisas de DNS. Se você adicionar um nome do host
manualmente, ele não expirará, mas poderá ser editado ou removido.
Consulte também
Gerenciar nomes de host na página 252
Importar uma lista de nomes de host na página 253
Gerenciar nomes de host
Realizar todas as ações necessárias para gerenciar os nomes de host na página Hosts, como adicionar,
editar, importar, remover ou pesquisar. Também é possível definir o tempo de expiração para hosts
aprendidos automaticamente.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Hosts.
2
Selecione uma opção e digite a informação solicitada.
3
Consulte também
Trabalhar com nomes de host na página 251
Importar uma lista de nomes de host na página 253
Página Hosts na página 252
Página Adicionar host na página 253
Página Hosts
Gerencie a lista de nomes de host no ESM.
Opção
Definição
Adicionar
Adicione um nome do host ou nome do host e seu endereço IP. Ele será
adicionado à tabela Hosts.
Editar
Altere os nomes de host associados a um endereço IP.
Remover
Exclua o item selecionado da tabela.
Pesquisa
Pesquise o nome do host para um endereço IP. Isso é útil ao configurar
informações para uma rede interna. Quando a pesquisa for concluída, os
resultados aparecerão na tabela.
Atualizar hosts
Atualize a tabela para refletir alterações feitas à lista e entradas expiradas.
Importar
Importe uma lista de nomes de host e endereços IP delimitada por tabulação
(consulte Importar uma lista de nomes de host).
As entradas expiram
após
Defina o período durante o qual você deseja que os nomes de host aprendidos
automaticamente permaneçam na tabela. Se você não quiser que eles expirem,
selecione zero (0) em todos os campos.
Consulte também
252
Guia de produto
3
Página Adicionar host
Adicione um host individual à tabela de hosts.
Opção
Definição
Nome do host Digite um nome para o host. Ele aceita uma cadeia de até 100 caracteres.
Endereço IP
Digite o endereço IP para o host em notações IPv4 ou IPv6 válidas. Você pode incluir
uma máscara.
Consulte também
Importar uma lista de nomes de host
Importar um arquivo de texto que contenha endereços IP e os respectivos nomes de host para a
tabela de hosts.
Antes de iniciar
Crie o arquivo delimitado por tabulação de nomes de host e endereços IP.
Cada registro do arquivo deve ser listado em uma linha independente, com o endereço IP primeiro em
anotação IPv4 ou IPv6. Por exemplo:
102.54.94.97 rhino.acme.com
08c8:e6ff:0100::02ff x.acme.com
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema, depois clique em Hosts | Importar.
2
Navegue até o arquivo de texto e clique em Fazer upload. Se o arquivo contiver endereços IP já
incluídos na tabela de hosts com um nome do host diferente, a página Duplicados listará os registros
que estão duplicados.
•
Para alterar o nome do host da tabela para o nome que consta no arquivo de texto, selecione-o
na coluna Usar e clique em OK.
•
Para manter os dados de host existentes, não marque a caixa de seleção, depois clique em OK.
Os novos dados do host são adicionados à tabela. A coluna Aprendidos automaticamente apresenta a opção
Não, pois os dados foram inseridos manualmente, logo, não expirarão.
Consulte também
Trabalhar com nomes de host na página 251
Guia de produto
253
3
Configurar DHCP
O protocolo DHCP é usado em redes IP para a distribuição dinâmica de parâmetros de configuração de
rede, como endereços IP para interfaces e serviços.
Quando você configura o ESM para distribuição no ambiente de nuvem, o DHCP é ativado
automaticamente e atribui um endereço IP. Quando não estiver no ambiente de nuvem, você poderá
ativar e desativar serviços do DHCP no [ESM], Receiver sem ser de HA, ACE e ELM se você tiver
direitos de Gerenciamento de dispositivos. Isso é útil se você precisar redefinir os endereços IP da sua
rede.
Os aliases são desativados quando o DHCP é ativado.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione o sistema ou um dispositivo e clique no ícone
Propriedades
2
3
.
•
Para o ESM, clique em Configurações de rede e na guia Principal.
•
Para um dispositivo, selecione a opção Configuração do dispositivo, clique em Interfaces e na guia
Rede.
Clique em Instalação no campo Interface 1 e selecione DHCP.
Para dispositivos que não sejam Receivers, você é informado de que as alterações requerem uma
reinicialização do servidor ESM.
4
Clique em OK.
Configurar o DHCP na VLAN
O protocolo DHCP é usado em redes IP para a distribuição dinâmica de parâmetros de configuração de
rede, como endereços IP para interfaces e serviços.
Quando você configura o ESM para distribuição no ambiente de nuvem, o DHCP é ativado
automaticamente e atribui um endereço IP. Quando não estiver no ambiente de nuvem, você poderá
ativar e desativar serviços do DHCP nas VLANs, ESM, Receiver sem ser de HA, ACE e ELM se você tiver
direitos de Gerenciamento de dispositivos. Isso é útil se você precisar redefinir os endereços IP da sua
rede.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione o sistema ou um dispositivo e clique no ícone
Propriedades
2
3
254
.
•
Para o ESM, clique em Configurações de rede e na guia Principal.
•
Para um dispositivo, selecione a opção Configuração do dispositivo, clique em Interfaces e na guia
Rede.
Clique em Instalação no campo Interface 1 e em Avançada.
Guia de produto
3
4
Clique em Adicionar VLAN, digite a VLAN e selecione DHCP.
5
Clique em OK para voltar à página Configurações de rede e em Aplicar.
Para dispositivos que não sejam Receivers, você é informado de que as alterações requerem uma
reinicialização do servidor ESM.
Sincronização da hora do sistema
Como as atividades geradas pelo ESM e seus dispositivos possuem marca de hora, é importante que o
ESM e os dispositivos sejam sincronizados para manter um período de referência constante para os
dados reunidos. Você pode configurar a hora do sistema do ESM ou selecionar que o ESM e os
dispositivos sejam sincronizados com um servidor NTP.
Consulte também
Configurar hora do sistema na página 255
Sincronizar relógios do dispositivo na página 256
Configurar hora do sistema
Antes de iniciar
Se você deseja adicionar servidores NTP ao ESM, configure os servidores NTP e obtenha
suas chaves de autorização e IDs chave.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e verifique se Informações do sistema
está selecionado.
2
Clique em Relógio do sistema (GMT), defina as configurações e clique em OK.
Os endereços de servidor NTP nos dispositivos de classe IPS devem ser endereços IP.
As informações do servidor são salvas no arquivo de configuração. Depois disso, você pode acessar a
lista de servidores NTP novamente e verificar seus status.
Consulte também
Sincronização da hora do sistema na página 255
Página Relógio do sistema na página 255
Página Relógio do sistema
Selecione o relógio do sistema ou servidores NTP para a sincronização de hora do ESM.
Opção
Definição
Definir o Horário do sistema
ESM (GMT) como
Se você não estiver usando um servidor NTP para sincronizar a hora do
sistema, certifique-se de que a data e hora estejam definidas como GMT.
Usar servidor(es) NTP para
sincronização de hora
Selecione essa opção para usar servidores NTP para sincronizar a hora do
sistema em vez de usar o relógio do sistema.
Guia de produto
255
3
Opção
Definição
Coluna Servidor NTP
Adicione os endereços IP para servidores NTP clicando nessa coluna. Você
pode adicionar até 10 servidores.
Os endereços de servidor NTP nos dispositivos de classe IPS devem ser
endereços IP.
Colunas Chave de
autenticação e ID da chave
Digite a chave de autenticação e o ID da chave para cada servidor NTP
(entre em contato com seu administrador de rede caso não tenha essas
informações).
Status
Clique para exibir o status dos servidores NTP na lista. Se você fez
alterações na lista de servidores, deve clicar em OK para salvar as
alterações e depois fechar a página e abri-la novamente antes de clicar em
Status.
Consulte também
Configurar hora do sistema na página 255
Sincronizar relógios do dispositivo
Você pode sincronizar os relógios do dispositivo com o relógio do ESM para que os dados gerados
pelos múltiplos sistemas reflitam a mesma configuração de hora.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema ou Propriedades do dispositivo e
clique em Sincronizar no campo Sincronizar relógio do dispositivo.
Você será informado quando a sincronização for concluída ou se houver um problema.
2
Clique em Atualizar para atualizar os dados na página Informações do sistema ou Informações do dispositivo.
Consulte também
Sincronização da hora do sistema na página 255
Instalar um novo certificado
O ESM é fornecido com um certificado de segurança autoassinado padrão para esm.mcafee.local. A
maioria dos navegadores da Web exibe um aviso de que não foi possível confirmar a autenticidade do
certificado. Quando você obtém o par de certificados de chave SSL que deseja usar com o ESM, deve
instalá-lo.
Tarefa
Ajuda.
1
2
Na guia Gerenciamento de chaves, clique em Certificado.
3
Faça as seleções e clique em Fechar.
Consulte também
Página Gerenciar certificado na página 257
256
Guia de produto
3
Página Gerenciar certificado
Instale um certificado SSL no ESM.
Opção
Definição
Fazer upload do
certificado
Instale o certificado, chave e arquivos em cadeia opcionais, caso os tenha.
Você será solicitado a fazer upload do arquivo .crt, depois do arquivo .key e,
finalmente, dos arquivos em cadeia.
Certificado autoassinado
Gere e instale um certificado de segurança autoassinado para o ESM. Clique em
Gerar e insira as informações na página Gerenciar certificado. Clique em OK e em
Gerar.
Solicitação de certificado
assinado
Gere uma solicitação de certificado a ser enviada a uma autoridade de
certificação para assinatura.
• Clique em Gerar, insira as informações na página Gerenciar certificado e clique em
OK.
• Faça download do arquivo .zip, que contém um arquivo .crt e um
arquivo .key.
• Extraia o arquivo .crt e envie-o para a autoridade de certificação.
Gerar certificados McAfee Gere novamente o certificado original.
padrão novamente
Consulte também
Instalar um novo certificado na página 256
Configurar perfis
Defina perfis do tráfego baseado em syslog para poder executar configurações que compartilham
informações comuns sem precisar inserir os detalhes sempre. Também é possível adicionar um perfil
de comando remoto (URL ou script) e usá-lo em uma exibição e um alarme.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Gerenciamento de perfil.
2
Para adicionar um perfil, clique em Adicionar na guia Perfis do sistema e forneça os dados do perfil.
3
Para adicionar um comando remoto, clique na guia Comando remoto e forneça as informações
solicitadas.
4
Clique em OK.
Consulte também
Página Gerenciador de perfis na página 258
Página Adicionar perfil de sistema na página 258
Guia Comandos remotos na página 259
PáginaComando remoto na página 260
Guia de produto
257
3
Página Gerenciador de perfis
Gerencie os perfis no sistema para que eles possam ser usados em encaminhamento de eventos,
configuração da origem de dados, descoberta de rede, avaliação de vulnerabilidade, interceptações de
SNMP e compartilhamento remoto.
Opção
Definição
Tabela Perfis de sistema
Exiba os perfis atualmente no sistema.
Adicionar
Adicione um perfil.
Editar
Altere o perfil selecionado.
Remover
Exclua o perfil selecionado.
Consulte também
Configurar perfis na página 257
Página Adicionar perfil de sistema
Adicione um perfil de sistema para que seja usado em encaminhamento de eventos, configuração de
origem de dados, descoberta de rede, avaliação de vulnerabilidade, interceptações de SNMP e
compartilhamento remoto.
Opção
Definição
Senha de autenticação
Se você selecionar authNoPriv ou authPriv no campo Nível de segurança, esse campo
será ativado. Digite a senha para o protocolo de autenticação selecionado no
campo Protocolo de autenticação.
Protocolo de
autenticação
Se você selecionar authNoPriv ou authPriv no campo Nível de segurança, esse campo
será ativado. Selecione o tipo de protocolo para essa origem: MD5 ou SHA1. SHA1
e SHA referem-se ao mesmo tipo de protocolo.
Nome da comunidade
Digite a cadeia da comunidade da interceptação SNMP.
Compactação
Para SCP de compartilhamento remoto, selecione se deseja usar compactação.
Criptografia
Para FTP de compartilhamento remoto, selecione se deseja usar criptografia.
ID do mecanismo
Insira a ID do mecanismo SNMPv3 do remetente de interceptações. Este campo
não é obrigatório.
Registros de eventos
Os registros de eventos WMI padrão são SYSTEM, APPLICATION e SECURITY,
mas há suporte para outros registros. Ao inserir nomes adicionais, lembre-se de
que eles diferenciam maiúsculas e minúsculas, devem ser separados por vírgula
e não deve haver espaços entre eles. Você deve ter acesso para ler registros.
Você só pode fazer o pull de registros de segurança se for administrador. Você
pode fazer o pull de registros de origens de dados do WMI sem privilégios de
administrador caso eles estejam configurados corretamente.
Recurso
Selecione o recurso para o qual a mensagem de encaminhamento de evento
será enviada.
Intervalo
Selecione o intervalo, em minutos, em que o Receptor deve procurar por novos
eventos no provedor WMI.
Endereço IP
Interceptação de SNMP: digite o endereço IP do servidor do eEye que envia
informações de interceptação.
Encaminhamento de evento: digite o endereço IP para os quais os eventos serão
encaminhados.
Senha
258
A senha usada para conexão com o provedor WMI.
Guia de produto
3
Opção
Definição
Protocolo de privacidade Se você selecionar authPriv no campo Nível de segurança do SNMP, esse campo será
ativado. Selecione DES ou AES. No modo FIPS, AES é a única opção disponível.
Agente do perfil
Selecione o agente para esse perfil. Os campos restantes variam com base no
que você selecionar neste campo.
Nome do perfil
Digite um nome descritivo para esse perfil.
Tipo de perfil
Selecione o tipo de perfil. Os campos restantes nesta página variam com base
no que você selecionar neste campo. Eles são, em maior parte,
autoexplicativos.
Porta
Altere a porta de conexão se a padrão não estiver correta.
Protocolo
Selecione o protocolo de transporte.
Endereço IP remoto,
Se você selecionou CIFS ou NFS como agente do perfil, digite essas informações
Ponto de montagem
para o dispositivo de armazenamento.
remoto, Caminho remoto
Nível de segurança
Selecione o nível de segurança para esse perfil de SNMPv3.
• noAuthNoPriv — Nenhum protocolo de autenticação ou protocolo de privacidade
• authNoPriv — Existe um protocolo de autenticação, mas não um de privacidade
• authPriv — Existem protocolos de autenticação e de privacidade
Os campos Autenticação e Privacidade ficarão ativos com base no nível de segurança
que você selecionar.
Enviar pacote
Selecione se você deseja enviar o pacote de eventos.
Gravidade
Selecione a gravidade das informações a serem encaminhadas.
Nome do usuário
O nome do usuário usado para conexão com o provedor WMI. Para usuários do
domínio, digite o nome do usuário como domínio\usuário.
Consulte também
Guia Comandos remotos
Gerencie perfis de comandos remotos para que você possa executá-los em uma exibição ou um
alarme. Os scripts têm a capacidade de fazer referência a variáveis das consultas ou do evento.
Opção
Definição
Tabela Comandos remotos
Exiba os comandos remotos atualmente no sistema.
Adicionar
Adicione um novo comando remoto.
Editar
Altere o comando remoto selecionado.
Remover
Exclua o comando remoto selecionado.
Consulte também
Guia de produto
259
3
PáginaComando remoto
As configurações de comando remoto são usadas para executar um comando em qualquer dispositivo
que aceite conexões SSH, exceto os dispositivos da McAfee no ESM. Se adicionar um perfil, você
poderá acessá-lo a qualquer momento que precisar adicionar um comando remoto.
Opção
Definição
Nome
Digite um nome para este perfil de comando remoto.
Descrição
Descreva o que este comando faz.
Tipo
Selecione qual é o tipo de comando remoto.
Fuso horário
Selecione o fuso horário a ser usado.
Formato de data
Selecione o formato de data.
Host, Porta , Nome de usuário ,
Senha
Digite as informações da conexão SSH.
Cadeia de caracteres de comando
Digite a cadeia de comando para a conexão SSH. Para inserir
variáveis na cadeia de caracteres de comando, clique no ícone Inserir
variável
e selecione as variáveis.
Consulte também
Configuração de SNMP
Defina as configurações usadas pelo ESM para enviar o link ativado e desativado e as interceptações
de partida a frio/quente, ambas a partir do ESM e de cada dispositivo; recupere tabelas de interface e
de sistema II da MIB (Base de informações de gerenciamento) e permita a descoberta do ESM com o
comando snmpwalk.
O SNMPv3 é compatível com as opções NoAuthNoPriv, AuthNoPriv e AuthPriv, usando MD5 ou SHA
(Secure Hash Algorithm) para autenticação e DES (Data Encryption Standard) ou AES (Advanced
Encryption Standard) para criptografia (MD5 e DES não estão disponíveis no modo de conformidade
FIPS).
As solicitações do SNMP podem ser feitas a um ESM para ESM, Receiver e informação de integridade
do Nitro IPS, e as interceptações SNMPv3 podem ser enviadas para um ESM para serem adicionadas a
uma lista negra com um ou mais de seus dispositivos Nitro IPS gerenciados. Todos os appliances da
McAfee podem ser configurados para enviar links ativados e desativados das interceptações e enviar
interceptações de inicialização a quente e frio para um ou mais destinos de sua escolha (consulte
SNMP e a MIB da McAfee).
Consulte também
Defina as configurações de SNMP na página 260
Definir interceptação SNMP para notificação de queda de energia na página 263
O SNMP e a MIB da McAfee na página 264
Efetuar pull da MIB do ESM na página 269
Defina as configurações de SNMP
Defina as configurações usadas pelo ESM para o tráfego de entrada e saída de SNMP. As consultas do
SNMP podem ser realizadas somente por usuários cujos nomes não incluam espaços.
260
Guia de produto
3
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Configuração de SNMP.
2
Insira as informações necessárias nas guias Solicitações do SNMP e Interceptações de SNMP.
3
Clique em OK.
Consulte também
Configuração de SNMP na página 260
Página Configuração de SNMP na página 261
Página Configurações de SNMP na página 262
Página Configuração de SNMP
Defina as configurações usadas pelo ESM para o tráfego de SNMP.
Guia
Opção
Solicitações do SNMP Porta de solicitação
Interceptações de
SNMP
Definição
Selecione a porta por onde o tráfego passa.
Aceitar
Selecione os tipos de interceptações a serem aceitas.
Permitir SNMPv1/2c
Selecione se deseja permitir tráfego SNMP versão 1 e versão 2
e digite o tipo de comunidade.
Permitir SNMPv3
Selecione se deseja permitir o tráfego SNMP versão 3 e
selecione o nível de segurança, o protocolo de autenticação e o
protocolo de privacidade.
Endereços IP
confiáveis
Exiba os endereços IP que o ESM considera confiáveis ou que
ele permite. Você pode adicionar novos endereços e editar ou
remover endereços existentes. O endereço IP pode incluir uma
máscara.
Exibir IDs de
dispositivo
Exibir uma lista de IDs de dispositivos que você pode usar ao
enviar solicitações do SNMP.
Exibir MIB
Exibir a MIB da McAfee, que define os OIDs (identificadores de
objeto) para cada objeto ou característica de interesse.
Porta de interceptação Na guia Interceptações de SNMP, defina a porta pela qual o tráfego
de interceptações a frio/quente passará, assim como a entrada
da lista negra e o tráfego vinculado/desvinculado deverão
passar.
Guia de produto
261
3
Guia
Opção
Definição
Vincular/desvincular
interceptações
Selecione se você deseja vincular e desvincular as
interceptações a serem enviadas. Se você selecionar esse
recurso e estiver usando várias interfaces, será notificado
quando uma interface cair e quando ela retornar.
O tráfego de interceptações a frio/quente é permitido
automaticamente. Uma interceptação de inicialização a frio é
gerada sempre que o serviço SNMP é reiniciado. O serviço
SNMP é reiniciado após a alteração da configuração de SNMP,
a modificação de um usuário, a modificação de um grupo, o
login de um usuário com autenticação remota, a
reinicialização do ESM, a reinicialização do cpservice, além de
outras situações. Uma interceptação de inicialização a quente
é gerada quando o sistema é reinicializado.
Selecione se desejar que uma interceptação SNMP seja enviada
quando o banco de dados (cpservice, IPSDBServer) estiver
ativado ou desativado.
Interceptações de
banco de dados
ativadas/desativadas
Interceptação de falha Selecione se desejar que uma interceptação SNMP seja enviada
de log de segurança
quando um log não estiver gravado na tabela de logs.
Falha geral de
hardware
Selecione para ser notificado se uma das fontes de alimentação
do ESM falhar (DAS ou hardware geral). Isso ajuda a evitar o
desligamento do sistema devido à queda de energia.
Destinos
Selecione os nomes de perfil dos sistemas para os quais deseja
que as notificações sejam enviadas. A tabela mostra todos os
perfis de interceptação SNMP disponíveis no sistema. Para
editar essa lista, clique em Editar perfis e adicione, edite ou
remova perfis da lista Gerenciador de perfis.
Consulte também
Página Configurações de SNMP
Defina quais interceptações de SNMP devem ser enviadas e os destinos das interceptações.
Guia
Opção
Solicitações do SNMP Porta de solicitação
Definição
Selecione a porta por onde o tráfego passa.
Aceitar
Selecione se você deseja que as solicitações de integridade do
dispositivo sejam aceitas.
Permitir SNMPv1
Selecione se você deseja permitir tráfego SNMP versão 1 e
versão 2 e defina a cadeia da comunidade.
Permitir SNMPv3
Selecione se deseja permitir o tráfego SNMP versão 3 e
selecione o nível de segurança, o protocolo de autenticação e o
protocolo de privacidade.
Endereços IP
confiáveis
Exiba os endereços IP que o dispositivo permite ou considera
confiáveis. Você pode adicionar novos endereços e editar ou
remover endereços existentes. O endereço IP pode incluir uma
máscara.
Deve existir um endereço IP confiável.
Exibir MIB
262
Exiba a MIB da McAfee, que define os identificadores de objeto
(OIDs) para cada objeto ou característica de interesse.
Guia de produto
3
Guia
Opção
Definição
Interceptações de
SNMP
Porta de
interceptação
Defina a porta pela qual o tráfego de interceptações a frio/
quente passa, assim como a entrada da lista negra e o tráfego
vinculado/desvinculado.
Vincular/desvincular
interceptações
Selecione para enviar Vincular e desvincular interceptações. Se
você selecionar esse recurso e estiver usando várias interfaces,
será notificado quando uma interface cair e quando ela retornar.
O tráfego de interceptações a frio/quente será permitido
automaticamente. Uma interceptação de partida a frio é
gerada quando há um encerramento brusco ou uma
reinicialização brusca. Uma interceptação de partida a quente
é gerada quando você reinicializa o sistema.
Interceptações de
banco de dados
ativadas/desativadas
Selecione se desejar que uma interceptação de SNMP seja
enviada quando o banco de dados (cpservice, IPSDBServer)
estiver ativado ou desativado.
Interceptação de falha Selecione se desejar que uma interceptação de SNMP seja
de registro de
enviada quando um log não estiver gravado na tabela de logs.
segurança
Destinos
Selecione os nomes de perfil dos sistemas para os quais deseja
que as notificações sejam enviadas. A tabela mostra todos os
perfis de interceptações de SNMP disponíveis no sistema. Para
editar essa lista, clique em Editar perfis e adicione, edite ou
remova perfis da lista Gerenciador de perfis.
Se você estiver configurando um SNMP em um Receptor HA, as interceptações do Receptor primário
passarão pelo endereço IP compartilhado. Portanto, ao configurar os ouvintes, um deles deve ser
configurado para o endereço IP compartilhado.
Consulte também
Definir interceptação SNMP para notificação de queda de energia
Selecione uma interceptação de SNMP para ser notificado de falhas gerais em hardware e quedas de
energia no DAS para impedir que o sistema desligue devido a uma queda de energia.
Antes de iniciar
•
privilégios de gerenciamento de alarme.
•
Prepare o Receptor de interceptação de SNMP (somente necessário se você não tiver
um Receptor de interceptação de SNMP).
Ajuda.
Tarefa
1
.
2
Clique em Configuração do SNMP, depois clique na guia Interceptações de SNMP.
3
Em Porta de interceptação, digite 162, depois selecione Falha geral de hardware, e clique em Editar perfis.
Guia de produto
263
3
4
Clique em Adicionar e insira as informações solicitadas, como estas:
•
Tipo de perfil — Selecione Interceptação de SNMP.
•
Endereço IP — Digite o endereço para onde deseja enviar a interceptação.
•
Porta — Digite 162.
•
Nome da comunidade — Digite Público.
Lembre-se do que você digitar nos campos Porta e Nome da comunidade.
5
Clique em OK, depois clique em Fechar na página Gerenciador de perfis.
O perfil é adicionado à tabela Destinos.
6
Selecione o perfil na coluna Usar, depois clique em OK.
Quando houver falha no fornecimento de energia, uma interceptação de SNMP será enviada e um
sinalizador de status de integridade aparecerá ao lado do dispositivo na árvore de navegação do
sistema.
Consulte também
O SNMP e a MIB da McAfee
Vários aspectos da linha de produtos McAfee podem ser acessados através do SNMP. A MIB da McAfee
define os OIDs (identificadores de objeto) para cada objeto ou característica de interesse.
A MIB define grupos de objeto para:
•
Alertas — Um ESM pode gerar e enviar interceptações de alerta usando o Encaminhamento de
evento. Um Receptor pode receber interceptações de alerta configurando uma origem de dados
SNMP da McAfee.
•
Fluxos — Um Receptor pode receber interceptações de fluxo ao configurar uma origem de dados
SNMP da McAfee.
•
Solicitações de integridade do ESM — Um ESM pode receber e responder às solicitações de
integridade referentes ao si próprio e aos dispositivos que ele gerencia.
•
Lista negra — Um ESM pode receber entradas de definição de interceptações para listas negras e
listas de quarentena, que ele então aplica aos dispositivos IPS do Nitro gerenciado pelo ESM.
A MIB da McAfee também define convenções textuais (tipos enumerados) para valores, tais como:
•
A ação executada quando um alerta foi recebido
•
Estado e direção do fluxo
•
Tipos de origem de dados
•
Ações da lista negra
A MIB da McAfee está sintaticamente em conformidade com a SMI (Structure of Management
Information) do SNMPv2. Os produtos da McAfeeque usam o SNMP podem ser configurados para
funcionar com SNMPv1, SNMPv2c e SNMPv3, incluindo autenticação e controle de acesso.
264
Guia de produto
3
As solicitações de integridade são feitas com a operação GET de SNMP. A operação GET de SNMP é
usada por aplicativos de gerenciador de SNMP para recuperar valores dos objetos gerenciados
mantidos pelo agente SNMP (nesse caso, o ESM). Os aplicativos geralmente executam uma solicitação
GET do SNMP fornecendo o nome do host do ESM, e OIDs, juntamente com a instância específica do
OID.
O ESM volta com um valor retornado ou um erro. Por exemplo, uma solicitação de integridade e
resposta para a integridade de IPS do Nitro com o ID 2 de IPS do Nitro pode ficar assim:
OID de solicitação e
resposta
Unidades
Valor da resposta
Significado
1.3.6.1.4.1.23128.1.3.2.1.2
Interno
Nome do IPS do Nitro
1.3.6.1.4.1.23128.1.3.2.2.2
2
Identificador único do ESM
do IPS do Nitro
1.3.6.1.4.1.23128.1.3.2.3.2
1
A comunicação com o IPS
do Nitro está disponível (1)
ou indisponível (0)"
1.3.6.1.4.1.23128.1.3.2.4.2
OK
Status do IPS do Nitro
1.3.6.1.4.1.23128.1.3.2.5.2
desligado
Status de NICs de desvio do
IPS do Nitro
1.3.6.1.4.1.23128.1.3.2.6.2
IPS do Nitro
Modo IPS do Nitro (IDS ou
IPS do Nitro)
1.3.6.1.4.1.23128.1.3.2.7.2
percentual
2
Carregamento de CPU
instantâneo de percentual
combinado
1.3.6.1.4.1.23128.1.3.2.8.2
MB
1010
RAM do IPS do Nitro total
1.3.6.1.4.1.23128.1.3.2.9.2
MB
62
RAM disponível
1.3.6.1.4.1.23128.1.3.2.10.2
MB
27648
Espaço HDD total
particionado para banco de
dados do IPS do Nitro
1.3.6.1.4.1.23128.1.3.2.11.2
MB
17408
Espaço HDD livre disponível
para banco de dados do IPS
do Nitro
1.3.6.1.4.1.23128.1.3.2.12.2
segundos
desde
1970-1-1
120793661
Hora do sistema atual no
IPS do Nitro
1.3.6.1.4.1.23128.1.3.2.13.2
7.1.3
20070518091421a
Informações de versão do
IPS do Nitro e buildstamp
1.3.6.1.4.1.23128.1.3.2.14.2
ABCD:1234
ID de máquina do IPS do
Nitro
1.3.6.1.4.1.23128.1.3.2.15.2
IPS do Nitro
Número do modelo do IPS
do Nitro
00:00:00.0
(GMT)
Guia de produto
265
3
OID de solicitação e
resposta
Unidades
Valor da resposta
Significado
1.3.6.1.4.1.23128.1.3.2.16.2
alertas por
minuto
140
Taxa de alertas (por
minuto) nos últimos 10
minutos
1.3.6.1.4.1.23128.1.3.2.17.2
fluxos por
minuto
165
Velocidade de fluxos (por
minutos
Usando o exemplo acima, o gerenciador de SNMP faz uma solicitação ao agente de SNMP, o ESM. Os
números significam:
•
1.3.6.1.4.1.23128 — O número comercial da McAfee atribuído pela IANA (Internet Assigned
Numbers Authority)
•
1.3.2 — Uma solicitação de integridade do IPS do Nitro
•
O segundo ao último número (1-17 no exemplo acima) — Para solicitar os vários aspectos de
integridade do IPS do Nitro
•
O último número (2) — A instância específica do OID, o ID do IPS do Nitro
O ESM responde preenchendo as associações do OID com os resultados da solicitação de integridade.
As tabelas a seguir mostram o significado dos OIDs do ESM e do Receptor.
Tabela 3-149 Integridade do ESM
OID de solicitação e resposta Unidades
266
Valor da
resposta
Significado
1.3.6.1.4.1.23128.1.3.1.1
percentual
4
Carregamento de CPU
combinado
1.3.6.1.4.1.23128.1.3.1.2
MB
3518
RAM total
1.3.6.1.4.1.23128.1.3.1.3
MB
25
RAM disponível
1.3.6.1.4.1.23128.1.3.1.4
MB
1468006
Espaço HDD total
particionado para banco de
dados do ESM
1.3.6.1.4.1.23128.1.3.1.5
MB
1363148
Espaço HDD livre disponível
para banco de dados do ESM
1.3.6.1.4.1.23128.1.3.1.6
segundos
desde
1970-1-1
00:00:0.0
(GMT)
1283888714
Hora atual do sistema no ESM
1.3.6.1.4.1.23128.1.3.1.7
8.4.2
Versão e carimbo de
compilação do ESM
1.3.6.1.4.1.23128.1.3.1.8
4EEE:6669
ID de máquina do ESM
1.3.6.1.4.1.23128.1.3.1.9
ESM
Número do modelo do ESM
Guia de produto
3
Tabela 3-150 Integridade do Receptor
OID de solicitação e resposta Unidades
Valor da resposta
Significado
1.3.6.1.4.1.23128.1.3.3.1.x
Receptor
Nome do Receptor
1.3.6.1.4.1.23128.1.3.3.2 .x
2689599744
Identificador único do
ESM do Receptor
1.3.6.1.4.1.23128.1.3.3.3.x
1
Indica que a comunicação
com o Receptor está
disponível (1) ou
indisponível (0)
1.3.6.1.4.1.23128.1.3.3.4.x
OK
Indica o status do
Receptor
1.3.6.1.4.1.23128.1.3.3.5.x
percentual
2
Carregamento de CPU
combinado
1.3.6.1.4.1.23128.1.3.3.6.x
MB
7155
RAM total
1.3.6.1.4.1.23128.1.3.3.7.x
MB
5619
RAM disponível
1.3.6.1.4.1.23128.1.3.3.8.x
MB
498688
Espaço HDD total
particionado para banco
de dados do Receptor
1.3.6.1.4.1.23128.1.3.3.9.x
MB
472064
Espaço HDD livre
disponível para banco de
dados do Receptor
1.3.6.1.4.1.23128.1.3.3.10.x
segundos
desde
1970-1-1
00:00:0.0
(GMT)
1283889234
Hora do sistema atual no
Receptor
1.3.6.1.4.1.23128.1.3.3.11.x
7.1.3
20070518091421a
Versão e buildstamp do
Receptor
1.3.6.1.4.1.23128.1.3.3.12.x
5EEE:CCC6
ID da máquina do
Receptor
1.3.6.1.4.1.23128.1.3.3.13.x
Receptor
Número do modelo do
Receptor
1.3.6.1.4.1.23128.1.3.3.14.x
alertas por
minuto
1
Taxa de alertas (por
minutos
1.3.6.1.4.1.23128.1.3.3.15.x
fluxos por
minuto
2
Velocidade de fluxos (por
minutos
x = ID de dispositivo. Para acessar uma lista de IDs de dispositivo, acesse Propriedades do sistema |
Configuração do SNMP, depois clique em Exibir IDs de dispositivos.
Os eventos, os fluxos e as entradas de lista negra são enviados usando solicitações de informe ou
interceptações de SNMP. Uma interceptação de alerta enviada por um ESM configurado para fazer
Encaminhamento de evento pode ficar assim:
Guia de produto
267
3
OID
Valor
Significado
1.3.6.1.4.1.23128.1.1.1
780
ID de alerta do ESM
1.3.6.1.4.1.23128.1.1.2
6136598
ID de alerta de dispositivo
1.3.6.1.4.1.23128.1.1.3
IPS do Nitro interno
Nome do dispositivo
1.3.6.1.4.1.23128.1.1.4
2
ID de dispositivo
1.3.6.1.4.1.23128.1.1.5
10.0.0.69
IP de origem
1.3.6.1.4.1.23128.1.1.6
27078
Porta de origem
1.3.6.1.4.1.23128.1.1.7
AB:CD:EF:01:23:45
MAC de origem
1.3.6.1.4.1.23128.1.1.8
10.0.0.68
IP de destino
1.3.6.1.4.1.23128.1.1.9
37258
Porta de destino
1.3.6.1.4.1.23128.1.1.10 01:23:45:AB:CD:EF
MAC de destino
1.3.6.1.4.1.23128.1.1.11 17
Protocolo
1.3.6.1.4.1.23128.1.1.12 0
VLAN
1.3.6.1.4.1.23128.1.1.13 Direção
1.3.6.1.4.1.23128.1.1.14 20
Contagem de eventos
1.3.6.1.4.1.23128.1.1.15 1201791100
Primeira vez
1.3.6.1.4.1.23128.1.1.16 1201794638
Última vez
1.3.6.1.4.1.23128.1.1.17 288448
Última vez (microssegundos)
1.3.6.1.4.1.23128.1.1.18 2000002
ID de assinatura
1.3.6.1.4.1.23128.1.1.19 ANOMALY Inbound High to High Descrição da assinatura
268
1.3.6.1.4.1.23128.1.1.20 5
Ação realizada
1.3.6.1.4.1.23128.1.1.21 1
Gravidade
1.3.6.1.4.1.23128.1.1.22 201
Tipo de origem de dados ou resultado
1.3.6.1.4.1.23128.1.1.23 0
ID de assinatura normalizado
1.3.6.1.4.1.23128.1.1.24 0:0:0:0:0:0:0:0
IP de origem IPv6
1.3.6.1.4.1.23128.1.1.25 0:0:0:0:0:0:0:0
IP de destino IPv6
1.3.6.1.4.1.23128.1.1.26
Aplicativo
1.3.6.1.4.1.23128.1.1.27
Domínio
1.3.6.1.4.1.23128.1.1.28
Host
1.3.6.1.4.1.23128.1.1.29
Usuário (origem)
1.3.6.1.4.1.23128.1.1.30
Usuário (destino)
1.3.6.1.4.1.23128.1.1.31
Comando
Guia de produto
3
OID
Valor
Significado
1.3.6.1.4.1.23128.1.1.32
Objeto
1.3.6.1.4.1.23128.1.1.33
Número de sequência
1.3.6.1.4.1.23128.1.1.34
Indica se foi gerado em ambiente
confiável ou não confiável
1.3.6.1.4.1.23128.1.1.35
ID da sessão que gerou o alerta
Os números significam:
•
1.3.6.1.4.1.23128 — O número empresarial da McAfee atribuído pela IANA
•
1.1 — Uma solicitação de integridade do IPS do Nitro
•
O número final (1-35) — Para relatar as várias características do alerta
Para obter todos os detalhes da definição MIB da McAfee, consulte https://x.x.x.x/BrowseReference/
NITROSECURITY-BASE-MIB.txt, onde x.x.x.x é o endereço IP de seu ESM.
Consulte também
Efetuar pull da MIB do ESM
Exiba os objetos e as notificações de interface com o ESM.
Os objetos e as notificações definidos nesta MIB são usados para enviar solicitações:
•
Para que um ESM gerencie as listas negras e as listas em quarentena de um ou mais dispositivos
IPS
•
Para um ESM solicitar informações de status de integridade do próprio ESM ou para dispositivos IPS
e Receptor
•
Para um dispositivo solicitar suas informações de status de integridade.
Tarefa
Ajuda.
1
2
.
Clique em Configuração do SNMP, depois em Exibir MIB.
É aberta uma lista de definições básicas da MIB.
Consulte também
Guia de produto
269
3
Gerenciar o banco de dados do ESM para fornecer informações e configurações conforme você
configura recursos em seu sistema.
Você pode gerenciar as configurações de indexação do banco de dados, exibir e imprimir informações
sobre a utilização da memória do banco de dados de eventos e fluxos, configurar locais de
armazenamento de partições inativa, configure a política de retenção de dados de eventos e fluxos e
configure como o banco de dados aloca o espaço para dados de fluxo e de eventos.
Se tiver mais do que quatro CPUs em uma VM, você pode usar o espaço de armazenamento adicional
para armazenamento do sistema, armazenamento de dados e armazenamento de alto desempenho.
Se você remover mais de uma unidade do da VM ESM de uma vez, todas as buscas ELM podem ser
perdidas. Para evitar isso, exporte os resultados da pesquisa ELM antes de executar este processo.
Configurar o armazenamento de dados do ESM
Se houver um dispositivo iSCSI (Internet Small Computer System Interface), SAN (Storage Area
Network) ou DAS (Direct-Attached Storage) conectado ao ESM, você poderá configurá-lo para
armazenamento de dados.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados |
Armazenamento de dados.
2
Clique em uma das guias, selecione uma ação e preencha as informações solicitadas.
As guias disponíveis dependem dos tipos de armazenamento conectados ao ESM.
3
Clique em Cancelar para fechar a página.
Consulte também
Página Configuração do iSCSI na página 157
Página Configuração do iSCSI
Opção
Definição
Nome
Digite o nome do dispositivo iSCSI.
Endereço IP
Digite o endereço IP do dispositivo iSCSI.
Porta
Selecione a porta para o dispositivo iSCSI.
Consulte também
Configurar o armazenamento de dados do ESM na página 270
270
Guia de produto
3
Configurar o armazenamento de dados da VM do ESM
Se a sua VM do ESM tem mais de quatro CPUs, a opção Dados de VM fica disponível na página Banco de
dados, permitindo que você use o armazenamento adicional que tem disponível no armazenamento do
sistema, no armazenamento de dados e no armazenamento de alto desempenho da VM.
Cada lista suspensa na página Alocação de dados inclui as unidades de armazenamento disponíveis
montadas na VM.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados | Dados
de VM.
2
Em cada campo, selecione a unidade na qual deseja que os dados sejam armazenados. Cada
unidade poderá ser solucionada somente uma vez.
3
Clique em OK.
Aumentar o número de índices de acumulador disponíveis
Em função do número de índices de padrão ativados no ESM, somente é possível adicionar cinco
índices a um campo de acumulador. Se mais de cinco forem necessários, é possível desativar os
índices que não estão em uso no momento, como sessionid, src/dst mac, src/dst port, src/dst zone,
src/dst geolocation, até no máximo 42.
Tarefa
Ajuda.
O ESM usa índices padrão ao gerar consultas, relatórios, alarmes e exibições. Se você desativar algum
deles e tentar gerar uma consulta, relatório, alarme ou exibição que o use,você será notificado de que
não é possível processar, pois o índice está desativado. Não é informado qual índice está afetando o
processo. Em função dessa limitação, não desative os índices padrão a menos que considere
absolutamente necessário.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados.
2
Clique em Configurações e clique na guia Indexação do acumulador.
3
Na lista suspensa, clique em Índices padrão e selecione Mostrar índices padrão.
Os índices padrão são listados na área Ativado.
4
Clique nos índices padrão a serem desativados e clique na seta para movê-los para a área Disponível.
O número que consta na instrução restantes no canto superior direito da página aumenta a cada
índice padrão desativado.
Agora é possível ativar mais de cinco índices de acumulador para o campo de acumulador selecionado
(consulte Gerenciar a indexação do acumulador).
Configurar o arquivo de partições inativas
O ESM divide os dados em partições. Quando uma partição atinge seu tamanho máximo, ela se torna
inativa e é excluída. Você pode configurar um local de armazenamento para partições inativas de
modo que elas não sejam excluídas.
Guia de produto
271
3
Tarefa
Ajuda.
1
Arquivamento.
2
Preencha os campos, que podem variar dependendo do tipo que você selecionar.
3
Conforme as partições se tornam inativas, elas são copiadas para este local e são listadas nas guias
Partições de evento e Partições de fluxo.
Consulte também
Página Partições inativas na página 272
Página Partições inativas
Configure um local de armazenamento para partições inativas para que elas não sejam excluídas do
sistema.
Opção
Definição
Ativado
Selecione para ativar o arquivamento de partições inativas.
Tipo
Selecione o tipo de armazenamento. As opções são CIFS, NFS, iSCSI e, se você
tiver uma placa SAN instalada, SAN.
O uso do tipo de compartilhamento CIFS com versões de servidor Samba
posteriores a 3.2 pode resultar na perda de dados.
Tamanho
Selecione o espaço máximo de armazenamento que você deseja alocar nesse
dispositivo.
Volume SAN
Se você selecionou o tipo SAN, selecione o volume SAN. Todos os volumes que
estiverem prontos para armazenar dados serão listados.
Editar
Você pode formatar outros volumes e adicioná-los à lista de volumes SAN.
Endereço IP remoto,
Se você selecionou CIFS ou NFS, digite as informações para o dispositivo de
Ponto de montagem
armazenamento em cada um dos campos a seguir.
remoto, Caminho remoto
Nome do usuário, Senha Se você selecionou CIFS, deve inserir o nome do usuário e senha para o
dispositivo de armazenamento.
Não use vírgulas em sua senha ao conectar-se a um compartilhamento CIFS.
Dispositivo iSCSI e IQN
do iSCSI
Selecione o dispositivo de armazenamento iSCSI e o Nome qualificado do iSCSI
(IQN).
A tentativa de conectar vários dispositivos a um IQN pode causar a perda de
dados e outros problemas de configuração.
Em um dispositivo multifuncional ESM/Receptor/ELM, o dispositivo e seus
Nomes qualificados de iSCSI (IQNs) serão listados nesses campos se você já
tiver configurado a conexão com o SAN do iSCSI no ELM (consulte Configurar
um dispositivo iSCSI). Se você possui dispositivos do ESM e do ELM dedicados,
configure a conexão com o dispositivo iSCSI (consulte Configurar um dispositivo
iSCSI).
272
Guia de produto
3
Opção
Definição
Conectar
Alocação de dados
Ajuste o número total de registros de eventos, fluxos e registros que podem ser
salvos no dispositivo nos campos Eventos, Fluxos e Registros.
Guia Partições de
evento, Partições de
fluxo ou Partições de
registro
Exiba as partições inativas de evento, fluxo ou registro. Você pode reativar até
10 partições selecionando-as na coluna Ativo.
Consulte também
Configurar o arquivo de partições inativas na página 271
Configurar limites de retenção de dados
Se tiver uma configuração que está enviando dados históricos para o sistema, você pode selecionar o
tempo pelo qual deseja que os eventos e os fluxos sejam mantidos, assim como limitar a quantidade
de dados históricos inseridos.
Tarefa
Ajuda.
1
Retenção de dados.
2
Selecione por quanto tempo deseja que os eventos e fluxos sejam retidos e se deseja restringir os
dados históricos.
3
Clique em OK.
Consulte também
Página Retenção de dados na página 273
Página Retenção de dados
Selecione o período durante o qual você deseja que eventos e fluxos sejam mantidos e se deseja
limitar os dados históricos.
Opção
Definição
Manter todos os dados permitidos Selecione para manter o número máximo de eventos ou fluxos permitido
pelo sistema.
Manter dados para os últimos
Selecione se você deseja manter eventos e fluxos somente pelo período
que você especificar.
Restringir a inserção de
Selecione se você deseja restringir dados históricos e selecione a data de
início dos dados no campo Não inserir dados mais antigos que.
Consulte também
Configurar limites de retenção de dados na página 273
Guia de produto
273
3
Definir limites de alocação de dados
O número máximo de registros de eventos e fluxos que são mantidos pelo sistema é um valor fixo. A
alocação de dados permite que você defina a quantidade de espaço a ser alocado para cada um e
quantos registros serão pesquisados para otimizar a consulta.
Tarefa
Ajuda.
1
Alocação de dados.
2
Clique nos marcadores nas linhas numeradas e arraste-os até os números desejados ou clique nas
setas nos campos Eventos e Fluxos.
3
Clique em OK.
Consulte também
Página Alocação de dados na página 274
Página Alocação de dados
Defina a quantidade de espaço que deve ser alocado para eventos e fluxos, assim como o número de
registros que devem ser alocados para otimizar a pesquisa.
Opção
Definição
Controle deslizante
superior
Indica a quantidade do espaço total que deve ser alocado para eventos e
para fluxos.
Controle deslizante
inferior
Configure o número de registros de eventos e fluxos pesquisados quando
uma consulta é executada.
O controle deslizante não aparece quando não há um dispositivo SSD.
Consulte também
Definir limites de alocação de dados na página 274
Gerenciar configurações de indexação de banco de dados
Configure opções para a indexação de campos de dados específicos no banco de dados. Se os dados
não forem indexados, eles serão armazenados, mas não serão exibidos nos resultados de consulta.
Tarefa
Ajuda.
274
1
Configurações.
2
Para alterar as configurações atuais nas colunas Eventos e Fluxos, clique no item que deseja alterar e
selecionar uma nova configuração na lista suspensa.
3
Se você selecionar Personalizado nas colunas Porta, a tela Valores da porta abre para que você possa
selecionar ou adicionar um novo valor de porta.
4
Clique em OK.
Guia de produto
3
Consulte também
Página Indexação do banco de dados na página 275
Página Valores de porta na página 275
Página Indexação do banco de dados
Selecione se as informações de endereços MAC e porta devem ser armazenadas nos índices do banco
de dados.
Opção
Definição
Tabela
Exiba as configurações de indexação para o ESM e seus dispositivos.
Colunas Endereço Mac Selecione a configuração atual e selecione uma das opções. Se a configuração
para um dispositivo for Herdar, ele usará as configurações do sistema.
Colunas Porta
Clique na configuração atual e selecione uma das opções. Se você selecionar
Personalizado, a página Valores de porta é aberta para que você possa selecionar ou
adicionar um valor de porta.
Consulte também
Gerenciar configurações de indexação de banco de dados na página 274
Página Valores de porta
Selecione uma porta existente ou adicione um novo valor de porta.
Opção
Definição
Adicionar valor Adicione o valor selecionado ao campo Valor atual.
Novo
Adicione um novo valor de porta digitando um nome e seu valor. Ele será adicionado à
lista e poderá ser usado no futuro.
Editar
Altere o nome ou o valor de uma porta personalizada.
Excluir
Exclua uma porta personalizada da lista de portas.
Valor atual
Insira um valor de porta digitando-o ou destacando-o e clicando em Adicionar valor.
Consulte também
Gerenciar configurações de indexação de banco de dados na página 274
Gerenciar a indexação do acumulador
Se tiver campos personalizados que efetuam pull de dados numéricos de uma origem, a indexação do
acumulador poderá executar somas ou fazer médias desses dados ao longo do tempo. Você pode
acumular vários eventos e fazer a média do valor deles ou gerar um valor de tendência.
Antes de iniciar
Configure um tipo personalizado de indexação de acumulador (consulte Criar tipos
personalizados).
Guia de produto
275
3
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados.
2
Clique em Configurações e clique na guia Indexação do acumulador.
3
Selecione os indexes e clique em OK.
Você agora pode configurar uma consulta de acumulador para exibir os resultados.
Consulte também
Guia Indexação de acumulador na página 276
Guia Indexação de acumulador
Selecione os índices do acumulador. É possível selecionar até cinco índices para o campo de
acumulador selecionado. Se mais de cinco forem necessários, é possível desativar os índices padrão e
adicionar mais índices de acumulador ao campo.
Opção
Definição
Lista suspensa
Selecione o campo de acumulador aos quais deseje adicionar índices. Se
precisar de mais de cinco índices, selecione Índices padrão.
Mostrar índices padrão
Selecione essa opção para exibir os índices padrão nas listas Ativado e Disponível.
Lista Disponível
Se você selecionar um campo de acumulador, selecione os índices para ativar e
clique na seta para movê-los para a lista Ativado. A instrução restantes no canto
superior direito da página informará quantos índices a mais é possível selecionar
para o campo.
Lista Ativado
Exiba os índices ativados. Se você tiver selecionado Mostrar índices padrão, os
índices padrão serão listados. Para remover um índice, selecione-o e clique na
seta para movê-lo de volta para a lista Disponível. Se você remover um índice
padrão, o número de índices do acumulador que poderão ser adicionados ao
campo de acumulador diminuirá.
A partir deste ponto
Selecione se você deseja usar esses índices em dados gerados a partir deste
ponto
Reconstruir dados
passados
Selecione se você deseja usar esses índices em dados passados e selecione a
data de início.
Se você escolher fazer isso, será necessário reconstruir as partições que contêm
os dados.
Consulte também
Gerenciar a indexação do acumulador na página 275
Exibir utilização de memória do banco de dados
Exibir e imprimir tabelas que detalham como a memória de banco de dados está sendo usada.
276
Guia de produto
3
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados | Uso de
memória.
As tabelas Eventos e Fluxos listam a utilização da memória do banco de dados.
2
Para imprimir os relatórios, clique no ícone Imprimir
.
Consulte também
Página Informações do banco de dados na página 277
Página Informações do banco de dados
Exiba ou imprima tabelas que mostram o uso de memória do banco de dados.
Opção
Definição
Tabela Eventos
Exiba o uso de memória para eventos por nome do índice.
Tabela Fluxos
Exiba o uso de memória para fluxos por nome do índice.
Imprima um relatório de utilização da memória.
Consulte também
Exibir utilização de memória do banco de dados na página 276
Usuários e grupos devem ser adicionados ao sistema para terem acesso ao ESM, seus dispositivos,
políticas e privilégios associados.
Quando está no modo FIPS, o ESM tem quatro funções de usuário possíveis: Usuário, Usuário avançado,
Administrador de chave e certificado e Administrador de auditoria. Quanto está no modo FIPS, há dois tipos de
conta de usuário: Administrador do sistema e Usuário geral.
A página Usuários e grupos tem duas seções:
•
Usuários — Nomes de usuários, o número de sessões abertas no momento para cada usuário e os
grupos aos quais pertencem.
•
Grupos – Nomes de grupos e uma descrição dos privilégios atribuídos a cada um.
Você pode classificar as tabelas clicando em Nome do usuário, Sessões ou Nome do grupo.
Privilégios de grupo
Ao configurar um grupo, você define os privilégios dos membros do grupo.
Se você selecionar Limitar acesso deste grupo na página Privilégios de Adicionar grupo (Propriedades do sistema |
Adicionar grupo), o acesso a esses recursos será limitado.
Guia de produto
277
3
•
Barra de ferramentas de ações — Os usuários não podem acessar o gerenciamento de
dispositivos, o gerenciamento de vários dispositivos ou o Visualizador de streaming de eventos.
•
Alarmes — Os usuários do grupo não têm acesso a destinatários, arquivos ou modelos de
gerenciamento de alarme. Eles não podem criar, editar, remover, ativar ou desativar alarmes.
•
Asset Managere Editor de políticas — Os usuários não podem acessar nenhum desses recursos.
•
Gerenciamento de casos — Os usuários podem acessar todos os recursos, exceto Organização.
•
ELM — Os usuários podem realizar pesquisas aprimoradas do ELM, mas não podem salvá-las nem
acessar as propriedades do dispositivo ELM.
•
Filtros — Os usuários não podem acessar as guias de filtro Normalização de cadeia, Active Directory, Ativos,
Grupos de ativos ou Marcas.
•
Relatórios – Os usuários somente podem executar um relatório que envia o resultado por e-mail para
eles.
•
Propriedades do sistema — Os usuários podem acessar somente Relatórios e Listas de observação.
•
Listas de observação — Os usuários não podem adicionar uma lista de observação dinâmica.
•
Zonas — Os usuários somente podem exibir zonas às quais eles têm acesso em sua lista de zonas.
Adicionar um usuário
Se você tem privilégios de administrador do sistema, pode adicionar usuários ao sistema para que eles
tenham acesso ao ESM e seus dispositivos, políticas e privilégios associados. Depois de adicionados,
as configurações do usuário podem ser editadas ou removidas.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema | Usuários e Grupos.
2
Digite a senha de administrador do sistema e clique em OK.
3
Na seção Usuários, clique em Adicionar e preencha as informações necessárias.
4
Clique em OK.
Os usuários serão adicionados ao sistema com os privilégios atribuídos aos grupos aos quais
pertencem. Os nomes de usuário aparecem na seção Usuários da página Usuários e Grupos. Um ícone
aparece ao lado de cada nome do usuário, indicando se a conta está ativada ou não. Se um usuário
tiver privilégios de administrador, um ícone de rei
aparece ao lado do nome.
Consulte também
Página Adicionar usuário na página 279
Página Usuários e Grupos na página 280
278
Guia de produto
3
Página Adicionar usuário
Adicione um usuário para dar a ele acesso ao ESM.
Opção
Definição
Nome do usuário
Digite o nome do usuário. Se você estiver usando configurações de CAC (consulte
Configurar login por CAC), o nome do usuário é o EDI-PI de 10 dígitos do usuário
Alias de usuário
(Opcional) Insira um alias se você não deseja que o nome do usuário seja visível.
Se você estiver usando configurações de CAC, ele pode ser o nome do usuário.
Senha
Clique em Definir senha, insira uma senha exclusiva para a conta, confirme-a e
clique em OK.
Função (somente
no modo FIPS)
Selecione uma função para o usuário. As opções são:
• Usuário – Esses usuários não podem ser adicionados a um grupo que contenha
privilégios de Usuário avançado.
• Usuário avançado – Esses usuários são considerados administradores do sistema
para todos os fins da UCAPL, mas podem não ter todos os privilégios de um
administrador do sistema. Essa função é necessária para que um usuário seja
atribuído a um grupo que contenha qualquer um destes privilégios:
• Gerenciamento de sistemas
• Adicionar/Excluir políticas
• Administração de usuários
• Regras personalizadas e variáveis
• Administração de política
• Lista negra global
• Admin de chave e certificado – Essa função é exigida para a execução de qualquer
função de gerenciamento de chave. Um usuário com essa função não pode ser
adicionado a um grupo que contenha privilégios de Usuário avançado.
• Admin de auditoria – Essa função é exigida para a configuração dos registros. Um
usuário com essa função não pode ser adicionado a um grupo que contenha
privilégios de Usuário avançado.
Direitos de
administrador (não
disponível no
modo FIPS)
Selecione se você deseja que o usuário tenha privilégios de administrador. O
administrador do sistema pode conceder privilégios a usuários gerais criando
grupos de acesso e atribuindo usuários a esses grupos. O administrador do
sistema é o único usuário que tem acesso a todas as áreas do sistema, incluindo a
área de usuários e grupos.
Desativar conta
Selecione se você deseja bloquear o acesso do usuário à conta dele no ESM
(consulte Desativar ou reativar uma conta de usuário).
Endereço de e-mail
Adicione o endereço de e-mail do usuário, o que é opcional a menos que o usuário
receba notificações de relatório ou alarme.
• Se o endereço de e-mail já estiver no sistema, selecione-o na lista suspensa
Endereço de e-mail.
• Se o endereço não estiver no sistema, clique em Endereço de e-mail e adicione o
endereço ao sistema.
SMS móvel
Adicione o endereço do usuário para SMS (texto).
• Se o número para SMS já estiver no sistema, selecione-o na lista suspensa SMS
móvel.
• Se o endereço não estiver no sistema, clique em SMS móvel e adicione o endereço
ao sistema.
O usuário é membro
de
Selecione os grupos do qual o usuário deve ser membro.
Consulte também
Adicionar um usuário na página 278
Guia de produto
279
3
Página Usuários e Grupos
Se você possui privilégios de administrador do sistema, pode adicionar usuários e organizá-los em
grupos com privilégios específicos. Esses privilégios limitam os recursos que eles podem acessar.
Opção
Definição
Tabela Usuários
Lista o usuários que têm acesso ao ESM.
Tabela Grupos
Lista os grupos configurados no ESM.
Adicionar, Editar e Remover • Do lado direito da tabela Usuários, adicione novos usuários ou edite ou
remova usuários existentes.
Antes de remover um usuário, verifique se ele não está definido como
responsável em um alarme.
• Do lado direito da tabela Grupos, adicione novos grupos e atribua usuários e
privilégios a eles.
Consulte também
Adicionar um usuário na página 278
Selecione configurações do usuário
A página Configurações do usuário possibilita a alteração de várias configurações padrão. Você pode alterar
o fuso horário, o formato de data, a senha, a exibição padrão e o idioma do console. Você também
pode escolher se deseja ou não mostrar origens de dados desativadas, a guia Alarmes e a guia Casos.
Tarefa
Ajuda.
1
Na barra de navegação do sistema do console ESM, clique em opções.
2
Verifique se a opção Configurações do usuário foi selecionada.
3
Altere as configurações conforme o necessário e clique em OK.
A aparência do console é alterada com base nas suas configurações.
Consulte também
Página Configurações do usuário na página 281
280
Guia de produto
3
Página Configurações do usuário
Defina várias configurações para o console do ESM funcionar melhor para você.
Opção
Definição
Selecionar fuso horário e
formato de data
Altere o fuso horário na primeira lista suspensa ou o formato de data na
segunda.
Todas as exibições, consultas e configurações mostram dados do evento, do
fluxo e do registro relativos a esse fuso horário e nesse formato de data, a
menos que haja outras especificações explícitas. Se você alterar esse fuso
horário, poderão ser gerados dados incorretos. Portanto, é recomendável
que a configuração seja sempre GMT.
Alterar senha
Na página Alterar Nome de usuário e Senha, altere o nome do usuário e a senha
que você usa para acessar o console do ESM. Caso não queira que seu
nome seja mostrado na barra de navegação do console, insira um nome do
usuário diferente no campo Alias.
Exibição padrão
Selecione o tipo de exibição da árvore de navegação de sistemas que será
o padrão exibido quando o sistema for aberto.
Idioma
Selecione o idioma do console.
Mostrar origens de dados
desativadas na árvore de
sistemas
Selecione esta opção se desejar que as origens de dados desativadas
apareçam na árvore de navegação de sistemas. Elas serão indicadas por
este ícone .
Mostrar painel de alarmes
Selecione esta opção se desejar que o painel Alarmes seja exibido no
console.
Mostrar painel de
gerenciamento de casos
Selecione esta opção se desejar que o painel Casos seja exibido no console.
Consulte também
Selecione configurações do usuário na página 280
Configuração de segurança
Use a segurança de login para definir as configurações de login padrão, configurar a lista de controle
de acesso (ACL) e definir as configurações de CAC (Common Access Card). Você também pode ativar
a autenticação para o RADIUS (Remote Authentication Dial In User Service), o Active Directory e o
LDAP (Lightweight Directory Access Protocol), disponíveis somente com privilégios de administrador
do sistema.
Recursos de segurança do ESM
A família de soluções do IPS do Nitro da McAfee foi projetada para ser difícil de ser encontrada em
uma rede e mais difícil ainda de ser atacada. Por padrão, os dispositivos IPS do Nitro não têm pilha de
IP, por isso, os pacotes não podem ser destinados diretamente ao IPS do Nitro.
A comunicação com um IPS do Nitro é obtida por meio da tecnologia McAfee Secure Encrypted
Management (SEM). SEM é um canal criptografado AES (Advanced Encryption Standard) em banda
que reduz o risco de ataques de reprodução ou a intermediários.
Um dispositivo PS do Nitro se comunica somente quando é endereçado por um ESM autorizado através
do canal SEM. Ele não inicia comunicações sozinho. A comunicação entre um ESM e o console do ESM
também é enviada por uma conexão criptografada, compatível com FIPS.
Guia de produto
281
3
O ESM recupera atualizações de software e assinatura criptografadas e autenticadas do servidor
central da McAfee a partir de um mecanismo de comunicação criptografada. Os mecanismos, baseados
em hardware e software, servem para ter certeza de que os dispositivos são gerenciados somente por
um ESM devidamente autorizado.
Definir as configurações de login padrão
Ajuste as configurações para os procedimentos de login padrão estabelecendo quantas tentativas de
login podem ser feitas em um período específico, por quanto tempo o sistema pode ficar inativo, as
definições de senha e se deseja mostrar ou não o último ID de usuário no momento do login.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Segurança de login.
2
Configure as opções na guia Padrão.
3
Clique em OK ou Aplicar.
Consulte também
Guia Padrão na página 282
Guia Padrão
Defina as configurações gerais de segurança de login para o sistema.
Opção
Definição
Tentativas de login com
falha permitidas
Especifique o número de tentativas de login com falha consecutivas
permitidas em uma única sessão. Se esse número for excedido no período
especificado, a conta será bloqueada e o administrador do sistema deverá
desbloqueá-la em Usuários e Grupos. Um valor igual a 0 significa que infinitas
tentativas de login são permitidas.
A conta principal não pode ser bloqueada.
282
Período de tentativas de
login com falha
Defina o período para tentativas de login com falha sucessivas. O intervalo é
de 0 a 1440 minutos. Esse campo funciona em conjunto com Tentativas de login
com falha permitidas. Quando o número de tentativas com falha permitido é
atingido dentro do período especificado, a conta direcionada é bloqueada. Ela
permanecerá bloqueada pelo período que você especificar no campo Duração
do bloqueio para login com falha ou até que seja desbloqueada pelo administrador
do sistema.
Duração do bloqueio para
login com falha
Especifique por quanto tempo uma conta deverá permanecer bloqueada se
for bloqueada automaticamente devido a tentativas de login com falha. O
valor máximo é de 1440 minutos; 0 significa que a conta não deve
desbloquear automaticamente. Depois desse tempo, a conta é desbloqueada
automaticamente. Isso não afeta as contas que foram bloqueadas
manualmente. Os administradores podem desbloquear a conta a qualquer
momento.
Valor de tempo limite da
interface do usuário
Especifique o período que deve passar sem atividade antes que a sessão
atual seja forçada para a tela de login. Por exemplo, se esse valor for
configurado para 30 minutos, o aplicativo exibirá a tela de login
automaticamente após 30 minutos de inatividade, fazendo com que você
tenha que efetuar login novamente antes se prosseguir com suas atividades.
Um valor igual a 0 significa que não há limite.
Guia de produto
3
Opção
Definição
Bloquear automaticamente
contas inativas após
Configure o ESM para bloquear contas de usuários que não possuem direitos
de administrador após um número específico de dias de inatividade. O valor
máximo é 365 dias; o mínimo é 0, que desativa o recurso. O bloqueio dura
até que um administrador desbloqueie a conta.
Sessões ativas por usuário
Defina o número de sessões ativas que um único usuário pode ter por vez. O
máximo é 10; 0 desativa a restrição.
Mostrar último id de usuário
no login
Selecione se você deseja que o campo de nome do usuário seja preenchido
com o nome usado no último login bem-sucedido.
Configurações de ACL
Selecione se você deseja configurar uma lista de endereços IP com acesso
permitido ao sistema ou com acesso bloqueado.
Consulte também
Definir as configurações de login padrão na página 282
Definir configurações de senha de logon
É possível definir várias configurações para a senha de logon no sistema.
Antes de iniciar
É necessário ter direitos de administrador do sistema.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Segurança de
login.
2
Clique na guia Senhas, selecione as opções desejadas e clique em Aplicar ou em OK.
Consulte também
Guia Senhas na página 284
Guia de produto
283
3
Guia Senhas
Se tiver privilégios de administrador, você poderá definir várias configurações de senhas do sistema.
Opção
Definição
Requerer senha
avançada
Selecione se desejar que o sistema requeira que todas as senhas atendam aos
requisitos de caracteres e tamanho a seguir. Pelo menos:
• 15 caracteres
• 2 números
• 2 símbolos ou sinais de pontuação
• 2 letras minúsculas
• 2 letras maiúsculas
• Não pode incluir 4 ou mais caracteres repetidos consecutivos
Se uma senha não atender a esses requisitos, ela não será aceita.
Expiração da senha
Especifique com que frequência a senha de login deverá ser alterada. O intervalo
é de 0 a 365 dias. Se for selecionada a opção 0, a senha não expirará.
Notificação anterior à
expiração da senha
Selecione quantos dias antes da expiração da senha o usuário deverá ser
lembrado de alterá-la. O valor máximo é 30, o valor mínimo é 1.
Período de cortesia
para expiração da
senha
Selecione o período em que o usuário ainda poderá efetuar logon após a
expiração da senha. Após o período de cortesia, a conta será bloqueada e deverá
ser desbloqueada pelo administrador.
Logins durante o
período de cortesia
Selecione quantas vezes o usuário poderá efetuar logon no período especificado
após a expiração da senha. Após os logins de cortesia, a conta é bloqueada e
deve ser desbloqueada pelo administrador.
Contagem de histórico
de senha
Indique se um histórico de senhas usado por uma pessoa deve ser armazenado
no sistema e quantas devem ser armazenadas por usuário. O intervalo é de 0 a
100 senhas. Se for escolhida a opção 0, o histórico não será armazenado. Se
houver um histórico, essa opção será marcada quando o usuário alterar a senha.
Se a senha não for única, haverá erro e a senha não será atualizada. Se a senha
for única, ela será alterada e uma nova entrada será adicionada ao histórico. Se
o limite de armazenamento for atingido, a senha mais antiga será excluída.
A senha restrita é
alterada a cada
Defina a frequência com que o usuário pode alterar a senha. Por exemplo, se
você selecionar 12, os usuários não terão permissão para alterar a senha mais de
uma vez a cada 12 horas.
Consulte também
Definir configurações de senha de logon na página 283
Definir as configurações de autenticação RADIUS
Configure o ESM para autenticar usuários em um servidor RADIUS.
284
Guia de produto
3
Tarefa
Ajuda.
1
2
Selecione a guia RADIUS e preencha os campos referentes ao servidor primário. Ter um servidor
secundário é opcional.
3
Clique em OK ou Aplicar.
Quando o servidor estiver ativado, todos os usuários, exceto o administrador do sistema, farão a
autenticação com o servidor RADIUS. Se a autenticação estiver desativada, os usuários que estão
configurados para autenticação com o RADIUS não poderão acessar o ESM.
Consulte também
Página Configurações de autenticação RADIUS na página 285
Página Configurações de autenticação RADIUS
Configure o ESM para autenticar usuários em um servidor RADIUS.
O RADIUS está fora de conformidade com FIPS. Caso seja necessário manter conformidade com as
normas FIPS, recomendamos que esse recurso não seja utilizado.
Opção
Definição
Ativado
Selecione para ativar a autenticação RADIUS. Quando ativado, todos
os usuários, exceto o administrador do sistema, farão autenticação
com o servidor RADIUS. Se a autenticação for desativada, os usuários
que estão configurados para autenticação RADIUS não poderão acessar
o sistema.
Endereço IP do servidor primário e
Secundário
Insira o endereço IP do servidor RADIUS. Não é necessário inserir um
endereço IP do servidor secundário, uma porta do servidor ou uma
chave compartilhada.
Porta do servidor primário e
Secundário
Insira a porta do servidor RADIUS.
Chave compartilhada primária e
Secundária
Insira a chave compartilhada (como uma senha) para o servidor
RADIUS.
Consulte também
Definir as configurações de autenticação RADIUS na página 284
Configurar a lista de controle de acesso
Configurar uma lista de endereços IP com permissão para acessar o ESM ou que estão bloqueados
para acesso.
Guia de produto
285
3
Tarefa
Ajuda.
1
2
Clique em Configurações de ACL e adicione os endereços IP à lista.
3
Clique em OK para salvar as configurações e feche a Lista de controle de acesso.
É possível editar ou remover endereços IP da lista de ACL.
Consulte também
Página Lista de controle de acesso na página 286
Página Lista de controle de acesso
Configure uma lista de endereços IP que podem ter acesso permitido ou bloqueado ao ESM ou a um
dispositivo.
Opção
Definição
Permitir estes endereços
Selecione se você deseja permitir que os endereços IP acessem o seu
sistema.
Negar estes endereços
Selecione se você deseja bloquear os endereços IP do seu ESM.
Tabela Endereço IP/máscara Exiba os endereços IP que foram adicionados à lista.
Adicionar
Clique para adicionar um endereço IP ou máscara à lista.
Editar
Clique para alterar o endereço IP que está realçado na lista.
Remover
Clique para excluir o endereço IP que está realçado na lista.
Consulte também
Configurar a lista de controle de acesso na página 285
Configurações do CAC
Você pode fazer a autenticação no ESM fornecendo suas credenciais do CAC por meio do navegador,
em vez de inserir um nome do usuário e senha.
Os CACs contêm um certificado de cliente que identifica o usuário, semelhante ao modo como um
certificado de servidor identifica um site. Caso ative o recurso CAC, pressupomos que esteja
familiarizado com a autenticação com base em CAC. Você sabe quais navegadores são compatíveis
com essa funcionalidade e conhece o EDI-PI (Electronic Data Interchange Personal Identifier)
associado aos CACs.
Ocasionalmente, os certificados serão revogados. As listas de revogação de certificados (CRL)
possibilitam aos sistemas reconhecer essas revogações. Você pode fazer upload manual de um
arquivo .zip contendo arquivos CRL.
O ActivClient é o único middleware CAC compatível com Windows. Para usar a autenticação CAC no
ESM a partir do Windows usando o Internet Explorer, o ActivClient deve estar instalado no computador
cliente. Quando o ActivClient estiver instalado, ele será usado para gerenciar as credenciais do CAC
em vez do gerenciador de cartão inteligente no Windows. É provável que o software ActivClient já
286
Guia de produto
3
esteja instalado se o cliente costuma acessar outros sites compatíveis com CAC. Instruções sobre
como configurar o ActivClient e onde fazer download do software podem ser obtidas em http://
militarycac.com/activclient.htm ou na intranet de sua organização.
Ao usar a validação do CAC para autenticidade de aplicativos, a segurança do sistema fica dependente
da segurança da Autoridade de Certificação (CA). Caso a CA esteja comprometida, os logins
compatíveis com CAC também ficarão comprometidos.
Consulte também
Configurar entrada do CAC na página 287
Configurar entrada do CAC
Para configurar a entrada do CAC, você deve fazer upload dos certificados de raiz de autoridade de
certificação, ativar o recurso de entrada do CAC e ativar um usuário do CAC definindo o nome do
usuário como o FQDN (Nome distinto totalmente qualificado) do proprietário do cartão. Os
proprietários do cartão podem acessar o ESM em um navegador compatível com CAC sem precisar
inserir o nome do usuário ou a senha.
O ESM oferece suporte aos leitores de cartão Gemalto e Oberthur ID One. Ligue para o Suporte técnico
se precisar de assistência com o leitor de cartões.
Tarefa
Ajuda.
1
Faça upload do certificado raiz de autoridade de certificação.
a
No painel de controle do computador, clique em Opções da Internet | Conteúdo | Certificados | Autoridades
de certificação raiz confiáveis.
b
Selecione sua CA raiz, depois clique em Exportar.
c
No Assistente para exportar certificado, clique em Próximo, depois selecione X.509 codificado com base 64 e
clique em Próximo.
d
Insira o local e o nome do arquivo que você está exportando, clique em Próximo, depois clique
em Concluir.
e
Na árvore de navegação do sistema do console do ESM, acesse Propriedades do sistema, clique em
Segurança de entrada e selecione a guia CAC.
f
Clique em Upload, depois procure o arquivo que você exportou e faça o upload dele no ESM.
2
Na guia Segurança de entrada | CAC, insira as informações e selecione as opções solicitadas, depois
clique em OK.
3
Ative cada usuário do CAC.
a
Em Propriedades do sistema, clique em Usuários e grupos e insira a senha do sistema.
b
Na tabela Usuários, destaque o nome do usuário e clique em Editar.
c
Substitua o nome no campo Nome do usuário pelo FQDN.
d
(Opcional) Insira o nome do usuário no campo Alias do usuário e clique em OK.
Consulte também
Configurações do CAC na página 286
Página Configurações do Common Access Card na página 288
Guia de produto
287
3
Página Configurações do Common Access Card
Configure usuários para que eles possam acessar o console do ESM usando um navegador com
suporte para CAC sem que lhes seja solicitado um nome do usuário e senha.
Opção
Definição
O Modo CAC está
definido como
Selecione o modo Common Access Card (CAC). As opções são:
• DESLIGADO – Esta é a configuração padrão. O login por CAC é desativado e os
usuários terão que efetuar login usando o prompt de login do ESM.
• OPCIONAL – A autenticação por CAC estará disponível mas, se o usuário não
fornecer um certificado, o prompt de login do ESM será exibido como se o
modo CAC estivesse desligado.
• OBRIGATÓRIO – Somente entradas com o CAC ativado podem acessar o sistema.
O prompt de entrada nunca é exibido. Se você selecionar essa opção, insira um
código PIN de segurança em Código PIN de segurança do modo necessário (IPv4). Esse é
o código PIN que você inserirá no painel LCD se precisar alternar o modo CAC
para OPCIONAL caso todos os usuários sejam bloqueados no sistema. O código
PIN deve estar no formato IPv4 (10.0.0.0), pois ele é reconhecido pelo painel
LCD.
Como os certificados e as autoridades de certificação expiram, o modo
OBRIGATÓRIO pode bloquear todos os usuários do ESM. Um botão de segurança
contra falhas está localizado no painel LCD na parte frontal do ESM; ele alternará
o modo CAC de volta para OPCIONAL.
Credenciais do
certificado
Faça upload da cadeia de certificados raiz de CA para que o ESM tenha acesso a
eles. Você pode exibir o arquivo de certificado ou fazer download do arquivo para
um local selecionado.
Lista de revogação de
certificados
Faça upload da lista de certificados que foram revogados ou faça download dos
certificados para um local selecionado.
Instalar uma
programação de
recuperação
Configure uma programação de recuperação automática digitando o endereço do
URL e a frequência com que o ESM deve sondar por atualizações do arquivo de
revogações.
Consulte também
Configurar entrada do CAC na página 287
Definir as configurações de autenticação do Active Directory
Você pode configurar o ESM para autenticar usuários para um Active Directory. Quando essa opção
estiver ativada, todos os usuários, exceto o administrador do sistema, farão a autenticação com o
Active Directory. Se a autenticação estiver desativada, os usuários que estão configurados para
autenticação com o Active Directory não poderão acessar o sistema.
Antes de iniciar
288
•
Configure um Active Directory que possa ser acessado a partir do ESM.
•
Crie um grupo (consulte Configurar grupos de usuários) com o mesmo nome do grupo
do Active Directory que tem acesso ao ESM. Por exemplo, se o nome do grupo for "Usuários
da McAfee", você deverá acessar Propriedades do sistema | Usuários e grupos e adicionar um
grupo chamado "Usuários da McAfee".
Guia de produto
3
Tarefa
Ajuda.
1
2
Clique na guia Active Directory e selecione Ativar autenticação do Active Directory.
3
Clique em Adicionar e adicione as informações solicitadas para configurar a conexão.
4
Clique em OK na página Conexão do Active Directory.
Consulte também
Página Autenticação do Active Directory na página 289
Página Conexão do Active Directory na página 289
Página Autenticação do Active Directory
Exiba a lista de domínios do Active Directory e configure o ESM para autenticar usuários no Active
Directory.
Opção
Definição
Ativar autenticação do Active
Directory.
Selecione ou desmarque para ativar ou desativar a autenticação de
usuários pelo Active Directory. Se você desmarcar a autenticação, os
usuários que estão configurados para autenticação pelo Active Directory
não poderão acessar o sistema.
Adicionar
Clique para configurar a conexão com o Active Directory.
Editar
Faça alterações no domínio selecionado na lista.
Excluir
Exclua o domínio selecionado na lista.
Consulte também
Definir as configurações de autenticação do Active Directory na página 288
Página Conexão do Active Directory
Configure a conexão entre o ESM e o Active Directory.
Opção
Definição
Usar como padrão Selecione se você deseja usar esse domínio como padrão.
Nome de domínio Digite o nome do domínio.
Ao efetuar logon no sistema, você poderá usar esse nome de domínio como nome do
usuário. Se você efetuar logon usando o seu nome do usuário, o domínio designado
como padrão será usado.
Guia de produto
289
3
Opção
Definição
Botão Adicionar Adicione endereços IP usados para o Active Directory.
• Servidor de administração – Selecione se esse for o endereço para o servidor de
administração. Caso contrário, desmarque essa opção.
Um dos endereços inseridos deve identificar o host em que o servidor administrador
está em execução.
• Endereço IP — Digite o endereço IP do Active Directory.
• Porta e Porta LDAP – Altere os padrões, se necessário.
• Usar TLS — Selecione para usar o protocolo de criptografia TLS para os dados.
Botão Editar
Altere as configurações de um endereço IP existente.
Botão Excluir
Exclua um endereço IP existente.
Consulte também
Definir as configurações de autenticação do Active Directory na página 288
Configurar credenciais de usuário para o McAfee ePO
É possível limitar o acesso a um dispositivo McAfee ePO configurando credenciais de usuário.
Antes de iniciar
O dispositivo McAfee ePO não deve ser configurado para requerer autenticação de usuário
global (consulte Configurar autenticação de usuário global).
Tarefa
Ajuda.
1
Na barra de navegação de sistemas do console do ESM, clique em opções e selecione Credenciais do
ePO.
2
Clique no dispositivo e em Editar.
Se na coluna de status do dispositivo constar Não obrigatório, o dispositivo será definido para
autenticação de usuário global. É possível alterar o status do dispositivo na página Conexão (consulte
Alterar a conexão com o ESM).
3
Digite o nome do usuário e a senha, teste a conexão e clique em OK.
Para acessar o dispositivo, os usuários precisam do nome do usuário e da senha que foram
adicionados.
Consulte também
Página Credenciais do McAfee ePO na página 291
290
Guia de produto
3
Página Credenciais do McAfee ePO
Configure as credenciais do usuário para limitar o acesso a um dispositivo McAfee ePO.
Opção Definição
Tabela Exiba os dispositivos McAfee ePO no ESM. Se a coluna Status informar Opcional, o dispositivo
será configurado para autenticação do usuário global. Se informar Sem credenciais, o dispositivo
será configurado para requerer autenticação do usuário individual.
Para alterar a configuração da autenticação do usuário, vá para a caixa de diálogo Propriedades
do dispositivo McAfee ePO, clique em Conectar e altere a configuração no campo Requer autenticação
do usuário.
Editar
Clique para adicionar ou alterar as credenciais necessárias para que um indivíduo acesse o
dispositivo McAfee ePO selecionado. Digite o nome do usuário e senha e clique em Conexão de
teste.
Excluir
Clique para excluir as credenciais do dispositivo selecionado. Você será solicitado a confirmar.
Consulte também
Configurar credenciais de usuário para o McAfee ePO na página 290
Desativar ou reativar um usuário
Se um usuário exceder o número de tentativas de login permitidas dentro do período definido em
Segurança de login, use esse recurso para reativar a conta. Você também pode usar esse recurso se
precisar bloquear o acesso de usuários temporariamente ou permanentemente sem excluí-los do
sistema.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema | Usuários e Grupos.
2
Na tabela Usuários, destaque o nome do usuário e clique em Editar.
3
Selecione ou desmarque Desativar conta e clique em OK.
O ícone ao lado do nome do usuário em Usuários e Grupos reflete o status da conta.
Autenticar usuários para um servidor LDAP
Você pode configurar o ESM para autenticar usuários para um servidor LDAP.
Tarefa
Ajuda.
1
2
Clique na guia LDAP.
3
Preencha os campos e clique em Aplicar ou OK.
Quando essa opção estiver ativada, todos os usuários, exceto o administrador do sistema, deverão
fazer a autenticação com o servidor LDAP. Se a autenticação for desativada, os usuários que estão
configurados para autenticação LDAP não poderão acessar o sistema.
Guia de produto
291
3
Consulte também
Página Autenticação LDAP na página 292
Página Autenticação LDAP
Configure usuários para autenticação com um servidor LDAP.
Opção
Definição
Ativar
Se você desejar que todos os usuários, exceto o administrador do sistema, façam
autenticação com o servidor LDAP, selecione Ativar. Se a autenticação for
desativada, os usuários que estão configurados para autenticação LDAP não
poderão acessar o sistema.
Endereço IP
Digite o endereço IP do servidor LDAP.
Porta
Altere a porta para o servidor, se necessário.
Usar TLS ou Usar SSL Selecione se desejar usar um protocolo de criptografia para os dados.
Nome do domínio base Digite o domínio para que as credenciais sejam verificadas.
Atributo do grupo
Atributo em que as informações do grupo do usuário são armazenadas. Em geral,
este campo não precisa ser alterado.
Filtro do grupo
Filtro usado para coletar informações do grupo. Você pode incluir ou excluir
grupos específicos dos resultados da pesquisa.
Filtro de usuários
Filtro usado para coletar informações do usuário. Você pode incluir ou excluir
usuários específicos dos resultados da pesquisa.
Consulte também
Autenticar usuários para um servidor LDAP na página 291
Configurar grupos de usuários
Grupos são compostos por usuários que herdam as configurações do grupo. Quando um grupo é
adicionado, os dispositivos, as políticas e os privilégios devem ser atribuídos.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Usuários e Grupos |
Adicionar.
2
Preencha as informações solicitadas em cada guia e clique em OK.
O grupo será adicionado à tabela Grupos na página Usuários e Grupos.
292
Guia de produto
3
Consulte também
Página Adicionar grupo na página 293
Página Usuários na página 294
Página Privilégios na página 294
Página Permissões na página 295
Página Dispositivos na página 296
Página Políticas na página 296
Página Filtros de Endereço IP na página 296
Página Adicionar zonas do grupo na página 297
Página Encaminhamento de evento na página 297
Página Restrições de horário para o grupo na página 297
Página Relatórios na página 298
Página de acesso Exibições na página 298
Página de acesso Listas de observações na página 298
Página Adicionar grupo
Configure grupos com privilégios específicos para que você possa atribuir usuários a eles, garantindo
assim que eles tenham acesso aos recursos necessários.
Opção
Definição
Nome e descrição
Digite um nome para o grupo e uma descrição.
Usuários
Selecione os usuários para fazerem parte do grupo.
Privilégios
Selecione os privilégios associados a esse grupo. Ao destacar um privilegio,
você pode ver uma descrição na caixa Descrição.
Dispositivos
Selecione os dispositivos que os usuários podem acessar. Se você selecionar
todos os dispositivos, os usuários também terão acesso a novos dispositivos
quando eles forem adicionados ao sistema.
Políticas
Selecione as políticas que os usuários podem usar e modificar.
Filtros de Endereço IP
Se você desejar restringir o acesso dos usuários a somente dados de relatório
ou alarme para endereços IP específicos, clique em Adicionar e insira o
endereço.
Zonas
Selecione as zonas que os usuários podem acessar e modificar.
Encaminhamento de
evento
Selecione destinos de encaminhamento de evento que os usuários podem
acessar e modificar. Isso define os dispositivos de onde um usuário pode
encaminhar eventos, se esse grupo já tiver o privilégio de encaminhamento de
eventos, assim como os filtros que especificam os tipos de eventos que serão
encaminhados. Quando você adiciona um destino de encaminhamento de
evento a um usuário específico, ele é adicionado a todos os grupos dos quais
ele é membro, com a condição de que os grupos tenham o privilégio de
encaminhamento de eventos.
Se um destino de encaminhamento de evento não pertencer a um grupo de
acesso, ele terá acesso a todos os dispositivos.
Restrições de horário para Adicione restrições de dia e hora para limitar o acesso do grupo ao ESM.
o grupo
Relatórios
Selecione os relatórios que os usuários nesse grupo podem exibir e modificar.
O grupo deve ter o privilégio Relatórios.
Exibições
Selecione as exibições que os usuários desse grupo podem exibir e modificar.
Também é possível compartilhar a visibilidade com outros usuários e grupos.
Guia de produto
293
3
Opção
Definição
Listas de observação
Selecione as listas de observação que os usuários desse grupo podem exibir e
modificar. Também é possível compartilhar a visibilidade com outros usuários e
grupos.
Filtros
Selecione os conjuntos de filtros que os usuários deste grupo poderão ver,
modificar ou as duas coisas.
Consulte também
Configurar grupos de usuários na página 292
Página Usuários
Selecione os usuários que farão parte desse grupo
Opção
Definição
Tabela
Relaciona todos os usuários que tiverem sido adicionados ao sistema. Selecione
os usuários que desejar incluir nesse grupo.
Selecionar tudo
Seleciona todos os usuários. Você poderá desmarcar os usuários que não fizerem
parte do grupo.
Não selecionar nenhum Desmarca todos os usuários. Você poderá selecionar os usuários que desejar
incluir nesse grupo.
Consulte também
Página Privilégios
Adicione ou remova privilégios associados a esse grupo.
Opção
Definição
Limitar acesso deste grupo Limita os privilégios do grupo (consulte Trabalhar com usuários e grupos).
Lista Privilégios
Lista todos os privilégios disponíveis no ESM. Selecione ou desmarque-os
individualmente ou clique em Selecionar tudo ou Não selecionar nenhum.
Descrição
Exibe uma descrição do privilégio selecionado.
Consulte também
294
Guia de produto
3
Página Permissões
Selecione os usuários e grupos que precisam ter permissão para ler e modificar as exibições, as listas
de observação ou os relatórios destacados. As permissões para itens personalizados que são somente
leitura só podem ser alteradas pelo criador do item.
Opção
Definição
(Exibições
somente) Herdar
permissões da pasta
pai
(Relatórios e
listas de
observação
somente) Herdar
configurações de
modificação
Guia Grupos
É necessário ter privilégios Mestres ou Administrativos para ativar ou desativar essa
opção.
Selecionada por padrão. Se você não desejar que as permissões sejam herdadas
do pai, desmarque essa opção. As guias Grupos e Usuários serão ativadas.
É necessário ter privilégios Mestres ou Administrativos para ativar ou desativar essa
opção.
Selecionada por padrão. Os usuários herdam os privilégios de Modificar. Desmarque
essa opção se desejar alterar as configurações padrão.
Lista todos os grupos aos quais você tem acesso com base nos grupos dos quais é
membro (consulte Configurar grupos de usuários). Indique os grupos que
precisam ter acesso aos itens selecionados. Você pode selecionar Somente leitura,
Modificar ou nenhuma das opções. Se não selecionar nenhuma delas, o grupo terá
direitos de negação. Se você selecionar Modificar, Somente leitura será selecionado
automaticamente.
Um pseudogrupo chamado Padrão é exibido para usuários Mestres ou Administrativos.
Os grupos criados posteriormente terão esse privilégio.
Guia Usuários
Lista todos os usuários aos quais você tem acesso com base nos grupos dos quais
é membro (consulte Configurar grupos de usuários). Indique os usuários que
precisam ter acesso aos itens selecionados. Você pode selecionar Somente leitura,
Modificar ou nenhuma das opções. Se não selecionar nenhuma delas, o usuário terá
direitos de negação. Se você selecionar Modificar, Somente leitura será selecionado
automaticamente.
Os privilégios de usuário têm precedência em relação aos privilégios de grupo. Por
exemplo, se um usuário receber somente acesso de Leitura ao recurso, mas seu
grupo receber acesso de Modificação, o usuário poderá somente Ler os itens
selecionados.
É possível adicionar usuários à lista ou removê-los.
1 Clique em Adicionar, clique nos usuários e, em seguida, clique em OK.
2 Para cada usuário, selecione Ler ou Modificar e, sem seguida, clique em OK.
Se um usuário não estiver na lista, o sistema usará os privilégios do grupo do
usuário. Se um usuário estiver na lista, mas as opções Ler ou Modificar não
estiverem marcadas, o usuário terá direitos de negação explícitos para o recurso.
Se você tiver selecionado mais de uma exibição, lista de observação ou relatório, uma caixa de seleção
com três estados
na coluna Ler ou Modificar nas guias Grupos ou Usuários indicará que há um conflito
naquela configuração com os itens selecionados. Não é possível salvar e fechar a página até que o
conflito seja resolvido. Clique na caixa de seleção para resolver a configuração de todos os itens
selecionados.
Consulte também
Guia de produto
295
3
Página Dispositivos
Selecione os dispositivos que esse grupo pode acessar.
Opção
Definição
Lista de dispositivos Lista todos os dispositivos no ESM. Selecione os dispositivos que esse grupo
deve poder acessar.
Seleciona todos os dispositivos na lista.
Selecionar tudo
Se você selecionar todos os dispositivos, os membros desse grupo terão acesso
automaticamente a novos dispositivos adicionados ao ESM.
Desmarca todos os dispositivos da lista.
Não selecionar nenhum
Consulte também
Página Políticas
Selecione as políticas que os usuários nesse grupo podem acessar.
Opção
Definição
Lista de políticas
Lista as políticas no ESM. Selecione as políticas que esse grupo pode acessar.
Selecionar tudo
Seleciona todas as políticas.
Desmarca todas as políticas.
Consulte também
Página Filtros de Endereço IP
Aplique filtros de endereço IP ao grupo. Isso limita os dados que um usuário vê ao executar relatórios
ou quando um usuário é selecionado como destinatário de um relatório ou alarme.
Opção
Definição
Lista
Exibe os endereços IP na lista.
Adicionar
Clique para adicionar um endereço IP à lista.
Editar
Modifique o endereço IP selecionado.
Remover
Exclua os endereços selecionados da lista.
Consulte também
296
Guia de produto
3
Página Adicionar zonas do grupo
Selecione as zonas que esse grupo pode acessar.
Opção
Definição
Lista de zonas
Lista as zonas que foram adicionadas ao ESM. Selecione as zonas que esse grupo
pode acessar.
Selecionar tudo
Seleciona todas as zonas na lista.
Não selecionar nenhum Desmarca todos as zonas da lista.
Consulte também
Página Encaminhamento de evento
Selecione os destinos de encaminhamento de e-mail que este grupo pode acessar: Isso define os
dispositivos de onde um usuário pode encaminhar eventos e os filtros que especificam os tipos de
eventos que podem ser encaminhados.
Opção
Definição
Lista de destinos de
encaminhamento de evento
Lista os destinos que foram adicionados ao ESM. Selecione os
destinos que esse grupo pode acessar.
Se um destino não pertencer a um grupo de acesso, ele deve
ter acesso a todos os dispositivos.
Selecionar tudo
Seleciona todos os destinos na lista.
Desmarca todos os destinos da lista.
Consulte também
Página Restrições de horário para o grupo
Defina restrições para limitar os dias e horários em que esse grupo pode acessar o ESM. Os usuários
receberão uma notificação visual de que a sessão está prestes a expirar 15, 5 e 1 minuto antes do fim
do tempo.
Opção
Definição
Ativar restrições
Selecione para ativar restrições para o grupo.
Fuso horário
Selecione o fuso horário em que o grupo se encontra.
Hora de início e Hora de término Selecione o horário do dia em que o acesso do grupo começa e termina.
Caso eles devam ter acesso 24 horas nos dias selecionados, selecione
00:00 em ambos os campos.
Dias da semana
Selecione os dias da semana em que os membros do grupo podem acessar
o ESM.
Consulte também
Guia de produto
297
3
Página Relatórios
Selecione os relatórios que os usuários nesse grupo podem exibir e modificar. Também é possível
selecionar grupos ou usuários com os quais compartilhar os relatórios.
Opção
Definição
Coluna Nome
Lista os relatórios no ESM.
Coluna Ler
Selecione os relatórios que esse grupo deve poder ler. Se você selecionar Modificar, Ler
também será selecionado.
Coluna Modificar Selecione os relatórios que esse grupo deve poder modificar.
Compartilhar
Clique para selecionar outros grupos ou usuários com os quais compartilhar a
visibilidade dos relatórios selecionados.
Consulte também
Página de acesso Exibições
Escolha as exibições que o grupo selecionado pode ler e modificar.
Opção
Definição
Coluna Nome
Relaciona todas as exibições no ESM.
Coluna Ler
Selecione as exibições que esse grupo deve poder ler.
Coluna Modificar Selecione as exibições que esse grupo deve poder modificar.
Compartilhar
Clique para selecionar outros grupos ou usuários para compartilhar a visibilidade dos
itens selecionados.
Consulte também
Página de acesso Listas de observações
Escolha as listas de observações que o grupo selecionado pode ler e modificar.
Opção
Definição
Coluna Nome
Relaciona todas as listas de observações no ESM.
Coluna Ler
Selecione as listas de observações que esse grupo deve poder ler. Se você selecionar
Modificar, a opção Ler também será selecionada.
Coluna Modificar Selecione as listas de observações que esse grupo deverá poder modificar.
Compartilhar
Clique para selecionar outros grupos ou usuários para compartilhar a visibilidade dos
itens selecionados.
Consulte também
Adicionar um grupo com acesso limitado
Para restringir o acesso de usuários específicos a recursos do ESM, crie um grupo que inclua esses
usuários. Essa opção limita o acesso a alarmes, gerenciamento de casos, ELM, relatórios, listas de
observação, gerenciamento de ativos, editor de políticas, zonas, propriedades do sistema, filtros e a
298
Guia de produto
3
barra de ferramenta de ações (consulte Trabalhar com usuários e grupos). Todos os outros recursos
são desativados.
Tarefa
Ajuda.
1
2
Clique em Usuários e grupos e digite a senha do sistema.
3
4
.
•
Se o grupo já estiver configurado, selecione-o na tabela Grupo e clique em Editar.
•
Se você estiver adicionando um grupo, clique em Adicionar ao lado da tabela Grupos, preencha o
nome e a descrição, e selecione os usuários.
Clique em Privilégios e selecione Limitar acesso deste grupo.
A maioria dos privilégios é desativada.
5
Na lista de privilégios restantes, selecione os privilégios que você deseja atribuir ao grupo.
6
Clique em cada guia e defina o resto das configurações do grupo.
Salve as configurações atuais do sistema de forma automática ou manual para que elas possam ser
restauradas em caso de falha do sistema ou perda de dados. Você também pode configurar e salvar as
configurações atuais em um ESM redundante.
Um backup padrão salva todas as configurações, incluindo as de política e de arquivos SNMP, de rede
e SSH. Ao adicionar um novo dispositivo ESM, Backup e restauração é ativado para fazer backup a cada 7
dias. Você pode fazer backup de eventos, fluxos e logs recebidos pelo sistema. O primeiro backup de
dados de evento, fluxo ou log salva somente os dados do início do dia atual. Os backups seguintes
salvam dados a partir do horário do último backup.
Se você fizer backup de eventos, fluxos ou logs no ESM, o espaço em disco do ESM será reduzido.
Recomendamos que você periodicamente faça download ou exclua arquivos de backup do ESM local.
Para restaurar o sistema, você pode selecionar um ou mais arquivos de backup do ESM, um
computador local ou um local remoto para reverter todas as suas configurações e seus dados a um
estado anterior. Ao executar essa função, todas as alterações realizadas nas configurações após a
criação do backup são perdidas. Por exemplo, se você estiver executando um backup diário e desejar
restaurar os dados dos últimos três dias, selecione os três últimos arquivos de backup. Os eventos,
fluxos e registros dos três últimos arquivos de backup são adicionados aos que estão atualmente no
ESM. Todas as configurações são então substituídas pelas contidas no backup mais recente.
Consulte também
Fazer backup das configurações do ESM e dos dados do sistema na página 300
Restaurar configurações do ESM na página 301
Restaurar arquivos de configuração com backup na página 302
Trabalhar com arquivos de backup no ESM na página 302
Gerenciar a manutenção do arquivo na página 303
Guia de produto
299
3
Fazer backup das configurações do ESM e dos dados do sistema
Existem várias maneiras de fazer backup dos dados do ESM. Quando um novo ESM é adicionado, a
opção Backup e restauração é ativada para fazer backup a cada sete dias. É possível desativá-la ou alterar
as configurações padrão.
Tarefa
Ajuda.
1
Backup e restauração.
2
Defina as configurações de qualquer um destes itens:
3
•
Backup automático
•
Backup manual
•
ESM redundante
•
Restaurar o sistema para um backup anterior
Clique em OK para fechar a página Backup e restauração.
Consulte também
Backup e restauração das configurações do sistema na página 299
Página Backup e restauração na página 300
Página Backup e restauração
Configure o ESM para fazer backup de configurações do sistema ou restaurar o sistema para
configurações anteriores.
Opção
Definição
Frequência de backup Quando os dispositivos do ESM são adicionados ao sistema, a função Backup e
restauração é ativada para executar um backup a cada sete dias. É possível alterar a
frequência ou desativa o backup.
Dados de backup para Selecione o que você deseja incluir no backup.
Local de backup
Selecione onde você deseja que o backup seja salvo:
• ESM – Ele é salvo no ESM e pode ser acessado na página Manutenção do arquivo.
• Local remoto – Ele é salvo no local definido nos campos que ficam ativos. Se você
estiver salvando uma cópia do ESM e de todos os dados do sistema
manualmente, deverá selecionar essa opção.
Ao fazer backup para um compartilhamento de CIFS, use uma barra (/) no
campo do caminho remoto.
Fazer backup agora
300
Fazer backup manual das configurações do ESM e dos eventos, fluxos e registros
(se selecionado). Clique em Fechar quando o backup for concluído com êxito.
Guia de produto
3
Opção
Definição
Backup completo
agora
Salvar manualmente uma cópia das configurações do dispositivo e dos dados do
sistema. Não é possível salvá-los no ESM, portanto, é necessário selecionar Local
remoto no campo Local de backup e inserir as informações de local.
O uso do tipo de compartilhamento CIFS (Common Internet File System) com
versões do servidor Samba posteriores a 3.2 pode resultar na perda de dados.
Restaurar o backup
Restaurar as configurações para um backup anterior. A página Restaurar é aberta
para que você possa selecionar o backup.
Redundância
Configure um ESM redundante, que faz backup de todos os dados do ESM
primário (consulte ESMredundante).
Consulte também
Restaurar configurações do ESM
Em caso de falha do sistema ou perda de dados, você pode restaurar o sistema para um estado
anterior selecionando um arquivo de backup.
Tarefa
Se o banco de dados contiver o máximo de registros permitidos e os registros sendo restaurados
estiverem fora da faixa dos dados atuais no ESM, os registros não serão restaurados. Para salvar e
acessar dados fora dessa faixa, você deve ter o arquivamento de partições inativas configurado
(consulte Configurar limites de retenção de dados).
Ajuda.
1
Backup e restauração | Restaurar o backup.
2
Selecione o tipo de restauração que você precisa executar.
3
Selecione o arquivo que deseja restaurar ou insira as informações para o local remoto e clique em
OK.
A restauração de um backup pode levar muito tempo, com base no tamanho do arquivo de
restauração. O ESM permanecerá off-line até que toda a restauração seja concluída. Durante esse
tempo, o sistema tentará reconectar a cada 5 minutos. Quando o processo for concluído, a página
Login aparecerá.
Consulte também
Página Restaurar na página 302
Guia de produto
301
3
Página Restaurar
Restaure o seu sistema para as configurações em um backup anterior. Isso é útil em caso de falha do
sistema ou perda de dados.
Opção
Definição
Tipo de
restauração
Selecione o tipo de restauração que você precisa executar:
• Arquivos de backup locais do ESM – Restaurar para um arquivo de backup no ESM.
Selecione uma opção na lista e clique em OK.
• Arquivos de backup remotos – Restaurar uma cópia das configurações do ESM e um
backup incremental dos dados em um local remoto.
• Pastas de backup completo remotas – Restaurar uma cópia das configurações do ESM e
um backup completo dos dados de um local remoto.
• Procurar arquivo para fazer upload – Localize um arquivo de backup salvo em seu
sistema.
Detalhes
Exiba os detalhes do arquivo de backup selecionado na lista de arquivos de
backup locais do ESM. Você pode fazer download desse arquivo.
Consulte também
Restaurar arquivos de configuração com backup
Você pode restaurar o SSH, Rede, SNMP e outros arquivos de configuração cujo backup foi feito no
ESM para cada dispositivo.
Antes de iniciar
Faça backup dos arquivos de configuração no ESM (consulte Fazer backup das
configurações do ESM e dados do sistema).
Tarefa
Ajuda.
1
2
Na árvore de navegação do sistema, clique no dispositivo e no ícone Propriedades
.
Clique na opção Configuração do dispositivo, em Restaurar configuração e em Sim, na página de
confirmação.
Consulte também
Trabalhar com arquivos de backup no ESM
Os arquivos de backup que foram salvos no ESM podem ser obtidos por download, excluídos ou
exibidos. Você pode também fazer upload de arquivos e adicioná-los à lista de arquivos de backup.
302
Guia de produto
3
Tarefa
Ajuda.
1
Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Manutenção do arquivo.
2
Na lista suspensa Selecionar tipo, selecione Arquivos de backup.
3
Selecione uma ação que deseja executar.
4
Clique em OK.
Consulte também
Gerenciar a manutenção do arquivo
O ESM armazena arquivos de backup, atualização de software, registro de alarme e registro de
relatório. Você pode fazer download, upload e remover arquivos de cada uma dessas listas.
Tarefa
Ajuda.
1
Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Manutenção do arquivo.
2
No campo Selecionar tipo de arquivo, selecione Arquivos de backup, Arquivos de atualização do software, Arquivos de
registro do alarme ou Arquivos de relatório.
3
Selecione os arquivos e clique em uma das opções.
4
Consulte também
Página Manutenção do arquivo na página 303
Página Manutenção do arquivo
Gerencie arquivos de backup, atualização de software, registro de alarme e registro de relatório.
Opção
Definição
Selecionar tipo de arquivo
Selecione o tipo de arquivo que você deseja gerenciar.
Fazer download
Salve o arquivo selecionado em um local fora do ESM.
Fazer upload
Adicione um arquivo ao ESM.
Remover
Exclua o arquivo selecionado para que ele seja removido do ESM.
Guia de produto
303
3
ESM redundante
Opção
Definição
Atualizar
Atualize a lista de arquivos para refletir alterações recentes.
Detalhes (somente para arquivos
de backup)
Exiba detalhes do backup selecionado.
Configurações (somente para
arquivos de backup)
Acesse a página Backup e restauração (consulte Fazer backup das
configurações do ESM e dos dados do sistema).
Consulte também
ESM redundante
O recurso de ESM redundante permite salvar as configurações atuais do ESM em ESM redundantes,
que podem ser convertidos no ESM primário caso haja uma falha no sistema ou perda de dados. Esse
recurso só está disponível para usuários com privilégios de administrador do sistema.
Quando um ESM redundante é configurado, as configurações e os dados de política do ESM primário
são automaticamente sincronizados a cada cinco minutos com o ESM redundante. Para configurar um
ESM redundante, é necessário definir as configurações do dispositivo redundante, que recebe as
configurações e os dados do dispositivo primário, e definir as configurações do dispositivo primário,
que envia as configurações e os dados de backup para o dispositivo redundante. O ESM redundante
deve ser configurado para que o ESM primário possa conectar-se a ele.
O recurso de redundância do ESM não está disponível em um dispositivo combinado ESMREC.
Consulte também
Configurar um ESM redundante na página 304
Substituir um ESM redundante na página 306
Configurar um ESM redundante
Para salvar suas configurações de sistema em um ESM redundante, você deve configurar cada ESM
para que eles se comuniquem entre si.
Tarefa
Ajuda.
1
304
Ative SSH no primário e em cada ESM redundante.
a
Na árvore de navegação do sistema, acesse Propriedades do sistema e clique em Configurações de rede.
b
Verifique se Ativar SSH está selecionado e clique em OK.
Guia de produto
3
ESM redundante
2
Configure os ESMs redundantes.
a
Entre, acesse Propriedades do sistema na árvore de navegação do sistema, depois clique em
Informações do sistema | Backup e recuperação | Redundância.
b
No campo Tipo de ESM, selecione Redundante, depois digite o endereço IP e a porta SSH do ESM
primário, depois clique em OK.
c
Você será avisado de que é necessário reiniciar o serviço, fazendo com que todos os usuários
percam a conexão com o ESM. Clique em Sim.
O console do ESM redundante é desligado.
3
Entre no ESM primário.
4
Na árvore de navegação do sistema, acesse Propriedades do sistema, depois clique em Informações do
sistema | Backup e recuperação | Redundância.
5
No campo de tipo ESM, selecione Primário, selecione a porta SSH para o ESM primário, adicione um
endereço de e-mail, depois selecione ou adicione o ESM redundante na tabela.
É possível adicionar no máximo cinco ESMs redundantes.
6
Clique em OK.
Você será avisado de que é necessário reiniciar o serviço, fazendo com que todos os usuários
percam a conexão com o ESM.
7
8
Clique em Sim para prosseguir com a sincronização.
•
Se você tiver especificado um endereço de e-mail para notificações, receberá um e-mail assim
que o ESM estiver pronto para finalização.
•
Se não receber nenhum e-mail, efetue um novo login e verifique o status.
Finalize a configuração.
a
Acesse a página Configuração de redundância mais uma vez (Etapa 2a).
b
Clique em Finalizar.
Os ESMs primário e redundante vão para a sincronização final. O sistema volta a funcionar assim que
o processo é concluído.
Consulte também
ESM redundante na página 304
Página Configuração de redundância na página 305
Página Configuração de redundância
Configure um ESM primário e um redundante para salvar suas configurações do sistema.
Opção
Definição
Tipo de ESM
Selecione se este ESM será o primário ou o ESM redundante. Se for o primário,
preencha os demais campos. Se for o redundante, basta inserir a porta SSH e o
endereço IP do ESM primário.
Porta SSH
Selecione a porta SSH pela qual os dispositivos se comunicam.
E-mail para
notificações
Digite o endereço de e-mail da pessoa que será notificada quando o ESM estiver
pronto para sincronização final.
Guia de produto
305
3
ESM redundante
Opção
Definição
Endereço IP do ESM
primário
(Quando Redundante estiver selecionado) Digite o endereço IP do ESM primário
com o qual o ESM redundante está se sincronizando.
Tabela
(Quando Primário for selecionado) Gerencie a lista de ESMs redundantes. É
possível adicionar até cinco ESMs para sincronizar com o ESM primário. Se você
tiver recebido notificação para finalizar uma sincronização, clique no ESM e em
Finalizar.
Enquanto a sincronização final está em andamento, os usuários perdem a
conexão com o ESM.
Exportar arquivos
incrementais
Use esse recurso somente se o ESM primário e redundante não puderem se
comunicar entre si.
(Quando Primário for selecionado) Exporte os arquivos do ESM primário para um
local remoto. É possível então transferi-los manualmente para o ESM redundante.
Se o perfil de local remoto já tiver sido definido, será possível selecioná-lo na
lista suspensa. Caso contrário, clique em Exportar arquivos incrementais e adicione o
perfil ao ESM.
Consulte também
Substituir um ESM redundante
Se um ESM redundante parar de funcionar, você pode substituí-lo por um novo.
Antes de iniciar
Adicione o novo ESM redundante ao sistema.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e verifique se a opção Informações
do sistema está selecionada.
2
Clique em Backup e restauração | Redundância, selecione Primário e digite o novo endereço IP redundante
no campo Endereço IP do ESM redundante.
3
Selecione Redundante e certifique-se de que o endereço IP do ESM IP primário esteja correto.
4
Selecione Primário e clique em Conectar para verificar se os dois dispositivos estão se comunicando.
5
Selecione Sincronizar todo o ESM e clique em OK.
Consulte também
ESM redundante na página 304
306
Guia de produto
3
Desativar consultas compartilhadas
O recurso de consultas compartilhadas reduz a carga no ESM principal em um sistema redundante.
É possível realizar essa redução executando consultas em ESMs redundantes quando o intervalo de
datas especificado da consulta indicar que os dados da consulta estão presentes em um ESM
redundante.
Esse recurso usa os recursos fornecidos pelos ESMs redundantes com eficiência. Quando a opção
Consultas compartilhadas for ativada, as consultas serão enviadas para o ESM redundante se os dados
solicitados abrangerem mais de 30 dias ou a hora de início da consulta for mais de 12 horas após o
horário atual no ESM. Os resultados dessas consultas sempre são retornados ao ESM principal.
Consultas compartilhadas está ativada por padrão. Se o ESM redundante for um modelo mais antigo, o
processamento das consultas pode levar mais tempo. Se for necessário que as consultas sejam
processadas mais rapidamente, desative esse recurso.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione o ESM e clique no ícone Propriedades
2
Clique em Informações do sistema | Backup e restauração | Redundância.
3
Na página Configuração de redundância, desmarque Consultas compartilhadas e clique em OK.
.
Há uma reinicialização de CPService.
É possível executar várias operações para gerenciar o software, os logs, o certificado, os arquivos de
recurso e chaves de comunicação do ESM.
Guia
Opção
Definição
Configuração
Gerenciar logs
Configure os tipos de eventos que são registrados no log de eventos.
Hierarquia do ESM
Configure as opções de dados ao trabalhar com dispositivos ESM
hierárquicos.
Ocultação
Defina configurações globais para mascarar dados selecionados em
qualquer registro de alerta enviado no encaminhamento de evento ou
enviado para um ESM pai.
Registro em log
Envie eventos internos ao ELM para armazenamento. Esses dados
podem ser usados para auditoria.
Localidade do
sistema
Selecione o idioma do sistema a ser usado nos registros em log de
eventos, como monitor de integridade e log de dispositivo.
Mapa de nomes
Desmarque as portas e protocolos para que eles exibam números
brutos em vez de nomes. Por exemplo, se você desmarcar Porta de
origem ou Porta de destino, http:80 será exibido como 80. Se você
selecionar Protocolos, o número bruto 17 será exibido como udp.
Certificado
Instale um novo certificado SSL (Secure Socket Layer).
Gerar SSH
novamente
Gere novamente o par de chaves SSH públicas ou privadas para se
comunicar com todos os dispositivos.
Gerenciamento
de chaves
Guia de produto
307
3
Guia
Opção
Definição
Exportar todas as
chaves
Exporte as chaves de comunicação de todos os dispositivos do
sistema, em vez de exportar uma de cada vez.
Restaurar todas as Restaure as chaves de comunicação de todos os dispositivos ou dos
chaves
dispositivos selecionados, que foram exportadas com a função Exportar
todas as chaves.
Manutenção
Atualizar ESM
Atualize o software ESM a partir de um servidor de regras e
atualizações da McAfee ou um engenheiro de segurança da McAfee.
Dados do ESM
Faça download de um arquivo .tgz que contenha as informações
relacionadas ao status do ESM. Esse status pode auxiliar o Suporte
da McAfee a solucionar problemas.
Gerenciador de
tarefas
Exiba as consultas em execução no ESM e as interrompa, se
necessário.
Encerrar
Encerre o ESM. Você é avisado de que essa ação faz com que todos
os usuários percam a comunicação com o ESM.
Reinicializar
Interrompa e reinicie o ESM. Você é avisado de que essa ação faz
com que todos os usuários percam a comunicação com o ESM.
Terminal
Esse recurso se destina somente a usuários avançados.
Insira comandos do Linux no ESM. O terminal é somente um
emulador de modo de lote parcial e nem todos os comandos estão
disponíveis.
• O terminal não mantém um diretório de trabalho atual.
• Não é possível usar o comando cd para ir para outro diretório.
• Devem ser usados nomes de caminho completo.
• Os operadores > ou >> não funcionam; todos os resultados são
retornados para a tela.
Obter recursos
Se você comprou recursos adicionais, ative-os no ESM fazendo
download de um arquivo criptografado que contém informações sobre
os recursos que são atualmente compatíveis com o ESM.
Configurar
recursos
Instale o arquivo obtido por download com a opção Obter recursos.
Conectar
Ao ligar para obter suporte, conceda acesso ao suporte da McAfee ao
seu sistema.
Essa opção não está em conformidade com o FIPS e não fica
disponível em operações no modo FIPS.
Acesse as informações a seguir para qualquer dispositivo ESM:
• Estatísticas de utilização do espaço de troca e da memória.
• Utilização de CPU.
• Atividade de alternância de sistemas.
• Estatísticas de taxa de transferência e entrada/saída.
• Médias de carga e tamanho da fila.
Consulte também
Página Gerenciamento de ESM na página 309
308
Guia de produto
3
Página Gerenciamento de ESM
Gerencie o software, os logs, as estatísticas do dispositivo, o certificado, os arquivos de recurso e as
chaves de comunicação do ESM.
Guia
Opção
Descrição
Guia
Configuração
Gerenciar logs
Configure os tipos de eventos que são registrados no log de eventos.
Hierarquia do ESM
Configure as opções de dados ao trabalhar com dispositivos ESM
hierárquicos.
Ocultação
Mascare os campos selecionados de qualquer registro de alerta
enviado no encaminhamento de evento ou enviado para um ESM pai.
Registro
Envie eventos internos ao ELM para armazenamento. Esses dados
podem ser usados para fins de auditoria.
Localidade do
sistema
Selecione o idioma para registros do sistema, como o monitor de
integridade e o registro de dispositivos.
Mapa de nomes
Desmarque as portas e protocolos para que eles exibam números
brutos em vez de nomes. Por exemplo, se você desmarcar Porta de
origem ou Porta de destino, http:80 será exibido como 80. Se você
selecionar Protocolos, o número bruto 17 será exibido como udp.
Certificado
Instale um novo certificado SSL.
Gerar SSH
novamente
Gere novamente o par de chaves SSH públicas ou privadas para se
comunicar com todos os dispositivos. Quando a chave é gerada
novamente, ela substitui o par de chaves antigo em todos os
dispositivos gerenciados pelo ESM.
Exportar todas as
chaves
Exporte as chaves de comunicação de todos os dispositivos do
sistema, em vez de precisar exportá-las uma por vez.
Restaurar todas as
chaves
Restaure todas as chaves de comunicação de todos os dispositivos ou
dos dispositivos selecionados, que foram exportadas usando a função
Exportar todas as chaves.
Atualizar ESM
Atualize o software ESM a partir de um servidor de regras e
atualizações da McAfee ou um engenheiro de segurança da McAfee.
Dados do ESM
Faça download de um arquivo .tgz que contenha as informações
relacionadas ao status do ESM. Esse status pode auxiliar o Suporte
da McAfee a solucionar problemas.
Gerenciador de
tarefas
Exiba e gerencie as consultas que estiverem em execução no ESM.
Encerrar
Encerre o ESM. Você é avisado de que essa ação faz com que todos
os usuários fiquem sem comunicação com o ESM.
Reinicializar
Inicie o ESM. Você é avisado de que essa ação faz com que todos os
usuários fiquem sem comunicação com o ESM.
Terminal
Insira comandos do Linux no ESM. O terminal é somente um
emulador de modo de lote parcial, e nem todos os comandos estão
disponíveis (consulte Comandos do Linux disponíveis). O terminal
não identifica um diretório de trabalho atual. Você não pode usar o
comando cd para ir para outro diretório. Você deve usar nomes de
caminho completos. Os operadores > or >> não funcionam. O
sistema retorna todos os resultados para a tela.
Guia
Gerenciamento
de chaves
Manutenção
Este recurso destina-se somente a usuários avançados.
Guia de produto
309
3
Guia
Opção
Descrição
Obter recursos
Para ativar recursos do ESM recentemente comprados, primeiro faça
download de um arquivo criptografado que contenha informações
sobre os recursos do ESM com suporte no momento.
Configurar
recursos
Instale o arquivo obtido por download com a opção Obter recursos.
Conectar ou
Desconectar
Conceda ao Suporte técnico o acesso ao seu sistema quando você
solicitar o suporte da McAfee.
Esta opção está fora de conformidade com o FIPS, portanto, ela não
fica disponível em operações no modo FIPS.
Acesse as informações a seguir para qualquer dispositivo ESM:
• Estatísticas de utilização do espaço de troca e da memória.
• Utilização de CPU.
• Atividade de alternância de sistemas.
• Estatísticas de taxa de transferência e entrada/saída.
• Médias de carga e tamanho da fila.
Consulte também
Gerenciamento do ESM na página 307
Gerenciar registros
São vários os tipos de eventos gerados no ESM. Você pode selecionar aqueles que deseja salvar no
registro de eventos.
Tarefa
Ajuda.
1
2
Clique em Gerenciar registros e selecione os tipos de evento que deseja registrar.
3
Clique em OK.
Consulte também
Página Gerenciamento de registro de eventos na página 310
Página Gerenciamento de registro de eventos
Selecione os tipos de registro de eventos que você deseja que esse dispositivo gere.
Opção
Definição
Especificar os tipos de registro de
eventos
Selecione ou desmarque os tipos para especificar os tipos de
registro de eventos que você deseja que esse ESM colete. Ao clicar
em um tipo, uma descrição é exibida.
Consulte também
Gerenciar registros na página 310
310
Guia de produto
3
Tipos de eventos
Estes são os tipos de registro de eventos gerados no ESM.
Tipo de evento
Eventos registrados
Autenticação
Login, logout e alterações na conta de usuário.
Para estar em conformidade com as normas FIPS, o Modo de autenticação está
sempre definido como Nenhum.
Backup
Processo de backup de banco de dados.
Lista negra
As entradas da lista negra enviadas ao dispositivo.
Dispositivo
Quaisquer alterações no dispositivo ou comunicações dele, como obter
eventos, fluxos e registros.
Encaminhamento de evento Alterações ou erros no encaminhamento de evento.
Monitor de integridade
Eventos de status do dispositivo.
Notificações
Alterações ou erros de notificação.
Política
Gerenciamento e aplicação de políticas.
Servidor de regras
Download e validação de regras obtidas por download do servidor de regras.
No modo FIPS, as regras não devem ser atualizadas através do servidor de
regras.
Sistema
Alterações na configuração do sistema e registro de sobreposição de tabela.
Exibições
Alterações nas exibições e consultas.
Mascarar endereços IP
Você pode optar por mascarar dados específicos em registros de eventos enviados no
encaminhamento de evento ou a um ESM pai.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Gerenciamento de ESM |
Hierarquia do ESM.
2
Selecione Ocultar nos ESMs cujos dados você deseja mascarar.
A página Seleção de campos de ocultação é aberta.
3
Selecione os campos que deseja mascarar.
4
Clique em OK.
Após essa configuração, se um ESM pai solicitar um pacote de um ESM filho, os dados selecionados
serão mascarados.
Consulte também
Página ESM hierárquico na página 312
Página Seleção de campos de ocultação na página 312
Página Configurações de ocultação na página 312
página Rede local na página 313
Guia de produto
311
3
Página ESM hierárquico
Aprove o ESM pai para permitir que ele efetue pull de eventos do DESM. Sem essa aprovação, o pai
somente pode definir filtros, sincronizar origens de dados e enviar por push seus tipos personalizados
para o DESM.
Opção
Definição
Tabela ESM
hierárquico
Exibir a lista de ESMs pais que acessam um ESM filho
Aprovado
Selecione para aprovar a comunicação de SSH entre o ESM pai e o DESM.
Ocultar
Selecione para ocultar dados à sua escolha. A caixa de diálogo Seleção de
campos de ocultação é aberta.
Clique para editar as configurações de ocultação.
Clique para excluir o ESM pai da tabela. Se você fizer isso, ele não poderá
mais recuperar dados do DESM. Um administrador do sistema pode realizar
a comunicação entre um ESM pai e um DESM a qualquer momento.
Consulte também
Mascarar endereços IP na página 311
Página Seleção de campos de ocultação
Selecione os dados de evento de DESM que o ESM pai não deverá ter permissão para exibir.
Opção
Definição
Lista Disponível para ocultação
Relaciona os campos que podem ser ocultados. Essa lista inclui
campos que podem conter dados confidenciais e todos os tipos
personalizados. Para localizar um campo na lista, digite o nome no
campo de pesquisa.
Lista Campos selecionados
Relaciona os campos que estiverem ocultos no momento.
Setas
Move os campos selecionados de uma lista para a outra.
Link Definir configurações de
ocultação global
Clique para adicionar ou alterar as configurações de ocultação do
sistema.
Consulte também
Página Configurações de ocultação
Mascare endereços IP que não estiverem na sua Rede local.
Opção
Definição
Valor de semente
Para garantir que a ocultação seja executada sempre da mesma maneira,
insira uma semente no campo Valor de semente ou clique em Gerar para gerar
uma semente aleatória. Isso é útil se você ocultar o endereço IP em vários
ESMs e desejar manter os valores sincronizados.
Incluir rede local
Selecione para ocultar endereços IP dentro e fora da rede local. Isso se
estende aos tipos personalizados de IP, como os endereços IPv4 e IPv6.
Modificar configurações de
rede local
Clique para editar o endereços IP na sua rede local.
Consulte também
312
Guia de produto
3
página Rede local
Defina os detalhes da Rede local.
Opção
Definição
Campo Rede local Insira uma lista dos endereços IP ou sub-redes incluídos na Rede local, separados
por vírgulas. O campo permite no máximo 2.000 caracteres. Se a Rede local for
maior do que isso, será possível consolidar várias sub-redes em uma Rede local
menor com a notação CIDR (Classless Inter-Domain Routing).
Consulte também
Descobrir a rede na página 477
Configurar o registro do ESM
Se houver um dispositivo ELM no sistema, você poderá configurar o ESM de forma que os dados do
evento interno que ele gera sejam enviados ao dispositivo ELM. Para isso, é necessário configurar a
lista de registro padrão.
Antes de iniciar
Adicione um dispositivo ELM ao sistema.
Tarefa
Ajuda.
1
2
Na guia Configuração, clique em Registro.
3
Faça as seleções solicitadas e clique em OK.
Consulte também
Páginas Registro na página 313
Páginas Registro
Selecione as opções de registro padrão e a lista de armazenamento para armazenar os dados de
eventos internos do ESM.
Opção
Definição
Página Configuração de registro
Selecione Registro.
Página Dispositivo - associação
com o ELM
Caso você não tenha associado um ELM a esse ESM, o sistema
perguntará se você deseja fazê-lo. Clique em Sim.
Página Selecionar ELM para
registro
Se você tiver mais de um dispositivo do ELM no sistema, selecione o
ELM em que deseja armazenar os dados. Esse ESM sempre salvará os
registros no ELM que você selecionar.
Página Selecionar Endereço IP do
ELM
Selecione o endereço IP pelo qual deseja que o ESM se comunique
com o ELM. Você será notificado quando o ELM selecionado for
associado ao dispositivo com êxito.
Guia de produto
313
3
Opção
Definição
Página Não há pools de ELM
Se nenhuma lista de armazenamento tiver sido configurada no ELM,
você será informado de que precisa adicionar listas de
armazenamento ao ELM antes de ativar o registro.
Página Opções de registro do ELM
Selecione a lista de armazenamento onde os dados devem ser
registrados.
Consulte também
Configurar o registro do ESM na página 313
Exportar e restaurar chaves de comunicação
Exporte as chaves de comunicação de todos os dispositivos do sistema para um único arquivo. Uma
vez exportadas as chaves de comunicação, você poderá restaurá-las quando precisar.
•
Na árvore de navegação do sistema, selecione Propriedades do sistema | Gerenciamento de ESMe clique na
guia Gerenciamento de chaves.
Para...
Faça isto...
Exportar todas as
chaves de
comunicação
1 Clique em Exportar todas as chaves.
2 Defina a senha para o arquivo de chaves e clique em OK.
3 Selecione o local de salvamento do arquivo e clique em Salvar.
Restaurar todas as
chaves de
comunicação
1 Clique em Restaurar todas as chaves.
2 Localize o arquivo que você configurou quando exportou as chaves e
clique em Abrir.
3 Clique em Fazer upload e digite a senha definida.
4 Selecione os dispositivos que precisam ser restaurados e clique em OK.
Gerar chave SSH novamente
Gere novamente o par de chaves SSH pública ou privada para se comunicar com todos os dispositivos.
Tarefa
Ajuda.
1
2
Na guia Gerenciamento de chaves, clique em Gerar SSH novamente.
Você é avisado que a nova chave substitui a antiga.
3
Clique em Sim.
Quando a chave é gerada novamente, ela substitui o par de chaves antigo em todos os dispositivos
gerenciados pelo ESM.
Gerenciador de tarefas de consulta
Se você tiver direitos de administrador ou de mestre, poderá acessar o Gerenciador de tarefas, que exibe a
lista de consultas em execução no ESM. A partir dali, você poderá fechar consultas específicas se elas
314
Guia de produto
3
afetarem o desempenho do sistema. Consultas de longa data têm maior possibilidade de afetar o
desempenho.
A tentativa desse recurso é solucionar problemas de tempo de execução do ESM, e não fechar
consultas. Use esse recurso com assistência do suporte da McAfee.
As características do gerenciador de tarefas são:
•
É possível fechar relatório, exibir, adicionar à lista de observação, executar e exportar, executar
alarme e consultas de API externas no sistema. Não é possível fechar consultas do sistema.
•
Quando você clica em uma consulta, os detalhes são exibidos na área Detalhes da consulta.
•
Por padrão, a lista é atualizada automaticamente a cada cinco segundos. Se você selecionar uma
consulta e a lista for atualizada automaticamente, ela permanecerá selecionada e os detalhes serão
atualizados. Se a consulta estiver concluída, ela não aparecerá mais na lista.
•
Caso não deseje que a lista seja atualizada automaticamente, cancele a seleção de Atualizar lista
automaticamente.
•
Para exibir as tarefas do sistema, que são tarefas ainda não identificadas, cancele a seleção de
Ocultar tarefas do sistema.
•
É possível classificar as colunas da tabela.
•
É possível selecionar e copiar os dados na área Detalhes da consulta.
•
Se for possível fechar uma consulta, ela terá um ícone de exclusão
você clica nele, uma caixa de seleção solicita confirmação.
na última coluna. Quando
Gerenciar consultas em execução no ESM
O Gerenciador de tarefas exibe uma lista de consultas que estão em execução no ESM. É possível exibir seu
status e excluir qualquer uma que afete o desempenho do sistema.
Tarefa
Ajuda.
1
.
2
Clique em Gerenciamento de ESM, clique na guia Manutenção e, em seguida, clique em Gerenciador de tarefas.
3
Revise e tome medidas em relação à lista de consultas em execução.
Consulte também
Página Gerenciador de tarefas na página 315
Página Gerenciador de tarefas
Exiba e gerencie as consultas que estiverem em execução no ESM.
Opção
Definição
Tabela
Exiba uma lista de consultas que estiverem em execução no ESM. As
colunas da tabela podem ser classificadas.
Detalhes da consulta
Exiba os detalhes da tarefa selecionada na tabela. Você pode selecionar e
copiar esse texto.
Guia de produto
315
3
Opção
Definição
Ocultar tarefas do sistema
Desmarque para exibir tarefas do sistema, aquelas que ainda não foram
identificadas.
Atualizar lista automaticamente Desmarque se não deseja que a lista seja atualizada automaticamente a
cada 5 segundos. Se você selecionar uma consulta e a lista for atualizada
automaticamente, ela permanecerá selecionada e os detalhes serão
atualizados. Se a consulta estiver concluída, ela não aparecerá mais na
lista.
Clique para eliminar a tarefa.
Tenha cuidado ao eliminar tarefas.
Consulte também
Gerenciar consultas em execução no ESM na página 315
Atualizar ESM primário ou redundante
Se você estiver atualizando um ESM primário ou redundante, siga estas etapas específicas para evitar
a perda do evento, do fluxo e dos dados de log.
Tarefa
Ajuda.
1
Desative a coleta de alertas, fluxos e logs.
a
Na árvore de navegação de sistemas, selecione Informações do sistema e clique em Eventos, fluxos e
registros.
b
Desmarque a opção Verificação automática a cada.
2
Atualize o ESM primário.
3
Atualize o ESM redundante. Isso levará mais tempo se houver arquivos de redundância para
processar.
4
Ative a coleta de alertas, fluxos e logs selecionando a opção Verificação automática a cada mais uma vez.
Se houver falha na atualização, consulte Atualizar para a versão 9.3.
Acessar um dispositivo remoto
Se um dispositivo for configurado em um local remoto, use a opção Terminal e execute comandos do
Linux para ver o dispositivo. Esse recurso é destinado a usuários avançados e deve ser usado sob a
supervisão do pessoal do suporte da McAfee em situações de emergência.
Tarefa
Ajuda.
316
1
2
Na guia Manutenção, clique em Terminal.
Guia de produto
3
3
Insira a senha do sistema e clique em OK.
4
Insira os comandos do Linux, conforme o necessário, e exporte para salvar o conteúdo em um
arquivo.
A exportação não inclui resultados que foram limpos da página Terminal durante a sessão de terminal
atual.
5
Clique em Fechar.
Consulte também
Página Terminal na página 317
Página Terminal do dispositivo na página 317
Página Terminal
Execute comandos do Linux para acessar um dispositivo remoto. Esse recurso é destinado a usuários
avançados e deve ser usado sob a supervisão do pessoal do suporte da McAfee.
Opção
Definição
Inserir comando Insira comandos do Linux e clique em Enter.
Este é somente um emulador de modo de lote, e nem todos os comandos estão
disponíveis (consulte Comandos do Linux disponíveis).
Limpar
Clique para limpar o conteúdo da caixa de texto Terminal.
Exportar
Clique para salvar o conteúdo da caixa de texto.
Consulte também
Acessar um dispositivo remoto na página 316
Página Terminal do dispositivo
Se você é um usuário avançado e trabalha com McAfee Suporte, use esta opção para inserir os
comandos do Linux no dispositivo selecionado.
Opção
Definição
Inserir comando
Digite o comando. Ao pressionar a tecla Retornar, o comando será adicionado à
página Terminal. Consulte Comandos do Linux disponíveis para obter uma lista de
comandos que podem ser usados.
Limpar
Clique para excluir o conteúdo da página.
Exportar
Clique para salvar o conteúdo da página em um arquivo. A exportação não
incluirá os resultados que foram removidos da página de terminal durante a
sessão atual do terminal.
Transferência de arquivos Transferir arquivos entre o ESM e este dispositivo.
Consulte também
Acessar um dispositivo remoto na página 316
Guia de produto
317
3
Usar comandos do Linux
Você pode usar a opção Terminal para inserir comandos do Linux no ESM. Esse recurso se destina a
usuários avançados. Use-o somente sob orientação do suporte da McAfee em caso de emergência.
Tarefa
Ajuda.
1
2
Clique na guia Manutenção, clique em Terminal, digite a senha do sistema e clique em OK.
3
Digite os comandos do Linux (consulte Comandos do Linux disponíveis).
4
Clique em Limpar para excluir o conteúdo da página, se necessário.
5
(Opcional) Clique em Exportar para salvar o conteúdo em um arquivo.
A exportação não inclui resultados que foram limpos da página de terminal durante a sessão de
terminal atual.
Comandos do Linux disponíveis
Estes são os comandos disponíveis na página Terminal:
Comandos da página Terminal
•
getstatsdata
•
echo
•
ps
•
date
•
grep
•
ethtool
•
ifconfig
•
df
•
kill
•
tar
•
sensors
•
netstat
•
service
•
sar
•
cat
•
tail
•
rm
•
locate
•
iptables
•
tcpdump -c -w
•
updatedb
•
ip6tables
•
cp
Estes são os comandos disponíveis que são modificados antes da execução:
318
Esse comando...
Alterado para...
II
ll--classify
ping
ping -c 1
ls
ls--classify
Guia de produto
3
Esse comando...
Alterado para...
top
top -b -n 1
ping6
ping6 -c 1
Para obter informações sobre o comando getstatsdata, consulte Reunir dados estatísticos para
solucionar problemas no Apêndice D. Para obter informações sobre todos os outros comandos,
consulte http://www.linuxmanpages.com.
Uma lista negra é um meio de bloquear o tráfego quando flui por um IPS do Nitro ou dispositivo
virtual antes de ser analisado pelo mecanismo de inspeção de pacote detalhada.
Você pode usar a opção Lista negra do IPS do Nitro para configurar uma lista negra de dispositivos
individuais do IPS do Nitro no ESM. Com a Lista negra global, você pode configurar uma lista negra que se
aplique a todos os dispositivos IPS do Nitro gerenciados pelo ESM. Esse recurso permite somente
entradas permanentes de lista negra. Para configurar entradas temporárias, use a opção Lista negra do
IPS do Nitro.
Cada dispositivo IPS do Nitro e virtual pode usar a lista negra global. O recurso fica desativado em
todos os dispositivos até você ativá-lo.
A página Editor de lista negra global inclui três guias:
•
Origens bloqueadas — Corresponde ao endereço IP de origem do tráfego que passa pelo dispositivo.
•
Destinos bloqueados — Corresponde ao endereço IP de destino do tráfego que passa pelo dispositivo.
•
Exclusões — Fornece imunidade de ser automaticamente adicionado a qualquer uma das listas
negras. Os endereços IP críticos (por exemplo, DNS e outros servidores ou estações de trabalho
dos administradores de sistema) podem ser adicionados às exclusões para garantir que nunca
sejam colocados automaticamente na lista negra, independentemente dos eventos que eles
possam gerar.
As entradas em Origens bloqueadas e Destinos bloqueados podem ser configuradas para restringir o efeito da
lista negra em uma porta de destino específica.
Ao adicionar entradas:
•
Adicionar é ativada quando você altera o endereço IP ou a porta.
•
As entradas nas listas Origens bloqueadas e Destinos bloqueados podem ser configuradas para incluir na
lista negra todas as portas ou uma porta específica.
Guia de produto
319
3
•
As entradas que usam um intervalo mascarado de endereços IP devem ser configuradas com a
porta definida como qualquer (0) e a duração deve ser permanente.
•
Embora essas listas requeiram o formato de endereço IP, existem algumas ferramentas incluídas
que ajudam a aumentar o significado desses endereços. Depois de digitar um endereço IP ou o
nome do host no campo Endereço IP, o botão ao lado desse controle terá as opções Resolver ou
Pesquisar com base no valor inserido. Se ele informar Resolver, clique nele para resolver o nome do
host inserido, preencher o campo Endereço IP com essas informações e mover o nome do host para o
campo Descrição. Caso contrário, se você clicar em Pesquisar, será realizada uma pesquisa do
endereço IP e o campo Descrição será preenchido com os resultados dessa pesquisa.
Alguns sites têm mais de um endereço IP ou têm endereços IP que nem sempre são iguais. Não
dependa desta ferramenta para garantir o bloqueio de alguns sites.
Consulte também
Configurar uma lista negra global na página 320
Configurar uma lista negra global
Configure uma lista negra global que seja comum a todos os dispositivos selecionados, para não
precisar inserir as mesmas informações em vários dispositivos.
Tarefa
Ajuda.
1
Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Lista negra global.
2
Selecione a guia Origens bloqueadas, Destinos bloqueados ou Exclusões e gerencie as entradas da lista
negra.
3
Selecione os dispositivos que devem usar a lista negra global.
4
Tarefas
•
Página Gerenciar listas negras globais na página 321
Selecione os dispositivos IPS do Nitro que usam a lista negra global.
Consulte também
Uso de uma lista negra global na página 319
Página Lista negra global na página 320
Página Gerenciar listas negras globais na página 321
Página Lista negra global
Configure uma lista negra global para bloquear tráfego específico em todos os dispositivos IPS do
Nitro e dispositivos virtuais.
320
Opção
Definição
Guia Origens
bloqueadas
Gerencie os endereços IP de origem que deseja bloquear.
Guia Destinos
bloqueados
Gerencie os endereços IP de destino que deseja bloquear.
Guia de produto
3
Opção
Definição
Guia Exclusões
Gerencie a lista de endereços IP que nunca devem ser colocados na lista negra
automaticamente, como servidores DNS e outros, ou a estação de trabalho do
administrador do sistema.
Endereço IP
Ao adicionar um item à lista, digite o endereço IP.
Pesquisa
Clique para pesquisar a descrição do endereço IP que você forneceu.
Adicionar
Depois de digitar o endereço IP, clique para adicioná-lo à lista.
Porta
Digite um número de porta caso queira restringir o efeito da lista negra a uma
porta de destino específica. A configuração padrão é zero (0), que permite
qualquer porta.
Modificar
Altere a descrição de um item já incluído na lista negra e clique nessa opção.
Descrição
(Opcional) Insira uma descrição para o endereço IP ou clique em Pesquisar para
localizar uma descrição. Para alterar a descrição de um endereço existente,
digite as alterações e clique em Modificar.
Gerenciar
Clique para abrir uma lista de dispositivos IPS do Nitro e dispositivos virtuais no
ESM e selecione aqueles que devem usar a lista negra global.
Ícone Gravar
Clique quando estiver pronto para salvar os novos itens no ESM. Se você sair da
página da lista negra antes de gravar as alterações, elas não serão salvas.
Ícone Ler
Clique para atualizar origens bloqueadas, destinos bloqueados e exclusões.
Ícone Remover
Clique para remover o item selecionado da lista negra. O campo Status mudará
para Excluir na próxima gravação.
Ícone Exibir eventos
Clique para gerar um relatório de eventos a partir dos endereços IP infratores. O
relatório aparecerá como uma exibição no console.
Consulte também
Página Gerenciar listas negras globais
Selecione os dispositivos IPS do Nitro que usam a lista negra global.
Opção
Definição
Tabela
Exiba uma lista dos dispositivos IPS do Nitro no ESM e se a lista negra global está ou
não ativada para cada um deles.
Coluna Ativado Selecione os dispositivos que usam a lista negra global.
Consulte também
É possível enriquecer eventos enviados pela origem de dados upstream com contexto fora do evento
original, como um endereço de e-mail, um número de telefone ou informações de localização de host.
Esses dados enriquecidos se tornam parte do evento analisado e são armazenados com o evento
assim como os campos originais.
Defina origens de enriquecimento de dados definindo como se conectar ao seu banco de dados e
acessar uma ou duas colunas de tabela no banco de dados. Defina os dispositivos que receberão os
dados e como enriquecer esses dados, tanto de eventos como de fluxos.
Guia de produto
321
3
Também é possível editar ou remover origens de enriquecimento de dados, bem como executar uma
consulta na página Enriquecimento de dados.
Eventos disparados no ESM não são enriquecidos. A aquisição de dados acontece no ESM, não nos
dispositivos.
Um conector para a origem de dados relacional em Hadoop HBase usa os pares de chave-valor da
origem para enriquecimento. É possível efetuar pull regularmente do mapeamento de identidade em
HBase para um Receptor para enriquecer eventos.
Consulte também
Adicionar origens de enriquecimento de dados na página 322
Adicione uma origem de enriquecimento de dados Hadoop HBase na página 326
Configurar enriquecimento de dados no McAfee Real Time for McAfee ePO™ na página 326
Adicionar origem de enriquecimento de dados Hadoop Pig na página 327
Adicionar enriquecimento de dados do Active Directory para nomes do usuário na página 328
Adicionar origens de enriquecimento de dados
Adicione uma origem de enriquecimento de dados e defina os dispositivos que receberão os dados.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Enriquecimento de dados
| Adicionar.
Guias e campos no Assistente de enriquecimento de dados variam com base no tipo de enriquecimento
selecionado.
2
Em cada uma das guias, preencha os campos e clique em Avançar.
3
Clique em Finalizar e clique em Gravar.
4
Selecione os dispositivos nos quais deseja gravar as regras de enriquecimento de dados e clique
em OK.
Consulte também
Enriquecimento de dados na página 321
Página Enriquecimento de dados na página 322
Página Assistente de enriquecimento de dados na página 323
Página Dispositivos e regra na página 325
Página Enriquecimento de dados
Gerencie origens de enriquecimento de dados. Exiba as origens no sistema, incluindo a frequência de
pull e o status de ativação.
322
Opção
Definição
Adicionar
Adicione uma nova origem de enriquecimento de dados.
Editar
Faça alterações em uma origem existente.
Guia de produto
3
Opção
Definição
Remover
Remover uma origem existente.
Executar agora Execute uma consulta na origem de enriquecimento de dados selecionada.
Ativado
Ative ou desative a origem de enriquecimento de dados selecionada.
Gravar
Clique para gravar as configurações para os dispositivos selecionados na guia Destino ao
adicionar ou editar origens.
Consulte também
Página Assistente de enriquecimento de dados
Adicione uma origem de enriquecimento de dados definindo como se conectar ao banco de dados e
acessar uma ou duas colunas de tabela no banco de dados. Isso enriquece eventos enviados por
origens de dados upstream com contexto fora do evento original.
Guia
Opção
Definição
Guia
Principal
Nome
Digite um nome para a origem.
Ativar
Selecione se deseja ativar essa origem.
Tipo de pesquisa
Selecione o tipo de dado a ser usado para pesquisa.
Tipo de enriquecimento
Selecione o tipo de dados que você deseja enriquecer.
Frequência de pull
Selecione a frequência com que a origem de enriquecimento de
dados deve ser executada.
Guia Origem • Os tipos de origem CIFS, NFS, FTP, SFTP e SCP somente podem usar arquivos externos
para enriquecimento. Os outros tipos de origem requerem que você grave uma
consulta para um banco de dados ou expressão regular.
• O arquivo recebido por pull para enriquecimento de dados deve ser formatado como
LookupValue=EnrichmentValue.
• Cada entrada deve ficar em uma linha separada.
• Para enriquecimento de uma única coluna, somente as entradas de valor da pesquisa
são necessárias.
• Para enriquecimento de duas colunas, o valor da pesquisa deve ser separado do valor
do enriquecimento por um símbolo de igual (=).
Por exemplo, um arquivo que usa endereço IP para nomes de host pode ser assim:
10.5.2.3=New York
10.5.2.4=Houston
Tipo
Tipo de driver do banco de dados da origem.
Autenticação
Se a opção Básica estiver selecionada, insira o nome do usuário e
a senha para o site se precisar entrar. A configuração padrão é
Nenhuma.
Nome do banco de dados.
Host
Nome do computador no qual o banco de dados está em
execução.
Ignorar certificados inválidos Se o site que você estiver tentando pesquisar tiver um URL
https, selecione essa opção para ignorar certificados SSL
inválidos.
Guia de produto
323
3
Guia
Guia
Análise
Opção
Definição
Endereço IP
Endereço IP do banco de dados.
Host do rastreador de
trabalho
Endereço IP ou endereço do host do rastreador de trabalho do
Apache Hadoop. Não é necessário; se estiver em branco, o
sistema usará o Host do nome do nó.
Porta do rastreador de
trabalho
Porta de escuta do Host do rastreador de trabalho. Não
obrigatório, se estiver em branco, o sistema usará o host do
nome do nó.
Método
Se a opção POST estiver selecionada, o conteúdo do post ou o
argumento podem ser necessários para navegar até a página da
Web cujo conteúdo você deseja pesquisar. A configuração padrão
é GET.
Ponto de montagem
Diretório dos arquivos.
Host do nome do nó
Endereço IP ou endereço do host do nome do nó do Apache
Hadoop. Não inclua o protocolo.
Porta do nome do nó
Porta de escuta do Host do nome do nó. Não obrigatório, se
estiver em branco, o sistema usará o host do nome do nó.
Senha
Senha para acessar o banco de dados.
Caminho
Caminho para o banco de dados. Se você selecionar FTP no
campo Tipo, o caminho será relativo ao diretório inicial. Para
especificar um caminho absoluto no servidor FTP, insira uma
barra adicional (/) no início do caminho. Por exemplo, //var/
local/caminho.
Porta
Porta para o banco de dados.
Nome do compartilhamento
Diretório dos arquivos.
Nome do usuário
O nome do usuário que pode acessar o banco de dados. Para
LDAP, insira um nome de domínio totalmente qualificado sem
espaços. Por exemplo, uid=bob,ou=Users,dc=example,dc=com
ou [email protected].
Dados brutos
Quando HTTP/HTTPS for selecionado como o tipo de origem,
exiba as primeiras 200 linhas do código-fonte HTML do URL
inserido no campo URL na guia Origem. Trata-se apenas de uma
visualização do site, mas é suficiente para gravar uma expressão
regular que seja correspondente.
Uma atualização Executar agora ou agendada da origem de
enriquecimento de dados inclui todas as correspondências da
pesquisa de expressão regular. Esse recurso aceita expressões
regulares com sintaxe RE2, como (\d{1,3}\.\d{1,3}\.\d{1,3}\.
\d{1,3}).
324
Linhas de cabeçalho a
ignorar
Normalmente, um site da internet tem um código de cabeçalho
que não interessa pesquisar. Especifique quantas linhas a partir
da parte superior do site você deseja pular para que a pesquisa
não inclua dados de cabeçalho.
Novo delimitador de linha
Digite o que é usado no site para separar os valores de seu
interesse. Esse campo tem um padrão de \n, que indica que
uma nova linha é o delimitador. O outro delimitador mais comum
é a vírgula.
Ignorar expressão
Digite uma expressão regular que removera qualquer valor
indesejado dos resultados da pesquisa de expressão regular.
Guia de produto
3
Guia
Opção
Definição
Expressão regular
(Obrigatório) Digite a lógica usada para encontrar uma
correspondência e extrair os valores do site.
Os casos de uso mais comuns são criar uma expressão que
corresponda a uma lista de endereços IP maliciosos conhecidos
ou somas de MD5 relacionadas em um site.
Se você forneceu dois grupos de correspondência na expressão
regular, poderá mapear os resultados de cada correspondência
regex para Valor de pesquisa ou Valor de enriquecimento.
Valor de pesquisa ou
O valor a ser pesquisado em eventos coletados do ESM quando
desejar adicionar mais valores. Ele é mapeado para o Campo de
pesquisa na guia Destino.
Valor de enriquecimento
O valor que é enriquecido ou inserido nos eventos de origem que
coincidem com o valor de pesquisa. Ele é mapeado para o Campo
de enriquecimento na guia Destino.
Guia
Consulta
Configure a consulta para os tipos Hadoop HBase (REST), Hive, LDAP, MSSQL, MySQL,
Oracle, PIG ou McAfee Real Time for McAfee ePO.
Guia
Pontuação
Defina a pontuação de cada valor retornado em uma consulta de coluna única. Selecione
o campo de origem e de destino que deseja pontuar e clique em Executar consulta.
Guia
Destino
Valor
Mostra os valores retornados.
Pontuação
Mostra o passador numérico que você pode usar para definir a
pontuação de risco para esse valor. Faça alterações, se
necessárias, e clique em Atualizar lista.
Exiba os dispositivos e a regra para mapeamento de campo em dispositivos preenchidos
por essa origem de enriquecimento de dados.
Adicionar
Selecione os dispositivos e regras.
Editar
Altere as configurações de regras ou de dispositivos.
Remover
Exclua uma configuração de dispositivo e regra.
Consulte também
Página Dispositivos e regra
Selecione os dispositivos que você deseja enriquecer e crie uma regra de mapeamento de campo para
eles.
Opção
Definição
Campo de pesquisa
Selecione o campo que deve ser usado para pesquisa.
Campo de enriquecimento Selecione o campo que será enriquecido.
Usar valor estático
Selecione se você desejar usar um valor estático.
Valor de enriquecimento
Se você selecionou Usar valor estático, deve inserir o valor de enriquecimento.
Modificar gravidade
Selecione se você desejar usar a gravidade como um campo de enriquecimento
e selecione o percentual desejado para incremento ou decremento.
Consulte também
Guia de produto
325
3
Configurar enriquecimento de dados no McAfee Real Time for
McAfee ePO
™
Ao selecionar a origem do McAfee Real Time for McAfee ePO no Assistente de enriquecimento de dados, você
pode testar sua consulta e escolher as colunas para Pesquisa e Enriquecimento
Tarefa
Ajuda.
1
.
2
Clique em Enriquecimento de dados, depois clique em Adicionar e preencha as informações na guia
Principal.
3
Na guia Origem, selecione Real Time for ePO no campo Tipo, selecione o dispositivo e clique na guia
Consulta.
4
Adicione as informações solicitadas e clique em Testar.
Se a consulta não gerar as informações necessários, faça ajustes nas configurações.
Consulte também
Adicione uma origem de enriquecimento de dados Hadoop
HBase
Efetue pull do mapeamento da identidade de HBase por meio de um Receptor para enriquecer eventos
adicionando Hadoop HBase como origem de enriquecimento de dados.
Tarefa
Ajuda.
326
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Enriquecimento de dados.
2
No Assistente de enriquecimento de dados, preencha os campos na guia Principal e clique na guia Origem.
3
No campo Tipo, selecione Hadoop HBase (REST) e digite o nome de host, a porta e o nome da tabela.
Guia de produto
3
4
Na guia Consulta, preencha a coluna de pesquisa e as informações de consulta:
a
Formate a Coluna de pesquisa como columnFamily:columnName
b
Preencha a consulta com um filtro de mecanismo de varredura, onde os valores são codificados
por Base64. Por exemplo:
<Scanner batch="1024">
<filter>
{
"type": "SingleColumnValueFilter",
"op": "EQUAL",
"family": " ZW1wbG95ZWVJbmZv",
"qualifier": "dXNlcm5hbWU=",
"latestVersion": true,
"comparator": {
"type": "BinaryComparator",
"value": "c2NhcGVnb2F0"
}
}
</filter>
</Scanner>
5
Preencha as informações nas guias Pontuação e Destino.
Consulte também
Adicionar origem de enriquecimento de dados Hadoop Pig
Você pode aproveitar os resultados da consulta do Apache Pig para enriquecer eventos do Hadoop Pig.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema.
2
Clique em Enriquecimento de dados e em Adicionar.
3
Na guia Principal , preencha os campos e clique na guia Origem. No campo Tipo, selecione Hadoop Pig e
preencha com o Host do Namenode, Porta do Namenode, Host do Jobtracker e Porta do Jobtracker.
As informações do Jobtracker não são obrigatórias. Se as informações do Jobtracker estiverem em
branco, a porta e host do NodeName serão usados como padrão.
Guia de produto
327
3
4
Na guia Consulta, selecione o modo Básico e preencha com estas informações:
a
Em Tipo, selecione arquivo de texto e insira o caminho do arquivo no campo Origem (por exemplo, /
usuário/padrão/arquivo.csv). Ou selecione Banco de dados de hive e insira uma tabela do
HCatalog (por exemplo, amostra_07).
b
Em Colunas, indique como enriquecer os dados da coluna.
Por exemplo, se o arquivo de texto contiver informações sobre funcionários com colunas como
CPF, nome, sexo, endereço e número de telefone, insira o texto a seguir no campo Colunas:
func_Nome:2, func_telefone:5. Para o banco de dados de Hive, use os nomes de coluna na
tabela do HCatalog.
c
Em Filtrar, você pode usar qualquer expressão incorporada do Apache Pig para filtrar dados.
Consulte a documentação do Apache Pig.
d
Se tiver definido os valores de coluna acima, você poderá agrupar e agregar os dados dessa
coluna. As informações de origem e coluna são obrigatórias. Outros campos podem ficar em
branco. O uso de funções de agregação requer a especificação de grupos.
5
Na tabela Consulta, selecione o modo Avançado e insira um script do Apache Pig.
6
Na guia Pontuação, defina a pontuação de cada valor retornado da consulta de uma única coluna.
7
Na tabela Destino, selecione os dispositivos a que você deseja aplicar o enriquecimento.
Consulte também
Adicionar enriquecimento de dados do Active Directory para
nomes do usuário
Você pode aproveitar o Microsoft Active Directory para preencher eventos do Windows com os nomes
de exibição de usuário completos.
Antes de iniciar
Verifique se você tem o privilégio de Gerenciamento de sistemas.
Ajuda.
Tarefa
328
1
Na árvore de navegação do sistema, selecione Propriedades do sistema.
2
Clique em Enriquecimento de dados e em Adicionar.
3
Na guia Principal, insira um Nome para enriquecimento descritivo no formato Nome_Completo_Da_ID
de_Usuário.
4
Defina Tipo de pesquisa e Tipo de enriquecimento como Cadeia.
5
Defina Frequência de pull como diariamente, a não ser que o Active Directory seja atualizado com mais
frequência.
Guia de produto
6
7
8
3
Clique em Avançar ou na guia Origem.
a
No campo Tipo, selecione LDAP.
b
Preencha o endereço IP, nome do usuário e senha.
Clique em Avançar ou na guia Consulta.
a
No campo Atributo de pesquisa, insira sAMAccountName.
b
No campo Atributo de enriquecimento, insira displayName.
c
Em Consulta, insira (objectClass=person) para retornar uma lista com todos os objetos
classificados como pessoa no Active Directory.
d
Teste a consulta, que retorna no máximo cinco valores, independentemente do número real de
entradas.
Clique em Avançar ou na guia Destino.
a
Clique em Adicionar.
b
Selecione a origem de dados do Microsoft Windows.
c
Em Campo de pesquisa, selecione o campo Usuário de origem.
Esse campo é o valor que existe no evento, que é usado como índice da pesquisa.
d
9
Selecione o Campo de enriquecimento, em que o valor do enriquecimento é gravado no formato
Apelido_do_usuário ou Nome_do_contato.
Clique em Concluir para salvar.
10 Após gravar as configurações de enriquecimento nos dispositivos, clique em Executar agora para
recuperar os valores de enriquecimento da origem de dados até que o valor Hora de gatilho diário
ocorra.
O Nome completo é gravado no campo Contact_name (Nome do contato).
Consulte também
Guia de produto
329
3
330
Guia de produto
4
O McAfee ESM permite que você recupere indicadores de comprometimento (IOC) de origens remotas
e acesse rapidamente atividades de IOC relacionadas no seu ambiente.
O gerenciamento de "ciberameaças" permite que você instale feeds automáticos que geram listas de
observação, alarmes e relatórios, e, dessa forma, veja dados acionáveis. Por exemplo, você pode
instalar um feed que adicione automaticamente endereços IP suspeitos a listas de observação para
monitorar o tráfego futuro. Esse feed pode gerar e enviar relatórios que indiquem atividades
anteriores. Use as exibições Exibições de fluxo de trabalho de evento > Indicadores de Cyber Threat para fazer busca
detalhada de eventos específicos e atividades no seu ambiente rapidamente.
Conteúdo
Configurar gerenciamento de “ciberameaça”
Exibir resultados de feeds de ciberameaças
Tipos de indicadores compatíveis
Erros no upload manual de um arquivo IOC STIX XML
Configurar gerenciamento de “ciberameaça”
Configure feeds para recuperar indicadores de comprometimento (IOC) e XML formatado pelo STIX de
origens remotas. É possível usar esses feeds para gerar listas de observação, alarmes e relatórios que
permitem aos usuários acessar atividades de IOC relacionadas em seu ambiente.
Antes de iniciar
Verifique se você tem as seguintes permissões:
•
Gerenciamento de Cyber Threat – Permite ao usuário configurar um feed de
“ciberameaça".
•
Usuário de Cyber Threat – Permite ao usuário exibir os dados gerados pelo feed.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, clique em Propriedades do sistema.
2
Clique em Feeds de Cyber Threat e em Adicionar.
3
Na guia Principal , insira o nome do feed.
Guia de produto
331
4
4
Na guia Origem , selecione o tipo de dados da origem e suas credenciais de conexão. Clique em
Conectar para testar a conexão.
As origens compatíveis são o McAfee Advanced Threat Defense e o Threat Information Exchange
(TAXII) da MITRE.
5
Na guia Frequência , identifique com que frequência o feed efetua pull nos arquivos IOC (frequência
do pull). As frequências de pull disponíveis são: a cada x minutos, diariamente, a cada hora,
semanalmente ou mensalmente. Especifique a hora de gatilho diário.
6
Na guia Lista de observação, selecione qual propriedade ou campo em um arquivo IOC será anexado a
uma lista de observação existente. Você pode adicionar listas de observação para qualquer
propriedade ou campo compatível.
Se a lista de observação de que você precisa ainda não existir, clique em Criar nova lista de observação.
7
Na guia Backtrace, identifique quais eventos (padrão) e fluxos serão analisados, relacionando dados
para análise e a partir de quando os dados serão analisados neste feed.
a
Escolha analisar eventos, fluxos ou os dois.
b
Indique a partir de quando (em dias) os eventos e fluxos serão analisados.
c
Especifique qual ação você deseja que o ESM realize se o backtrace encontrar uma
correspondência de dados.
d
Para alarmes, selecione um responsável e gravidade.
8
Retorne à guia Principal e selecione Ativado para ativar esse feed.
9
Clique em Concluir.
Você será informado quando o processo for concluído com sucesso.
Novas validações de arquivo e indicador foram adicionadas ao tipo de origem de upload manual. Se
você receber um erro ao selecionar esse tipo de origem, consulte Erros no upload manual de um
arquivo IOC STIX XML para solucionar problemas.
Consulte também
Exibir resultados de feeds de ciberameaças na página 332
Tipos de indicadores compatíveis na página 333
Erros no upload manual de um arquivo IOC STIX XML na página 334
Exiba indicadores de comprometimento (IOC) de origens de dados externas, identificados pelos feeds
de ciberameaças da sua organização. Faça uma busca rapidamente nos detalhes da ameaça,
descrições de arquivos e eventos correspondentes para cada origem de indicador.
Antes de iniciar
Verifique se você tem a permissão de Usuário de Cyber Threat, que permite exibir os resultados
de feeds de ameaça virtual da sua organização.
332
Guia de produto
4
Tarefa
Ajuda.
1
No console do ESM, clique na lista de exibição e selecione Exibições de fluxo de trabalho de evento |
Indicadores de ciberameaças.
2
Na lista de período, selecione o período da exibição.
3
Filtre por nome de feed ou tipos de dados IOC compatíveis.
4
Realize qualquer ação de exibição padrão, como:
5
•
Criar ou anexar a uma lista de observação.
•
Criar um alarme.
•
Executar um comando remoto.
•
Criar um caso.
•
Verificar ou fazer última verificação.
•
Exportar o indicador para um arquivo CSV ou HTML.
Faça uma busca detalhada usando as guias Descrição, Detalhes, Eventos de origem e Fluxos de origem.
Consulte também
Configurar gerenciamento de “ciberameaça” na página 331
Quando você adiciona um feed de ciberameaças de upload manual, o ESM envia o arquivo STIX
(Structured Threat Information Expression) ao mecanismo IOC (Indicator of Compromise) para
processamento. Se o arquivo não contiver um indicador normalizado para o ESM, você receberá uma
mensagem de erro.
Tabela 4-1
Tipos de indicadores normalizados para o ESM
Tipo de indicador
Tipo de lista de observação
Endereço de e-mail
Para, De, Cco, Cc, ID_do_e-mail, ID_do_destinatário
Nome do arquivo, Caminho do
arquivo
Caminho_do_arquivo, Nome_do_arquivo,
Nome_do_arquivo_de_destino, Diretório_de_destino, Diretório
(Fluxos) IPv4, IPv6
Endereço IP, IP de origem, IP de destino
(Fluxos) Endereço MAC
MacAddress, MAC de origem, MAC de destino
Nome de domínio totalmente
qualificado, Nome de host, Nome
de domínio
Host, Nome_do_host_de_destino, Nome_do_host_externo,
Domínio, Domínio_da_Web
IPv4, IPv6
Endereço IP, IP de origem, IP de destino, IP_do_atacante,
IP_principal_de_grade, IP_do_dispositivo, IP_da_vítima
Endereço MAC
MacAddress, MAC de origem, MAC de destino
Hash MD5
Hash_de_arquivo, Hash_de_arquivo_pai
Hash SHA1
SHA1
Guia de produto
333
4
Tabela 4-1
Tipos de indicadores normalizados para o ESM (continuação)
Tipo de indicador
Tipo de lista de observação
Assunto
Assunto
URL
URL
Nome do usuário
Usuário de origem, Usuário de destino, Apelido_do_usuário
Chave de Registro do Windows
Chave_de_Registro, Chave.de.Registro (subtipo de Registro)
Valor de Registro do Windows
Valor_de_Registro, Valor.de.Registro (subtipo de Registro)
Consulte também
Quando você adiciona um feed de ciberameaças de upload manual, o ESM envia o arquivo STIX
(Structured Threat Information Expression) ao mecanismo IOC (Indicator of Compromise) para
processamento.
Se houver um problema com o upload, você receberá um destes erros.
Tabela 4-2
Erros de upload manual de ciberameaças
Erro
Descrição
Solução de problemas
ER328 —
Formato STIX
inválido
O formato do arquivo • Verifique se o arquivo enviado para upload é um arquivo
está incorreto.
STIX. O mecanismo possui suporte para a versão 1.1 do
STIX.
• Leia a documentação do STIX para verificar se o
esquema é válido.
• OASIS (Open Standards for Information Society) —
Organização responsável pelos padrões STIX (https://
www.oasis-open.org/).
• STIX Project — Contém vários modelos de dados STIX,
esquemas e documentos xsd (https://
stixproject.github.io/).
ER329 —
Nenhum IOC
compatível
encontrado
O arquivo STIX
enviado para upload
não contém
indicadores
normalizados para o
ESM.
Se for necessário processar um indicador específico, entre
em contato com o Suporte da McAfee, para que o indicador
possa ser normalizado para o ESM. Consulte Tipos de
indicadores compatíveis para obter uma lista de tipos de
indicadores compatíveis com o ESM.
Consulte também
334
Guia de produto
5
Quando ocorrer uma situação de ameaça específica, responda imediatamente importando e instalando
o pacote de conteúdo relevante do servidor de regras. Os pacotes de conteúdo contêm regras de
correlação orientadas por caso de uso, alarmes, exibições, relatórios, variáveis e listas de observação
para enfrentar atividade específica de ameaça ou malware. Os pacotes de conteúdo permitem
responder às ameaças sem perder tempo criando ferramentas do zero.
Importar pacotes de conteúdo
A McAfee cria pacotes de conteúdo orientado por caso de uso, completos com listas de observação,
variáveis, relatórios, exibições, alarmes ou regras de correlação para enfrentar atividade de malware
específica.
Antes de iniciar
Verifique se você tem as seguintes permissões:
•
Gerenciamento de sistemas
•
Administração de usuários
Tarefa
Ajuda.
1
Usuários online recebem pacotes de conteúdo disponíveis automaticamente como parte das
atualizações de regras. Os usuários offline devem fazer download e importar pacotes de conteúdo
individuais manualmente no site de hospedagem de regras.
2
Na árvore de navegação do sistema, clique em Propriedades do sistema.
3
Clique em Pacotes de conteúdo.
4
Para importar e instalar um novo pacote de conteúdo, clique em Procurar.
A verificação de atualizações de regras faz download automaticamente de todos os pacotes de
conteúdo novos ou atualizados.
a
Clique em Importar e navegue até o arquivo do pacote de conteúdo que você deseja importar.
b
Clique em Fazer upload.
Uma mensagem indicará o status da importação.
Guia de produto
335
5
Importar pacotes de conteúdo
5
c
Clique no pacote de conteúdo para revisar os detalhes do que está incluído no pacote.
d
Selecione o pacote desejado e a opção de instalar esse pacote de conteúdo.
Para atualizar ou desinstalar um pacote de contato existente, marque o pacote desejado e clique
em Atualizar ou Desinstalar.
Tenha cuidado ao atualizar pacotes de conteúdo existentes. Se você tiver personalizado
anteriormente alguns elementos de pacote de conteúdo, a atualização poderá sobrescrever esses
elementos personalizados.
6
336
Para desinstalar um pacote de conteúdo existente, marque o pacote desejado e clique em
Desinstalar.
Guia de produto
6
Familiarize-se com o fluxo de trabalho de alarmes. Clique no link da tarefa relevante para ver
informações passo a passo.
Conteúdo
Preparar para criar alarmes
Criar alarmes
Monitorar e responder a alarmes
Ajustar alarmes
Antes de criar e responder a alarmes, verifique se seu ambiente ESM contém os seguintes blocos de
construção: modelos de mensagem de alarme, grupos de destinatários de mensagem, conexão com o
servidor de e-mail, arquivos de áudio de alarme, fila de relatórios de alarmes e guia de alarmes
visíveis no dashboard.
Antes de iniciar
Para exibir alarmes disparados no dashboard, consulte Selecione configurações do usuário
na página 280.
Leia as tarefas a seguir para aprender a preparar seu ambiente de alarmes.
Tarefas
•
Configurar mensagens de alarme na página 337
Configure o ESM para enviar mensagens de alarmes disparados, usando e-mail, Short
Message Services (SMS), Simple Network Management Protocol (SNMP) ou syslog.
•
Gerenciar arquivos de áudio de alarme na página 342
Faça upload e download de arquivos de áudio para usá-los nos alertas de alarme.
Configurar mensagens de alarme
Configure o ESM para enviar mensagens de alarmes disparados, usando e-mail, Short Message
Services (SMS), Simple Network Management Protocol (SNMP) ou syslog.
Antes de iniciar
Guia de produto
337
6
Tarefas
•
Crie modelos de mensagem de alarme para e-mails, Short Message Services (SMS), Simple
Network Management Protocol (SNMP) ou syslog. Você pode associar os modelos a ações
de alarme específicas e destinatários das mensagens.
•
Para incluir as informações de eventos de origem nos resultados de um alarme, configure
uma Correspondência de eventos interna ou Correspondência de campos que usa um evento de
correlação como correspondência.
•
Identifique destinatários de mensagens de alarme e configure como enviá-las usando
e-mail, Short Message Services (SMS), Simple Network Management Protocol (SNMP) ou
syslog.
Ao definir ações de um alarme ou configurar o método de entrega de um relatório, você pode optar
por enviar mensagens. Primeiro, conecte o ESM ao servidor de e-mail e identifique os destinatários da
mensagem por e-mail, SMS, SNMP ou syslog.
O ESM envia notificações de alarme usando o protocolo SNMP v1. O SNMP usa o User Datagram
Protocol (UDP) como o protocolo de transporte para passar dados entre os gerenciadores e agentes.
Em uma configuração típica de SNMP, agentes como o ESM podem enviar eventos a servidores SNMP
(normalmente chamados de Estação de Gerenciamento de Rede [NMS]) utilizando pacotes de dados
conhecidos como interceptações. Outros agentes na rede podem receber relatórios de eventos da
mesma maneira como recebem notificações. Devido às limitações de tamanho dos pacotes de
interceptação do SNMP, o ESM envia cada linha do relatório em uma interceptação separada.
O syslog também pode enviar relatórios de CSV de consultas gerados pelo ESM. O syslog envia esses
relatórios de CSV de consultas em uma linha por mensagem de syslog, com os dados de cada linha
dos resultados da consulta organizados em campos separados por vírgula.
Consulte também
Criar modelos de mensagem de alarme
Crie modelos de mensagem de alarme para e-mails, Short Message Services (SMS), Simple Network
Management Protocol (SNMP) ou syslog. Você pode associar os modelos a ações de alarme específicas
e destinatários das mensagens.
Antes de iniciar
Ajuda.
338
Guia de produto
6
Tarefa
1
2
Clique em Alarmes.
3
Clique na guia Configurações e em Modelos.
•
Para criar modelos personalizados, clique em Adicionar.
•
Para alterar um modelo personalizado, selecione-o e clique em Editar.
.
Você não pode editar modelos predefinidos.
•
Para excluir um modelo personalizado, selecione-o e clique em Remover.
Não é possível excluir modelos predefinidos.
4
•
Para copiar um modelo existente, selecione-o e clique em Copiar. Salve o modelo copiado com
um novo nome.
•
Para definir um padrão para todas as mensagens de alarme, selecione-o e clique em Tornar
padrão.
Adicione ou altere as seguintes informações de modelo.
Opção
Descrição
Tipo
Selecione se o modelo é para uma mensagem de e-mail ou SMS.
As mensagens SMS são enviadas ao telefone como e-mails e convertidas em SMS
pela operadora. As mensagens SMS têm um limite de 140 caracteres.
Nome
Digite o nome para este modelo.
Descrição
Digite uma descrição do que o modelo incluirá.
Tornar padrão
Use o modelo atual como padrão ao enviar mensagens.
Guia de produto
339
6
Opção
Descrição
Assunto
Para um modelo de e-mail, selecione o assunto da mensagem. Clique no ícone Inserir
campo e selecione as informações que você deseja incluir na linha de assunto da
mensagem.
Corpo da
mensagem
Selecione os campos que você deseja incluir no corpo da mensagem.
Para modelos de mensagens syslog, limite o corpo da mensagem a 950 bytes. O ESM
não consegue enviar mensagens de syslog superiores a 950 bytes.
• Exclua qualquer um dos campos incluídos por padrão se você não quiser que eles
sejam incluídos na mensagem.
• Posicione o cursor no corpo, no local onde deseja inserir um campo de dados.
Clique no ícone Inserir campo acima do campo Assunto. Depois selecione o tipo de
informação que este campo deve exibir.
• Se você selecionar Bloco de repetição, o ESM adicionará a sintaxe necessária para a
repetição dos registros. Insira os campos que você deseja incluir para cada
registro entre os marcadores [$REPEAT_START] e [$REPEAT_END]. O ESM inclui
essas informações na mensagem para até 10 registros.
• Configurar alarmes de correlação para incluir eventos de origem na página 340
Para incluir eventos de origem em alarmes que usam um evento de correlação
como correspondência ( ), clique no ícone Inserir campo e selecione Bloqueio de eventos
de origem.
Quando você seleciona Correspondência de eventos interna ou Correspondência de campos como
tipo de alarme, o ESM inclui dados do campo de evento no e-mail. Selecione
Correspondência de campos para alarmes conduzidos por origem de dados, que são
executados no receptor, não no ESM. Selecione alarmes de Correspondência de eventos
interna, que são executados no ESM e forçam a execução de uma consulta sempre que
a frequência do alarme expira.
Consulte também
Configurar alarmes de correlação para incluir eventos de origem
Para incluir as informações de eventos de origem nos resultados de um alarme, configure uma
Correspondência de eventos interna ou Correspondência de campos que usa um evento de correlação como
correspondência.
Antes de iniciar
Ajuda.
Tarefa
1
340
2
Clique em Alarmes.
3
Clique na guia Configurações e, em seguida, clique em Modelos.
.
Guia de produto
6
4
Na página Gerenciamento de modelos, clique em Adicionar e preencha as informações necessárias.
5
Na seção Corpo da mensagem, coloque o cursor onde deseja incluir as marcas e clique no ícone Inserir
campo
6
, e selecione Bloco de eventos de origem.
Coloque o cursor dentro das marcas, clique no ícone Inserir campo novamente e selecione as
informações que deseja incluir quando o alarme de correlação for disparado.
O exemplo a seguir ilustra como fica um modelo de mensagem de alarme quando você insere campos
para endereço IP de origem, endereço IP de destino e gravidade de um evento:
Alarme: [$Nome do alarme]
Responsável: [$Responsável pelo alarme]
Data do disparo: [$Data do disparo] Resumo: [$Resumo do alarme]
[$SOURCE_EVENTS_START] IP de origem: [$IP de origem]
IP de destino: [$IP de destino]
Gravidade: [$Gravidade média]
[$SOURCE_EVENTS_END]
Se um evento correlacionado não disparar o alarme, a mensagem não incluirá os dados.
Consulte também
Gerenciar destinatários de alarme
Identifique destinatários de mensagens de alarme e configure como enviá-las usando e-mail, Short
Message Services (SMS), Simple Network Management Protocol (SNMP) ou syslog.
Antes de iniciar
•
•
Verifique se os perfis que você deseja usar existem. Consulte Configuração de SNMP na
página 260 e Configurar perfis na página 257.
Ajuda.
Tarefa
1
2
Clique em Alarmes.
3
Clique na guia Configurações e, em seguida, em Destinatários.
.
•
Clique em E-mail para exibir ou atualizar endereços de e-mail de destinatários individuais.
•
Clique em Usuários para exibir nomes de usuário e endereços de e-mail.
•
Clique em SMS para exibir ou atualizar destinatários de SMS e seus endereços.
•
Clique em SNMP para exibir ou atualizar as seguintes informações de SNMP:
Guia de produto
341
6
Opção
Descrição
Perfil
Selecione um perfil de destinatário de SNMP existente na lista suspensa. Para
adicionar um perfil, clique em Perfil.
Tipo de
interceptação
específica
Selecione o tipo de interceptação específica. O tipo de interceptação geral é
sempre definido para 6, Específico do Enterprise.
OID empresarial
Insira o identificador de objeto empresarial (OID) completo para enviar a
interceptação. Inclua desde o primeiro 1 até o número empresarial, incluindo
todas as subárvores dentro da empresa.
Conteúdo
Incluir vínculos de dados informativos – A interceptação contém informações de
vínculos variáveis, incluindo o número de linhas do relatório processado, uma
cadeia que identifica a origem da interceptação, o nome da notificação que
está gerando a interceptação e a ID do ESM que está enviando a interceptação.
Incluir somente dados de relatório – Os vínculos variáveis extras não são incluídos na
interceptação.
Formatação
Cada interceptação de SNMP gerada a partir de um relatório contém uma linha
de dados desse relatório.
• Enviar cada linha do relatório como está — Os dados da linha do relatório são
enviados como estão em um único vínculo variável. O sistema constrói os
OIDs de vínculo de dados ao concatenar o Enterprise OID, o tipo de
interceptação específico e um número de autoincrementação que começa
com 1.
• Analisar resultados e usar estes OIDs – O sistema analisa a linha do relatório e envia
cada campo em um vínculo de dados separado.
Lista de OID de
vínculo
Analisar resultados e usar esses OIDs de vínculo — Especifique os OIDs de vínculo de
dados personalizados.
• Se você selecionar essa opção, clique em Adicionar e digite o valor do OID
vinculado.
• Se você não especificar OIDs variáveis para todos os campos de dados no
relatório, o ESM começará a incrementar a partir do último OID especificado
na lista.
4
Clique em Syslog para exibir ou atualizar as seguintes informações de syslog:
Opção
Descrição
IP do host e Porta
Insira o endereço IP do host e a porta de cada destinatário.
Recurso e Gravidade
Selecione o recurso e a gravidade da mensagem.
Consulte também
Gerenciar arquivos de áudio de alarme
Faça upload e download de arquivos de áudio para usá-los nos alertas de alarme.
Antes de iniciar
Ajuda.
342
Guia de produto
6
Criar alarmes
Tarefa
1
2
Clique na guia Configurações e, em seguida, clique em Áudio.
3
Faça download, upload, remova ou reproduza arquivos de áudio e clique em Fechar.
.
O ESM inclui três arquivos de som pré-instalados. Você pode fazer upload de arquivos de áudio
personalizados.
Criar alarmes
Os alarmes geram ações como resposta a eventos específicos de ameaças. Criar muitos ou poucos
alarmes que disparam com frequência pode gerar distração em razão do ruído. A melhor abordagem é
criar alarmes que escalonem eventos que sejam críticos para sua organização.
Com o McAfee ESM, você cria alarmes: ativando alarmes pré-criados, copiando alarmes existentes e
alterando-os ou criando alarmes específicos à sua organização.
Leia as tarefas a seguir para conhecer melhor como criar alarmes.
Tarefas
•
Ativar ou desativar o monitoramento de alarmes na página 343
Alterne entre ligar e desligar o monitoramento de alarme no sistema todo ou em alarmes
individuais. O monitoramento de alarmes do ESM é ligado (ativado) por padrão.
•
Copiar um alarme na página 344
Para usar um alarme existente como modelo para um novo alarme, copie e salve o alarme
com um nome diferente.
•
Criar alarmes na página 344
Crie um alarme para que dispare quando suas condições definidas forem atendidas.
Ativar ou desativar o monitoramento de alarmes
Alterne entre ligar e desligar o monitoramento de alarme no sistema todo ou em alarmes individuais.
O monitoramento de alarmes do ESM é ligado (ativado) por padrão.
Antes de iniciar
Se você desativar o monitoramento de alarmes para o sistema, o ESM não gerará alarmes.
Ajuda.
Tarefa
1
2
Clique em Alarmes.
3
Para desativar ou ativar o monitoramento de alarmes em todo o sistema, clique na guia
Configurações, depois clique em Desativar ou Ativar.
.
Guia de produto
343
6
Criar alarmes
4
5
Para desativar ou ativar alarmes individuais, clique na guia Alarmes. A coluna Status indica se os
alarmes estão ativados ou desativados.
•
Para ativar (ligar) um alarme específico, realce-o e selecione Ativado.
•
Para desativar (desligar) um alarme específico, realce-o e selecione Ativado. O ESM deixa de
gerar este alarme.
Clique em OK.
Consulte também
Copiar um alarme
Para usar um alarme existente como modelo para um novo alarme, copie e salve o alarme com um
nome diferente.
Antes de iniciar
Ajuda.
Tarefa
1
2
Clique em Alarmes.
3
Selecione um alarme ativado, depois clique em Copiar.
.
A página Nome do alarme exibe o nome do alarme atual seguido de _copy.
Você pode copiar somente alarmes ativados. Não é possível copiar alarmes desativados.
4
Altere o nome e clique em OK.
5
Para alterar as configurações do alarme, selecione o alarme copiado e clique em Editar.
6
Altere as configurações conforme o necessário.
Consulte também
Criar alarmes
Crie um alarme para que dispare quando suas condições definidas forem atendidas.
Antes de iniciar
Ajuda.
344
Guia de produto
6
Criar alarmes
Tarefa
1
2
Clique em Alarmes, depois em Adicionar.
3
Clique na guia Resumo para definir as configurações de alarme gerais.
4
.
•
Insira um nome para o alarme.
•
Na lista Responsável, selecione a pessoa ou grupo a quem atribuir este alarme. Esta lista inclui
todos os usuários e grupos com o privilégio de Gerenciamento de alarmes.
•
Em Gravidade, selecione a prioridade do alarme no registro de alarmes (alta é 66–100, média é
33–65, baixa é 1–32).
•
Selecione Ativado para ligar este alarme e desmarque a caixa para desligar o alarme.
Na guia Condição, identifique quais condições fazem o alarme disparar.
Condição
Descrição
Taxa de verificação
Selecione a frequência com que o sistema verificar esse tipo de condição.
Desvio
Especifique um limite percentual para verificação acima da linha de base e um
percentual diferente abaixo da linha de base.
• Consulta – Selecione o tipo de dados para consulta.
• Ícone Filtros – Selecione os valores para filtrar os dados deste alarme.
• Período – Selecione se você deseja que o último período ou o período anterior
que você selecionou no campo número seja consultado.
• Disparar quando o valor for – Selecione o quão acima ou abaixo da linha de base
você deseja que o desvio esteja antes de o ESM disparar o alarme.
Taxa de eventos
• Contagem de eventos — Insira o número de eventos que devem ocorrer antes de o
ESM disparar o alarme.
• Ícone Filtros – Selecione os valores para filtrar os dados.
• Período — Selecione em que intervalo o número de eventos selecionados deve
ocorrer antes de o ESM disparar o alarme.
• Compensação — Selecione por quanto tempo compensar para que o alarme não
inclua o aumento expressivo no final causado pela agregação. Por exemplo, se
o seu ESM efetua pull de eventos a cada cinco minutos, o último minuto dos
eventos recuperados contém os eventos agregados. Compense o período por
essa quantidade para que o último minuto não seja incluído na medição dos
dados. Caso contrário, o ESM incluirá os valores nos dados agregados na
contagem de eventos, causando um falso positivo.
Guia de produto
345
6
Criar alarmes
Condição
Descrição
Correspondência de
campos
1 Arraste e solte os ícones AND ou OR (consulte Elementos lógicos na página
367) para configurar a lógica da condição do alarme.
2 Arraste e solte o ícone Corresponder ao componente sobre um elemento lógico, em
seguida, preencha a página Adicionar campo de filtro.
3 Limite o número de notificações recebidas configurando a Frequência máxima de
disparo da condição. Cada disparo contém somente o primeiro evento de origem
correspondente à condição do disparo, não os eventos que ocorreram dentro
do período de frequência de disparo. Novos eventos que correspondem à
condição de disparo não fazem com que o alarme dispare novamente até
depois do período máximo de frequência de disparo. Por exemplo, se você
definir a frequência como 10 minutos e um alarme disparar cinco vezes em 10
minutos, o ESM enviará um único aviso contendo cinco alarmes.
Se você definir o intervalo como zero, todos os eventos que coincidirem com
uma condição dispararão um alarme. Para alarmes de alta frequência, um
intervalo zero pode gerar diversos alarmes.
Status do monitor de Selecione os tipos de alteração de status do dispositivo. Por exemplo, se você
integridade
selecionar somente Crítico, você não será notificado se houver uma alteração no
status do monitor de integridade no nível Aviso (consulte IDs de assinatura do
monitor de integridade na página 356).
Correspondência de
eventos interna
• Disparar quando o valor não for correspondente – Selecione para disparar o alarme
quando o valor não corresponder à sua configuração.
• Usar lista de observação – Selecione se uma lista de observação contiver os valores
deste alarme.
Valores que contêm vírgulas devem estar em uma lista de observação ou
entre aspas.
• Campo – Selecione o tipo de dados que este alarme monitorará.
Para alarmes que disparam quando um evento do monitor de integridade é
gerado, consulte Adicionar alarmes de evento do monitor de integridade na
página 355.
• Valor(es) – Digite os valores específicos do tipo que você selecionou em Campo
(limitado a 1.000 caracteres). Por exemplo, para IP de origem, insira os
endereços IP de origem que fazem este alarme disparar.
346
Frequência máxima
do disparo de
condição
Selecione a quantidade de tempo permitida entre cada condição para evitar o
excesso de notificações.
Limite
Somente tipo de condição de evento Delta — Selecione o delta máximo
permitido para os eventos analisados antes de o alarme disparar.
Tipo
Selecione o tipo de alarme, que determina os campos que você deve preencher.
5
Na guia Dispositivos, selecione quais dispositivos este alarme monitora.
6
Na guia Ações, identifique o que acontece quando o alarme dispara.
Guia de produto
6
Criar alarmes
Ação
Descrição
Registrar evento em
log
Crie um evento no ESM.
Reconhecimento
Reconheça o alarme automaticamente, logo após ele ser disparado. Como
automático do alarme resultado, o alarme não aparece no painel Alarmes, mas o sistema o adiciona à
exibição Alarmes disparados.
Alerta visual
Gere uma notificação de alarme na parte inferior direita do console. Para incluir
uma notificação de áudio, clique em Configurar --> Reproduzir som e selecione um
arquivo de áudio.
Criar caso
Crie um caso para uma pessoa ou grupo selecionado. Clique em Configurar para
identificar o proprietário do caso e selecionar quais campos incluir no resumo
do caso.
Se você pretende escalonar alarmes, não crie casos.
Atualizar lista de
observação
Modifique as listas de observação, adicionando ou removendo valores com base
nas informações contidas em até 10 eventos de disparo do alarme. Clique em
Configurar e selecione qual campo do evento de disparo será adicionado ou
removido na lista de observação selecionada. Quando essas configurações
alteram uma lista de observação, a guia Ações, na exibição Alarme disparado,
mostra a alteração.
Esta ação exige Correspondência de eventos interna como tipo de condição.
Enviar mensagem
Envie um e-mail ou mensagem SMS para os destinatários selecionados.
• Clique em Adicionar destinatário e selecione os destinatários da mensagem.
• Clique em Configurar para selecionar o modelo (de mensagens de e-mail, SMS,
SNMP ou syslog), o fuso horário e o formato de data para usar na
mensagem.
Usar os seguintes caracteres em nomes de alarmes pode causar problemas
no momento de enviar mensagens de SMS: vírgula (,), aspas ("), parênteses
( ), barra normal ou invertida (/ \), ponto-e-vírgula (;), ponto de interrogação
(?), símbolo de arroba (@), colchetes ([ ]), sinais de maior do que e menor
do que (< >) e sinal de igual (=).
Gerar relatórios
Gere um relatório, exibição ou consulta. Clique em Configurar e selecione um
relatório na página Configuração de relatório, ou clique em Adicionar para criar um
novo relatório.
Se você pretende enviar um relatório por e-mail como anexo, converse com seu
administrador para determinar o tamanho máximo dos anexos. Anexos de
e-mail grandes podem impedir o envio de um relatório.
Executar comando
remoto
Execute um comando remoto em qualquer dispositivo que aceite conexões
SSH, com exceção dos dispositivos do McAfee no ESM. Clique em Configurar para
selecionar o tipo de comando e o perfil; fuso horário e formato de data; e host,
porta, senha do nome de usuário e cadeia de comandos para a conexão SSH.
Se a condição de alarme for Correspondência de eventos interna, será possível rastrear
eventos específicos. Clique no ícone Inserir variável
e selecione as variáveis.
Guia de produto
347
6
Criar alarmes
Ação
Descrição
Enviar para Remedy
Envie até 10 eventos para o Remedy por alarme disparado. Clique em Configurar
para configurar as informações necessárias de comunicação com o Remedy: de
e para dados, prefixo, palavra-chave e ID de usuário (EUID). Quando os eventos
são enviados para o Remedy, o ESM adiciona Eventos enviados para o Remedy à guia
Ações na exibição Alarme disparado. Esta ação exige Correspondência de eventos interna
como tipo de condição.
Atribuir marca com
ePO
Aplique marcas do McAfee ePolicy Orchestrator aos endereços IP que disparam
este alarme. Clique em Configurar e selecione as seguintes informações:
• Selecionar dispositivo ePO — Dispositivo a ser usado para marcação
• Nome — Marcas que você deseja aplicar (somente marcas disponíveis no
dispositivo selecionado aparecem na lista).
• Selecionar o campo — Campo no qual basear a marcação.
• Cliente de ativação — Aplique as marcas imediatamente.
Ações do Real Time
for ePO
Realize ações a partir do McAfee Real Time for McAfee ePO no dispositivo do
McAfee ePO selecionado.
Essa opção requer que o plug-in do McAfee Real Time for McAfee ePO (versão
2.0.0.235 ou versões posteriores) seja instalado e que o servidor McAfee ePO
reconheça o dispositivo como um de seus terminais.
Lista negra
Selecione quais endereços IP devem ir para a lista negra quando o alarme
disparar. Clique em Configurar e selecione as seguintes informações:
• Campo — Selecione o tipo de endereço IP que você deseja incluir na lista
negra. Endereço IP inclui na lista negra os endereços IP de origem e destino.
• Dispositivo — Selecione o dispositivo em que você deseja que o endereço seja
incluído na lista negra. Global adiciona o dispositivo à Lista negra global.
• Duração — Selecione por quanto tempo incluir endereços IP na lista negra.
Resumo de alarme
personalizado
7
348
Personalize os campos incluídos no resumo de um alarme Correspondência de
campos ou Correspondência de eventos interna.
Na guia Escalonamento, identifique como escalonar o alarme quando ele não é reconhecido dentro de
certo tempo.
Escalonamento
Descrição
Escalonar após
Insira o tempo após o qual você deseja que o alarme seja escalonado.
Responsável escalonado
Selecione uma pessoa ou um grupo para receber a notificação escalonada.
Gravidade escalonada
Selecione a gravidade para o alarme depois que ele for escalonado.
Registrar evento
Selecione se deseja registrar este escalonamento como evento.
Alerta visual
Selecione se a notificação é um alerta visual. Clique em Reproduzir som e
selecione um arquivo se você deseja que um som acompanhe a notificação
visual.
Enviar mensagem
Selecione se deseja enviar uma mensagem ao responsável. Clique em
Adicionar destinatário, selecione o tipo de mensagem e selecione o destinatário.
Guia de produto
6
Escalonamento
Descrição
Gerar relatórios
Selecione se deseja gerar um relatório. Clique em Configurar para selecionar o
relatório.
Executar comando remoto Selecione para executar um script em qualquer dispositivo que aceite
conexões SSH. Clique em Configurar e preencha host, porta, nome do
usuário, senha e cadeia de comandos.
Consulte também
Exiba, confirme e exclua alarmes disparados usando exibições do dashboard, detalhes de alarmes,
filtros e relatórios.
Leia as tarefas a seguir para aprender a monitorar e responder a alarmes disparados.
•
Exibir alarmes disparados — O painel de registro Alarmes no dashboard lista o total de alarmes
por gravidade.
Símbolo
Gravidade
Intervalo
Alta
66 a 100
Média
33 a 65
Baixa
1 a 32
•
Confirmar alarmes disparados — O sistema o remove do painel Alarmes. Os alarmes confirmados
permanecem na exibição Alarmes disparados.
•
Excluir alarmes disparados — O sistema o remove do painel Alarmes e da exibição Alarmes
disparados .
Se você usar alertas visuais e não fechar, confirmar ou excluir um alarme disparado, o alerta visual
fechará depois de 30 segundos. O alerta de áudio é reproduzido até que você feche, confirme ou exclua
o alarme disparado ou clique no ícone de áudio para interromper o alerta.
Tarefas
•
Exibir e gerenciar alarmes disparados na página 349
Exiba e responda a alarmes disparados que ainda não foram excluídos.
•
Gerenciar fila de relatórios de alarme na página 351
Se uma ação de alarme gerar relatórios, você poderá exibir a file de relatórios gerados e
cancelar um ou mais deles.
Exibir e gerenciar alarmes disparados
Exiba e responda a alarmes disparados que ainda não foram excluídos.
Antes de iniciar
•
Verifique com o seu administrador se você pertence a um grupo de acesso com
privilégios de usuário de alarme.
•
Verifique com seu administrador se seu console está configurado para exibir o painel de
registros de Alarmes (Consulte Selecione configurações do usuário na página 280).
Guia de produto
349
6
Ajuda.
Tarefa
1
Acesse os alarmes disparados por um destes locais do ESM:
•
Painel de registros de Alarme — Localizado no canto inferior esquerdo do dashboard, abaixo da
árvore de navegação do sistema
•
Alerta pop-up visual — É aberto quando um alarme dispara
•
2
Página Detalhes — É aberta quando você clica no ícone Detalhes
Alarmes.
no painel de registros de
Realize uma das seguintes ações:
Para...
Faça isto...
Confirmar um
alarme
• Para reconhecer um alarme, clique na caixa de seleção na primeira coluna
do alarme disparado que deseja reconhecer.
• Para reconhecer vários, realce os itens e clique no ícone Reconhecer alarme
na parte inferior da exibição.
Os alarmes confirmados são removidos do painel Alarmes, mas permanecem
na exibição Alarmes disparados.
Excluir um alarme
do sistema
• Selecione o alarme disparado que deseja excluir e clique no ícone Excluir
alarme
Filtrar os alarmes
.
• Insira as informações que você deseja usar como filtro no painel Filtros e
clique no ícone Atualizar
Alterar o
responsável por
alarmes
1
.
Clique no ícone Exibir detalhes dos dados
parte inferior do dashboard.
para exibir detalhes do alarme na
2 Selecione os alarmes, clique em Responsável e selecione o novo responsável.
Criar um caso para
alarmes
1
2 Selecione os alarmes, clique em Criar caso e faça as seleções necessárias.
350
Guia de produto
6
Para...
Faça isto...
Exibir detalhes
sobre um alarme
1
2 Selecione o alarme e siga um destes procedimentos:
• Clique na guia Evento de gatilho para exibir o evento que disparou o alarme
selecionado. Clique duas vezes no evento para exibir uma descrição.
Se um evento individual não atender às condições do alarme, a guia
Evento de disparo poderá não aparecer.
• Clique na guia Condição para ver a condição que disparou o evento.
• Clique na guia Ação para ver as ações que ocorreram como resultado do
alarme e as marcas ePolicy Orchestrator atribuídas ao evento.
Editar
configurações de
alarme disparado
1
Clique no alarme disparado e depois no ícone Menu
alarme.
e selecione Editar
2 Na página Configurações de alarme, faça as alterações, depois clique em
Concluir.
Consulte também
Gerenciar fila de relatórios de alarme
Se uma ação de alarme gerar relatórios, você poderá exibir a file de relatórios gerados e cancelar um
ou mais deles.
Antes de iniciar
Ajuda.
Tarefa
1
.
2
Clique em Alarmes.
3
Clique na guia Configurações.
4
Para exibir os relatórios de alarmes que aguardam execução, clique em Exibir. O ESM executa até
cinco relatórios simultaneamente.
•
Exiba os relatórios gerados por alarmes.
•
Para interromper a execução de determinado relatório, selecione-o e clique em Cancelar. Os
relatórios restantes movem para cima na fila.
Se você for administrador ou usuário principal, essa lista incluirá todos os relatórios aguardando
execução no ESM, permitindo que você cancele qualquer um deles.
Guia de produto
351
6
Ajustar alarmes
5
Clique em Arquivos e selecione fazer download, fazer upload, remover ou atualizar relatórios da lista.
6
Clique em Fechar.
Consulte também
Exibir e gerenciar alarmes disparados na página 349
Página Exibir relatórios na página 352
Página Lista de arquivos na página 352
Página Exibir relatórios
Exibe a fila de relatórios que foram gerados e estão em execução ou aguardando execução no
momento.
Opção Definição
Tabela Exibe os relatórios gerados pelo ESM que estão aguardando execução.
Cancelar Clique para cancelar a execução dos relatórios selecionados. Os relatórios selecionados serão
cancelados, e os restantes serão movidos para cima na fila.
Consulte também
Página Lista de arquivos
Exiba e gerencie a lista de relatórios que foram gerados no ESM.
Opção
Definição
Tabela
Exiba uma lista de arquivos de relatório que foram gerados.
Fazer download
Salve os relatórios selecionados em outro local.
Fazer upload
Adicione um relatório à lista.
Remover
Exclua um relatório da lista.
Atualizar
Atualize a lista para que ela reflita alterações feitas.
Consulte também
Ajustar alarmes
Refine e ajuste seus alarmes conforme for identificando o que funciona melhor para sua organização.
Leia as tarefas a seguir para conhecer melhor como ajustar seus alarmes. Essas tarefas descrevem
como criar tipos de alarmes específicos.
352
Guia de produto
Ajustar alarmes
6
Tarefas
•
Criar alarmes UCAPL na página 353
Crie alarmes que atendam aos requisitos da UCAPL (Unified Capabilities Approved Products
List).
•
Adicionar alarmes de evento do monitor de integridade na página 355
Crie alarmes com base em eventos do monitor de integridade capazes de gerar um
relatório de Resumo do evento do monitor de integridade.
•
Adicionar um alarme de Correspondência de campos na página 365
Um alarme de Correspondência de campos faz a correspondência com vários campos de um
evento e dispara assim que o dispositivo recebe e analisa o evento.
•
Resumo personalizado para casos e alarmes disparados na página 367
Selecione os dados a serem incluídos no resumo do alarme e resumo de caso dos alarmes
da Correspondência de campos e Correspondência de evento interna.
•
Adicionar um alarme às regras na página 368
Para ser notificado quando os eventos forem gerados por regras específicas, você poderá
adicionar um alarme a essas regras.
•
Criar interceptações de SNMP e ações de alarmes na página 368
Envie interceptações de SNMP como ação em um alarme.
•
Adicionar um alarme de notificação de queda de energia na página 369
Adicione um alarme para ser notificado quando uma das fontes de alimentação do ESM
falhar.
•
Gerenciar origens de dados fora de sincronização na página 370
Configure um alarme para alertá-lo quando as origens de dados fora de sincronização
gerarão eventos, de maneira que você possa exibir uma lista de origens de dados, editar
suas configurações e exportar a lista.
Criar alarmes UCAPL
Crie alarmes que atendam aos requisitos da UCAPL (Unified Capabilities Approved Products List).
Antes de iniciar
•
•
Confira as etapas para Criar alarmes na página 344
Ajuda.
Tarefa
•
Configure os tipos de alarmes aplicáveis:
Guia de produto
353
6
Ajustar alarmes
Tipo de alarme
Descrição
Limite ajustável de
falha de entrada
atingido
Dispare alarme quando diversas falhas de entrada do mesmo usuário
atingirem um limite ajustável.
1 Crie um alarme de Correspondência de eventos interna que coincida com ID de
assinatura.
2 Insira um valor de 306-36.
Limite de inatividade Dispare um alarme quando uma conta de usuário estiver bloqueada por ter
atingido
atingido o limite de inatividade.
assinatura.
Sessões simultâneas Dispare um alarme se o usuário tentar entrar no sistema depois de o
permitidas atingidas número permitido de sessões simultâneas ser atingido.
assinatura.
Falha na verificação
de integridade do
arquivo do sistema
Dispare um alarme quando a verificação de integridade do arquivo do
sistema falhar.
assinatura.
Os certificados estão Dispare um alarme quando o Common Access Card (CAC) ou servidor Web
prestes a expirar
estiverem prestes a expirar.
assinatura.
2 Insira um valor de 306-50081, 306-50082, 306-50083, 306-50084.
O alarme dispara 60 dias antes de o certificado expirar, depois a cada
semana. Não é possível mudar o número de dias.
Interceptação de
Configure uma interceptação de SNMP para que o alarme envie uma
SNMP enviada
interceptação ao NMS quando detectar que o sistema não está mais
quando o estado do operando em estado aprovado ou seguro.
sistema não aprovou
1 Crie uma correspondência de alarme em qualquer condição, vá para a
guia Ações e selecione Enviar mensagem.
2 Clique em Adicionar destinatários | SNMP, selecione o destinatário, depois
clique em OK.
3 No campo Enviar mensagem, clique em Configurar, clique em Modelos e em
Adicionar.
4 Selecione Modelo SNMP no campo Tipo, insira o texto da mensagem e clique
em OK.
5 Na página Gerenciamento de modelos, selecione o novo modelo e clique em OK.
6 Conclua o restante das configurações de alarme.
354
Guia de produto
6
Ajustar alarmes
Tipo de alarme
Descrição
Mensagem de Syslog Configure uma mensagem do syslog para que o alarme envie uma
enviada quando o
mensagem do syslog ao NMS quando detectar que o sistema não está mais
estado do sistema
operando em estado aprovado ou seguro.
não aprovou
1 Crie uma correspondência de alarme em qualquer condição, vá para a
guia Ações e selecione Enviar mensagem.
2 Clique em Adicionar destinatários | Syslog, selecione o destinatário, depois
clique em OK.
3 No campo Enviar mensagem, clique em Configurar, clique em Modelos e em
Adicionar.
4 Selecione Modelo de syslog no campo Tipo, insira o texto da mensagem e
clique em OK.
5 Na página Gerenciamento de modelos, selecione o novo modelo e clique em OK.
6 Conclua o restante das configurações de alarme.
Falha do registro de
segurança ao
registrar os eventos
necessários
Configure uma interceptação de SNMP para que o alarme notifique a
Central de operações de rede (NOC) apropriada em 30 segundos caso haja
falha do registro de segurança ao registrar eventos necessários.
1 Acesse Propriedades do sistema | Configuração do SNMP | Interceptações de SNMP ou
Propriedades do dispositivo | Configuração do dispositivo | SNMP.
2 Selecione a interceptação da falha de registro de segurança, configure
um ou mais perfis para o envio das interceptações e clique em Aplicar.
O ESM envia interceptações de SNMP para o destinatário do perfil SNMP
com a mensagem Falha ao gravar no registro de segurança.
Início ou
encerramento de
funções de auditoria
Configure uma interceptação de SNMP para que o alarme notifique quando
as funções de auditoria (como banco de dados, cpservice, IPSDBServer)
forem iniciadas ou encerradas, acesse Interceptações de SNMP ou Configurações de
SNMP e selecione Interceptações de banco de dados ativadas/desativadas. Configure um
ou mais perfis para as interceptações serem enviadas e clique em Aplicar.
Existe uma sessão
para cada função
administrativa
Dispare um alarme quando uma sessão administrativa existir para cada
função administrativa definida.
assinatura.
2 Insira os valores 306–38 para Administrador de auditoria, 306–39 para
Administrador de criptografia e 306–40 para Usuário avançado. Além
disso, é possível configurar alarmes separados.
Adicionar alarmes de evento do monitor de integridade
Crie alarmes com base em eventos do monitor de integridade capazes de gerar um relatório de Resumo
do evento do monitor de integridade.
Antes de iniciar
•
•
Analise os IDs de assinatura do monitor de integridade na página 356 disponíveis.
•
Confira as etapas para Criar alarmes na página 344.
Guia de produto
355
6
Ajustar alarmes
Ajuda.
1
2
Para configurar um alarme antes de gerar um evento do monitor de integridade:
a
Configure um alarme Condição com o tipo Correspondência de eventos interna.
b
Na linha Campo, selecione ID de assinatura.
c
No campo Valores, digite o ID de assinatura para as regras do monitor de integridade.
d
Preencha as configurações restantes do alarme.
Para configurar um alarme caso um evento de monitor de integridade exista:
a
Na árvore de navegação do sistema, clique no dispositivo de base do sistema
, selecione uma exibição que mostra o evento do monitor de
integridade (Análise de evento ou Resumo padrão).
b
Clique no evento e no ícone Menu
.
c
Selecione Ações | Criar novo alarme a partir e clique em ID de assinatura.
d
Preencha as configurações restantes do alarme.
Consulte também
IDs de assinatura do monitor de integridade na página 356
IDs de assinatura do monitor de integridade
Essa lista descreve as regras do monitor de integridade e sua gravidade, dispositivo, tipo e IDs de
assinatura. Use essas regras para criar um alarme que notifique quando um evento de regra do
monitor de integridade for gerado.
Nome da regra
356
ID de
assinatura
Descrição
Tipo
Dispositivo
Gravidade
Uma conexão física de 306-50080
interface de rede foi
feita ou removida
Configurações da
interface de rede
modificadas por uma
sessão SSH.
Monitor de
software
ESM
Média
Erro de RAID
306-50054
Erros de RAID
encontrados.
Monitor de
hardware
Todos
Alta
Conta desativada
devido à inatividade
306-35
Conta de usuário
desativada devido à
inatividade.
Monitor de
software
ESM
Média
Conta desativada
306-36
devido a número máx.
de falhas na entrada
Conta de usuário
desativada devido a
número máx. de
falhas de entrada.
Monitor de
software
ESM
Alta
Adicionar/editar
comando remoto
306-60
Comando remoto de
alarme adicionado ou
excluído.
Monitor de
software
ESM
Baixa
Alerta de alteração de
estado do coletor do
Analisador avançado
de syslog
306-50029
O analisador de ASP
foi interrompido ou
inicializado.
Monitor de
software
Receiver
Média
Guia de produto
6
Ajustar alarmes
Nome da regra
ID de
assinatura
Descrição
Tipo
Dispositivo
Gravidade
Processo do destilador 306-50066
do APM
O mecanismo de
Monitor de
extração de texto ADM software
PDF/DOC foi
interrompido ou
inicializado.
APM
Média
Incompatibilidade de
146-7
configuração aprovada
Alteração no
dispositivo de
descoberta de rede
aprovada.
Monitor de
software
ESM
Baixa
Alteração na
configuração de
arquivo
Configurações de
arquivamento do ESM
alteradas.
Monitor de
software
ESM
Baixa
Alerta de alteração de 306-50051
estado do processo de
arquivamento
O processo de
arquivamento do
Receptor foi
interrompido ou
inicializado.
Monitor de
software
APM/REC/
Média
Ativo vulnerável a
evento
146-10,
306-10
Evento de
Monitor de
vulnerabilidade criado. software
ESM
Baixa
Entrada de usuário
administrador de
auditoria
306-38
Entrada do
administrador de
auditoria, evento da
UCAPL.
Monitor de
software
ESM
Baixa
Alteração na
configuração de
backup
306-1
Definições da
configuração de
backup do ESM
modificadas.
Monitor de
software
ESM
Baixa
Backup realizado
306-2
Backup realizado no
sistema.
Monitor de
software
ESM
Baixa
Alerta do analisador
de Blue Martini
306-50071
O analisador de Blue
Martini foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
Ignorar alerta de
estado NIC
306-50001
O NIC entrou ou saiu
do status de desvio.
Monitor de
software
IPA/ADM/IPS Média
Certificado CAC
expirou
306-50082
O certificado CAC do
ESM expirou.
Monitor de
software
ESM
Alta
O certificado CAC
expira em breve
306-50081
O certificado CAC do
ESM expira em breve.
Monitor de
software
ESM
Média
Caso alterado
306-70
Caso alterado.
Monitor de
software
ESM
Baixa
Status de caso
adicionado/
modificado/excluído
306-73
Status de caso
alterado.
Monitor de
software
ESM
Baixa
estado do canal de
comunicação
306-50013
O canal de controle foi Monitor de
interrompido ou
software
inicializado.
Todos
Média
Falha na captura da
configuração (erro de
dispositivo)
146-4
Erro de dispositivo de
descoberta de rede.
ESM
Baixa
306-3
Monitor de
software
IPS/ DBM
Guia de produto
357
6
358
Ajustar alarmes
Nome da regra
ID de
assinatura
Descrição
Tipo
Dispositivo
Gravidade
Falha na captura da
configuração
(dispositivo
inacessível)
146-3
Dispositivo de
descoberta de rede
inacessível.
Monitor de
software
ESM
Baixa
Configuração
capturada
146-5
Configuração de
descoberta de rede
verificada com êxito.
Monitor de
software
ESM
Baixa
Falha na política de
configuração
146-8
Não usada no sistema. Monitor de
software
ESM
Baixa
Aprovação da política
de configuração
146-9
software
ESM
Baixa
Alteração das
configurações da
alocação de dados
306-7
Configurações da
alocação de dados do
ESM alteradas.
ESM
Alta
Alerta de espaço livre
em disco das
partições de dados
306-50005
Há pouco espaço livre Monitor de
em cada partição (por software
exemplo, hada_hd tem
10% de espaço livre).
Todos
Média
Alteração das
configurações de
retenção de dados
306-6
Configuração de
retenção de dados do
ESM alterada.
ESM
Alta
Alerta de estado dos
serviços de detecção
do banco de dados
306-50036
O serviço de detecção Monitor de
automática de DBM foi software
interrompido ou
inicializado.
Todos
Média
Alerta de alteração do
estado de inspeção
profunda de pacote
306-50008
O mecanismo de
inspeção profunda de
pacote no IPS ou ADM
foi interrompido ou
inicializado.
Monitor de
software
Todos
Média
Excluir comando
remoto
306-61
Comando remoto de
alarme removido.
Monitor de
software
ESM
Baixa
Eventos excluídos
306-74
Usuário excluiu
eventos do ESM.
Monitor de
software
ESM
Baixa
Fluxos excluídos
306-75
Usuário excluiu fluxos
do ESM.
Monitor de
software
ESM
Baixa
Adição de dispositivo
306-18
Novo dispositivo
Monitor de
adicionado ao sistema. software
ESM
Baixa
Exclusão de
dispositivo
306-19
Dispositivo existente
excluído do sistema.
Monitor de
software
ESM
Baixa
Dispositivo
possivelmente
inoperante
146-2
Evento de descoberta Monitor de
de rede informando
software
que um dispositivo
pode estar inoperante.
ESM
Baixa
Dispositivo inacessível 146-1
Dispositivo de
descoberta de rede
inacessível adicionado
ao ESM está
inacessível.
Monitor de
software
ESM
Baixa
Alerta de falha da
unidade de disco
Verifica e confirma a
integridade de todos
os discos rígidos
(interna ou DAS).
Monitor de
hardware
Todos
Alta
306-50018
Monitor de
software
Monitor de
software
Guia de produto
6
Ajustar alarmes
Nome da regra
ID de
assinatura
Descrição
Tipo
Dispositivo
Gravidade
arquivamento do ELM
O mecanismo de
compactação do ELM
foi interrompido ou
inicializado.
Monitor de
software
APM/REC/
Média
ELM EDS FTP
306-50074
O programa ELM SFTP
foi interrompido ou
inicializado.
Monitor de
software
ELM
Média
Processamento de
arquivo do ELM
306-50065
O mecanismo de
reinserção do ELM foi
interrompido ou
inicializado.
Monitor de
software
ELM
Média
IPS/DBM
Se houver falha de log
por qualquer motivo,
ele tentará a inserção
novamente. Se houver
falha no processo de
reinserção, essa regra
será disparada.
estado do ponto de
montagem do ELM
306-50053
O armazenamento
remoto do ELM (CIFS,
NFS, ISCSI, SAN) foi
interrompido ou
inicializado.
Monitor de
software
ELM
Média
estado do mecanismo
de consulta do ELM
306-50046
Processo de trabalhos Monitor de
do ELM – Trabalhos do software
ELM, como consultas e
inserções,
interrompidos ou
inicializados.
ELM
Média
Armazenamento
redundante no ELM
306-50063
O espelho do ELM foi
interrompido ou
inicializado.
Monitor de
software
ELM
Média
Erro no banco de
dados do sistema do
ELM
306-50044
O banco de dados do
ELM foi interrompido
ou inicializado.
Monitor de
software
ELM
Alta
estado do coletor de
e-mails
306-50040
O coletor do Cisco
Monitor de
MARS foi interrompido software
ou inicializado.
Receiver
Média
Marcas do EPO
aplicadas
306-28
Marcas do McAfee ePO Monitor de
aplicadas.
software
ESM
Baixa
Erro na comunicação
com o ELM
306-50047
Falha na comunicação
com o ELM.
Monitor de
software
APM/REC/
Alta
Erro na comunicação
com o SSH
306-50077
Problemas no
dispositivo – como
diferenças de versão,
alteração da chave.
Monitor de
software
Todos
Alta
Reinicialização do ESM 306-32
ESM reinicializado.
Monitor de
software
ESM
Média
Encerramento do ESM
306-33
Encerramento do ESM. Monitor de
software
ESM
Média
Alerta do coletor
eStreamer
306-50070
O coletor eStreamer
foi interrompido ou
inicializado.
Receptor
Média
Monitor de
software
IPS/DBM
Guia de produto
359
6
360
Ajustar alarmes
Nome da regra
ID de
assinatura
Descrição
Tipo
Dispositivo
Gravidade
estado do coletor
eStreamer
306-50041
O coletor eStreamer
foi interrompido ou
inicializado.
Monitor de
software
Receptor
Média
Desanexação de
partição de evento
306-4
Partição de evento
desanexada.
Monitor de
software
ESM
Baixa
Executar comando
remoto
306-62
Comando remoto de
alarme executado.
Monitor de
software
ESM
Baixa
Falha na entrada
devido a número
máximo de sessões
simultâneas atingido
306-37
Falha ao entrar porque Monitor de
o número máximo de
software
sessões simultâneas
foi atingido.
ESM
Alta
Falha ao formatar o
dispositivo SAN
306-50057
Falha na formatação
do SAN no ELM;
usuário deve tentar
novamente.
Monitor de
hardware
ESM
Alta
Falha de entrada do
usuário
306-31
Houve falha na
entrada do usuário.
Monitor de
software
ESM
Média
arquivo
306-50049
O programa coletor de Monitor de
montagem foi
software
interrompido ou
inicializado.
Receiver
Média
Arquivo excluído
306-50
Qualquer arquivo que
pode ser adicionado
ou removido, como
arquivo de som ou log
do ESM removido.
Monitor de
software
ESM
Baixa
filtragem
O programa de
filtragem no
dispositivo foi
interrompido ou
inicializado (regras de
filtragem).
Monitor de
software
Receiver
Média
estado do agregador
de alerta do firewall
306-50009
O agregador de
Monitor de
firewall no IPS ou ADM software
foi interrompido ou
inicializado.
IPS/ADM/IPS Média
Desanexação de
partição de fluxo
306-5
Desanexação de
partição de fluxo.
Monitor de
software
ESM
Baixa
Falha na obtenção de
dados VA
306-52
Falha na obtenção de
dados VA pelo ESM.
Monitor de
software
ESM
Média
Êxito na obtenção de
dados VA
306-51
ESM obteve dados VA. Monitor de
software
ESM
Baixa
Alerta interno do
monitor de
integridade
306-50027
O processo do monitor Monitor de
de integridade foi
software
interrompido ou
inicializado.
Todos
Média
estado do coletor
HTTP
306-50039
O coletor HTTP foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
Alteração na
configuração de
indexação
306-8
Configurações de
indexação do ESM
alteradas.
Monitor de
software
ESM
Média
Guia de produto
6
Ajustar alarmes
Nome da regra
ID de
assinatura
Descrição
Chave SSH inválida
306-50075
estado do coletor
IPFIX
Dispositivo
Gravidade
Problemas na
Monitor de
comunicação do
software
dispositivo com o ELM,
como diferenças de
versão, alteração da
chave.
Todos
Alta
306-50055
O coletor de IPFIX
(fluxo) foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
Entrada do usuário
administrador da
chave e do certificado
306-39
Entrada do
administrador de
criptografia, evento
UCAPL
Monitor de
software
ESM
Baixa
Partição de log
revolvida
306-34
As antigas partições
da tabela de logs de
bancos de dados
foram revolvidas.
Monitor de
software
ESM
Baixa
em disco das
partições de log
306-50004
Há pouco espaço livre
na partição de log (/
var).
Monitor de
software
Todos
Média
estado do servidor do
banco de dados
McAfee EDB
306-50010
O banco de dados foi
interrompido ou
inicializado.
Monitor de
software
Todos
Média
Alerta do coletor do
McAfee ePO
306-50069
O coletor do McAfee
ePO foi interrompido
ou inicializado.
Monitor de
software
Receptor
Média
estado do McAfee
Event Format
306-50031
O coletor do McAfee
Event Format foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
Falha de comunicação
do dispositivo McAfee
SIEM
306-26
O ESM não pode se
comunicar com outro
dispositivo.
Monitor de
software
ESM
Alta
Alerta do Microsoft
306-50068
Forefront Threat
Management Gateway
O coletor do Forefront
Threat Management
Gateway foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
estado de recuperação
do MS-SQL
O coletor do MS SQL
foi interrompido ou
inicializado (qualquer
origem de dados para
MSSQL).
Monitor de
software
Receptor
Média
Alerta de log de vários 306-50062
eventos
O coletor do jEMAIL foi Monitor de
interrompido ou
software
inicializado.
Receiver
Média
Varredura do MVM
iniciada
306-27
Varredura do MVM
iniciada.
Monitor de
software
ESM
Baixa
estado do coletor
NetFlow
306-50024
O coletor NetFlow
(fluxo) foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
Tipo
Guia de produto
361
6
Ajustar alarmes
Nome da regra
362
ID de
assinatura
Descrição
Tipo
Dispositivo
Gravidade
Nova conta de usuário 306-13
Novo usuário
Monitor de
adicionado ao sistema. software
ESM
Baixa
estado do coletor do
NFS/CIFS
306-50048
A montagem remota
referente a NFS ou
CIFS foi interrompida
ou inicializada.
Monitor de
software
Receiver
Média
estado do coletor
NitroFlow
306-50026
O NitroFlow (fluxos do
dispositivo) foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
Nenhuma chave SSH
encontrada
306-50076
Problemas na
Monitor de
comunicação do
software
dispositivo com o ELM,
como diferenças de
versão, alteração da
chave.
Todos
Alta
Adicionar/editar na
lista negra do NSM
306-29
Entrada na lista negra
do NSM adicionada ou
editada.
Monitor de
software
ESM
Baixa
Excluir da lista negra
do NSM
306-30
Entrada na lista negra
do NSM excluída.
Monitor de
software
ESM
Baixa
estado do recuperador
de OPSEC
O coletor de OPSEC
(Check Point) foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
estado do recuperador
de OPSEC
O coletor de OPSEC
(Check Point) foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
Alerta do Coletor do
Oracle IDM
306-50072
O Coletor do Oracle
IDM foi interrompido
ou inicializado.
Monitor de
software
Receiver
Média
Alerta de excesso de
assinaturas
306-50012
O ADM ou IPS
Monitor de
entraram ou saíram do software
modo de excesso de
assinaturas.
IPS/ADM/IPS Média
Alerta do Coletor de
plug-in/Analisador
306-50073
O Coletor de plug-in/
Analisador foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
Adição de política
306-15
Política adicionada ao
sistema.
Monitor de
software
ESM
Baixa
Exclusão de política
306-17
Política excluída do
sistema.
Monitor de
software
ESM
Baixa
Alteração de política
306-16
Política alterada no
sistema.
Monitor de
software
ESM
Baixa
Incompatibilidade de
configuração anterior
146-6
Configuração de
dispositivo de
descoberta de rede
alterada.
Monitor de
software
ESM
Baixa
Guia de produto
6
Ajustar alarmes
Nome da regra
ID de
assinatura
Descrição
Receiver de HA
306-50058
Configuração do
Receiver de HA Opsec
Dispositivo
Gravidade
Algum processo de HA Monitor de
foi interrompido ou
software
inicializado (Script de
controle de HA,
Corosync).
Receiver
Média
306-50059
Não está em uso.
Monitor de
software
Receiver
Baixa
ESM redundante fora
de sincronização
306-76
ESM redundante fora
de sincronização.
Monitor de
software
ESM
Alta
estado do ponto de
montagem do NFS
remoto
306-50020
A montagem NFS do
ELM foi interrompida
ou inicializada.
Monitor de
software
ELM
Média
em disco no ponto de
montagem/
compartilhamento
remoto
306-50021
no ponto de
montagem remoto.
Monitor de
software
ESM
Média
estado de
compartilhamento do
SMB/CIFS remoto
306-50019
O ponto de montagem Monitor de
remoto de SMB/CIFS
software
foi interrompido ou
inicializado.
Receiver
Média
estado da Correlação
de risco
306-50061
O mecanismo de
Correlação de risco foi
interrompido ou
inicializado.
Monitor de
software
ACE
Média
em disco das
partições de raiz
307-50002
nas partições de raiz.
Monitor de
software
Todos
Média
Adição de regra
306-20
Regra adicionada ao
sistema, como ASP,
filtro ou correlação.
Monitor de
software
ESM
Baixa
Exclusão de regra
306-22
Regra excluída do
sistema.
Monitor de
software
ESM
Baixa
Alteração de regra
306-21
Regra alterada no
sistema.
Monitor de
software
ESM
Baixa
Falha na atualização
de regra
306-9
Falha na atualização
de regra do ESM.
Monitor de
software
ESM
Média
estado de recuperação
de SDEE
O coletor do SDEE foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
estado do coletor
sFlow
306-50025
O coletor sFlow (fluxo) Monitor de
foi interrompido ou
software
inicializado.
Receiver
Média
estado do coletor
SNMP
306-50023
O coletor SNMP foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
estado do coletor SQL
306-50038
O coletor SQL (antigo
NFX) foi interrompido
ou inicializado.
Monitor de
software
Receiver
Média
estado do coletor
Symantec AV
306-50056
O coletor Symantec AV Monitor de
foi interrompido ou
software
inicializado.
Receiver
Média
Tipo
Guia de produto
363
6
Ajustar alarmes
Nome da regra
ID de
assinatura
Descrição
estado do Coletor de
syslog
306-50037
Entrada de usuário
administrador do
sistema
Dispositivo
Gravidade
O coletor de Syslog foi Monitor de
interrompido ou
software
inicializado.
Receiver
Média
306-40
Administrador do
sistema entrou no
sistema.
Monitor de
software
ESM
Baixa
Falha na verificação
de integridade do
sistema
306-50085
Não é sinalizado
nenhum programa ou
processo estrangeiro
não ISO em execução
no sistema.
Monitor de
software
Todos
Alta
estado do registrador
do sistema
306-50014
O processo de registro Monitor de
em log do sistema foi software
interrompido ou
inicializado.
Todos
Média
Tarefa (consulta)
fechada
306-54
Tarefa do gerenciador
de tarefas fechada.
Monitor de
software
ESM
Baixa
em disco nas
partições temporárias
306-50003
A partição temporária
(/tmp) com pouco
espaço em disco.
Monitor de
software
Todos
Média
estado do analisador
de log de texto
306-50052
O processo do
analisador de texto foi
interrompido ou
inicializado.
Monitor de
software
Receptor
Média
Alteração de conta de
usuário
306-14
Conta de usuário
alterada.
Monitor de
software
ESM
Baixa
Falha de entrada no
dispositivo do usuário
306-50079
Houve falha na
entrada do usuário do
SSH.
Monitor de
software
ESM
Baixa
Entrada no dispositivo 306-50017
do usuário
software
ESM
Baixa
Saída do dispositivo
do usuário
306-50078
Saída do usuário do
SSH.
Monitor de
software
ESM
Baixa
Logon do usuário
306-11
Usuário entrou no
sistema.
Monitor de
software
ESM
Baixa
Saída do usuário
306-12
Usuário saiu do
sistema.
Monitor de
software
ESM
Baixa
Alerta de status do
mecanismo de dados
de VA
306-50043
O mecanismo de VA
(vaded.pl) foi
interrompido ou
inicializado.
Monitor de
software
Receiver
Média
Adição de variável
306-23
Variável de política
adicionada.
Monitor de
software
ESM
Baixa
Exclusão de variável
306-25
excluída.
Monitor de
software
ESM
Baixa
Alteração de variável
306-24
alterada.
Monitor de
software
ESM
Baixa
O certificado de
servidor Web do ESM
expirou.
Monitor de
software
ESM
Alta
Certificado de servidor 306-50084
Web expirado
364
Tipo
Guia de produto
6
Ajustar alarmes
Nome da regra
ID de
assinatura
Descrição
Tipo
Dispositivo
Gravidade
O certificado de
servidor Web expirará
em breve
306-50083
O certificado de
servidor Web do ESM
expira em breve.
Monitor de
software
ESM
Média
Alerta do coletor
Websense
306-50067
O coletor Websense foi Monitor de
interrompido ou
software
inicializado.
Receptor
Média
Log de eventos WMI
306-50030
O coletor WMI foi
interrompido ou
inicializado.
Receiver
Média
Monitor de
software
Consulte também
Adicionar alarmes de evento do monitor de integridade na página 355
Adicionar um alarme de Correspondência de campos
Um alarme de Correspondência de campos faz a correspondência com vários campos de um evento e
dispara assim que o dispositivo recebe e analisa o evento.
Antes de iniciar
•
•
Verifique como usar os Elementos lógicos na página 367.
Ajuda.
Tarefa
1
.
2
Clique em Alarmes.
3
Clique em Adicionar, digite o nome do alarme e selecione o responsável. Depois, clique na guia
Condição.
4
No campo Tipo, selecione Correspondência de campos e configure as condições do alarme.
a
Arraste e solte o AND ou o OR para configurar a lógica da condição do alarme.
b
Arraste e solte o ícone Corresponder ao componente sobre um elemento lógico, em seguida, preencha
a página Adicionar campo de filtro.
c
No campo Frequência máxima do disparo de condição, selecione a quantidade de tempo permitida entre
cada condição para evitar o excesso de notificações. Cada disparo somente contém o primeiro
evento de origem correspondente à condição do disparo, não os eventos que ocorreram dentro
do período de frequência de disparo. Novos eventos que correspondem à condição de disparo
não fazem com que o alarme dispare novamente até depois do período máximo de frequência
de disparo.
Se você definir o intervalo como zero, todos os eventos que coincidirem com uma condição
dispararão um alarme. Para alarmes de alta frequência, um intervalo zero pode gerar diversos
alarmes.
Guia de produto
365
6
Ajustar alarmes
5
Clique em Avançar e selecione os dispositivos a serem monitorados para o alarme. Esse tipo de
alarme oferece suporte a Receptores, ELMs (Enterprise Log Managers) de Receptores locais,
combinações de Receptor/ELM, ACEs e ADMs (Application Data Monitors).
6
Clique nas guias Ações e Escalonamento e defina as configurações.
7
Clique em Concluir.
O alarme grava no dispositivo.
Se o alarme não gravar no dispositivo, será exibido um sinalizador indicando falta de sincronização ao
lado do dispositivo na árvore de navegação do sistema. Clique no sinalizador e em Sincronizar alarmes.
Consulte também
Resumo personalizado para casos e alarmes disparados na página 367
Elementos lógicos na página 367
Página Editar elemento lógico na página 366
Página Editar elemento lógico
Edite as configurações de um elemento lógico.
Opção
Definição
Botões de opção Altere o tipo de elemento lógico. Isso é útil se você tem uma regra ou componente
com várias camadas de elementos lógicos e percebe que um dos elementos no
início do diagrama lógico deve ser de um tipo diferente.
condições
Selecione o número de condições que deve ser atendido para um SET com mais de
uma condição.
Sequência
Selecione caso queira que as condições do elemento lógico AND ou SET ocorram na
sequência em que são colocados no campo Lógica de correlação para a regra ser
disparada.
Limite
Defina o número de vezes que as condições precisam ocorrer para a regra ser
disparada.
Janela de tempo
Defina o limite de tempo que precisa ser atingido para a regra ser disparada.
Consulte também
366
Guia de produto
6
Ajustar alarmes
Elementos lógicos
Quando você adicionar um banco de dados do Application Data Monitor (ADM) e uma regra de
correlação ou componente, use Lógica de expressão ou Lógica de correlação para criar a estrutura da regra.
Elemento Descrição
AND Funciona da mesma forma que um operador lógico em uma linguagem de computador.
Tudo o que está agrupado nesse elemento lógico deve ser verdadeiro para que a
condição seja verdadeira. Use essa opção caso queira que todas as condições desse
elemento lógico sejam atendidas antes que uma regra seja disparada.
OR
Funciona da mesma forma que um operador lógico em uma linguagem de computador.
Somente uma condição agrupada nesse elemento deve ser verdadeira para que essa
condição seja verdadeira. Use esse elemento caso queira que somente uma condição
seja atendida antes do disparo da regra.
SET Para regras ou componentes de correlação, SET permite definir as condições e selecionar
como muitas condições devem ser verdadeiras para disparar a regra. Por exemplo, se
você tiver três condições no conjunto e duas delas precisarem ser atendidas para a regra
ser disparada, a leitura do conjunto será "2 de 3".
Cada um desses elementos tem um menu com pelo menos duas das opções a seguir:
•
Editar — Você pode editar as configurações padrão (consulte Editar configurações padrão de
elementos lógicos).
•
Remover elemento lógico — Você pode excluir o elemento lógico selecionado. Se ele tiver filhos, eles não
serão excluídos e moverão para cima na hierarquia.
Isso não se aplica ao elemento raiz (o primeiro na hierarquia). Se você remover o elemento raiz,
todos os filhos também serão removidos.
•
Remover elemento lógico e todos os seus filhos — Você pode excluir o elemento selecionado e todos os filhos
da hierarquia.
Quando você configura a lógica da regra, deve adicionar componentes para definir as condições da
regra. Para as regras de correlação, você pode também adicionar parâmetros para controlar o
comportamento da regra ou componente na execução.
Consulte também
Editar elementos lógicos na página 539
Resumo personalizado para casos e alarmes disparados
Selecione os dados a serem incluídos no resumo do alarme e resumo de caso dos alarmes da
Correspondência de campos e Correspondência de evento interna.
Antes de iniciar
Ajuda.
Tarefa
1
2
.
Clique em Alarmes, depois em Adicionar.
Guia de produto
367
6
Ajustar alarmes
3
4
5
6
Na guia Condição, selecione o tipo Correspondência de campos ou Correspondência de evento interna.
Clique na guia Ações, em Criar um caso para, no ícone de variáveis
no resumo de caso.
e selecione os campos a incluir
Clique em Personalizar resumo de alarme disparado e no ícone de variáveis
serem incluídos no resumo do alarme disparado.
, e selecione os campos a
Digite as informações solicitadas para criar alarmes, depois clique em Concluir.
Consulte também
Adicionar um alarme às regras
Para ser notificado quando os eventos forem gerados por regras específicas, você poderá adicionar um
alarme a essas regras.
Antes de iniciar
Ajuda.
Tarefa
1
ações.
2
Selecione o tipo de regra no painel Tipos de regras.
3
Selecione uma ou mais regras na área de exibição de regras.
4
5
Clique no ícone Alarmes
na barra de ferramentas de
.
Crie o alarme.
Criar interceptações de SNMP e ações de alarmes
Envie interceptações de SNMP como ação em um alarme.
Antes de iniciar
•
•
Prepare o Receptor de interceptação de SNMP (somente necessário se você não tiver
um Receptor de interceptação de SNMP).
Ajuda.
368
Guia de produto
6
Ajustar alarmes
Tarefa
1
Crie um perfil de SNMP para informar ao ESM para onde enviar as interceptações de SNMP.
a
2
3
b
Clique em Gerenciamento de perfil e selecione Interceptação SNMP no campo Tipo de perfil.
c
Preencha os campos restantes e clique em Aplicar.
.
Configure o SNMP no ESM.
a
Em Propriedades do sistema, clique em Configuração de SNMP e clique na guia Interceptações SNMP.
b
Selecione a porta, os tipos de interceptações a serem enviadas e o perfil adicionado na Etapa 1.
c
Clique em Aplicar.
Defina um alarme com Interceptação de SNMP como ação.
a
Em Propriedades do sistema, clique em Alarmes e em Adicionar.
b
Preencha as informações solicitadas nas guias Resumo, Condição e Dispositivos, selecionando
Correspondência de evento interna como o tipo de condição, e clique na guia Ações.
c
Selecione Enviar mensagem e clique em Configurar para selecionar ou criar um modelo de mensagens
SNMP.
d
Selecione Modelos básicos de SNMP no campo SNMP ou clique em Modelos e selecione um modelo
existente, ou então clique em Adicionar para definir um novo modelo.
e
Retorne para a página Configurações de alarme e prossiga com a configuração do alarme.
Adicionar um alarme de notificação de queda de energia
Adicione um alarme para ser notificado quando uma das fontes de alimentação do ESM falhar.
Antes de iniciar
•
•
Ajuda.
Tarefa
1
.
2
Clique em Alarmes.
3
Clique em Adicionar, insira os dados solicitados na guia Resumo, depois clique na guia Condição.
4
No campo Tipo, selecione Correspondência de evento interna.
5
No campo Campo, selecione ID de assinatura e digite 306-50086 no campo Valore(s).
6
Preencha as informações restantes em cada guia conforme necessário e clique em Concluir.
Um alarme é disparado quando há falha em uma fonte de energia.
Guia de produto
369
6
Ajustar alarmes
Gerenciar origens de dados fora de sincronização
Configure um alarme para alertá-lo quando as origens de dados fora de sincronização gerarão
eventos, de maneira que você possa exibir uma lista de origens de dados, editar suas configurações e
exportar a lista.
Antes de iniciar
Essa ferramenta de diagnóstico identifica quando uma origem de dados está coletando eventos
antigos ou futuros, o que pode gerar um sinalizador vermelho no Receptor.
Tarefa
Ajuda.
1
2
3
.
Defina um alarme para receber notificação quando o Receptor receber um evento, gerado por uma
origem de dados fora de sincronização com o ESM.
a
Clique em Alarmes | Adicionar, digite as informações solicitadas na guia Resumo e clique na guia
Condição.
b
Selecione Delta de evento no campo Tipo, a frequência com que o ESM deve verificar origens de
dados fora de sincronização e a diferença de horário que deve haver para que o alarme dispare.
c
Preencha as informações das guias restantes.
Exiba, edite ou exporte as origens de dados que estiverem fora de sincronização.
a
Na árvore de navegação do sistema, clique no Receiver e no ícone Propriedades.
b
Clique em Gerenciamento do Receiver e em Delta de tempo.
Consulte também
Origens de dados fora de sincronização na página 370
Página Delta de tempo na página 371
Origens de dados fora de sincronização
Como resultado de várias configurações possíveis, o horário em uma origem de dados pode ficar fora
de sincronização com o ESM. Quando uma origem de dados fora de sincronização gera um evento, um
sinalizador vermelho aparece ao lado do Receiver na árvore de navegação do sistema.
Você pode configurar um alarme para ser notificado quando isso acontecer. Você poderá gerenciar as
origens de dados que estiverem fora de sincronização acessando a página Delta de tempo (consulte
Gerenciar origens de dados fora de sincronização).
Eventos fora de sincronização podem ser eventos antigos ou futuros.
Há vários motivos que levam as origens de dados a ficar fora de sincronização com o ESM.
370
1
Configuração de fuso horário incorreta no ESM (consulte Selecionar configurações do usuário).
2
Você pode ter definido o horário no fuso errado ao adicionar a origem de dados (consulte Adicionar
uma origem de dados).
3
O sistema está ativo há muito tempo e alguma falha o levou a ficar fora de sincronização.
Guia de produto
Ajustar alarmes
4
Você configurou o sistema dessa forma de propósito.
5
O sistema não está conectado à Internet.
6
O evento chega ao Receiver fora de sincronização.
6
Consulte também
Página Delta de tempo
Gerencie as origens de dados que geram eventos em que o horário do evento e o último horário têm
uma diferença maior do que o intervalo definido por você. Eventos são verificados com a frequência
definida por você ao adicionar um alarme Delta de evento.
Opção Definição
Tabela Lista as origens de dados, endereços IP ou nomes de host, tipo de origem de dados e o delta
de tempo dos eventos.
Editar
Abre a página Editar origem de dados da origem de dados selecionada. Você pode alterar a
configuração de fuso horário para que a origem de dados gere eventos com o horário
correto.
Exportar Exporta a lista da tabela.
Atualizar Atualiza as informações da tabela para refletir alterações recentes.
Intervalo Determina a partir de quando os eventos de banco de dados são analisados.
Consulte também
Guia de produto
371
6
Ajustar alarmes
372
Guia de produto
7
O ESM permite identificar, coletar, processar, correlacionar e armazenar bilhões de eventos e fluxos,
mantendo todas as informações disponíveis para consultas, perícias, validação de regras e
conformidade.
Conteúdo
Eventos, fluxos e registros
Gerenciamento de relatórios
Descrição dos filtros contains e regex
Trabalhar com exibições do ESM
Tipo de filtros personalizados
Pesquisas do McAfee Active Response
Exibir hora do evento
®
Eventos, fluxos e logs registram diferentes tipos de atividades que ocorrem em um dispositivo.
Um evento é uma atividade registrada por um dispositivo como resultado de uma regra no sistema.
Um fluxo é o registro de uma conexão feita entre IPs, dos quais pelo menos um está na HOME_NET.
Um log é o registro de um evento que ocorreu em um dispositivo no sistema. Eventos e fluxos
possuem endereços IP de origem e destino, portas, endereços MAC (Media Access Control), um
protocolo e um primeiro e último horário (indicando a duração entre o início da conexão e seu
término). Entretanto, existem várias diferenças entre eventos e fluxos:
•
Como os fluxos não são uma indicação de tráfego anômalo nem malicioso, eles são mais comuns
que os eventos.
•
Diferentemente de um evento, um fluxo não está associado a uma assinatura de regra (SigID).
•
Fluxos não estão associados a ações de eventos como alerta, descarte e rejeição.
•
Alguns dados são específicos para fluxos, incluindo bytes de origem e destino e pacotes de origem
e destino. Bytes e pacotes de origem são o número de bytes e pacotes transmitidos pela origem do
fluxo, enquanto os bytes e pacotes de destino são o número de bytes e pacotes transmitidos pelo
destino do fluxo.
•
Os fluxos têm direção: o fluxo de entrada é definido como um fluxo que se origina dentro da
HOME_NET. Um fluxo de saída se origina dentro da HOME_NET. Essa variável é definida em uma
política para um Nitro IPS.
Eventos e fluxos gerados pelo sistema podem ser vistos em exibições, que você pode selecionar na
lista suspensa de exibições. Registros são listados no Registro do sistema ou no Registro do dispositivo, que
podem ser acessados na página Propriedades do sistema ou de cada dispositivo.
Guia de produto
373
7
Consulte também
Configurar downloads de eventos, fluxos e registros na página 374
Limitar horário da coleta de dados na página 375
Definir as configurações de limite de inatividade na página 376
Obter eventos e fluxos na página 377
Verificar eventos, fluxos e registros na página 378
Definir configurações de localização geográfica e ASN na página 380
Configurar downloads de eventos, fluxos e registros
Verifique eventos, fluxos e registros manualmente ou defina o dispositivo para verificá-los
automaticamente.
Tarefa
Ajuda.
1
2
Clique em Eventos, fluxos e logs, Eventos e logs ou Logs.
3
Configure os downloads e clique em Aplicar.
.
Consulte também
Eventos, fluxos e registros na página 373
Página Eventos, fluxos e logs na página 374
Página Eventos, fluxos e logs
Defina as configurações de download de eventos, fluxos e registros. Os dispositivos IPS, ADM e
Receptor têm eventos, fluxos e registros. Os dispositivos ACE e DEM têm eventos e registros. Os
dispositivos DESM têm eventos, e os dispositivos ELM têm registros. As opções disponíveis na página
variam de acordo com o dispositivo selecionado.
Opção
Definição
Atualização automática de
regras
Se o ESM faz download automático do servidor de regras, selecione esta
opção se quiser que as regras das quais fez download sejam distribuídas
neste dispositivo.
Download automático...
Selecione se quiser que o ESM verifique eventos, fluxos ou registros
automaticamente.
Obter...
Clique se quiser que o ESM verifique eventos, fluxos ou registros agora. Para
exibir o status desses trabalhos, consulte Obter eventos e fluxos.
Definir intervalo de tempo
de pull de dados diário
Selecione para agendar um intervalo de tempo diário para o ESM efetuar pull
de dados de cada dispositivo e enviar dados para o ELM de cada dispositivo
(consulte Limitar horário da coleta de dados).
Tenha cuidado ao configurar esse recurso porque o agendamento de evento,
fluxo e coleta de logs pode causar perda de dados.
374
Guia de produto
7
Opção
Definição
Gerar eventos de
vulnerabilidade
Selecione para que qualquer evento correspondente aos dados de origem da
avaliação de vulnerabilidade adicionados ao sistema (consulte Trabalhar com
a avaliação de vulnerabilidade) se torne um evento de vulnerabilidade e gere
um alerta no ESM local. As propriedades da política no Editor de políticas são
iguais para todos esses eventos e não podem ser alteradas (por exemplo, a
gravidade será sempre 100).
Último evento ou Processo Verifique quando os eventos ou fluxos foram recuperados pela última vez no
de download de fluxo
dispositivo, se o processo foi bem-sucedido e o número de eventos ou fluxos
recuperados.
Último download de evento, Veja a data e a hora do último registro de fluxo, cadeia e evento recuperado.
A alteração desse valor permite definir a data e a hora a partir de quando os
Cadeia ou Registro de
eventos, as cadeias ou os fluxos serão recuperados. Por exemplo, se você
fluxo
inserir 13 de novembro de 2010 às 10h30min no campo Último registro de
download de evento, clicar em Aplicar e em Obter eventos, o ESM recuperará todos os
eventos do dispositivo ocorridos neste dispositivo a partir desse momento.
Configurações do banco de Clique para gerenciar as configurações de índice de banco de dados no ESM.
dados
Configurações de
inatividade
Exiba e altere as configurações do limite de inatividade de cada dispositivo
gerenciado pelo ESM (consulte Definir configurações do limite de inatividade).
Localização geográfica
Configure o ESM para registrar em log os dados de localização geográfica e
ASN de cada dispositivo (consulte Definir configurações de localização
geográfica e ASN).
Consulte também
Agregação de eventos ou fluxos na página 381
Limitar horário da coleta de dados
Você pode agendar um intervalo de tempo para limitar quando o ESM efetuará pull de dados de cada
dispositivo e quando os dados serão enviados para o ELM de cada dispositivo.
Antes de iniciar
Desative Agregação dinâmica e defina Agregação de nível 1 entre 240 e 360 minutos (consulte
Alterar as configurações de agregação ou evento de alteração).
Você pode usar esse recurso para evitar usar a rede em horários de pico, deixando a largura de banda
disponível para outros aplicativos. Isso atrasa a entrega de dados para o ESM e ELM, portanto, você
precisa determinar se esse atraso é aceitável no seu ambiente.
Guia de produto
375
7
Tarefa
Ajuda.
Tenha cuidado ao configurar esse recurso porque o agendamento de evento, fluxo e coleta de logs pode
causar perda de dados.
1
2
3
Na árvore de navegação do sistema, selecione o dispositivo e clique no ícone Propriedades
.
Selecione uma das seguintes opções:
•
Eventos, fluxos e logs
•
Eventos e logs
•
Logs
Selecione Definir intervalo de tempo de pull de dados diário e defina os horários de início e de término para o
intervalo de tempo.
O ESM coleta dados do dispositivo, e o dispositivo envia dados para o ELM para registro durante o
intervalo de tempo definido por você. Quando você configura isso no ELM, ele define quando o ESM
coleta dados do ELM e quando o ESM envia dados para o ELM para registro.
Consulte também
Definir as configurações de limite de inatividade
Ao definir um limite de inatividade para um dispositivo, você será notificado quando nenhum evento
ou fluxo for gerado no período especificado. Se o limite for atingido, um sinalizador de status de
integridade amarelo aparecerá ao lado do nó do dispositivo na árvore de navegação do sistema.
Tarefa
Ajuda.
376
1
Na árvore de navegação do sistema, selecione Propriedades do sistema, verifique se Informações do sistema
está selecionado e clique em Eventos, fluxos e registros.
2
Clique em Configurações de inatividade.
3
Destaque o dispositivo e clique em Editar.
4
Altere as configurações e clique em OK.
Guia de produto
7
Consulte também
Página Limite de inatividade na página 377
Página Editar limite de inatividade na página 377
Página Limite de inatividade
Defina o limite de inatividade para cada dispositivo para ser notificado quando um dispositivo não
receber eventos ou fluxos durante o período que você especificou.
Opção
Definição
Coluna Dispositivo Lista todos os dispositivos no sistema.
Coluna Limite
Exibe o limite para cada dispositivo.
Coluna Herdar
Mostra se um dispositivo filho herdou as configurações de limite do pai. Selecione
ou desmarque para alterar a configuração.
Editar
Abre a página Editar limite de inatividade para que você possa alterar a configuração de
limite.
Consulte também
Página Editar limite de inatividade
Edite a configuração de limite para o dispositivo selecionado na página Limite de inatividade. Se ele for
definido como zero (0), não haverá limite de inatividade para o dispositivo.
Consulte também
Obter eventos e fluxos
Recupere eventos e fluxos para os dispositivos selecionados na árvore de navegação de sistemas.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione o sistema, um grupo ou dispositivo e clique no ícone
Obter eventos e fluxos na
2
Na tabela superior, selecione os eventos e fluxos a serem recuperados, depois clique em Iniciar.
O status da recuperação é refletido na coluna Status. A tabela inferior mostra outros detalhes dos
dispositivos que você realça na tabela superior.
3
Após a conclusão do download, selecione uma exibição para ver esses eventos e fluxos, em
seguida, clique no ícone Atualizar exibição atual
na barra de ferramentas de exibições.
Guia de produto
377
7
Consulte também
Página Obter eventos e fluxos na página 378
Página Obter eventos e fluxos
Recupere manualmente os eventos e fluxos dos dispositivos que você selecionar.
Opção
Definição
Minimize a página Obter eventos e fluxos enquanto a recuperação de eventos ou
fluxos prossegue.
TABELA SUPERIOR
Coluna Nome do
dispositivo
Exiba os dispositivos para os quais é possível recuperar eventos ou fluxos,
com base no que foi selecionado na árvore de navegação do sistema. Você
pode selecionar um ou mais dispositivos para exibir detalhes na tabela
inferior.
Coluna Eventos
Selecione os dispositivos nos quais deseja recuperar eventos.
Coluna Fluxos
Selecione os dispositivos nos quais deseja recuperar fluxos.
Coluna Status
Exiba o status da recuperação depois de ser iniciada. Ele lista o número de
insert jobs e get jobs em execução em um dispositivo e o último get job
executado enquanto a janela estava aberta. Ele atualiza a cada dois
segundos.
Iniciar
Clique para começar a recuperação. Marque ao menos uma caixa de seleção
para ativar esta opção.
Cancelar
Cancele o processo depois de ele ter sido iniciado. O processo é interrompido
depois que a operação atual é concluída.
TABELA INFERIOR
Coluna Nome do
dispositivo
Exiba os nomes dos dispositivos que estão selecionados na tabela superior.
Coluna Operação
Exiba a operação atual em execução no dispositivo.
Coluna Hora de início
Exiba a hora em que o trabalho foi criado, que não necessariamente é a
mesma em que ele começou a ser processado no ESM.
Coluna Status
Exiba o status do trabalho.
Atualizar
Atualize a tabela. Ela é atualizada automaticamente a cada cinco segundos.
Consulte também
Verificar eventos, fluxos e registros
Você pode configurar o ESM para verificar eventos, fluxos e registros automaticamente ou verificá-los
manualmente. A taxa em que você deve fazer a verificação depende do nível de atividade do seu
sistema e da frequência com que deseja receber atualizações de status. Você também deve especificar
quais dispositivos devem verificar cada tipo de informação e definir o limite de inatividade para os
dispositivos gerenciados pelo ESM.
378
Guia de produto
7
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Eventos, fluxos e
registros.
2
Faça as seleções e alterações para a recuperação de eventos, fluxos e registros.
3
Clique em OK.
Consulte também
Página Eventos, fluxos e registros na página 379
Página Dispositivos na página 379
Página Eventos, fluxos e registros
Defina as configurações de eventos, fluxos e registros.
Opção
Definição
Verificação automática a cada Selecione se quiser que o sistema verifique eventos, fluxos ou registros
automaticamente. Defina a frequência com que você deseja que isso seja
feito.
Verificar agora
Verificar eventos, fluxos e registros agora.
Mostrar dispositivos
Selecione as configurações de download automático de eventos, fluxos e
registros para cada dispositivo.
Configurações de inatividade Se você deseja ser notificado quando um dispositivo não gerar eventos ou
fluxos por um período determinado, selecione essa opção, destaque o
dispositivo e clique em Editar.
Consulte também
Página Dispositivos
Configure a recuperação de eventos, fluxos e registros para cada dispositivo no sistema.
Opção
Definição
Coluna Nome do dispositivo Lista todos os dispositivos no sistema
Coluna Eventos
Selecione os dispositivos que devem fazer download de eventos
automaticamente.
Coluna Fluxo
Selecione os dispositivos que devem fazer download de fluxos
automaticamente.
Coluna Registros
Selecione os dispositivos que devem fazer download de registros
automaticamente.
Consulte também
Guia de produto
379
7
Definir configurações de localização geográfica e ASN
A Localização geográfica informa a localização física dos computadores conectados à Internet. ASN
(Autonomous System Number - Número de sistema autônomo) é um número atribuído a um sistema
autônomo, que identifica cada rede exclusivamente na Internet.
Os dois tipos de dados podem ajudar a identificar a localização física de uma ameaça. Os dados da
localização geográfica de origem e de destino podem ser coletados para os eventos.
Tarefa
Ajuda.
1
2
Clique em Eventos, fluxos e registros ou Eventos e registros em Localização geográfica.
3
Faça as seleções para gerar as informações necessárias e clique em OK.
.
Você pode filtrar dados do evento usando essas informações.
Consulte também
Página Configurações de localização geográfica na página 380
Página Configurações de localização geográfica
Configure o dispositivo para armazenar dados de localização geográfica ou ASN.
Opção
Definição
Coletar dados de localização
geográfica
Para coletar dados de localização geográfica para eventos ou fluxos,
selecione essa opção.
Dados de origem , Dados de destino Se você clicou em Coletar dados de localização geográfica, indique se deseja
coletar um deles ou ambos.
Coletar dados ASN
Para coletar dados ASN para eventos ou fluxos, selecione essa opção.
Dados de origem , Dados de destino Se você clicou em Coletar dados ASN, indique se deseja coletar um deles
ou ambos.
Desligado
Selecione se quiser interromper a coleta de dados de localização
geográfica ou de ASN para eventos ou fluxos.
Atualizar
Clique para retornar às atuais configurações do dispositivo.
Consulte também
380
Guia de produto
7
Agregação de eventos ou fluxos
Um evento ou fluxo pode ser gerado milhares de vezes. Em vez de ser forçado a verificar milhares de
eventos idênticos, com a agregação você pode exibi-los como um evento ou fluxo único, junto com a
contagem que indica o número de vezes que ele ocorreu.
O uso da agregação permite usar o espaço em disco, tanto no dispositivo quanto no ESM, de forma
mais eficiente, pois elimina a necessidade de armazenar cada pacote. Esse recurso aplica-se somente
a regras para as quais a agregação está ativada no Editor de políticas.
Endereço IP de destino e IP de origem
Os valores "não definidos" ou agregados de endereço IP de destino e IP de origem são exibidos como
"::", e não como "0.0.0.0" em todos os conjuntos de resultados. Por exemplo:
•
::ffff:10.0.12.7 é inserido como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 é 10.0.12.7).
•
::0000:10.0.12.7 seria 10.0.12.7.
Eventos e fluxos agregados
Os eventos e fluxos agregados usam o primeiro, o último e o campo de totais, para indicar a duração
e o volume de agregação. Por exemplo, se o mesmo evento ocorreu 30 vezes nos primeiros 10
minutos após o meio-dia, o campo Primeira vez contém a hora 12:00 (a hora da primeira instância do
evento), o campo Última vez contém a hora 12:10 (a hora da última instância do evento) e o campo Total
contém o valor 30.
É possível alterar as configurações de agregação de evento ou de fluxo padrão do dispositivo com um
todo e, no caso dos eventos, é possível adicionar exceções às configurações do dispositivo para regras
individuais (consulte Gerenciar exceções de agregação de evento).
A agregação dinâmica também é ativada por padrão. Quando selecionada, ela substitui as
configurações da agregação de Nível 1 e aumenta as configurações do Nível 2 e Nível 3. Ela recupera
registros com base na configuração de eventos, fluxos e registros. Se configurado para recuperação
automática, o dispositivo compacta um registro somente até a primeira vez que ele for obtido pelo
ESM. Se estiver configurado para recuperação manual, o registro compacta até 24 horas ou até que
um novo registro seja obtido manualmente, o que ocorrer primeiro. Se o tempo de compactação
alcançar o limite de 24 horas, um novo registro é obtido e a compactação começará no novo registro.
Consulte também
Alterar as configurações de agregação de eventos e fluxos na página 382
Adicionar exceções às configurações de agregação de evento na página 384
Gerenciar exceções de agregação de evento na página 385
Página Eventos, fluxos e logs na página 374
Página Eventos, fluxos e logs
Defina as configurações de download de eventos, fluxos e registros. Os dispositivos IPS, ADM e
Receptor têm eventos, fluxos e registros. Os dispositivos ACE e DEM têm eventos e registros. Os
dispositivos DESM têm eventos, e os dispositivos ELM têm registros. As opções disponíveis na página
variam de acordo com o dispositivo selecionado.
Opção
Definição
Atualização automática de
regras
Se o ESM faz download automático do servidor de regras, selecione esta
opção se quiser que as regras das quais fez download sejam distribuídas
neste dispositivo.
Download automático...
Selecione se quiser que o ESM verifique eventos, fluxos ou registros
automaticamente.
Guia de produto
381
7
Opção
Definição
Obter...
Clique se quiser que o ESM verifique eventos, fluxos ou registros agora. Para
exibir o status desses trabalhos, consulte Obter eventos e fluxos.
Definir intervalo de tempo
de pull de dados diário
Selecione para agendar um intervalo de tempo diário para o ESM efetuar pull
de dados de cada dispositivo e enviar dados para o ELM de cada dispositivo
(consulte Limitar horário da coleta de dados).
Tenha cuidado ao configurar esse recurso porque o agendamento de evento,
fluxo e coleta de logs pode causar perda de dados.
Gerar eventos de
vulnerabilidade
Selecione para que qualquer evento correspondente aos dados de origem da
avaliação de vulnerabilidade adicionados ao sistema (consulte Trabalhar com
a avaliação de vulnerabilidade) se torne um evento de vulnerabilidade e gere
um alerta no ESM local. As propriedades da política no Editor de políticas são
iguais para todos esses eventos e não podem ser alteradas (por exemplo, a
gravidade será sempre 100).
Último evento ou Processo Verifique quando os eventos ou fluxos foram recuperados pela última vez no
de download de fluxo
dispositivo, se o processo foi bem-sucedido e o número de eventos ou fluxos
recuperados.
Último download de evento, Veja a data e a hora do último registro de fluxo, cadeia e evento recuperado.
A alteração desse valor permite definir a data e a hora a partir de quando os
Cadeia ou Registro de
eventos, as cadeias ou os fluxos serão recuperados. Por exemplo, se você
fluxo
inserir 13 de novembro de 2010 às 10h30min no campo Último registro de
download de evento, clicar em Aplicar e em Obter eventos, o ESM recuperará todos os
eventos do dispositivo ocorridos neste dispositivo a partir desse momento.
Configurações do banco de Clique para gerenciar as configurações de índice de banco de dados no ESM.
dados
Configurações de
inatividade
Exiba e altere as configurações do limite de inatividade de cada dispositivo
gerenciado pelo ESM (consulte Definir configurações do limite de inatividade).
Localização geográfica
Configure o ESM para registrar em log os dados de localização geográfica e
ASN de cada dispositivo (consulte Definir configurações de localização
geográfica e ASN).
Consulte também
Alterar as configurações de agregação de eventos e fluxos
A agregação de eventos e fluxos é ativada por padrão e definida como Alta. Você pode alterar as
configurações conforme o necessário. O desempenho de cada configuração está descrito na página
Agregação.
Antes de iniciar
Você deve ter privilégios de Administrador de políticas e Gerenciamento de dispositivos ou Administrador
de políticas e Regras personalizadas para alterar essas configurações.
A agregação de eventos está disponível somente para dispositivos ADM, IPS e Receiver. E a agregação
de fluxo para dispositivos IPS e Receivers.
382
Guia de produto
7
Tarefa
Ajuda.
1
2
Clique em Agregação do evento ou Agregação do fluxo.
3
Defina as configurações e clique em OK.
.
Consulte também
Página Agregação do evento ou do fluxo na página 383
Página Agregação do evento ou do fluxo
Agregue grupos de eventos idênticos ou similares em um único registro para economizar espaço em
disco.
Opção
Definição
Atualizar
Clique para ler as configurações de agregação atuais no dispositivo. Em
seguida, use a taxa de agregação.
Usar a Agregação dinâmica
Selecione para melhorar o desempenho de inserções no ESM. Quando
selecionada, ela substitui as configurações da agregação de Nível 1 e
aumenta as configurações da agregação dos Níveis 2 e 3. Ela recupera
registros com base na configuração de recuperação de Eventos, Fluxos e
Registros. Se configurado para recuperação automática, o dispositivo
compactará um registro somente até a primeira vez que o último for
obtido pelo ESM. Se estiver configurado para recuperação manual, o
registro compactará até 24 horas ou até que um novo registro seja obtido
manualmente, o que ocorrer primeiro. Se o tempo de compactação
alcançar o limite de 24 horas, um novo registro será obtido e a
compactação começará no novo registro.
Dimensionamento
deslizante
Clique na seta do indicador e arraste-o até a configuração. A descrição de
cada nível é alterada para que corresponda às configurações selecionadas.
Configuração Personalizado Quando a opção Usar a Agregação dinâmica for desmarcada, defina primeiro o
no dimensionamento
Nível 1 e depois, o valor. Antes de agendar a coleta de logs, fluxo e evento
deslizante
(consulte Limitar horário da coleta de dados), o primeiro valor deve ser
definido entre 240 e 360 minutos.
Aplicar
Atualize o dispositivo com todas as configurações desta tela.
Exibir (somente eventos)
Abra a página Exceções de agregação de evento (consulte Adicionar exceção às
configurações de agregação de evento).
Portas (somente fluxos)
Configure os valores de agregação da porta de fluxo que precisam ser
mantidos (consulte Configurar valores de agregação da porta de fluxo ).
Consulte também
Guia de produto
383
7
Adicionar exceções às configurações de agregação de evento
Configurações de agregação aplicam-se a todos os eventos gerados por um dispositivo. Você pode
criar exceções para regras individuais se as configurações gerais não se aplicarem aos eventos
gerados pela regra.
Tarefa
Ajuda.
1
2
3
No painel de exibições, selecione um evento gerado pela regra para a qual deseja adicionar uma
exceção.
Clique no ícone Menu
e selecione Modificar configurações de agregação.
Selecione os tipos de campo que deseja agregar nas listas suspensas Campo 2 e Campo 3.
Os campos que você selecionar em Campo 2 e Campo 3 devem ser de tipos diferentes; caso contrário,
um erro ocorrerá. Ao selecionar esses tipos de campo, a descrição para cada nível de agregação
mudará para refletir as seleções feitas. Os limites de tempo para cada nível dependem da
configuração de agregação do evento definida para o dispositivo.
4
Clique em OK para salvar as configurações e clique em Sim para continuar.
5
Desmarque os dispositivos para os quais não quiser distribuir as alterações.
6
Clique em OK para distribuir as alterações para os dispositivos selecionados.
A coluna Status exibe o status da atualização quando as alterações foram distribuídas.
Consulte também
Página Exceções de agregação de evento na página 384
Página Distribuir para exceções de agregação na página 385
Página Exceções de agregação de evento
Exceções de agregação de evento são definidas na exibição Análise de evento. A página Exceções de
agregação de evento permite alterar as configurações ou remover uma exceção.
Opção
Definição
Editar
Clique para efetuar alterações na exceção selecionada.
Remover
Exclua a exceção selecionada.
Distribuir
Distribua as mudanças para o dispositivo.
Consulte também
384
Guia de produto
7
Página Distribuir para exceções de agregação
Distribua as alterações feitas nas exceções de agregação.
Opção
Definição
Coluna Dispositivo
Exibir os dispositivos do sistema.
segunda coluna
Selecione os dispositivos nos quais deseja implementar as alterações.
Coluna Status
Exibe o status da distribuição para cada dispositivo.
Consulte também
Gerenciar exceções de agregação de evento
Você pode exibir uma lista das exceções de agregação de evento que foram adicionadas ao sistema. É
possível também editar ou remover uma exceção.
Tarefa
Ajuda.
1
2
Clique em Agregação do evento e em Exibir na parte inferior da tela.
3
Efetue as alterações necessárias e clique em Fechar.
.
Consulte também
Página Agregação do evento ou do fluxo na página 383
Configuração do encaminhamento de evento
O encaminhamento de evento permite enviar eventos do ESM para um outro dispositivo ou recurso
pelo Syslog ou SNMP (se ativado). Você deve definir o destino e pode selecionar se deseja incluir o
pacote e ocultar os dados de IP. É possível adicionar filtros para que os dados do evento sejam
filtrados antes de serem encaminhados.
Isso não substitui o gerenciamento de logs, pois não se trata de um conjunto completo de logs
assinados digitalmente de cada dispositivo do seu ambiente.
Consulte também
Agentes de encaminhamento de evento na página 389
Envio e encaminhamento de eventos com Standard Event Format na página 393
Configurar o encaminhamento de evento na página 386
Adicionar destinos de encaminhamento de evento na página 386
Ativar ou desativar o encaminhamento de evento na página 390
Modificar configurações de todos os destinos de encaminhamento do evento na página 391
Adicionar filtros de encaminhamento de evento na página 391
Editar configurações do encaminhamento de evento na página 393
Guia de produto
385
7
Configurar o encaminhamento de evento
Você pode configurar um destino de encaminhamento de evento para encaminhar dados de evento a
um syslog ou servidor SNMP.
O número de destinos de encaminhamento de evento usado, combinado com a taxa e o número de
eventos que estão sendo recuperados pelo ESM, podem afetar o desempenho geral do ESM.
Tarefa
Ajuda.
1
Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Encaminhamento de
evento.
2
Na página Destinos de encaminhamento de evento, selecione Adicionar, Editar ou Remover.
3
Se você optou por adicionar ou editar um destino, defina as configurações.
4
Consulte também
Configuração do encaminhamento de evento na página 385
Página Encaminhamento de evento na página 386
Página Encaminhamento de evento
Defina as configurações de encaminhamento de evento para que você possa encaminhar dados de
evento a um syslog.
Opção
Definição
Destinos de encaminhamento do evento Exiba os destinos que foram adicionados ao sistema.
Adicionar
Adicione um novo destino ao sistema.
Editar
Altere as configurações do destino selecionado.
Remover
Exclua um destino do sistema.
Configurações
Especifique configurações que se aplicam a todos os destinos de
encaminhamento de eventos.
Consulte também
Adicionar destinos de encaminhamento de evento
Adicione um destino de encaminhamento de evento ao ESM para encaminhar dados de evento a um
syslog ou servidor SNMP.
386
Guia de produto
7
Tarefa
Ajuda.
1
evento.
2
Clique em Adicionar e preencha as informações necessárias.
3
Clique em OK.
Consulte também
Página Adicionar destino de encaminhamento de evento na página 387
Página Adicionar destino de encaminhamento de evento
Adicione um novo destino de encaminhamento do evento ao ESM.
Opção
Definição
Nome
Insira um nome para o destino.
Ativado
Selecione para ativar o encaminhamento de evento para este destino.
Usar perfil de sistema
Selecione se deseja usar um perfil existente e selecione um perfil na lista
suspensa ou clique em Usar perfil de sistema para adicionar um novo perfil.
Formato
Selecione o formato na lista suspensa. Consulte Agentes de encaminhamento de
evento para ver uma lista detalhada dos agentes e as informações contidas nos
pacotes.
Endereço IP de destino
Digite o endereço IP de destino do syslog.
Porta de destino
Selecione a porta de destino de escuta do syslog.
Protocolo
Escolha entre os protocolos de transporte UDP ou TCP. UDP é o protocolo de base
do syslog padrão. Os pacotes enviados via syslog por TCP são formatados
exatamente da mesma maneira que seus correspondentes UDP, incluindo o
recurso, a gravidade e a mensagem, com a exceção de um novo caractere de
linha (código de caractere ASCII 10) anexado ao fim da mensagem.
Diferentemente do UDP, que é um protocolo sem conexão, uma conexão TCP
deve ser estabelecida entre o ESM e o servidor que escuta os eventos
encaminhados. Se não for possível estabelecer uma conexão ou se a conexão
cair, o ESM rastreia o último evento encaminhado com êxito e tenta estabelecer
uma conexão novamente em alguns minutos. Quando a conexão é restabelecida,
o ESM retoma o evento que estiver sendo encaminhado de onde parou.
Se você selecionar UDP, não poderá selecionar SSH ou TLS no campo Modo.
Recurso
Selecione o recurso dos pacotes syslog.
Gravidade
Selecione a gravidade dos pacotes syslog.
Guia de produto
387
7
Opção
Definição
Formato de hora
Selecione o formato de hora para o cabeçalho do encaminhamento do evento
syslog. Se você selecionar Legado, o formato será o mesmo que nas versões
anteriores à 9.3.0, ou seja, GMT. Se você selecionar Padrão, poderá selecionar um
fuso horário.
Fuso horário
Se você selecionou Padrão, selecione o fuso horário a ser usado ao enviar
registros de encaminhamento de evento.
Ocultar dados
Selecione se desejar mascarar dados selecionados incluídos nos dados
encaminhados para esse destino. Para selecionar os dados, clique em Configurar.
Enviar pacote
Se você tiver sua política definida para copiar um pacote, selecione essa opção
para encaminhar as informações do pacote. Essas informações serão incluídas,
se o pacote estiver disponível, no final da mensagem de syslog em codificação
de Base 64.
Filtros de evento
Clique para aplicar filtros aos dados do evento encaminhados a um syslog.
Modo
Selecione o modo de segurança para a mensagem. Se você selecionar SSH,
preencha as informações restantes. Se você escolher usar syslog por TCP
(protocolo), selecione para fazer a conexão TCP usando SSH ou TLS. Como o
syslog é um protocolo não criptografado, usar SSH ou TLS impede que suas
mensagens de encaminhamento de evento sejam examinadas por terceiros. Se
você estiver no modo FIPS, poderá encaminhar dados de log usando TLS.
Porta de retransmissão
local
Digite a porta a ser usada no lado do ESM da conexão SSH.
Porta SSH remota
Digite a porta de escuta para o servidor SSH no outro lado da conexão SSH.
Nome de usuário SSH
Digite o nome do usuário SSH usado para estabelecer a conexão SSH.
Chave SSH DSA
Digite a chave de autenticação DSA pública usada para autenticação SSH. O
conteúdo desse campo será adicionado ao arquivo authorized_keys ou
equivalente na máquina que estiver com o servidor SSH em execução.
Consulte também
Página Filtros de evento na página 392
Página Filtrar relatório na página 392
388
Guia de produto
7
Agentes de encaminhamento de evento
Veja, a seguir, os agentes de encaminhamento de evento e as informações contidas nos pacotes que
são encaminhados. Selecione o agente no campo Formato da página Adicionar destino de encaminhamento do
evento.
Agente
Conteúdo
Syslog
(McAfee
9.2)
IP do ESM McAfee ESM (parte do cabeçalho de syslog), ID da assinatura (SigID),
Mensagem da assinatura (SigMessage), IP de origem (SrcIP), IP de destino (DstIP), Porta
de origem (SrcPort), Porta de destino (DstPort), MAC de origem (SrcMac), MAC de
destino (DstMac), Protocolo, LAN virtual (VLan), Fluxo (se o evento é gerado pelo
iniciador da conexão ou pelo destinatário da conexão), Contagem de eventos, Primeira
vez (no formato de hora UNIX), Última vez (no formato de hora UNIX), Última
hora_segundo de usuário (LastTime_usec), Subtipo de evento, Gravidade, ID interno (ID
do evento no ESM), ID do evento, ID do IPS (IPSID), Nome do IPS (IPSName) (nome da
origem de dados: endereço IP), ID da origem de dados (DSID), IPv6 de origem, IPv6 de
destino (Dest IPv6), ID da sessão, Sequência, Sinalizador confiável, ID normalizado,
Origem de GUID, Destino de GUID (GUID Dest), Nome de agregação 1 (Agg 1 Name),
Valor de agregação 1 (Agg 1 Value), Nome de agregação 2 (Agg 2 Name), Valor de
agregação 2 (Agg 2 Value), Nome de agregação 3 (Agg 3 Name), Valor de agregação 3
(Agg 3 Value).
Os seguintes campos de cadeia também estão entre aspas, porque eles podem conter
ponto e vírgula: Aplicativo, Comando, Domínio, Host, Objeto, Usuário de destino, Usuário
de origem, Tipo definido pelo usuário 8, Tipo definido pelo usuário 9, Tipo definido pelo
usuário 10, Tipo definido pelo usuário 21, Tipo definido pelo usuário 22, Tipo definido
pelo usuário 23, Tipo definido pelo usuário 24, Tipo definido pelo usuário 25, Tipo
definido pelo usuário 26, Tipo definido pelo usuário 27.
Pacote (o conteúdo do pacote seguirá a codificação de Base 64 somente se a opção
"copiar pacote" estiver "ativada" para as regras no editor de políticas e a opção for
verificada durante a configuração do encaminhamento de evento no ESM).
Syslog
(McAfee
8.2)
IP do ESM McAfee ESM (parte do cabeçalho de syslog), ID da assinatura (SigID),
Mensagem da assinatura (SigMessage), IP de origem (SrcIP), IP de destino (DstIP), Porta
de origem (SrcPort), Porta de destino (DstPort), MAC de origem (SrcMac), MAC de
destino (DstMac), Protocolo, LAN virtual (VLan), Fluxo (se o evento é gerado pelo
iniciador da conexão ou pelo destinatário da conexão), Contagem de eventos, Primeira
vez (no formato de hora UNIX), Última vez (no formato de hora UNIX), Última
vez_segundo do usuário (LastTime_usec), Subtipo de evento, Gravidade, ID interno (ID
do evento no ESM), ID do evento, ID do IPS (IPSID), Nome do IPS (IPSName) (nome da
origem de dados: endereço IP), ID da origem de dados (DSID), IPv6 de origem, IPv6 de
destino (Dest IPv6), ID da sessão, Sequência, Sinalizador confiável, ID normalizado.
Os seguintes campos de cadeia também estão entre aspas, porque eles podem conter
ponto e vírgula: Aplicativo, Comando, Domínio, Host, Objeto, Usuário de destino, Usuário
de origem, Tipo definido pelo usuário 8, Tipo definido pelo usuário 9, Tipo definido pelo
usuário 10.
Pacote (o conteúdo do pacote seguirá a codificação de Base 64 somente se a opção
"copiar pacote" estiver "ativada" para as regras no editor de políticas e a opção for
verificada durante a configuração do encaminhamento de evento no ESM).
syslog
(Nitro)
IP do ESM, "McAfee ESM", ID da assinatura (SigID), Mensagem da assinatura
(SigMessage), IP de origem (SrcIP), IP de destino (DstIP), Porta de origem (SrcPort),
Porta de destino (DstPort), MAC de origem (SrcMac), MAC de destino (DstMac),
Protocolo, LAN virtual (VLan), Fluxo (se o evento é gerado pelo iniciador da conexão ou
pelo destinatário da conexão), Contagem de eventos, Primeira vez (no formato de hora
UNIX), Última vez (no formato de hora UNIX), Última vez_segundo do usuário
(LastTime_usec), Subtipo de evento, Gravidade, ID interno (ID do evento no ESM), ID do
evento, ID do IPS (IPSID), Nome do IPS (IPSName), ID da origem de dados (DSID),
Pacote (o conteúdo do pacote segue a codificação de Base 64).
Guia de produto
389
7
Agente
Conteúdo
syslog
"McAfee", ID da máquina (MachineID), "Notificação de ArcSite", "Linha 1", Nome do
(ArcSight) grupo, Nome do IPS, Última vez mm/dd/aaaa HH:nn:ss.zzz, Última vez_segundo do
usuário (LastTime_usec), Primeira vez mm/dd/aaaa HH:nn:ss.zzz), ID da assinatura
(SigID), Nome da classe, Contagem de eventos, IP de origem (Src IP), Porta de origem
(Src Port), IP de destino (Dst IP), Porta de destino (Dst Port), Protocolo, Subtipo de
evento, ID de dispositivo do evento (ID interno do dispositivo do evento), ID do ESM do
evento (ID interno do evento do ESM), Mensagem de regra, Fluxo (se o evento é gerado
pelo iniciador da conexão ou pelo destinatário da conexão), LAN virtual (VLAN), MAC de
origem (Src MAC), MAC de destino (Dst MAC), Pacote (o conteúdo do pacote segue a
codificação de Base 64).
syslog
(Snort)
snort:, [sigid:smallsigid:0], Mensagem ou "Alerta" da assinatura, [Classificação: Nome da
classe], [Prioridade: Prioridade da classe], {Protocolo}, IP de origem:Porta de origem ->
IP de destino:Porta de destino, IP de origem -> IP de destino, Pacote (o conteúdo do
pacote segue a codificação de Base 64).
Syslog
tempo (segundos desde a época), sinalizador de status, nome do usuário, nome da
(Logs de
categoria de log (em branco para 8.2.0, preenchido para 8.3.0+), nome do grupo de
auditoria) dispositivos, nome do dispositivo, mensagem de log.
Syslog
(Formato
de evento
comum)
Data e hora atuais, IP do ESM, CEF versão 0, fornecedor = McAfee, produto = modelo do
ESM de /etc/McAfee modelo Nitro/ips, versão = versão doESM de /etc./carimbo de data e
hora da compilação, id da assinatura, mensagem de assinatura, gravidade (de 0 a 10),
pares de nome/valor, Endereço traduzido do dispositivo
Syslog
(Formato
de evento
padrão)
<#>AAAA-MM-DDTHH:MM:SS.S [Endereço IP] McAfee_SIEM:
{ "source": { "id": 144120685667549200, "name": "McAfee Email Gateway (ASP)",
"subnet": "::ffff:10.75.126.2/128" }, "fields": { "packet": { "encoding": "BASE64" } },
"data": { "unique_id": 1, "alert_id": 1, "thirdpartytype": 49, "sig": { "id": 5000012,
"name": "Random String Custom Type" }, "norm_sig": { "id": 1343225856, "name":
"Misc Application Event" }, "action": "5", "src_ip": "65.254.48.200", "dst_ip": "0.0.0.0",
"src_port": 38129, "dst_port": 0, "protocol": "n/a", "src_mac": "00:00:00:00:00:00",
"dst_mac": "00:00:00:00:00:00", "src_asn_geo": 1423146310554370000, "firsttime":
"2014-05-09T20:43:30Z", "lasttime": "2014-05-09T20:43:30Z", "writetime":
"2014-05-09T20:44:01Z", "src_guid": "", "dst_guid": "", "total_severity": 25, "severity":
25, "eventcount": 1, "flow": "0", "vlan": "0", "sequence": 0, "trusted": 2, "session_id": 0,
"compression_level": 10, "reviewed": 0, "a1_ran_string_CF1": "This is data for custom
field 1", "packet":
"PDE0PjA5MDUyMDE0IDIwOjE4OjQ0fDIxfDY1LjI1NC40OC4yMDAtMzgxMjl8MXwxMDJ8U3
BhbSBNZXNzYWdlIHR5cGU6IFRydXN0ZWRTb3VyY2UgU2lnbmF0dXJlIENvbmZpZGVuY2
UgPSBISUdILiBDb25uZWN0aW9uOiA2NS4yNTQuNDguMjAwLTM4MTI5KElQLVBvcnQpfF
RoaXMgaXMgZGF0YSBm b3IgY3VzdG9tIGZpZWxkIDF8W10A"
Consulte também
Ativar ou desativar o encaminhamento de evento
Ative ou desative o encaminhamento de evento no ESM.
390
Guia de produto
7
Tarefa
Ajuda.
1
evento.
2
Clique em Configurações e marque ou desmarque a opção Encaminhamento de evento ativado.
3
Clique em OK.
Consulte também
Modificar configurações de todos os destinos de encaminhamento do
evento
Altere algumas configurações de todos os destinos de encaminhamento do evento de uma vez.
Tarefa
Ajuda.
1
evento.
2
Clique em Configurações e defina as opções.
3
Clique em OK.
Consulte também
Adicionar filtros de encaminhamento de evento
Configure filtros para limitar os dados de evento encaminhados para um syslog ou servidor SNMP no
ESM.
Guia de produto
391
7
Tarefa
Ajuda.
1
evento.
2
Clique em Adicionar e depois em Filtros de evento.
3
Preencha os campos de filtro e clique em OK.
Consulte também
Página Filtros de evento
Adicione valores para filtragem de dados de evento encaminhados a um servidor syslog.
Opção
Definição
Dispositivo
IP de destino
Digite um endereço IP de destino individual (161.122.15.13) ou uma faixa de
endereços IP (192.168.0.0/16) para filtragem.
Porta de destino
Digite a porta de filtro; somente uma é permitida.
Protocolo
Digite o protocolo de filtro; somente um é permitido.
IP de origem
Digite um endereço IP de origem individual ou uma faixa de endereços IP para
filtragem.
, selecione o dispositivo para filtragem e clique em OK.
Tipo de dispositivo Clique no ícone de filtro, selecione um máximo de 10 tipos de dispositivo e clique em
OK.
ID normalizado
Selecione IDs normalizados para filtragem (consulte O que são IDs normalizados).
Gravidade
Para filtrar por gravidade de um evento, selecione Maior ou igual a e um número de
gravidade entre 0 e 100.
Consulte também
Página Filtrar relatório
Filtre os dados de evento gerados pelo Receptor para que o Visualizador de streaming exiba os dados que
você quer ver. Cada campo aparecerá descrito na parte inferior da página quando for selecionado.
Consulte também
392
Guia de produto
7
Editar configurações do encaminhamento de evento
Altere as configurações de filtro para encaminhamento de evento depois de terem sido salvas.
Antes de iniciar
Ao editar um filtro de dispositivo, você deverá ter acesso a todos os dispositivos no filtro.
Para ativar o acesso aos dispositivos, consulte Configurar grupos de usuários.
Tarefa
Ajuda.
1
evento.
2
Clique em Editar e depois em Filtros de evento.
3
Faça as alterações e clique em OK.
Consulte também
Envio e encaminhamento de eventos com Standard Event Format
O SEF (Standard Event Format) é um formato de evento baseado em JSON (Java Script Object
Notation) que representa eventos de dados genéricos.
O formato SEF encaminha eventos do ESM para um Receptor em um ESM diferente, bem como do
ESM para um terceiro. Também é possível usá-lo para enviar eventos de um terceiro para um Receptor
selecionando SEF como o formato de dados ao criar a origem de dados.
Ao configurar o encaminhamento de um evento com SEF do ESM para o ESM, é necessário executar
quatro etapas:
Guia de produto
393
7
1
Exportar origens de dados, tipos personalizados e regras personalizadas do ESM que encaminha os
eventos.
— Para exportar as origens de dados, siga as instruções em Mover origens de dados para outro
sistema.
— Para exportar os tipos personalizados, abra Propriedades do sistema, clique em Tipos personalizados e em
Exportar.
— Para exportar as regras personalizadas, siga as instruções em Exportar regras.
2
No ESM, com o Receptor que você está encaminhando, importe as origens de dados, os tipos
personalizados e as regras personalizadas que acabou de exportar.
— Para importar as origens de dados, siga as instruções em Mover origens de dados para outro
sistema.
— Para importar os tipos personalizados, abra Propriedades do sistema, clique em Tipos personalizados e
em Importar.
— Para importar as regras personalizadas, siga as instruções em Exportar regras.
3
No ESM que recebe os eventos de outro ESM, adicione uma origem de dados de ESM.
— Na árvore de navegação do sistema, clique no dispositivo do Receptor ao qual deseja adicionar a
origem de dados e clique no ícone Adicionar origem de dados
.
— Na página Adicionar origem de dados, selecione McAfee no campo Fornecedor da origem de dados e selecione
Enterprise Security Manager (SEF) no campo Modelo da origem de dados.
— Preencha as informações solicitadas e clique em OK.
4
Adicione o destino de encaminhamento do evento ao ESM de envio.
— Clique na árvore de navegação do sistema e no ícone Propriedades
.
— Clique em Encaminhamento de evento e em Adicionar.
— Na página Adicionar destino de encaminhamento do evento, selecione syslog (Standard Event Format) no campo
Formato, preencha os campos restantes com as informações do ESM para o qual você está
encaminhando e clique em OK.
Consulte também
Os relatórios mostram dados de eventos e fluxos gerenciados no ESM. Você pode criar seu próprio
relatório ou executar um dos relatórios predefinidos e enviá-lo em formato PDF, HTML ou CSV.
Relatórios predefinidos
Os relatórios predefinidos dividem-se nestas categorias:
394
Guia de produto
•
Conformidade
•
McAfee Database Activity Monitoring (DAM)
•
Executivo
•
McAfee DEM
•
McAfee ADM
•
McAfee Event Reporter
7
Eles geram dados baseados em eventos.
Relatórios definidos pelo usuário
Ao gerar um relatório, você cria o layout no editor de Layout de relatório selecionando a orientação, o
tamanho, a fonte, as margens, o cabeçalho e o rodapé. Você também pode incluir componentes,
configurando-os para que exibam os dados conforme quiser.
Todos os layouts serão salvos e poderão ser usados em vários relatórios. Ao adicionar um relatório,
você tem a opção de criar um novo layout, usar um já existente como está ou usar um já existente
como modelo e editar suas características. Também é possível remover um layout de relatório quando
ele não for mais necessário.
Consulte também
Definir o mês inicial para os relatórios trimestrais na página 395
Adicionar relatório na página 395
Adicionar layout de relatório na página 398
Incluir uma imagem em PDFs e relatórios na página 402
Adicionar uma condição de relatório na página 402
Exibir nomes de host em um relatório na página 404
Definir o mês inicial para os relatórios trimestrais
Caso esteja executando relatórios em uma base trimestral, será necessário definir o primeiro mês do
Trimestre 1. Depois que isso estiver definido e armazenado na tabela do sistema, os relatórios serão
executados trimestralmente com base nessa data de início.
Tarefa
Ajuda.
1
No console do ESM, selecione Propriedades do sistema e clique em Configurações personalizadas.
2
No campo Especifique o mês a ser usado, selecione o mês.
3
Clique em Aplicar para salvar a configuração.
Consulte também
Gerenciamento de relatórios na página 394
Adicionar relatório
Adicione relatórios ao ESM e configure-os para que sejam executados regularmente, em intervalos
definidos, ou selecione-os para execução manual. Você pode selecionar um layout de relatório ou criar
um novo usando o editor de Layout do relatório.
Guia de produto
395
7
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Relatórios.
2
Clique em Adicionar e defina as configurações na página Adicionar relatório.
3
Clique em Salvar.
O relatório é adicionado à tabela na página Relatórios e é executado conforme definido no campo
Condição.
Consulte também
Página Relatórios na página 396
Página Adicionar relatório na página 397
Página Relatórios
Gerencie os relatórios predefinidos e definidos pelo usuário no ESM.
Opção
Definição
Tabela Relatórios
Exibe os relatórios configurados atualmente no ESM.
Adicionar
Defina as configurações para um novo relatório e adicione-o ao ESM.
Editar
Altere as configurações em um relatório existente.
Remover
Exclua um relatório existente do ESM.
Executar agora
Executar o relatório selecionado agora.
Compartilhar
Compartilhe os relatórios selecionados com grupos ou usuários que você
escolher.
Importar
Importe relatórios que foram exportados anteriormente.
Exportar
Exportar relatórios.
Ativado
Ative o relatório selecionado na tabela.
Botão Ativar ou Desativar Ative ou desative a função de geração de relatórios. Quando desativada,
nenhum dos relatórios na lista é gerado.
Condições
Gerencie os tipos de condições disponíveis para relatórios.
Destinatários
Gerencie os destinatários definidos no ESM.
Exibir
Exiba os relatórios que estão na fila de execução no momento e cancele-os,
se necessário.
Arquivos
Gerencie os arquivos de relatório gerados.
Consulte também
396
Guia de produto
7
Página Adicionar relatório
Defina as configurações para um relatório.
Opção
Definição
Nome do relatório
Digite um nome para o relatório.
Descrição
Digite uma descrição para as informações geradas pelo relatório.
Condição
Selecione quando você deseja que o relatório seja executado na lista de opções.
Para adicionar uma condição à lista de opções, clique em Editar condições.
Fuso horário
Selecione um fuso horário que deve ser usado para executar as consultas.
Formato de data
Selecione o formato a ser usado para a data.
Formato
Selecione o formato em que deseja que o relatório seja gerado.
• Se você estiver criando um novo relatório, suas opções são PDF ou HTML.
• Se você deseja incluir uma exibição no relatório, selecione Exibir PDF.
• Se desejar gerar um arquivo CSV dos resultados da consulta, selecione Consultar
CSV.
E-mail enviado a
usuários ou grupos
Selecione se você desejar que o relatório seja enviado a usuários ou grupos e
clique em Adicionar destinatários para selecioná-los. Se o formato do relatório for HTML
de relatório ou Consultar CSV, selecione se você deseja que o relatório seja enviado
como um anexo do email ou em linha.
Arquivo salvo no
ESM
Selecione se você deseja que o relatório seja salvo em um arquivo no ESM. Prefixo
exibe o prefixo padrão para o nome do arquivo, que pode ser alterado.
Depois que o arquivo for gerado, clique em Arquivos na página Relatórios para exibir o
relatório.
Arquivo salvo no
local remoto
Selecione se você deseja que o relatório seja salvo em um local remoto. Selecione
o local na lista suspensa. Caso ele não esteja listado, clique em gerenciar locais... e
adicione o perfil do local remoto.
Guia de produto
397
7
Opção
Definição
Selecionar um layout Se você selecionou o formato PDF ou HTML, selecione um layout existente ou crie
existente ou criar um um novo. Também é possível gerenciar os layouts.
novo
• Selecionar um layout existente – Localize o layout na lista e clique nele.
• Adicionar – Clique para abrir o editor Layout de relatório e crie um novo layout.
• Editar – Faça alterações em um layout existente.
• Adicionar pasta – Adicione uma pasta para que você possa organizar os seus
layouts. Você pode adicionar um novo layout à pasta, arrastar e soltar um layout
na pasta ou adicionar uma subpasta.
• Importar – Para importar layouts, clique e procure o arquivo que deseja importar.
Se o layout a ser importado incluir uma imagem que já existe no ESM, Importar
layouts de relatório abrirá, informando a você o conflito e oferecendo as seguintes
opções:
• Manter local – Mantém a imagem no ESM e exclui a imagem do layout de
relatório. A imagem no ESM será usada para o layout.
• Substituir local – Substitui a imagem no ESM pela imagem do layout de relatório.
Todos os layouts que estiverem usando a imagem excluída do ESM no
momento passarão a usar a imagem importada com o layout.
• Renomear – Renomeia a imagem no layout de relatório automaticamente, e o
layout será importado usando a imagem com o novo nome.
• Exportar – Clique para exportar layouts.
• Incluir resumo do filtro no relatório – Selecione para incluir um resumo dos filtros de
componente globais e individuais definidos para o relatório. Os filtros usados são
listados na parte inferior do relatório. Isso é útil se você deseja saber os limites
definidos para os dados no relatório.
Selecionar uma
exibição
Se você selecionou Exibir PDF como formato, selecione a exibição que deseja incluir
no relatório na lista suspensa.
Selecionar uma
consulta predefinida
Se você selecionou Consultar CSV, selecione a consulta predefinida.
Digitar valores para
filtragem
Selecione os filtros que deseja aplicar a todos os componentes no relatório
(consulte a página Filtros de consulta). É possível usar os filtros contains e regex
nesses campos (consulte Descrição dos filtros contains e regex).
Consulte também
Adicionar layout de relatório
Crie o layout para um relatório se os layouts predefinidos não atenderem às suas necessidades.
Tarefa
Ajuda.
398
1
2
Clique em Adicionar para abrir a página Adicionar relatório e conclua as seções 1, 2 e 3.
Guia de produto
7
3
Na seção 4, selecione PDF de relatório ou HTML de relatório.
4
Na seção 5, clique em Adicionar para abrir o editor de Layout de relatório.
5
Configure o layout para exibir os dados gerados pelo relatório.
O layout será salvo e poderá ser usado como está para outros relatórios ou como um modelo a ser
editado.
Consulte também
Editor Layout de relatório na página 399
Editor Layout de relatório
Adicione ou edite um layout de relatório. Você poderá usá-lo ao configurar um relatório.
Opção
Definição
Deslize o indicador para frente e para trás para ajustar o
tamanho da página do editor.
Selecione para fazer a largura da página do editor ajustar-se à
largura da página.
Propriedades do documento
Defina as configurações de formatação básicas para o layout.
• Nome e Descrição – Digite um nome para o layout e uma
descrição de seus recursos. O nome é obrigatório.
• Orientação – Selecione se você deseja que a orientação da
página seja retrato ou paisagem para a impressão do
relatório.
• Tamanho – O tamanho padrão da página de relatório é 8,5 x
11. Para alterá-lo, selecione o tamanho correto na lista
suspensa. A página do editor refletirá a alteração.
• Fonte padrão – Selecione o tipo, tamanho e cor da fonte para o
texto do relatório. Ao fazer essas alterações, o texto da
página do editor as refletirá. Você também pode selecionar se
deseja o texto em negrito, itálico, sublinhado, centralizado ou
alinhado à direita da página.
• Margem – Selecione a margem para cada borda do relatório.
• Cabeçalho e rodapé – Selecione se você deseja um cabeçalho e
um rodapé no relatório.
Guia de produto
399
7
Opção
Definição
Propriedades do cabeçalho
Clique na área do cabeçalho na página do editor e siga os
seguintes procedimentos na seção Propriedades do cabeçalho:
• Fonte do nome do relatório – Selecione a fonte que você deseja
usar para o nome do layout no cabeçalho.
• Itens incluídos – Selecione os itens que deseja incluir no
cabeçalho. Se você alterar a fonte desses itens, vá para
Propriedades do documento.
• Logotipo – Selecione se você deseja adicionar um logotipo ao
cabeçalho. Se desejar, selecione se ele deve ficar no lado
direito ou esquerdo do cabeçalho e clique no link no campo
Arquivo para selecionar uma imagem.
Propriedades do rodapé
Clique na área do rodapé na página do editor. Na seção
Propriedades do rodapé, selecione os itens que você deseja incluir.
Salvar
Clique para salvar o layout. Você será notificado se houver
configurações não definidas.
Salvar como
Salve o layout com um novo nome de arquivo.
Copiar
Clique para copiar o componente selecionado no layout. Um
ícone de área de transferência mostrando o tipo de componente
que foi copiado será adicionado à esquerda. Então, você poderá
colar o componente de duas maneiras:
• Arraste e solte o ícone para o local onde deseja adicionar o
componente.
• Destaque um componente no layout e clique em Colar. O
componente copiado será inserido abaixo do componente que
você destacou.
400
Guia de produto
7
Opção
Definição
Propriedades de componentes
Arraste e solte componentes de Texto, Imagem, Tabela, Gráfico de
barras, Gráfico de pizza ou Gráfico de distribuição na página do editor e
defina suas configurações da seguinte maneira:
• Assistente de consulta – Defina a consulta para o componente
selecionado.
• Fonte – Defina o tipo, tamanho e cor da fonte; se ela deve
estar em negrito, itálico ou sublinhado; e se você deseja que
o texto seja alinhado à esquerda, direita ou ao centro.
• Imagem – Selecione a imagem na página Seletor de imagem.
• Título – Altere o título, se necessário; defina a fonte para o
título e selecione o alinhamento.
• Consulta — Faça alterações à consulta, se necessário, e
selecione o número máximo de resultados a serem exibidos
na tabela. Nos componentes Tabela, Gráfico de barras ou Gráfico de
pizza, selecione Resolver IPs para nomes de host se desejar que o
relatório use a resolução DNS para os endereços IP de origem
e destino.
• Cabeçalho da tabela – Defina a fonte para a linha de cabeçalho da
tabela.
• Tabela – Defina a fonte para os dados na tabela.
• Borda – Selecione se você deseja inserir uma borda em volta
da caixa de texto, imagem ou tabela e, caso deseje,
selecione a espessura e cor da borda.
• Cores de linha alternadas – Caso você queira que as linhas
alternadas de uma tabela tenham cores diferentes, selecione
as duas cores que deseja usar.
• Colunas – Defina o nome da coluna e a formatação para cada
coluna em uma tabela.
• Configuração de subtotal – Selecione se você deseja exibir os
subtotais na tabela.
• Outros – No gráfico de pizza, selecione se você deseja mostrar
os rótulos e uma legenda.
• Para ajustar o tamanho de um componente, clique no
componente na página do editor, clique em um dos
quadrados amarelos
que indicam as bordas e arraste-o
para o tamanho desejado.
Quebra de página
Arraste e solte para o local onde deseja inserir uma quebra de
página. Uma linha preta e grossa indica para onde a quebra de
página irá.
Consulte também
Guia de produto
401
7
Incluir uma imagem em PDFs e relatórios
Você pode configurar o ESM para que os PDFs exportados e os relatórios impressos incluam as
imagens mostradas na tela de Login.
Antes de iniciar
Adicione a imagem à página Configurações personalizadas (consulte Personalizar a página de
login).
Tarefa
Ajuda.
1
personalizadas.
2
Selecione Incluir imagem em PDF exportado de Exibições ou relatórios impressos.
3
Clique em OK.
Consulte também
Página Seletor de imagem ou Imagens de plano de fundo na página 402
Página Seletor de imagem ou Imagens de plano de fundo
Adicione uma imagem ao ESM ou selecione uma imagem existente.
Opção
Definição
Tabela Seletor de imagem Exiba as imagens que estão no ESM. Selecione uma e clique em OK.
Adicionar
Adicione uma nova imagem ao ESM.
Renomear
Altere o nome de uma imagem atualmente no ESM. O nome de cada imagem
na lista deve ser exclusivo.
Excluir
Remova uma imagem do ESM.
Consulte também
Adicionar uma condição de relatório
Adicione condições para que elas estejam disponíveis durante a configuração de relatórios.
402
Guia de produto
7
Tarefa
Ajuda.
1
2
Clique em Condições e insira as informações solicitadas.
3
Esta opção aparece na lista de condições disponíveis quando você seleciona a condição de um
relatório.
Consulte também
Página Condições na página 403
Página Adicionar condições na página 403
Página Condições
Quando condições de relatório são adicionadas, um relatório é gerado quando um critério especificado
é atendido.
Opção
Definição
Tabela Condições
Exiba as condições existentes.
Adicionar
Especifique as configurações para uma nova condição.
Editar
Altere as configurações de uma condição existente.
Remover
Exclua uma condição existente.
Consulte também
Página Adicionar condições
Adicione uma nova condição ao ESM. Depois que ela for adicionada, selecione-a ao definir as
configurações para um relatório.
Opção
Definição
Nome
Digite um nome para a condição.
Tipo
Selecione a frequência com que você deseja que a condição seja disparada.
Notas
Digite notas para explicar o que a condição faz.
Propriedades Defina os detalhes de hora do gatilho. As opções são baseadas no tipo que você
selecionou.
Consulte também
Guia de produto
403
7
Exibir nomes de host em um relatório
É possível configurar relatórios para usar a resolução DNS para endereços IP de origem e de destino
nos relatórios.
Tarefa
Ajuda.
1
.
2
Clique em Relatórios, Adicionar e preencha as informações solicitadas nas seções 1 a 4.
3
Na seção 5, clique em Adicionar, arraste e solte um componente de Tabela, Gráfico de barras ou Gráfico de
pizza e conclua o Assistente de consulta.
4
Na seção Consulta do painel Propriedades no editor Layout de relatório, selecione Resolver IPs para nomes de
host.
Além de os resultados da pesquisa de DNS aparecerem no relatório, é possível exibi-los na tabela Hosts
(Propriedades do sistema | Hosts).
Consulte também
Os filtros contains e regex fornecem as capacidades de caractere curinga nos dados da cadeia de
índice e nos dados de cadeia não indexados. Esses filtros têm requisitos de sintaxe.
Os comandos podem ser usados em qualquer campo que permita dados de texto ou cadeia. A maioria
dos campos de texto é denotada pelo ícone não diferenciar maiúsculas de minúsculas
ao lado do
nome do campo do filtro. Outros campos que permitem contains não têm o ícone. Para obter uma
lista completa de campos, consulte a seção Campos com suporte ao recurso contains.
Sintaxe e exemplos
A sintaxe básica de contains é contains(algumvalor) e para regex é
regex(algumaexpressãoregular).
ou inclua a notação de
Para que ele não diferencie maiúsculas de minúsculas, clique no ícone
expressão regular /i, como em regex(/algum valor/i). A pesquisa retorna qualquer valor que
contenha algum valor, seja a fonte maiúscula ou minúscula.
se aplicam ao regex e contêm valores. Se desejar que os resultados mostrem
Os ícones NOT e OR
os valores que não contêm algum valor, insira o valor e clique no ícone NOT. Se desejar que os
resultados mostrem os valores que contêm um valor ou outro, insira os valores e clique no ícone OR.
Exemplo nº 1 – Uma pesquisa simples
404
Guia de produto
Campos indexados:
7
contains(stra), regex(stra)
Campos não indexados: stra
Resultado:
Retorna qualquer cadeia com stra , como administrador, gmestrad ou
straub.
Exemplo nº 2 – Uma pesquisa OR
Campos indexados:
contains(admin,NGCP), regex((admin|NGCP))
Campos não indexados: admin,NGCP
Resultado:
Retorna qualquer cadeia do campo que contenha admin ou NGCP. O
conjunto extra de parêntesis é necessário para que o regex OR funcione.
Exemplo nº 3 – Uma pesquisa de caracteres especiais, como em contas de serviço
Um símbolo do dólar:
Campos indexados:
contains($), regex(\x24) ou regex(\$)
Campos não indexados: $
Resultado:
Qualquer pesquisa retorna qualquer cadeia no campo que contenha $. Vá
para http://www.ascii.cl para obter uma lista de valores hexadecimais para
os caracteres.
Com o regex, se você tentar usar $ sem escalá-lo, o conjunto de resultados retornará vazio. A
sequência de escape PCRE é um método de pesquisa melhor.
Um símbolo de percentual:
Campos indexados:
contains(%), regex(\x25)ou regex(\%)
Campos não indexados:
%
Uma barra invertida:
Campos indexados:
contains(\), regex(\x5c) ou regex(\\)
\
Barras invertidas duplas
Campos indexados:
contains(\\), regex(\x5c\x5c) ou regex(\\\)
\\
Em alguns casos, se o valor hexadecimal ou a barra com regex não forem usados, poderá ocorrer um
erro de Expressão regular inválida (ER5-0015).
Exemplo nº 4 – Pesquisa com o * caractere curinga
Guia de produto
405
7
Campos indexados:
contains (ad*)
Campos não indexados: ad*
Resultados:
Retorna qualquer cadeia que comece com ad, como administrador e
adaptar.
Exemplo nº 5 – Pesquisa com Expressão regular
Estes domínios são de eventos de DNS da Microsoft.
regex(nitroguard\x28[3-4]\x29[com|info}+)
(3)www(10)nitroguard(3)com(0)
(3)www(10)nitroguard(4)info(0)
(3)www(10)nitroguard(3)gov(0)
(3)www(10)nitroguard(3)edu(0)
(3)www(10)nitroguard(7)oddball(0)
Resultados:
Essa expressão regular seleciona uma cadeia específica. Nesse caso, é
nitroguard, um domínio primário de 3 ou 4 dígitos, e com ou info. Esse regex faz
a correspondência das duas primeiras expressões, mas não das outras. Esses
exemplos mostram como é possível usar o regex com o recurso. Suas expressões
serão muito diferentes.
Avisos
•
Usar regex com valores com menos de três caracteres aumenta a sobrecarga e torna o
desempenho de consulta mais lento. Sugerimos que todas as consultas tenham mais de três
caracteres.
•
Não é possível usar esse filtro em regras de correlação ou alarmes. A única exceção é que ele pode
ser usado em regras de correlação com tipos personalizados de nome/valor.
•
Usar contains ou regex com NOT pode aumentar a sobrecarga e tornar o desempenho de consulta
mais lento.
Descrição do filtro de bloom
Para obter informações sobre um filtro de bloom, consulte http://en.wikipedia.org/wiki/Bloom_filter.
Campos com suporte aos recursos contains e regex
406
Access_Resource
File_Operation_Succeeded
Referer
Aplicativo
File_Path
Registry_Key
Application_Protocol
File_Type
Registry_Value
Área
Nome do arquivo
Request_Type
Authoritative_Answer
Forwarding_Status
Response_Code
Cco
De
Return_Code
Caller_Process
From_Address
RTMP_Application
Catalog_Name
FTP_Command
Sensor_Name
Categoria
Host
Sensor_Type
Cc
HTTP_Req_Cookie
Sensor_UUID
Guia de produto
Client_Version
HTTP_Req_Host
Session_Status
Comando
HTTP_Req_Method
ID de assinatura
Contact_Name
HTTP_Req_Referer
Signature_Name
Contact_Nickname
HTTP_Req_URL
SNMP_Error_Code
Cookie
HTTP_User_Agent
SNMP_Item
Creator_Name
Incomtin_ID
SNMP_Item_Type
Database_ID
Interface
SNMP_Operation
Database_Name
Interface_Dest
SNMP_Version
Datacenter_ID
Job_Name
Usuário de origem
Datacenter_Name
Job_Type
Source_Context
DB2_Plan_Name
Idioma
Source_Logon_ID
Delivery_ID
Local_User_Name
Source_Network
Descrição
Logical_Unit_Name
Source_UserID
Usuário de destino
Logon_Type
Source_Zone
Destination_Directory
LPAR_DB2_Subsystem
SQL_Command
Destination_Filename
Mail_ID
SQL_Statement
Destination_Hostname
Caixa de correio
Step_Count
Destination_Logo_ID
Mainframe_Job_Name
Step_Name
Destination_Network
Malware_Insp_Action
Assunto
Destination_UserID
Malware_Insp_Result
SWF_URL
Destination_Zone
Management_Server
Table_Name
Detection_Method
Message_ID
Target_Class
Device_Action
Message_Text
Target_Context
Direção
Método
Target_Process_Name
Diretório
NTP_Client_Mode
TC_URL
DNS_Class
NTP_Opcode
Threat_Category
DNS_Name
NTP_Request
Threat_Handled
DNS_Type
NTP_Server_Mode
Threat_Name
Domínio
Objeto
To
Event_Class
Object_Type
To_Address
External_Application
Operating_System
URL
External_DB2_Server
Policy_Name
URL_Category
External_Hostname
Privileged_User
User_Agent
External_SessionID
Process_Name
User_Nickname
Recurso
Query_Response
Versão
File_Operation
Motivo
Virtual_Machine_ID
7
Virtual_Machine_Name
Estes tipos personalizados podem usar contains e regex:
Guia de produto
407
7
Exibições
Gerenciamento de casos
• Cadeia
• Notas
• Cadeia aleatória
• Resumo
• Nome/valor
• Histórico
• Cadeias com hash
O ESM recupera informações sobre eventos, fluxos, ativos e vulnerabilidades registradas em log por
um dispositivo. As informações são correlacionadas e inseridas no mecanismo McAfee Security Event
Aggregation and Correlation (MSEAC).
Conteúdo
Uso de exibições do ESM
Exibir detalhes da sessão
Barra de ferramentas de exibição
Exibições predefinidas
Adicionar uma exibição personalizada
Exibir componentes
Trabalhar com o Assistente de consulta
Gerenciar exibições
Verificar um evento
Exibir os detalhes do endereço IP de um evento
Alterar a exibição padrão
Filtragem de exibições
Normalização de cadeia
Uso de exibições do ESM
Com o uso do mecanismo MSEAC, os dados recuperados pelo ESM podem ser analisados e revisados
por meio de um visualizador de relatórios flexível e altamente eficaz. Esse visualizador é a parte
central do console do ESM. A exibição mostra os dados para os dispositivos que você selecionou na
árvore de navegação do sistema.
Quando o console do ESM é iniciado, a exibição padrão aparece (consulte Alterar a exibição padrão).
Você pode usar os recursos de exibição para selecionar outra exibição predefinida (consulte Exibições
predefinidas) ou criar uma nova exibição (consulte Adicionar uma exibição personalizada) para
executar uma consulta e ver o que está acontecendo em sua rede (consulte Barra de ferramentas de
exibição do ESM). Você também pode usar as diversas opções na barra de ferramentas de exibição, no
menu de componentes e na barra de ferramentas de componentes para interagir com as exibições e
seus dados.
Uma barra de progresso pode ser vista em cada componente do painel de exibições quando uma
consulta é executada. Se você passar o cursor sobre ela, o período e o percentual de tempo decorrido
na execução da consulta de cada componente são exibidos. Para cancelar uma consulta e liberar
recursos do ESM, clique no ícone excluir à direita da barra de progresso.
Em uma exibição, os valores não definidos ou agregados de endereço IP de destino e IP de origem são
exibidos como "::", e não como "0.0.0.0" em todos os conjuntos de resultados. Por exemplo, ::ffff:
10.0.12.7 é inserido como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 é 10.0.12.7); ::0000:10.0.12.7 seria
10.0.12.7.
408
Guia de produto
7
Exibir detalhes da sessão
Você pode exibir os detalhes de um evento com um ID de sessão e salvá-los em um arquivo csv na
Visualização de sessão.
Para ter um ID de sessão, um evento deve residir em uma sessão. Uma sessão é o resultado da
conexão entre uma origem e o destino. Eventos internos do dispositivo ou ESM não têm IDs de
sessão.
Tarefa
Ajuda.
1
Na lista suspensa de exibição, selecione a exibição que tem a sessão que você precisa exibir.
2
Selecione o evento, clique no ícone do menu na barra de títulos do componente e selecione Busca
detalhada do evento | Eventos.
3
Clique no evento, na guia Detalhes avançados e no ícone Exibir dados da sessão
sessão.
ao lado do campo ID de
A Visualização de sessão será aberta, exibindo os detalhes da sessão.
Barra de ferramentas de exibição
A barra de ferramentas de exibição, localizada na parte superior do painel de exibições, possui várias
opções a serem usadas ao configurar as exibições.
Tabela 7-20
Opção
Descrição
1 – Ocultar árvore de dispositivos
Clique para expandir a exibição atual ocultando o painel
árvore de dispositivos.
2 – Navegação de exibições
Navegue para frente e para trás entre exibições
anteriores.
3 – Lista de exibições
Selecione uma exibição na lista suspensa que contém
todas as exibições predefinidas e personalizadas
selecionadas.
4 – Gerenciar exibições
Gerencie todas as exibições (consulte Gerenciar as
exibições). Você pode selecionar quais exibições deseja
incluir na lista de exibições, adicionar pastas e
renomear, excluir, copiar, importar e exportar exibições.
5 – Atualizar exibição atual
Atualize todos os dados exibidos atualmente no painel
de exibição.
6 – Exibição padrão
Volte para a exibição padrão.
Guia de produto
409
7
Tabela 7-20
(continuação)
Opção
Descrição
7 — Imprimir exibição atual
Imprima uma cópia da exibição atual. As opções de
impressão são:
• Dimensionar para ajustar todos os componentes em uma página –
Os componentes que fazem parte da exibição são
redimensionados para que a exibição caiba em uma
página.
• Imprimir cada componente em uma página separada – Cada
componente da exibição é impresso em uma página
separada. Se você clicar em Dimensionar componente para
ajustá-lo à página, cada componente será
redimensionado para preencher a página.
• Imprimir somente área visível – Somente a parte da exibição
visível na tela é impressa.
• Exportar para PDF – A exibição é salva como um arquivo
PDF.
8 – Editar exibição atual
Modifique a exibição atual, se ela for uma exibição
personalizada. Ao clicar nesta opção, a Barra de ferramentas
Exibir edição é aberta (consulte Criar uma exibição
personalizada).
9 – Criar uma nova exibição
Crie uma nova exibição personalizada (consulte Criar
uma exibição personalizada).
10 – Período
Especifique o período para as informações que você
deseja que apareçam na exibição.
11 – Ocultar filtros
Clique para expandir a exibição atual ocultando o painel
de filtros.
Exibições predefinidas
A lista suspensa na barra de ferramentas de exibições permite acesso às exibições fornecidas com o
sistema, assim como às exibições personalizadas que você adiciona.
Estes são os diferentes tipos de exibições predefinidas.
410
•
As exibições Ativo, ameaça e risco resumem os dados de ativos, ameaças e riscos e seus possíveis
efeitos no sistema.
•
Exibições de conformidade ajudam a simplificar as atividades de conformidade com a norma.
•
Exibições de dashboard fornecem uma visão geral de aspectos específicos do sistema.
•
A exibição Status do dispositivo mostra o status dos dispositivos selecionados na árvore de navegação
do sistema. Se você clicar em um dispositivo na exibição, as informações de integridade
relacionadas ao dispositivo selecionado serão exibidas na metade inferior da exibição.
Guia de produto
7
•
Pesquisa do ELM aprimorada fornece rastreamento em tempo real do andamento e dos resultados da
pesquisa. Essa exibição fica disponível somente quando há um ELM no sistema (consulte Exibição
da pesquisa do ELM aprimorada).
•
Exibições de eventos detalham as informações geradas pelos eventos associados ao dispositivo
selecionado na árvore de navegação do sistema.
•
Exibições executivas fornecem uma visão geral dos aspectos do sistema mais interessantes para
funcionários que não são de TI.
•
Exibições de fluxo detalham informações registradas sobre cada fluxo (ou conexão) realizado por meio
do IPS do Nitro (consulte Exibições de fluxo).
•
O McAfee Event Reporter inclui exibições específicas de vários produtos da McAfee.
•
Exibições de risco são usadas com o gerenciador padrão de ACE. Para exibir corretamente os dados de
gerenciadores personalizados, é necessário criar exibições personalizadas.
•
As Exibições de fluxo de trabalho de evento incluem estas exibições:
•
Alarmes disparados – Exiba e gerencie os alarmes que são disparados quando as condições de
alarme são atendidas (consulte a exibição Alarmes disparados).
•
Gerenciamento de casos – Exiba e gerencie os casos no sistema (consulte Exibir todos os casos).
Consulte também
Exibições de fluxo na página 411
Ativar o registro de fluxo na página 412
Exibição da pesquisa do ELM aprimorada na página 412
Realizar uma pesquisa do ELM aprimorada na página 413
Exibições de fluxo
Um fluxo é um registro de uma conexão feita através do dispositivo. Quando a análise de fluxo é
ativada no IPS do Nitro, são registrados os dados sobre cada fluxo, ou conexão, ocorrida através do
IPS do Nitro.
Os fluxos têm endereços IP de origem e destino, portas, endereços MAC, um protocolo e um primeiro
e último nome (indicando a duração entre o início da conexão e seu término).
Como os fluxos não são uma indicação de tráfego anômalo nem malicioso, há mais fluxos do que
eventos. Um fluxo não está associado a uma assinatura de regra (SigID) como um evento. Fluxos não
estão associados a ações de eventos como alerta, descarte e rejeição.
Alguns dados são específicos para fluxos, incluindo bytes de origem e destino e pacotes de origem e
destino. Bytes de origem e pacotes indicam o número de bytes e pacotes transmitidos pela origem do
fluxo. Os bytes de destino e pacotes indicam o número de bytes e pacotes transmitidos pelo destino
do fluxo. Os fluxos têm direção: o fluxo de entrada é definido como um fluxo que se origina fora da
HOME_NET. Um fluxo de saída se origina dentro da HOME_NET. Essa variável é definida em uma
política para um Nitro IPS.
Para exibir dados de fluxo, é necessário ativar o sistema para que registre dados de fluxo. Você pode
exibir fluxos na exibição Análise de fluxo.
Consulte também
Exibições predefinidas na página 410
Guia de produto
411
7
Ativar o registro de fluxo
Para exibir os dados da análise de fluxo de um IPS do Nitro, é necessário ativar duas variáveis do
firewall.
Tarefa
Ajuda.
1
2
Selecione um dispositivo na árvore de navegação de sistemas.
Clique no ícone Editor de políticas
e selecione Variável no painel Tipos de regras.
3
Expanda a categoria Firewall no painel de exibição de regras.
4
Na linha INBOUND_CONNECTION_STATISTICS, desmarque Herdar para decompor o valor herdado, digite
Sim e clique em OK.
5
Para OUTBOUND_CONNECTION_STATISTICS, desmarque Herdar para decompor o valor herdado, digite Sim
e clique em OK.
Consulte também
Exibição da pesquisa do ELM aprimorada
A exibição da Pesquisa do ELM aprimorada fica disponível quando há pelo menos um dispositivo do ELM no
sistema. Isso permite executar pesquisas mais detalhadas e fornece rastreamento em tempo real do
progresso e dos resultados da pesquisa quando você executa uma pesquisa de logs em um ou mais
ELMs.
Essa exibição é beneficiada com os recursos de geração de relatórios estatísticos do ELM para fornecer
informações em tempo real sobre o volume de dados que precisa ser pesquisado, permitindo que você
limite a consulta para reduzir o número de arquivos a serem pesquisados.
Enquanto a pesquisa é processada, os gráficos mostram os resultados estimados:
•
Gráfico de Distribuição dos resultados por tempo — Exibe as estimativas e os resultados com base na
distribuição por tempo. O eixo inferior muda de acordo com o que está selecionado na lista
suspensa de período.
•
Gráfico de Resultados de origem de dados — Exibe as estimativas e os resultados por origem de dados
com base nas origens de dados dos dispositivos selecionados na árvore de navegação de sistemas.
•
Gráfico de Resultados de tipo de dispositivo — Exibe as estimativas e os resultados por tipo de dispositivo
com base nos dispositivos selecionados na árvore de navegação de sistemas.
Esses gráficos são preenchidos antes do início da pesquisa e são atualizados conforme os resultados
são encontrados. Você pode selecionar uma ou mais barras nos gráficos de Resultados de origem de dados
ou Resultados de tipo de dispositivo ou realçar uma seção do gráfico de Distribuição dos resultados por tempo. Clique
em Aplicar filtros para restringir a pesquisa quando os resultados começam a chegar. Isso permite fazer
uma busca detalhada dos resultados da pesquisa e limitar o volume de dados que precisa ser
pesquisado. Quando a pesquisa termina, esses gráficos exibem os resultados reais.
412
Guia de produto
7
Consulte também
Realizar uma pesquisa do ELM aprimorada
Pesquise nos logs de um ou mais dispositivos do ELM as informações definidas por você.
Tarefa
Ajuda.
1
No painel de exibição, selecione Pesquisa do ELM aprimorada na lista suspensa.
2
Se houver mais de um dispositivo do ELM no sistema, selecione os dispositivos para pesquisa na
lista suspensa ao lado do campo de texto.
3
Digite uma pesquisa de texto normal ou expressão regular no campo de texto.
4
Se desejar pesquisar um período diferente de Dia atual, selecione-o na lista suspensa.
5
Na árvore de navegação de sistemas, selecione os dispositivos que deseja pesquisar.
6
Se for necessário, selecione uma ou mais destas opções:
7
•
Não diferencia maiúsculas de minúsculas — A pesquisa passa a não diferenciar maiúsculas de
minúsculas.
•
Expressão regular — Trata o termo no campo de pesquisa como uma expressão regular.
•
NÃO contém termo de pesquisa — Retorna correspondências que não contenham o termo do campo de
pesquisa.
Clique em Pesquisar.
Os resultados são exibidos na seção Resultados da pesquisa da exibição.
8
Siga um dos procedimentos a seguir durante ou após a conclusão da pesquisa.
Opção
Definição
Salvar pesquisa
Salve os resultados dessa pesquisa, mesmo que você saia da
exibição. As pesquisas salvas são exibidas na página
Propriedades do ELM | Dados.
Fazer download do arquivo de resultados da
Faça download dos resultados para o local que você indicou.
pesquisa
Copiar itens selecionados para a área de
Copie os itens selecionados na área de transferência para
que você possa colá-los em um documento.
transferência
Exibir detalhes de dados
Mostre detalhes de quaisquer registros selecionados na
tabela Resultados da pesquisa.
Consulte também
Guia de produto
413
7
Adicionar uma exibição personalizada
As exibições personalizadas incluem componentes que permitem a exibição das informações
desejadas.
Tarefa
Ajuda.
1
2
e, em seguida, clique e
Na barra de ferramentas de exibição, clique no ícone Criar nova exibição
arraste um componente da Barra de ferramentas Exibir edição (consulte Exibir componentes).
No Assistente de consulta, selecione as opções desejadas para que a exibição gere os dados que você
deseja exibir (consulte Trabalhar com o Assistente de consulta) e clique em Finalizar.
Os dados são exibidos no componente adicionado.
3
Para...
Faça isto...
Mover o componente
Clique na barra de título do componente, arraste e solte.
Exibir nomes de host em
vez de endereços IP, por
padrão
Clique no ícone Mostrar nomes de host
na barra de ferramentas de um
componente que exibe endereços IP (consulte Gerenciamento de
nomes de host).
Personalizar o componente
Clique no componente e faça as alterações nas configurações no
painel Propriedades (consulte Personalização de componentes).
Adicionar mais
componentes à exibição
1 Clique e arraste um componente.
Salvar a exibição
1 Clique em Salvar ou Salvar como e digite um nome para a exibição.
2 No Assistente de consulta, selecione as opções desejadas para que a
exibição gere os dados que você deseja exibir e, em seguida,
clique em Finalizar.
Para salvá-la em uma pasta existente, selecione a pasta.
2 Clique em OK.
Copiar e colar um
componente
1 Clique no componente que deseja copiar.
Excluir um componente
Selecione o componente e clique em Excluir.
Sair do editor de exibição
sem salvar a exibição
Exclua todos os componentes e feche a barra de ferramentas Exibir
edição.
2 Clique em Copiar e em Colar.
Exibir componentes
Crie exibições personalizadas para exibir dados de eventos, fluxos, ativos e vulnerabilidades da forma
que for mais útil para você.
Cada exibição consiste em componentes selecionados na Barra de ferramentas Exibir edição e configurados
para exibir os dados. Quando um componente é selecionado, o Assistente de consulta é aberto, permitindo
que você defina os detalhes a respeito dos dados exibidos no componente.
414
Guia de produto
7
Descrição dos componentes de exibição
Há 13 componentes diferentes que podem ser adicionados a uma exibição personalizada. É possível
usá-los para configurar a exibição para mostrar dados no melhor formato.
Componente
Discagem
controlada
Descrição
Mostra os dados de forma simples. É dinâmico e pode ser vinculado a outros
componentes no console. Atualiza conforme você interagem com o console
ESM.
Cada discagem inclui um indicador de linha de base (
). Os gradientes na
borda de fora do discador ficam vermelhos acima do indicador da linha de
base. Como alternativa, todo o discador pode mudar de cor para representar
um comportamento incomum: ficar amarelo quando dentro de um
determinado limite de uma linha de base ou vermelho quando o limite for
excedido.
A opção Taxa permite que você ajuste a taxa dos dados que está exibindo. Por
exemplo, se estiver observando Dia atual e Total de eventos e alterar a taxa para
hora, você verá o número de eventos por hora do dia determinado. Essa
opção fica desativada se a consulta que você está exibindo já tiver entrado em
uma média, como Gravidade média ou Média de bytes.
Gráfico de
Exibe a visão geral de atividades para o evento ou para os endereços IP de
origem e destino fluxo. A opção de evento permite que você especifique endereços IP e exiba
todos os ataques executados em determinados endereços IP, assim como
exibir todos os ataques que os endereços IP especificados executaram nos
outros. A opção de fluxo permite que você especifique endereços IP e exiba os
endereços IP conectados a eles, assim como que exiba as conexões que os
endereços IP realizaram.
Este gráfico inclui um campo aberto na parte inferior do componente que
permite que você exiba os eventos de origem e de destino ou os fluxos de um
endereço IP específico. Digite o endereço no campo ou selecione um que você
usou anteriormente e clique no ícone Atualizar
.
Gráfico de pizza
Exibe as informações consultadas em um gráfico de pizza. É útil quando você
tem menos categorias a exibir (por exemplo, uma consulta de ação ou de
protocolo).
Tabela
Exibe as informações de consulta em várias colunas. Este componente é útil
para mostrar eventos e dados de fluxo com a melhor granularidade.
Gráfico de
barras
Exibe as informações consultadas em um gráfico de barras, permitindo que
você compare o tamanho de cada resultado em um determinado intervalo de
tempo.
Lista
Exibe os dados de consulta selecionados em um formato de lista. Este
componente é útil quando você deseja exibir uma lista mais detalhada de
itens em um espaço menor.
Distribuição
Mostra uma distribuição de eventos e fluxos ao longo de determinado período.
Você pode definir intervalos para observar períodos específicos para formar os
dados.
Área de notas
Um componente em branco que é usado para notas de texto. Permite que
você escreva notas relacionadas à exibição atual.
Contagem
Exibe o total de eventos, ativos, vulnerabilidades ou fluxos consultados em
uma exibição específica.
Guia de produto
415
7
Componente
Descrição
Título
Permite que você crie um título ou um cabeçalho para sua exibição. É possível
posicioná-lo em qualquer lugar na exibição.
Topologia de
rede
Permite exibir os dados representados em toda a rede. Também é possível
construir uma exibição personalizada que pode ser usada lado a lado com os
dados de descoberta de rede (consulte Adicionar dispositivos ao componente
de topologia de rede).
Mapa da
localização
geográfica
Mostra o destino e o local da origem dos alertas e dos fluxos em um mapa da
localização geográfica. As opções desse componente permitem que você
alterne entre marcar a cidade, o estado, o país e as áreas mundiais, aumente
ou reduza o zoom e selecione locais usando as teclas Ctrl e Shift.
Lista de filtros
Exibe uma lista de usuários e grupos em seu Active Directory. Depois que o
componente Lista de filtros for adicionado, outros componentes poderão ser
vinculados a ele, basta clicar na seta para baixo nos campos de filtro Usuário de
origem ou Usuário de destino no Assistente de consulta e selecionar Ligar à lista do Active
Directory. Você também pode exibir os dados de evento e de fluxo associados
ao Active Directory clicando no ícone de menu.
Consulte também
Personalização de componentes na página 416
Detalhes do dispositivo nos componentes de Topologia de rede na página 418
Barra de ferramentas de componentes na página 419
Opções do menu de componentes na página 423
Personalização de componentes
Ao adicionar ou editar um componente, diversas opções estão disponíveis no painel Propriedades que
podem ser usadas para personalizá-lo. As opções disponíveis dependem do componente selecionado.
Opção
Definição
Título
Altere o título de um componente.
Largura e altura
Defina as dimensões do componente. Você também pode clicar e arrastar a linha
de limite.
XeY
Defina a localização do componente na exibição. Você também pode clicar na
barra de título do componente e arrastá-la e soltá-la.
Editar consulta
Faça alterações na consulta atual. Quando você clica nesse botão, o Assistente de
consulta é aberto (consulte Trabalhar com o Assistente de consulta).
Mostrar barra de
controles
Defina se a barra de controles na parte inferior do componente será exibida.
Tamanho da página
Defina quantos recursos serão exibidos por página se houver mais dados do que
pode ser exibido de uma vez só.
Mostrar valor de outros Se essa opção for selecionada, um valor Outros será exibido na parte inferior de
um gráfico ou de um componente de lista. Ele fornece o total de registros que
não foram exibidos na página atual. Por exemplo, se você estiver olhando a
página dois de um conjunto de registros, a categoria Outros é a soma dos valores
da página um e de todas as páginas depois da página dois.
416
Mostrar legenda
Exiba uma legenda abaixo ou à direita de um gráfico de pizza.
Mostrar valores
Inclua o valor de cada item em um gráfico de barras.
Guia de produto
7
Opção
Definição
Mostrar rótulos
Inclua um rótulo em cada barra em um gráfico de barras. Você pode definir o
número máximo de caracteres que podem ser exibidos em um rótulo. Se estiver
definido como 0, não haverá limite máximo do rótulo.
Mostrar médias de linha Selecione se os dados atuais deverão ser comparados com dados históricos em
de base
um gráfico de barras ou de distribuição, ou em um controle de discagem. Há
duas opções diferentes a serem usadas ao exibir dos dados de linha de base:
• Intervalo de tempo automático — Se essa opção estiver selecionada, os dados de
linha de base serão correlacionados pelo uso do mesmo período usado na
consulta atual dos últimos cinco intervalos. Por exemplo, se estiver
consultando o dia atual em uma segunda-feira, os dados da linha de base
serão calculados para o mesmo tempo nas últimas cinco segundas-feiras.
Intervalos menores serão usados se não houver dados em um determinado
intervalo. Será calculada então uma média dos valores reunidos de cada
intervalo para calcular o valor de linha de base atual.
• Usar intervalo de tempo específico — A seleção desse intervalo de tempo permite que
você especifique um horário de início e de fim que deverão ser usados para
calcular uma média. Quando essa opção é usada, ela é calculada como um
período único. Nos relatórios de distribuição, isso produz uma média de linha
reta.
Os dados da linha de base são exibidos em gráficos de distribuição com uma
linha azul. A linha ficará reta se a opção Usar intervalo de tempo específico tiver sido
selecionada ou se não houver dados suficientes para calcular um calor
correlacionado. A linha ficará curvada (presumindo que valores diferentes para
cada período sejam exibidos) se um valor correlacionado for calculado. O gráfico
de barras exibe um indicador de será no ponto de linha de base para cada barra.
Se o valor atual for maior do que o valor da linha de base, a barra ficará
vermelha acima do marcador da linha de base. Se o gráfico de barras estiver
exibindo a gravidade da regra, a cor da barra não muda para o valor de linha de
base.
Uma opção adicional permite que você defina um valor de margem a ser exibido
com os dados de linha de base. O valor da margem é calculado pelo valor da
linha de base. Por exemplo, se o valor da linha de base for 100 e a margem
acima for de 20%, o valor da margem será calculado como 120. Quando esse
recurso é ligado, a área da margem de cada barra é exibida em um gráfico de
barras. Um gráfico de distribuição calcula o valor médio da linha de base e exibe
uma área sombreada acima e abaixo da linha de base que indica a área da
margem.
Lista de dispositivos
Arraste e solte dispositivos para o componente Topologia de rede ou para a árvore
Agrupamentos de dispositivos lógicos.
Agrupamentos de
dispositivos lógicos
Crie pastas para agrupar os dispositivos para o componente Topologia de rede.
Segundo plano
Selecione a cor do segundo plano de exibição. URL da imagem de plano de fundo
permite importar uma imagem para usar como plano de fundo.
Consulte também
Descrição dos componentes de exibição na página 415
Guia de produto
417
7
Adicionar dispositivos ao componente de topologia de rede
A topologia da rede permite obter dados de eventos e fluxos dos dispositivos ou da árvore de
dispositivos, e exibir os dados representados na rede.
Antes de iniciar
É necessário descobrir a rede antes de a lista de dispositivos ser exibida (consulte
Descoberta de rede).
Você pode também criar uma exibição personalizada que possa ser usada com dados de descoberta de
rede. Depois de criar uma exibição da topologia da rede, personalize-a para exibir informações sobre
eventos ou fluxos (consulte Adicionar uma exibição personalizada).
Tarefa
Ajuda.
1
Ao adicionar ou editar uma exibição, clique no componente Topologia de rede de evento, arraste-o e
solte-o.
O painel Propriedades exibe a Lista de dispositivos e a árvore de Agrupamentos de dispositivos lógicos.
2
3
Na Lista de dispositivos ou Lista de pastas, selecione um dispositivo ou uma pasta e siga um destes
procedimentos:
•
Para adicionar o dispositivo ou pasta ao componente, arraste-o e solte-o no componente.
•
Para adicionar o dispositivo ou pasta a um grupo na árvore Agrupamentos de dispositivos lógicos,
clique em Adicionar, digite um nome para a pasta e clique em OK, em seguida, arraste e solte o
dispositivo na pasta.
Organize os dispositivos.
Dispositivos que estão fisicamente conectados ao sistema conectam-se a uma linha preta reta no
componente. As linhas curvas azuis ou vermelhas indicam um caminho de dados.
Detalhes do dispositivo nos componentes de Topologia de rede
É possível exibir detalhes específicos do dispositivo em um componente de Topologia de rede clicando
duas vezes em um dispositivo. Essa tela permite exibir informações de interface e de terminal tais
como resumo de porta, total de dispositivos e status dos dispositivos.
Opção
Definição
Resumo de porta para
Mostra a porta que está sendo exibida no momento.
Total
Fornece o número total de dispositivos.
Acima da média de linha de base Determina o número de dispositivos acima da média da linha de base
atual
Representa uma estação de trabalho.
Indica que a interface possui dados de alerta associados, e que os dados
estão abaixo da média da linha de base.
Indica que a interface possui dados de alerta associados, e que os dados
estão acima da média da linha de base.
418
Guia de produto
7
Opção
Definição
Indica que a interface não possui dados de alerta associados a ela.
Indica que o estado administrativo está desativado (não somente no nível
operacional).
Representa um roteador.
Indica que a porta do switch está ativada.
Representa um dispositivo desconhecido.
Representa um dispositivo não gerenciado.
Indica que o ESM não pode se comunicar com o dispositivo por SNMP,
descoberta de rede ou ping.
Consulte também
Barra de ferramentas de componentes
A barra de ferramentas de componentes, localizada na parte inferior de cada componente em uma
exibição, oferece diversas ações que podem ser executadas nos dados do componente. As ações
disponíveis dependem do tipo de componente.
Opção
Definição
Marcar evento(s) como revisado(s) — Marque eventos específicos
após revisá-los. Você pode usar a lista suspensa Alterar filtro de
estado de evento para mostrar somente eventos revisados ou
somente eventos que não foram revisados.
Atribuir eventos a um caso ou ao Remedy — Atribua eventos a um
caso (consulte Gerenciar casos) ou envie uma mensagem de
e-mail ao sistema Remedy (se estiver configurado). Ao clicar
nesse ícone, você pode selecionar:
• Criar um novo caso
• Adicionar eventos a um caso
• Enviar evento ao Remedy (consulte Enviar um e-mail ao
Remedy)
Abrir URL do dispositivo — Abra o URL associado ao evento
selecionado, caso você tenha adicionado um ao dispositivo
(consulte Adicionar um URL). Se não tiver definido um URL,
você será solicitado a adicioná-lo.
Guia de produto
419
7
Opção
Definição
Mostrar ou Ocultar nomes de host — Mostre ou oculte os nomes de
host associados aos endereços IP na exibição (consulte
Gerenciamento de nomes de host).
Ícones de tipos de gráfico
420
Alterar tipo de gráfico — Altere o tipo de gráfico que exibe os
dados. O ícone para esse recurso será o ícone de
componente para o tipo de gráfico atual.
Guia de produto
7
Opção
Definição
Exibir ou Ocultar detalhes de dados — Mostre ou oculte os detalhes
do evento selecionado. Essa seção contém várias guias:
• Detalhes: mostra as informações disponíveis sobre o evento
ou fluxo selecionado.
• Detalhes avançados: mostra informações sobre o dispositivo
de rede de origem, o dispositivo de rede de destino e
Remedy. Você pode pesquisar por eventos ou fluxos por
seus IDs, se tiver direitos suficientes para exibir esses
registros, clicando no ícone de lupa à direita do campo ID
do evento ou ID do fluxo.
• Localização geográfica: mostra a localização da origem e do
destino do evento selecionado.
• Descrição: fornece o nome, a descrição e a assinatura ou
regra associada ao evento.
• Notas: permite que você adicione notas ao evento ou fluxo,
que serão exibidas sempre que você exibir esse item.
• Pacote: Recupera o conteúdo do pacote que gerou o evento
selecionado. É possível executar as seguintes funções
nesta guia:
• Selecione o formato para exibir o pacote.
•
•
Recupere os dados do pacote clicando em
.
Salve o pacote em seu computador clicando em
. Se
o item se tratar de uma captura de pacote ou PCAP
(como eventos do IPS do Nitro, eventos ADM, eventos
Estreamer do Receptor), ele será salvo com uma
extensão .pcap e poderá ser aberto em qualquer
programa que exiba esse tipo de arquivo. Caso
contrário, ele será salvo como um arquivo de texto.
• Configure-o para recuperar o pacote automaticamente
ao clicar em um evento.
• Pesquise por informações no pacote inserindo a
palavra-chave no campo Localizar texto e clicando em
.
Não use caracteres especiais, como colchetes ou
parênteses, no campo Localizar texto.
• Eventos de origem: quando um evento de correlação ou
vulnerabilidade é selecionado, essa opção exibe o conjunto
de eventos que causou a geração desse evento.
• Arquivo do ELM: se você inserir texto no campo Localizar texto,
essa opção recupera dados arquivados no ELM. Se o
evento for agregado, um dispositivo do Receptor ou do
ACE exibirá até 100 eventos agregados.
• Tipos personalizados: Se você definiu tipos personalizados
(consulte Filtros de tipo personalizado), essa opção mostra
Guia de produto
421
7
Opção
Definição
os campos de tipo personalizado e os dados do evento que
pertencem aos campos.
• Informações: mostra informações como o nome do
dispositivo, o endereço IP, o sistema operacional, a versão
do dispositivo, a descrição do sistema, o contato do
sistema e a localização física do sistema.
• Interfaces: mostra o nome da porta, a velocidade da porta, a
VLAN, o estado administrativo e o estado operacional.
• Vizinhos: mostra informações específicas sobre os
dispositivos vizinhos, como a interface local, o dispositivo
vizinho e a interface vizinha.
Alterar período e velocidade do intervalo — Defina com que
frequência os dados do gráfico serão atualizados.
Definir velocidade — Selecione a velocidade na qual os dados
serão exibidos (nenhuma, por segundo, por minuto, por
hora, por dia, por semana, por mês).
Endereço IP — Exiba os eventos ou fluxos de origem e de
destino referentes a um endereço IP específico. Digite o
endereço no campo ou selecione um endereço usado
anteriormente e clique no ícone Atualizar
.
Opções de localização geográfica — Alterne entre a marcação de
áreas na cidade, no estado, no país e no mundo, aumente e
reduza o zoom e selecione localizações com as teclas Ctrl e
Shift.
Alterar página — Navegue pelos dados quando houver mais de
uma página.
Alterar filtro de estado de evento — Selecione os tipos de eventos e
fluxos a serem exibidos na lista de análise. Você pode exibir
todos os eventos, somente eventos revisados, somente
eventos não revisados, eventos reparados, todos os fluxos,
somente fluxos abertos ou somente fluxos fechados.
Botões do histórico — Avance ou retroceda para ver as
alterações realizadas na exibição.
ou
Exibir caminhos de dados ou Ocultar caminhos de dados — Oculte ou
exiba a linha que conecta dois dispositivos com conexões de
dados de fluxo ou evento.
Ocultar texto — Oculte ou mostre os rótulos do dispositivo na
exibição de Topologia de rede.
Consulte também
Envie um e-mail de reparação
Se você configurar um sistema de reparação, poderá enviar uma mensagem de e-mail para notificar o
sistema de um evento que precise de reparação. Ao seguir esse processo, você recebe um número de
caso da reparação para adicionar ao registro do evento.
Um sistema de reparação é configurado pelo usuário e não tem ligação com o IPS do Nitro da McAfee.
422
Guia de produto
7
Tarefa
Ajuda.
1
2
Em uma exibição de evento, realce o evento que requer uma ação corretiva.
Clique no ícone Atribuir eventos a um caso ou ao Remedy
e em seguida selecione Enviar evento ao Remedy.
3
Adicione o Prefixo, a Palavra-chave e o ID de usuário do Enterprise.
4
(Opcional) Adicione informações em Detalhes, onde há informações geradas pelo sistema sobre o
evento.
5
Clique em Enviar.
Opções do menu de componentes
A maioria dos componentes de uma exibição tem um menu
componente. Essa tabela lista os possíveis itens.
que lista as opções disponíveis do
Opção
Definição
Busca detalhada (Evento,
Fluxo, Ativo)
Exiba mais detalhes para o tipo de dado selecionado nas listas de buscas
detalhadas. Uma nova exibição mostra os detalhes.
Resumir ou Resumir por
Exiba outro dado de evento ou fluxo que compartilhe as características
dos eventos selecionados. Por exemplo, se você estiver observando um
evento de varredura de portas na tela de análise e quiser ver outros
eventos gerados pelo mesmo atacante, clique no evento, selecione
Resumir por e clique em IP de origem.
Modificar configurações de
agregação
Crie uma exceção para as configurações gerais de agregação para uma
regra individual (consulte Adicionar exceções às configurações de
agregação de eventos).
Ações
Criar nova lista de
observação
Selecione eventos em uma exibição e adicione-os a uma nova lista de
observação (consulte Listas de observação).
Anexar à lista de
observação
Selecione eventos em uma exibição e adicione-os a uma lista de
observação existente.
Criar novo alarme
Selecione eventos em uma exibição e crie um alarme com base em seus
valores (consulte Criar um alarme).
Executar varredura do Inicie uma varredura do McAfee Vulnerability Manager se o sistema
MVM
incluir um dispositivo do McAfee Vulnerability Manager.
Iniciar o ePO
Abra a interface do ePolicy Orchestrator (consulte Iniciar o ePolicy
Orchestrator).
Histórico de execução Quando um evento do TIE for selecionado, abra a página Histórico de
do TIE
execução do TIE para exibir os endereços IP que tentaram executar o
arquivo selecionado. Nessa página, você pode criar uma nova lista de
observação, anexar um arquivo a uma lista de observação, criar um novo
alarme, incluir um arquivo na lista negra, exportar um arquivo para CSV
ou adicionar marcas do ePolicy Orchestrator ao arquivo.
Mostrar regra
Exiba a regra que gerou o evento.
Detalhes do endereço IP
Pesquise informações sobre um endereço IP ou uma porta de origem ou
destino. Você pode exibir detalhes de ameaças e os resultados da
pesquisa WHOIS do endereço IP selecionado.
Pesquisa de ASN
Recupere um registro WHOIS usando o identificador ASN.
Guia de produto
423
7
Opção
Definição
Procurar referência
Abra seu navegador da Web padrão e conecte-se ao banco de dados de
assinaturas on-line McAfee, que fornece informações sobre a assinatura
que gerou o evento selecionado.
Definir ID do caso Remedy
Adicione o ID do caso Remedy, que você recebeu ao enviar um e-mail de
evento para o sistema Remedy, ao registro de evento para referência
futura (consulte Adicionar ID do caso Remedy ao registro de evento).
Lista negra
Adicione o endereço IP do evento selecionado à lista negra. Quando essa
opção é selecionada, o Editor de lista negra é aberto, cujo campo de endereço
IP é preenchido com dados do evento selecionado (consulte Lista negra
do IPS ou dispositivo virtual).
Pesquisar ELM
Execute uma pesquisa de informações contidas no ELM sobre o evento
selecionado. A página Pesquisa do ELM aprimorada é aberta e preenchida com
os dados selecionados (consulte Executar uma pesquisa do ELM
aprimorada).
Alterar VLAN
Altere a VLAN para qualquer dispositivo selecionado. Você pode
selecionar de 1 a 12 dispositivos.
Desativar ou ativar porta(s)
Selecione um ou vários terminais ou interfaces. Dependendo do que for
selecionado, a opção para ativar ou desativar será exibida. Por exemplo,
se você selecionar cinco interfaces e uma delas estiver ativada e as
outras quatro desativadas, somente será possível desativar a porta. No
entanto, se você selecionar uma porta desativada, a opção Ativar porta(s)
estará disponível.
Exibir eventos ou Exibir fluxos
Exiba os eventos gerados por um fluxo ou os fluxos gerados por um
evento.
Exportar
Exporte um componente da exibição em formato PDF, de texto, CSV ou
HTML (consulte Exportar uma exibição).
Excluir
Exclua eventos ou fluxos do banco de dados. Você deve pertencer a um
grupo com privilégios de evento e será possível excluir somente os
registros atualmente selecionados, a página atual de dados ou um
número máximo de páginas a partir da primeira.
Marcar como revisado
Marque eventos como revisados. Você pode marcar todos os registros no
conjunto de resultados, na página atual ou nos registros selecionados.
Criar regra de firewall
personalizada
Crie uma regra de firewall personalizada com base nas propriedades do
evento ou fluxo selecionado. Quando você clica em Criar regra de firewall
personalizada, a página Nova regra é aberta (consulte Adicionar regras
personalizadas de ADM, banco de dados ou correlação).
Criar regra personalizada
Crie uma regra personalizada usando a assinatura que disparou um
alerta específico como ponto inicial. Essa opção é disponibilizada quando
você seleciona alertas gerados por regras padrão (não do firewall).
Quando você clica em Criar regra personalizada, a página Nova regra é aberta
(consulte Adicionar regras personalizadas de ADM, banco de dados ou
correlação).
Consulte também
Realizar uma pesquisa WHOIS ou ASN na página 424
Adicionar ID de caso do Remedy ao registro de evento na página 425
Exportar um componente na página 426
Realizar uma pesquisa WHOIS ou ASN
Você pode realizar uma pesquisa WHOIS em um componente de tabela para encontrar informações
sobre um endereço IP de origem ou de destino. A Pesquisa de ASN, disponível em qualquer consulta ASN
424
Guia de produto
7
no gráfico de barras e em qualquer registro de fluxo em um componente de tabela que contenha
dados ASN, recupera um registro WHOIS usando o identificador ASN.
Tarefa
Ajuda.
1
2
3
Selecione um endereço IP ou registro de fluxo com dados ASN listados em um componente de
tabela, ou em uma barra de consulta ASN de um componente de gráfico de barras.
Clique no menu
e selecione Detalhes do endereço IP ou Pesquisa de ASN.
Para pesquisar outro endereço IP ou identificador:
•
Na página WHOIS, selecione um endereço IP na lista suspensa e insira o nome do host.
•
Na página Pesquisa de ASN, digite os números ou selecione um na lista suspensa.
Consulte também
Página Pesquisa WHOIS e DNS na página 425
Página Pesquisa WHOIS e DNS
Pesquise informações sobre um endereço IP ou uma porta de origem ou destino.
Opção
Definição
Nome de host
Se você tiver o nome de host do endereço IP, digite-o.
Endereço IP
Se você tiver digitado um nome de host, o endereço IP aparecerá nesse campo. Se
você não tiver um nome de host, digite o endereço IP.
Pesquisar
Clique para iniciar a pesquisa de DNS para recuperar o registro WHOIS.
Registro WHOIS Exiba os resultados da pesquisa.
Consulte também
Adicionar ID de caso do Remedy ao registro de evento
Quando você envia um e-mail de evento ao sistema Remedy, recebe um número de ID de caso. É
possível adicioná-lo ao registro de evento para fins de referência.
Tarefa
Ajuda.
1
2
Realce o evento na exibição Análise de evento e clique no menu
.
Selecione Definir ID do caso Remedy, digite o número e clique em OK.
Consulte também
Página Definir ID do caso do Remedy na página 426
Guia de produto
425
7
Página Definir ID do caso do Remedy
Adicione a ID do caso do Remedy, que você recebeu ao enviar um e-mail de evento para o sistema
Remedy.
Opção
Definição
ID do evento
Se você tiver acessado esta página selecionando um evento em uma exibição, o
número da ID do evento estará nesse campo.
ID do caso do Remedy Digite a ID que recebeu (consulte Envie um e-mail de reparação).
Consulte também
Exportar um componente
Você pode exportar os dados em um componente de exibição do ESM. Os componentes de gráfico
podem ser exportados nos formatos de texto ou PDF e os componentes de tabela em valores
separados por vírgula (CSV) ou HTML.
Na exportação da página atual de um gráfico, distribuição ou componente de tabela em uma exibição,
os dados exportados coincidem exatamente com o que é visto ao iniciar a exportação. Se exportamos
mais de uma página, a consulta será executada novamente de acordo com a exportação de dados,
portanto, pode ser diferente do que você vê no componente.
Tarefa
Ajuda.
1
2
3
4
Em uma exibição, clique no menu
Exportar.
do componente que deseja exportar e depois clique em
Selecione um dos seguintes formatos:
•
Texto — Exporte os dados no formato de texto.
•
PDF — Exporte os dados e uma imagem.
•
Imagem para PDF — Exporte somente a imagem.
•
CSV — Exporte uma lista em formato delimitado por vírgula.
•
HTML — Exporte os dados em uma tabela.
Na página Exportar, especifique os dados que você deseja exportar.
•
Se tiver selecionado Texto ou PDF, você poderá exportar a página atual de dados ou um número
máximo de páginas a partir da página 1.
•
Se você tiver selecionado Imagem para PDF, a imagem será gerada.
•
Se tiver selecionado CSV ou HTML, você poderá exportar somente os itens selecionados, somente
a página atual de dados ou um número máximo de páginas, a partir da página 1.
Clique em OK
O arquivo de exportação será gerado e você será solicitado a fazer download do arquivo resultante.
Consulte também
Página Exportar na página 427
426
Guia de produto
7
Página Exportar
Selecione os dados que deseja exportar.
Opção
Definição
Somente os itens selecionados
Realce os itens que deseja exportar e selecione essa opção.
Somente a página atual
Exporte os itens que você pode ver na exibição no momento. Os dados
exportados coincidem exatamente com o que você vê quando inicia a
exportação.
Até um número máximo de páginas Selecione o número máximo de páginas a exportar. A consulta será
executada novamente de acordo com a exportação de dados, portanto,
pode ser diferente do que você vê no componente.
Consulte também
Trabalhar com o Assistente de consulta
Cada relatório ou exibição no ESM reúne dados com base nas configurações de consulta para cada
componente.
Ao adicionar ou editar uma exibição ou relatório, defina as configurações de consulta para cada
componente no Assistente de consulta selecionando o tipo de consulta, a consulta, os campos a serem
incluídos e os filtros a serem usados. Todas as consultas no sistema, tanto predefinidas quanto
personalizadas, são listadas no assistente para que você possa selecionar os dados a serem reunidos
pelo componente. Também é possível editar ou remover consultas e copiar uma consulta existente
para usá-la como modelo para configuração de uma nova consulta.
Consulte também
Gerenciar consultas na página 427
Vincular componentes na página 430
Comparação de valores na página 430
Comparar valores de gráfico na página 431
Configurar distribuição empilhada para exibições e relatórios na página 432
Gerenciar consultas
O ESM vem com consultas predefinidas que você pode selecionar no Assistente de consulta ao adicionar ou
editar um relatório ou exibição. É possível editar algumas das configurações dessas consultas, além de
adicionar e remover consultas personalizadas.
Tarefa
Ajuda.
1
Execute uma das seguintes ações para acessar o Assistente de consulta.
Guia de produto
427
7
Para...
Faça isto...
Adicionar uma
nova exibição
1
Clique no ícone Criar nova exibição
exibição.
localizado na barra de ferramentas de
2 Arraste e solte um componente da Barra de ferramentas Exibir edição para exibir o
painel.
O assistente do Assistente de consulta é aberto.
Editar uma
exibição
existente
1 Selecione a exibição que deseja editar.
2
Clique no ícone Editar exibição atual
exibição.
localizado na barra de ferramentas de
3 Clique no componente que deseja editar.
4 Clique em Editar consulta no painel Propriedades.
O Assistente de consulta abrirá na segunda página.
Criar o layout de 1 Em Propriedades do sistema, clique em Relatórios.
um novo
2 Clique em Adicionar.
relatório
3 Na seção 5 da página Adicionar relatório clique em Adicionar.
4 Arraste e solte um componente na seção de layout do relatório.
O assistente do Assistente de consulta é aberto.
Editar o layout
de um relatório
existente
1 Em Propriedades do sistema, clique em Relatórios.
2 Selecione o relatório que deseja editar e clique em Editar.
3 Na seção 5 da página Editar relatório, selecione um layout existente e clique em
Editar.
4 Clique no componente na seção de layout do relatório e clique em Editar
consulta, na seção Propriedades.
O Assistente de consulta é aberto na segunda página.
2
No Assistente de consulta, siga um destes procedimentos:
Para fazer isto...
Faça isto...
Adicionar uma nova
consulta
1 Selecione a consulta que deseja usar como modelo e clique em Copiar.
2 Digite o nome da nova consulta e clique em OK.
3 Na lista de consultas, clique naquela que acabou de adicionar e clique
em Avançar.
4 Na segunda página do assistente, altere as configurações clicando nos
botões.
428
Editar uma consulta
personalizada
1 Selecione a consulta personalizada que deseja editar e clique em Editar.
Remover uma consulta
personalizada
Selecione a consulta personalizada que deseja remover e clique em
Remover.
2 Na segunda página do assistente, altere as configurações clicando nos
botões.
Guia de produto
7
3
Clique em Finalizar.
Consulte também
Trabalhar com o Assistente de consulta na página 427
Página Assistente de consulta na página 429
Página Assistente de consulta
Ao adicionar um relatório ou uma exibição, você deve definir as configurações de consulta para que as
informações necessárias sejam geradas.
Opção
Definição
Tipo de
consulta
Lista os tipos de consulta disponíveis para o componente selecionado. Elas podem
ser evento, fluxo, diversos, ativos e vulnerabilidades, e status de risco.
O empilhamento não está disponível para Taxa de coleta ou Média (por exemplo,
consultas de distribuição de Gravidade média por alerta ou Duração média por fluxo).
Consultas
Lista as consultas predefinidas e personalizadas disponíveis para o tipo selecionado.
Se você adicionou tipos personalizados, eles serão incluídos. Você pode editar,
copiar e remover consultas personalizadas nessa lista.
Campos
Exibe as informações incluídas no componente. Você pode alterar essas
configurações para um componente da tabela na segunda página do assistente.
1 Clique em Campos.
2 Em Campos de consulta, mova o campo que deseja incluir na lista à direita usando as
setas para os lados.
3 Coloque os campos na ordem em que você deseja que eles apareçam na tabela
usando as setas para cima e para baixo e clique em OK.
Filtros
Exibe os valores de filtro definidos para a consulta. Você pode alterar essas
configurações para qualquer consulta na segunda página do assistente.
Classificar em
Exibe a ordem em que os resultados da consulta são listados. Você pode alterar
essas configurações para a maioria das consultas na segunda página do assistente.
Comparação
Fornece uma maneira de comparar o número de valores distintos de qualquer um
dos arquivos de filtro existentes com a distribuição de tempo para eventos e fluxos.
Somente está disponível em componentes de distribuição (consulte Comparação de
valores e Comparar valores de gráfico).
Empilhamento
Permite empilhar gráficos de barras, linhas e área em um componente de
distribuição para ver os eventos de distribuição relacionados a um campo específico.
Máscara CIDR
Permite adicionar uma máscara CIDR, a qual é usada para agrupar endereços IP.
Essa opção somente está disponível quando você seleciona uma consulta de IP de
origem ou IP de destino em um componente do Gráfico de barras.
Níveis
Permite que você especifique o nível da máscara de ID normalizada para a consulta
(consulte Normalização). Está disponível em gráficos de pizza, gráficos de barras e
componentes da lista quando você seleciona a consulta Resumo normalizado de evento.
Consulte também
Guia de produto
429
7
Página Campos de consulta
Selecione os campos que você deseja incluir na consulta de um componente da tabela.
Opção
Definição
Lista da esquerda
Exibe os campos que você pode escolher.
Lista da direita
Mostra os campos que você selecionou para inclusão no componente
da tabela.
Setas para os lados
Move o campo selecionado de uma lista para a outra.
Setas para cima e para baixo Permite que você coloque os campos na ordem em que deseja que
eles sejam exibidos na tabela.
Vincular componentes
Quando um componente de exibição é vinculado a outro componente usando o vínculo de dados, a
exibição se torna interativa.
Selecionar um ou mais itens no componente pai faz com que os resultados exibidos no componente
filho sejam alterados, como se uma busca detalhada tivesse sido executada. Por exemplo, se você
vincular um componente de IP de origem de gráfico de barras pai a um componente de IP de destino
de gráfico de barras, fazer uma seleção no componente pai faz com que o componente filho execute
sua consulta usando o IP de origem como filtro. Alterar a seleção no componente pai atualiza os dados
do componente filho.
O vínculo de dados só permite que um campo seja vinculado a outro.
Tarefa
Ajuda.
1
Crie os componentes pai e filho e selecione o componente filho.
2
No painel Propriedades, clique em Editar consulta | Filtros.
A página Filtros de consulta é aberta com as consultas do pai e do filho ativadas.
3
Na lista suspensa da consulta filho, selecione Ligar a.
4
Clique em OK e em Finalizar.
Consulte também
Comparação de valores
Gráficos de distribuição apresentam uma opção que permite que você sobreponha uma variável
adicional por cima do gráfico atual.
Dessa maneira, é possível comparar dois valores facilmente para, por exemplo, mostrar as relações
entre o total de eventos e a gravidade média. Esse recurso oferece valiosas comparações de dados ao
longo do tempo em somente um instante. Esse recurso também é útil para poupar o espaço na tela ao
criar grandes exibições, combinando os resultados em um único gráfico de distribuição.
430
Guia de produto
7
A comparação é limitada ao mesmo tipo da consulta selecionada. Por exemplo, se uma consulta de
evento é selecionada, você poderá compará-la somente aos campos da tabela de eventos, não da
tabela de fluxo ou ativos e vulnerabilidades.
Quando você aplica os parâmetros de consulta ao gráfico de distribuição, sua consulta é executada
normalmente. Se o campo de comparação estiver ativado, uma consulta secundária é executada para
os dados ao mesmo tempo. O componente de distribuição exibe os dados para ambos os conjuntos de
dados no mesmo gráfico, mas usa dois eixos verticais separados. Se você alterar o tipo de gráfico
(canto inferior direito do componente), ambos os conjuntos continuarão a ser exibidos.
Consulte também
Comparar valores de gráfico
Você pode comparar os dados de um gráfico de distribuição com uma variável selecionada.
Tarefa
Ajuda.
1
Selecione os ícones Criar nova exibição
ou Editar exibição atual
.
2
Clique no ícone Distribuição
e arraste-o e solte-o na exibição para abrir o Assistente de consulta.
3
Selecione o tipo de consulta e a consulta e clique em Avançar.
4
Clique em Comparar e selecione o campo que você deseja comparar com a consulta selecionada.
5
Clique em OK e em Finalizar.
6
Mova o componente para o local correto da exibição e:
•
Clique em Salvar se você estiver adicionando o componente a uma exibição existente.
•
Clique em Salvar como e adicione o nome da exibição se você estiver criando uma nova exibição.
Consulte também
Guia de produto
431
7
Página Comparação de campo
Selecione a variável que deseja sobrepor no gráfico de distribuição para comparação de dados.
Configurar distribuição empilhada para exibições e relatórios
Configure o componente de distribuição em uma exibição ou em um relatório, para conseguir ver a
distribuição dos eventos relacionadas a um campo específico.
É possível selecionar o campo a ser empilhado quando o componente é adicionado a uma exibição ou
a um relatório. Ao acessar a exibição, você poderá alterar as configurações, configurar o intervalo de
tempo e definir o tipo de gráfico e os detalhes.
Não é possível usar os recursos de Empilhamento e Comparação na mesma consulta.
Tarefa
Ajuda.
1
Arraste e solte o componente de Distribuição em uma exibição (consulte Adicionar uma exibição
personalizada) ou em um relatório (consulte Adicionar layout de relatório), e selecione o tipo de
consulta.
O empilhamento não está disponível para Taxa de coleta ou Média (por exemplo, consultas de
distribuição de Gravidade média por alerta ou Duração média por fluxo).
2
Na segunda página do Assistente de consulta, clique em Empilhamento e selecione as opções.
3
Clique em OK na página Opções de empilhamento e em Finalizar no Assistente de consulta.
A exibição é adicionada. É possível alterar as configurações e definir o intervalo de tempo e o tipo de
gráfico clicando no ícone Opções de gráfico
.
Consulte também
Página Opções de empilhamento na página 432
Página Opções de empilhamento
Empilhe eventos em um gráfico de distribuição para que possa ver a distribuição relacionada a um
campo específico.
Opção
Definição
Segmentos de barra de campo a Selecione o campo no qual registrar os dados.
grupo por
432
Número de segmentos de barra
por barra
Selecione o número de itens separados cujos dados você deseja ver nas
barras. Por exemplo, se você selecionar ID de assinatura e 10, cada barra
mostrará 10 IDs de assinatura recebidas com mais frequência durante o
período selecionado.
Mostrar valor de 'Outros'
Selecione se deseja que o componente inclua a barra Outros. No exemplo
acima, ele mostraria o número de outras IDs de assinatura recebidas.
Mostrar legenda
Em uma exibição, selecione se deseja que a legenda seja incluída. Em
relatórios, ela é sempre incluída.
Guia de produto
7
Opção
Definição
Opções de intervalo de tempo
(Somente disponível se você clicar no ícone Opções de gráfico na exibição)
Selecione o intervalo de tempo que você deseja que cada barra do gráfico
represente.
Opções de gráfico
(Somente disponível se você clicar no ícone Opções de gráfico na exibição)
Selecione o tipo de gráfico e se deseja mostrar a seção de detalhes de
dados na exibição.
Consulte também
Gerenciar exibições
A opção Gerenciar exibições é um modo rápido de copiar, importar ou exportar mais de uma exibição
por vez, bem como selecionar exibições para incluí-las na lista de exibições e atribuir permissão a
usuários ou grupos específicos para que acessem exibições individuais.
Tarefa
Ajuda.
1
2
No console do ESM clique no ícone Gerenciar exibições
.
Execute uma das opções disponíveis e clique em OK.
Consulte também
Página Gerenciar exibições na página 433
Página Gerenciar exibições
Gerencie as exibições no ESM.
Opção
Definição
Tabela
Selecione as exibições que você deseja que sejam mostradas na lista de filtros
de exibição. Se a estiver marcada, todas as suas subpastas e exibições estão
selecionadas. Se a caixa de seleção da pasta estiver preta, algumas de suas
subpastas e exibições estão selecionadas.
Adicionar pasta
Crie uma pasta personalizada para organizar suas exibições. Depois de
adicionada, você pode arrastar e soltar exibições na pasta.
Renomear
Renomeie a pasta ou exibição selecionada. Não é possível renomear exibições
somente leitura.
Excluir
Exclua pastas ou exibições personalizadas. Não é possível excluir exibições
somente leitura.
Copiar
Copie uma exibição e a adicione à lista de exibições. Depois de copiar uma
exibição, você pode arrastar e soltá-la em outra pasta.
Compartilhar
Selecione os usuários ou grupos que devem ter permissão para acessar e
modificar as exibições selecionadas.
Importar
Importe arquivos de exibição para o ESM.
Guia de produto
433
7
Opção
Definição
Exportar
Exporte um arquivo de exibições personalizadas para que você possa
compartilhá-lo com outro ESM ou manter o arquivo como backup. Observe que
não é possível exportar ou excluir exibições somente leitura.
Tornar esta a minha
exibição padrão
Selecione uma exibição específica para tornar-se padrão em seu painel de
exibição. Para fazê-lo, clique na exibição e selecione essa opção.
Consulte também
Gerenciar exibições na página 433
Página Selecionar usuários
Selecione os usuários com os quais deseja compartilhar exibições, listas de observações ou relatórios.
Opção
Definição
Tabela
Relaciona todos os usuários no sistema. Selecione um ou mais.
Verificar um evento
Na exibição Análise de evento, é possível procurar eventos que correspondam a um ou mais campos do
evento no período selecionado antes e após o evento.
Tarefa
Ajuda.
1
2
No console do ESM, clique na lista de exibições e selecione Exibições de eventos | Análise de evento.
Clique em um evento, clique no ícone do menu
e em Verificar.
3
Selecione os minutos antes e depois da hora do evento para que o sistema procure uma
correspondência.
4
Clique em Selecionar filtro, selecione o campo no qual será feita a correspondência da pesquisa e, em
seguida, digite o valor.
Os resultados são mostrados na exibição Resultados da verificação.
Se você sair da exibição e desejar retornar para ela mais tarde, clique em Última verificação no menu
Análise de evento.
Consulte também
Página Verificação na página 435
434
Guia de produto
7
Página Verificação
Procure eventos que coincidam com um ou mais campos em um evento dentro do período que você
selecionar antes e após o evento.
Opção
Definição
Período
Selecione o número de minutos antes e depois do tempo do evento selecionado que
você desejar que o sistema pesquise por uma correspondência.
Selecionar filtro Selecione o tipo de arquivo e insira o valor que desejar pesquisar. Quando você
preencher um campo, outro campo será adicionado, permitindo que você adicione
quantos filtros forem necessários.
Clique para excluir um dos campos de filtro.
Consulte também
Verificar um evento na página 434
Exibir os detalhes do endereço IP de um evento
®
™
Se você tiver uma licença do McAfee Global Threat Intelligence (McAfee GTI) da McAfee, você terá
acesso à nova guia Detalhes da ameaça ao realizar a pesquisa Detalhes do endereço IP. Quando você seleciona
essa opção, detalhes sobre o endereço IP são retornados, incluindo dados de localização geográfica e
gravidade de riscos.
Antes de iniciar
Compre uma licença do McAfee GTI (consulte Lista de observação do McAfee GTI).
Se a sua licença do McAfee GTI tiver expirado, entre em contato com o engenheiro de
vendas da McAfee ou o Suporte da McAfee.
Tarefa
Ajuda.
1
2
No console do ESM, selecione uma exibição que inclua um componente de tabela, como Exibições de
eventos | Análise de evento.
Clique em um endereço IP, no ícone do menu
endereço IP e em Detalhes do endereço IP.
, em qualquer componente que tiver um
A guia Detalhes da ameaça lista os dados do endereço IP selecionado. Você poderá copiar os dados para a
área de transferência do sistema.
A opção Detalhes do endereço IP substituiu a opção Pesquisa WHOIS no menu de contexto. No entanto, a página
Detalhes do endereço IP inclui uma guia Pesquisa WHOIS que mostra essas informações.
Alterar a exibição padrão
A exibição Resumo padrão aparece no painel de exibição por padrão quando você efetuar logon no
console do ESM pela primeira vez. Você pode alterar essa exibição padrão para qualquer uma das
exibições padrão ou predefinidas no ESM.
Guia de produto
435
7
Tarefa
Ajuda.
1
Na barra de navegação do console ESM, clique em Opções e selecione Exibições.
2
Na lista suspensa Exibição do sistema padrão, selecione a nova exibição padrão e clique em OK.
Filtragem de exibições
No painel de filtros localizado no console principal do ESM, você pode configurar os filtros a serem
aplicados nas exibições. Os filtros aplicados a uma exibição são transferidos para a exibição seguinte,
que é aberta.
Na primeira vez que você entrar no ESM, haverá estes campos de filtro no painel de filtros padrão:
Usuário de origem, Usuário de destino, IP de origem e IP de destino. Você pode adicionar e excluir campos de filtro,
salvar conjuntos de filtro, alterar o conjunto padrão, gerenciar todos os filtros e iniciar o gerenciador
de normalização de cadeias.
Um ícone de funil laranja aparece no canto superior direito do painel de exibição para alertá-lo quando
os filtros forem aplicados à exibição. Se você clicar no ícone laranja, todos os filtros serão limpos e a
consulta será executada novamente.
Em qualquer lugar que haja valores de filtro separados por vírgula, como variáveis, filtros globais,
filtros locais, cadeias normalizadas ou filtros de relatório, use aspas caso eles não façam parte de uma
lista de observação. Se o valor for Santos,João, digite "Santos,João". Se houver aspas no valor, será
necessário colocar as aspas entre aspas. Se o valor for Santos,"Menino"João, insira-o como
"Santos,""Menino""João".
É possível usar os filtros contains e regex (consulte Descrição dos filtros contains e regex).
Consulte também
Filtrar uma exibição na página 436
Adicionar filtros de ID de evento do UCF e Windows na página 440
Selecionar IDs normalizados na página 441
Filtrar uma exibição
Os filtros ajudam a exibir detalhes dos itens selecionados em uma exibição. Se você inserir filtros e
atualizar a exibição, os dados refletirão os filtros adicionados.
Tarefa
Ajuda.
436
1
No console do ESM, clique na lista suspensa de exibições e selecione a exibição que deseja filtrar.
2
No painel Filtro, preencha os campos com os dados que deseja filtrar de uma destas formas:
•
Digite as informações do filtro no campo apropriado. Por exemplo, para filtrar a exibição atual e
ver somente os dados que tenham o endereço IP de origem 161.122.15.13, digite esse
endereço no campo IP de origem.
•
Digite um filtro contains ou regex (consulte Descrição dos filtros contains e regex).
Guia de produto
7
•
Clique no ícone Exibir lista de filtros
observação para filtrar.
•
Na exibição, selecione os dados que deseja usar como filtro e clique no campo do painel Filtro.
Se o campo estiver em branco, ele será automaticamente preenchido com os dados
selecionados.
ao lado do campo e selecione as variáveis ou as listas de
Para Gravidade média, use dois-pontos (:) para inserir um intervalo. Por exemplo, 60:80 é um intervalo
de gravidade de 60 a 80.
3
Para...
Faça isto...
Exibir dados que correspondam
a mais de um filtro
Insira os valores em cada campo.
a alguns valores de filtro e
excluam outros
1 Insira os valores de filtro que deseja incluir e excluir.
a filtros regulares e OR
1 Insira os valores de filtro nos campos regulares e OR.
2
Clique no ícone NÃO
ao lado dos campos que deseja excluir.
2 Clique no ícone OR ao lado dos campos que têm os valores
OR.
A exibição inclui os dados que correspondem aos valores dos
campos não marcados com OR e que correspondem a qualquer
um dos valores dos campos marcados com OR.
Pelo menos dois campos precisam estar marcados com OR
para que o filtro funcione.
Clique no ícone Não diferenciar maiúsculas de minúsculas
Fazer com que os valores de
filtro não diferenciem maiúsculas campo de filtro apropriado.
de minúsculas
Substituir as cadeias
normalizadas pelos respectivos
aliases
4
Clique no ícone Executar consulta
Clique no ícone de normalização de cadeia
campo de filtro apropriado.
ao lado do
ao lado do
.
A exibição será atualizada e os registros correspondentes aos valores inseridos serão exibidos. Um
ícone de filtro laranja aparece no canto superior direito do painel de exibição, indicando que os dados
da exibição são um resultado dos filtros. Se você clicar no ícone, os filtros serão limpos e a exibição
mostrará todos os dados.
Tarefas
•
Painel Filtros na página 438
O painel de filtros fornece opções para ajudá-lo a definir filtros para as exibições.
Consulte também
Filtragem de exibições na página 436
Painel Filtros na página 438
Página Filtros de consulta na página 439
Página Pesquisar na página 440
Guia de produto
437
7
Painel Filtros
O painel de filtros fornece opções para ajudá-lo a definir filtros para as exibições.
Ícone
Significado
Descrição
Dicas
Exiba uma dica de ferramenta ao clicar em um campo de
filtro.
Iniciar o gerenciador de Filtre uma cadeia e os respectivos aliases (consulte
normalização de cadeia Normalização de cadeia).
Executar consulta
Aplique os filtros atuais à exibição. Clique nesse ícone
quando você alterar um valor de filtro e desejar aplicá-lo à
exibição atual.
Limpar tudo
Limpe todos os filtros do painel de filtros.
Opções de conjuntos de Selecione uma ação a tomar com os conjuntos de filtros.
filtros
• Tornar padrão — Salva os valores de filtro inseridos como
padrão. Esses filtros são aplicados automaticamente
quando você entra.
• Restaurar padrão — Reverte os filtros aos valores padrão para
que você possa executar a consulta no conjunto de filtros
padrão.
• Salvar filtros preenchidos — Salva o conjunto de filtros atual e
adiciona-o à lista de filtros disponíveis, em que você
seleciona ao adicionar um filtro. Digite um nome para o
conjunto e selecione a pasta em que você deseja salvar o
conjunto.
• Gerenciar filtros — Abre a página Gerenciando conjuntos de filtros,
em que você organiza os conjuntos de filtros disponíveis.
Selecione um campo de filtro ou conjunto de filtros pelo
qual filtrar a exibição. Quando se clica no campo, um menu
suspenso lista todos os possíveis filtros e conjuntos de
filtros.
Exibir lista de filtros
Selecione as variáveis ou listas de observação para filtrar.
NÃO
Para exibir dados que coincidam com alguns valores de filtro
e excluir outros, clique ao lado dos campos que você deseja
excluir.
OU
Para exibir dados que coincidam com filtros OU e regulares,
clique nesse ícone ao lado dos campos que têm os valores
OU. A exibição inclui os dados que coincidem com os valores
dos campos não marcados com OU e que coincidam com
qualquer um dos valores dos campos marcados com OU.
Pelo menos dois campos precisam estar marcados com OU
para que esse filtro funcione.
438
Não diferencia
maiúsculas de
minúsculas
Para fazer com que os valores de filtro não diferenciem
maiúsculas de minúsculas, clique nesse ícone.
Normalização de
cadeia
Clique para substituir as cadeias normalizadas pelos
respectivos aliases.
Exibir filtros de
conjunto
Clique para exibir uma lista dos filtros incluídos em um
conjunto.
Guia de produto
7
Ícone
Significado
Descrição
Substituir valor
Clique para substituir o valor atual pelo valor que está no
conjunto de valores.
Remover este filtro
Clique para remover o campo do filtro dos filtros atuais.
Consulte também
Página Gerenciando conjuntos de filtros
Você pode adicionar conjuntos de filtros e usá-los para filtrar exibições, relatórios, consultas e os
alarmes de Desvio da linha de base e Taxa de eventos especificada. Você pode organizar e gerenciá-los na página
Gerenciando conjuntos de filtros.
Opção
Definição
Tabela
Exiba os conjuntos de filtros que foram adicionados ao ESM (consulte Painel
de filtros) e também todos os filtros possíveis. Você pode organizar essa lista
adicionando pastas e inserindo conjuntos de filtros nelas.
Adicionar pasta
Adicione uma nova pasta para ajudar na organização dos filtros. Depois de
adicionadas, você poderá arrastar e soltar conjuntos de filtros à nova pasta.
Adicionar conjunto de
filtros, Editar conjunto de
filtros
Adicione um novo conjunto de filtros à lista de filtros possíveis ou edite um
existente.
Renomear
Altere o nome da pasta selecionada ou conjunto de filtros.
Excluir
Exclua uma pasta ou filtro da lista.
Copiar
Copie um filtro existente. Depois que você o renomear, ele será adicionado à
parte inferior da lista. Você poderá usá-lo como modelo e fazer alterações em
suas configurações usando a opção Editar conjunto de filtros.
Compartilhar
Compartilhe as pastas selecionadas ou conjuntos de filtros com outros
usuários ou grupos no sistema.
Página Filtros de consulta
Configure filtros para uma exibição ou consulta de relatório. As opções disponíveis variam com base
no que será filtrado.
É possível usar os filtros contains e regex nesses campos (consulte Descrição dos filtros contains e
regex).
Opção
Definição
Última vez ou Intervalo de tempo
Clique na seta para baixo para selecionar o intervalo de tempo dos
dados que você deseja coletar. Para usar a hora selecionada para a
exibição, selecione Usar hora da exibição.
Para definir um horário personalizado, clique no ícone do calendário e
defina um período fixo ou personalizado.
ID de dispositivo ou Dispositivos
Clique no ícone de filtros (
desejar filtrar.
Campos
Clique em um campo e insira o valor. É exibida uma dica na parte
inferior da página.
) e selecione os dispositivos pelos quais
Guia de produto
439
7
Opção
Definição
Adicione um campo de filtro à lista de filtros atual. Quando se clica
no campo, um menu suspenso lista todos os filtros possíveis.
Ícone Exibir lista de filtros
Abre uma lista de valores que podem ser selecionados para o campo.
Clique para excluir o valor inserido no campo.
Ícone NÃO
Ícone OR
Clique para incluir dados em conformidade com filtros regulares e
OR. Insira os valores do filtro nos campos e clique no ícone OR ao
lado dos campos que têm os valores either/or. Por exemplo, para
incluir dados que correspondem a um IP de destino e a uma Porta de
destino e a uma porta de origem ou um IP de origem, insira os
valores em todos os quatro campos e clique no ícone OR ao lado de
Porta de origem e IP de origem.
Ícone Não diferencia
maiúsculas de minúsculas
Clique para incluir o valor inserido no campo desconsiderando o caso.
Ícone Normalização de cadeia Clique para substituir a cadeia normalizada inserida no campo por
todos os seus aliases.
Ícone Remover este filtro
Clique para remover o campo do filtro da lista de filtros atuais.
Consulte também
Página Pesquisar
Pesquise cadeias a serem adicionadas à lista de aliases.
Opção
Definição
Expressão regular
Insira uma expressão regular para pesquisar aliases.
Pesquisar
Clique para começar a pesquisa.
Resultados
Selecione os aliases que deseja adicionar à lista e clique em OK.
Consulte também
Adicionar filtros de ID de evento do UCF e Windows
Um dos desafios da compatibilidade com a conformidade normativa é a característica inerente às
normas, que estão sempre em constante mudança. A Unified Compliance Framework (UCF) é uma
organização que mapeia as especificidades de cada regulamento com IDs de controle harmonizadas. À
medida que as normas mudam, essas IDs são atualizadas e enviadas por push ao ESM.
•
440
Você pode filtrar por ID de conformidade para selecionar a conformidade necessária ou
subcomponentes específicos, ou por IDs de evento do Windows.
Guia de produto
7
Para...
Faça isto...
Adicionar filtros
UCF
1 No painel Filtros, clique no ícone de filtro ao lado do campo ID de conformidade.
2 Selecione os valores de conformidade que deseja usar como filtros e clique
em OK | Executar consulta
Adicionar filtros
de ID de evento
do Windows
.
1 Clique no ícone de filtro ao lado do ID de assinatura.
2 Em Filtrar variáveis, selecione a guia Windows.
3 Digite os IDs de evento do Windows (separados por vírgula) no campo de
texto ou selecione os valores que deseja filtrar na lista.
Consulte também
Selecionar IDs normalizados
Quando você cria uma nova exibição ou adiciona um filtro a uma exibição, pode optar por filtrar os
dados usando IDs normalizados.
Tarefa
Ajuda.
1
No console do ESM, realize uma destas ações:
•
Se você estiver criando uma nova exibição, clique em Filtros na segunda página do Assistente de
consulta (consulte Definir configurações do componente de exibição ou relatório).
•
Se você estiver adicionando filtros a uma exibição, selecione a exibição à qual deseja
adicioná-los. O painel Filtros fica à direita da tela.
2
Localize o campo ID normalizado, depois clique no ícone Filtros
3
Selecione os IDs, depois clique em OK.
.
Os números de ID selecionados são adicionados ao campo ID normalizado.
Consulte também
Uma lista de observação é um agrupamento de um tipo específico de informação que pode ser usado
como um filtro ou como uma condição de alarme.
Ela pode ser global ou compartilhada por um usuário ou grupo específico, e pode ser estática ou
dinâmica. Uma lista de observação estática consiste em valores específicos que são inseridos ou
importados. Uma lista de observação dinâmica consiste em valores que resultam de critérios de
pesquisa de expressão regular ou cadeia definidos por você.
Guia de produto
441
7
Uma lista de observação pode incluir no máximo 1.000.000 valores. A lista de valores nas páginas
Adicionar lista de observação ou Editar lista de observação pode exibir até 25.000 valores. Se houver mais, você
será informado de que há muitos valores a serem exibidos. Caso deseje editar uma lista de
observação adicionando valores que aumentem o número total para mais de 25.000, você deverá
exportar a lista existente para um arquivo local, adicionar os novos valores e depois importar a nova
lista.
É possível configurar os valores em uma lista de observação estática para que eles expirem. Cada
valor tem um carimbo de data/hora e expira quando a duração especificada é atingida, a menos que
seja atualizado. Os valores são atualizados quando um alarme é disparado, e eles são adicionados à
lista de observação. Você pode atualizar os valores configurados para expirar os anexando à lista com
a opção Anexar à lista de observação no menu de um componente de exibição (consulte Opções do menu de
componentes).
É possível configurar os valores em uma lista de observação dinâmica para que sejam atualizados
periodicamente. A origem é consultada com os dados informados e os valores são atualizados na hora
especificada.
Consulte também
Adicionar uma lista de observação na página 442
Lista de observação do McAfee GTI na página 445
Criar uma lista de observação de ameaça ou feeds do IOC da Internet na página 446
Adicionar uma lista de observação Hadoop HBase na página 447
Adicionar uma lista de observação
Adicione uma lista de observação ao ESM para que você possa usá-la como filtro em uma condição de
alarme.
Tarefa
Ajuda.
1
Acesse a página Listas de observação de uma destas formas:
•
•
No console do ESM, clique no ícone de início rápido Listas de observação
.
Na árvore de navegação do sistema, clique em Propriedades do sistema e em Listas de observação.
A tabela Listas de observação mostra todas as listas de observação do sistema.
Os IPs maliciosos do GTI e os IPs suspeitos do GTI aparecem na tabela, mas não contêm dados, a menos
que você tenha comprado uma licença do McAfee GTI da McAfee. Entre em contato com o
Engenheiro de vendas da McAfee ou com o suporte da McAfee para comprar uma licença.
2
Clique em Adicionar e preencha as informações solicitadas.
3
Clique em OK para adicionar a nova lista de observação à tabela de Listas de observação.
Consulte também
Listas de observação na página 441
Página Listas de observação na página 443
Página Adicionar lista de observação na página 443
442
Guia de produto
7
Página Listas de observação
Gerencie as listas de observação no ESM.
Opção
Definição
Tabela Listas de
observação
Exiba uma lista com todas as listas de observação no ESM.
• A coluna Tipo exibe o tipo de valor que a lista de observação contém.
• A coluna Estado exibe o número de valores recuperados na última atualização.
Para listas de observação de GTI, ela exibe o estado da atividade.
Os IPs maliciosos do McAfee GTI e os IPs suspeitos do McAfee GTI são exibidos na
tabela Listas de observação, mas não contêm dados, a menos que você tenha
comprado uma licença do McAfee GTI. Entre em contato com o engenheiro de
vendas ou com o suporte técnico para comprar uma licença (consulte Lista de
observação do McAfee GTI). Não é possível editar listas de observação do GTI.
Adicionar
Adicione novas listas de observação ao ESM.
Editar
Altere as configurações de uma lista de observação existente. Se a lista de
observação tiver mais de 25.000 valores, a área Valores indica que há mais valores
do que podem ser exibidos.
Remover
Exclua uma lista de observação do ESM.
Criar alarme
Crie um alarme usando os valores da lista de observação selecionada.
Compartilhar
Compartilhe uma lista de observação entre usuários ou grupos.
Importar
Importe listas de observação que tenham sido exportadas anteriormente.
Exportar
Exportar uma lista de observação.
Consulte também
Página Adicionar lista de observação
Adicione uma lista de observação ao ESM.
Guia
Opção
Definição
Principal
Nome
Digite um nome para a lista de observação.
Estática ou
Dinâmica
Selecione se a lista de observação será dinâmica ou estática. As listas de
observação estáticas consistem nos valores que você especificar. Listas de
observação dinâmicas consistem de valores que resultam de critérios de
pesquisa de expressão regular ou cadeia definidos por você.
Valores expiram
(Estática) Selecione para inserir um carimbo de data/hora em cada valor na
lista de observação para que ele expire quando especificado. Quando a
duração que você especificar for atingida, ele expira, a menos que seja
atualizado. Os valores são atualizados se um alarme disparar,
adicionando-os à lista de observação. Para atualizar os valores configurados
para expirar, anexe-os à lista com a opção Anexar à lista de observação no menu
de um componente de exibição.
Duração
(Estática) Selecione o período pelo qual deseja que os valores sejam
mantidos. O intervalo é de uma hora a 365 dias. Quando o tempo acaba, o
valor é excluído da lista de observação a menos que seja atualizado.
Ativar atualizações
automáticas
(Dinâmica) Selecione se deseja que a lista seja atualizada automaticamente
em uma hora especificada.
Atualizar
Selecione a frequência com que a pesquisa será atualizada. A lista de
valores existentes é substituída a cada vez que a pesquisa é executada.
Guia de produto
443
7
Guia
Opção
Definição
Origem
Selecione o tipo de origem da pesquisa. Os campos restantes na página variam com base no
tipo selecionado. Eles são, em maior parte, autoexplicativos.
Cadeias do ESM
Pesquisa a tabela StringMap, que contém cadeias encontradas em eventos.
Insira a expressão regular ou os critérios de pesquisa de cadeias no campo
Pesquisar. As pesquisas diferenciam maiúsculas de minúsculas por padrão.
Para executar uma pesquisa sem diferenciar maiúsculas de minúsculas,
coloque a cadeia de pesquisa ou a expressão regular entre barras, seguida
de i, como em /Exploração/i.
Nomes das regras
do ESM
Pesquisa as mensagens de regras na tabela Regra, que contém uma
pequena descrição da regra. Insira a expressão regular ou os critérios de
pesquisa de cadeias no campo Pesquisar. As pesquisas diferenciam
maiúsculas de minúsculas por padrão. Para executar uma pesquisa sem
diferenciar maiúsculas de minúsculas, coloque a cadeia de pesquisa ou a
expressão regular entre barras, seguida de i, como em /Exploração/i.
HTTP/HTTPS
Preencha estes campos:
• Autenticação — Selecione Básica se o site exigir nome do usuário e senha
para entrar. A configuração padrão é Nenhuma.
• Ignorar certificados inválidos — Se o site que você estiver tentando pesquisar
tiver um URL https, selecione essa opção para ignorar certificados SSL
inválidos.
• Método — Se o site que você desejar pesquisar exigir um argumento ou
conteúdo POST, selecione POST. A configuração padrão é GET.
Active
Response
Preencha estes campos:
• Coletor — Selecione o colector que deseja usar para efetuar pull de dados.
• Valor — Selecione a coluna de dados recuperados que deseja incluir na
lista de observação.
• Ou ou E — Selecione se deseja que todos os filtros sejam aplicados aos
dados (E) ou que somente um dos filtros seja aplicado (Ou). Isso somente
se aplica quando há dois ou mais filtros.
• Filtros — Filtros que você deseja aplicar à pesquisa.
• Adicionar filtro — Clique para adicionar outra linha de filtro. Pode haver, no
máximo, cinco filtros.
Para excluir um filtro, clique no ícone excluir, à direita do filtro.
Análise
Dados brutos
Quando a opção HTTP/HTTPS for selecionada como o tipo de origem, exiba
as primeiras 200 linhas do código-fonte no campo URL na guia Origem.
Trata-se apenas de uma visualização do site, mas é suficiente para gravar
uma expressão regular que seja correspondente. Uma atualização Executar
agora ou agendada da lista de observação inclui todas as correspondências
da pesquisa de expressão regular. Esse recurso aceita expressões regulares
com sintaxe RE2, como (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}).
Linhas de
Normalmente, um site da internet tem um código de cabeçalho que você
cabeçalho a ignorar não precisa pesquisar. Especifique quantas linhas a partir da parte superior
do site você deseja pular para que a pesquisa não inclua dados de
cabeçalho.
Novo delimitador
de linha
444
Digite o que será usado no site para separar os valores. Esse campo tem
um padrão de \n, que indica que uma nova linha é o delimitador. O outro
delimitador mais comum é a vírgula.
Guia de produto
7
Guia
Valores
Opção
Definição
Ignorar expressão
Digite uma expressão regular que removeria qualquer valor indesejado dos
resultados da sua pesquisa de expressão regular.
Expressão regular
(Obrigatório) Digite a lógica usada para encontrar uma correspondência e
extrair os valores do site. Use esta opção para criar uma expressão que
coincida com uma lista de endereços IP maliciosos ou somas de MD5
listadas em um site.
Grupo
correspondente
Se a sua expressão regular contiver vários grupos correspondentes,
selecione um grupo na lista suspensa.
Tipo
Selecione um tipo que atribua os resultados de pesquisa a um tipo de
campo. Esse tipo permite que a lista de observação seja usada em todo o
sistema, por exemplo, para filtros ou alarmes. Você pode alterar essa
configuração em uma lista de observação existente. Se ela tiver menos de
25.000 valores, o ESM verifica se os tipos antigos e novos são compatíveis
e retorna um erro caso não sejam. Se ela tiver mais de 25.000 valores,
você deve confirmar a compatibilidade.
Se for uma lista de observação dinâmica e você selecionar Cadeia como a
origem, o aplicativo não filtrará a pesquisa pelo tipo selecionado. Em vez
disso, a pesquisa retornará todas as cadeias correspondentes.
Valores
No caso de uma lista de observação estática, importe um arquivo de
valores no formato separados-por-linha ou digite os valores, um valor por
linha.
As listas de observação estáticas e dinâmicas têm o limite máximo de
1.000.000 valores.
No caso de uma lista de observação dinâmica, a tabela de valores será
preenchida com valores cada vez que uma pesquisa for executada.
Se houver mais de 25.000 valores na lista de observação, o campo Valores
indica que há mais valores do que podem ser exibidos.
O Nome do usuário identifica quem pode acessar o banco de dados. No
caso de LDAP, o nome do usuário deverá ser um nome de domínio
totalmente qualificado sem espaços, como:
uid=bob,ou=Users,dc=example,dc=com
ou
[email protected]
Limpar valores
Clique se você desejar excluir todos os itens da lista Valores.
Importar
Clique para adicionar valores importados à lista Valores. Se houver mais de
25.000 valores importados, uma mensagem indicará que nem todos os
valores importados podem ser exibidos.
Exportar
Clique se você deseja exportar a lista de valores.
Executar agora
Clique se você quiser executar a consulta agora. Os resultados preencherão
a caixa Valores.
Consulte também
Lista de observação do McAfee GTI
As listas de observação do McAfee GTI contêm mais de 130 milhões de endereços IP suspeitos e
maliciosos e suas gravidades, reunidos pela McAfee. Essas listas de observação podem ser usadas
Guia de produto
445
7
para disparar alarmes, para filtrar dados em relatórios e exibições, como um filtro para correlação de
regras e como uma origem de pontuação para um Gerenciador de correlação de riscos em um ACE.
Para adicionar os dados das listas ao seu sistema, você deve comprar uma licença do McAfee GTI da
McAfee. Depois que você fizer isso, as listas serão adicionadas ao seu sistema na próxima vez que
você fizer download de regras. Esse processo pode demorar várias horas devido ao tamanho do banco
de dados.
É necessário ter conexão com a Internet para fazer download das listas. Não é possível fazer download
delas off-line.
Essas listas não podem ser exibidas ou editadas, mas a tabela Listas de observação (Propriedades do sistema |
Listas de observação ) indica se a lista está ativa (contém valores) ou inativa (não contém valores).
Para comprar a licença do McAfee GTI, entre em contato com o seu engenheiro de vendas da McAfee
ou com o Suporte da McAfee.
Consulte também
Criar uma lista de observação de ameaça ou feeds do IOC da Internet
É possível criar uma lista de observação que possa ser atualizada periodicamente para efetuar pull de
ameaça ou feeds de indicadores de comprometimento (IOC) automaticamente da Internet.
Nessa lista de observação, você poderá visualizar os dados a serem recuperados pela solicitação HTTP,
bem como adicionar expressões regulares para filtrar esses dados.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, clique no sistema e no ícone Propriedades
2
Clique em Listas de observação e em Adicionar.
3
Preencha a guia Principal selecionando Dinâmica.
4
Clique na guia Origem e selecione HTTP/HTTPS no campo Tipo.
5
Preencha com as informações solicitadas nas guias Origem, Análise e Valores.
.
O campo Dados brutos, na guia Análise, é preenchido com as primeiras 200 linhas do código-fonte html.
Trata-se apenas de uma visualização do site, mas é suficiente para gravar uma expressão regular
correspondente. Uma atualização Executar agora ou agendada da lista de observação inclui todas as
correspondências da pesquisa de expressão regular. Esse recurso aceita expressões regulares com
sintaxe RE2, como (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) para que coincidam com um
endereço IP.
Consulte também
446
Guia de produto
7
Adicionar uma lista de observação Hadoop HBase
Adicione uma lista de observação usando Hadoop HBase como origem.
Tarefa
Ajuda.
1
Na árvore de navegação do sistema, selecione o sistema, clique no ícone Propriedades
de observação.
e em Listas
2
Na guia Principal do assistente Adicionar lista de observação, selecione Dinâmica, insira as informações
solicitadas e clique na guia Origem.
3
Selecione Hadoop HBase (REST) no campo Tipos e digite o nome do host, a porta e o nome da tabela.
4
Na guia Consulta, preencha a coluna de pesquisa e as informações de c

McAfee Enterprise Security Manager 9.6.0 Guia de produto

Transcrição

Documentos relacionados

CONEXÃO DOMÉSTICA – GOOGLE CHROME 1

CONFIGURAÇÃO DO MOZILLA FIREFOX PARA ABRIR

Como acessar rede UFPR de casa

Como entrar no ambiente do Yahoo Grupos?

ajuste de configuração para o funcionamento do internet explorer 7.0

Abertura de Chamados para Problemas Técnicos Equipamentos HP

Guia Rápido do GCC SignPal Aprendice

What is new for IBM Business Partners in Global Partner Portal 3.0

O photo Paint pertence ao pacote de aplicativos gráficos do

Trabalhando com o Webmail