McAfee Enterprise Security Manager 10.0.0 Guía de · PDF file• McAfee Advanced...

Guía de instalación

McAfee Enterprise Security Manager10.0.0

COPYRIGHT

© 2017 Intel Corporation

ATRIBUCIONES DE MARCAS COMERCIALESIntel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. McAfee y el logotipo de McAfee,McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global ThreatIntelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfeeTechMaster, McAfee Total Protection, TrustedSource y VirusScan son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de susempresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.

INFORMACIÓN DE LICENCIA

Acuerdo de licenciaAVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULALOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO,CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRAQUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UNARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NOACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE OAL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.

2 McAfee Enterprise Security Manager 10.0.0 Guía de instalación

Contenido

Prefacio 5Acerca de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Búsqueda de documentación de productos . . . . . . . . . . . . . . . . . . . . . . . . 6

1 Descripción general de la instalación 7Componentes de McAfee Enterprise Security Manager . . . . . . . . . . . . . . . . . . . 7Escenarios de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Descripción general de la instalación de McAfee ESM . . . . . . . . . . . . . . . . . . . 10

2 Instalación de los dispositivos McAfee ESM 13Requisitos de hardware y software para la consola de ESM . . . . . . . . . . . . . . . . . 13Identificación de una ubicación para la instalación . . . . . . . . . . . . . . . . . . . . 13Configuración del hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Inspección del embalaje y el dispositivo . . . . . . . . . . . . . . . . . . . . . 14Montaje del hardware en un bastidor . . . . . . . . . . . . . . . . . . . . . . . 15

3 Montaje del software de ESM en una máquina virtual 29Descripción general sobre el montaje de la imagen de VM de ESM . . . . . . . . . . . . . . 29Requisitos del sistema para la máquina virtual de ESM . . . . . . . . . . . . . . . . . . . 30Descarga de la imagen de máquina virtual de ESM . . . . . . . . . . . . . . . . . . . . 31Montaje del software de ESM en una máquina virtual de VMware ESXi . . . . . . . . . . . . 32

Requisitos de la máquina virtual de VMware ESXi . . . . . . . . . . . . . . . . . . 32Montaje de la máquina virtual de VMware ESXi . . . . . . . . . . . . . . . . . . . 32

Instalación de ESM en una KVM de Linux . . . . . . . . . . . . . . . . . . . . . . . . 33Requisitos de la KVM de Linux . . . . . . . . . . . . . . . . . . . . . . . . . 33Despliegue del software de ESM en una KVM de Linux . . . . . . . . . . . . . . . . 33

Configuración del software de ESM de máquina virtual . . . . . . . . . . . . . . . . . . . 34Configuración de la máquina virtual . . . . . . . . . . . . . . . . . . . . . . . 34Aplicación de una clave al dispositivo de máquina virtual . . . . . . . . . . . . . . . 36

4 Instalación de ESM en AWS 37Utilización de ESM con AWS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Creación del AWS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Creación de una imagen del ESM e instalación en AWS . . . . . . . . . . . . . . . . . . 39Configuración de conexiones de AWS para ESM . . . . . . . . . . . . . . . . . . . . . 43

5 Establecimiento de las conexiones de red de McAfee ESM 45Configuración de la interfaz de red de ESM . . . . . . . . . . . . . . . . . . . . . . . 45Configuración de la interfaz de red en ERC, ELM, ELS o ACE . . . . . . . . . . . . . . . . 46Configuración de la interfaz de red en DEM o ADM . . . . . . . . . . . . . . . . . . . . 47

6 Inicio de sesión y configuración iniciales del ESM 49Inicio de sesión en la consola de McAfee ESM . . . . . . . . . . . . . . . . . . . . . . 49

McAfee Enterprise Security Manager 10.0.0 Guía de instalación 3

Conexión de los dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Adición de dispositivos a la consola de ESM . . . . . . . . . . . . . . . . . . . . 51

Confirmación de que aparecen todos los dispositivos en ESM . . . . . . . . . . . . . . . . 51Aplicación de la clave a un dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . 52

7 Ampliación del software de McAfee ESM 53De qué dispone y qué necesita . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Preparativos para la ampliación . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

Copias de seguridad de la configuración y los datos de sistema de ESM . . . . . . . . . 57Comprobación del estado de ERC de disponibilidad alta . . . . . . . . . . . . . . . 59

Escenarios de ampliación especiales . . . . . . . . . . . . . . . . . . . . . . . . . . 60Descarga de los archivos de ampliación . . . . . . . . . . . . . . . . . . . . . . . . . 62Ampliación del software en un dispositivo . . . . . . . . . . . . . . . . . . . . . . . . 63Ampliación del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Ampliación de ESM, ESMREC o ENMELM . . . . . . . . . . . . . . . . . . . . . . . . 65Ampliación de los receptores de disponibilidad alta . . . . . . . . . . . . . . . . . . . . 66Proveedores de evaluación de vulnerabilidades disponibles . . . . . . . . . . . . . . . . . 67

A Escenarios de instalación alternativos 69Instalación de los adaptadores SAN qLogic 2460 o 2562 en el ELM o ELS . . . . . . . . . . . 69Instalación del DAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70Configuración evaluada según los Criterios comunes . . . . . . . . . . . . . . . . . . . 71Avisos normativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

B Activación del modo FIPS 75Selección del modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

Índice 77

Contenido


Prefacio

Esta guía le proporcionará toda la información que necesita para trabajar con su producto McAfee.

Contenido Acerca de esta guía Búsqueda de documentación de productos

Acerca de esta guíaEsta información incluye los destinatarios de la guía, las convenciones tipográficas y los iconosutilizados, además de cómo está organizada.

DestinatariosLa documentación de McAfee se recopila y se redacta meticulosamente para el público al que vadestinada.

La información de esta guía está dirigida principalmente a:

• Administradores: personas que implementan y aplican el programa de seguridad de la empresa.

ConvencionesEn esta guía se utilizan los siguientes iconos y convenciones tipográficas.

Cursiva Título de un manual, capítulo o tema; un nuevo término; énfasis

Negrita Texto que se enfatiza

Tipo de letramonoespacio

Comandos y texto de otra índole que escribe el usuario; un ejemplo decódigo; un mensaje que se presenta en pantalla

Tipo de letra estrecho en negrita Palabras de la interfaz del producto, como opciones, menús, botones ycuadros de diálogo

Azul hipertexto Un vínculo a un tema o a un sitio web externo

Nota: Información adicional para enfatizar una cuestión, recordarle algoal lector o proporcionar un método alternativo

Sugerencia: Información sobre prácticas recomendadas

Precaución: Consejos importantes para proteger su sistema informático,instalación de software, red, empresa o sus datos

Advertencia: Consejos fundamentales para impedir lesiones personalesal utilizar un producto de hardware


Búsqueda de documentación de productosEn el portal ServicePortal puede encontrar información sobre los productos publicados, por ejemplodocumentación de los productos, artículos técnicos, etc.

Procedimiento1 Vaya al portal ServicePortal en https://support.mcafee.com y haga clic en la ficha Centro de conocimiento.

2 En el panel Base de conocimiento, bajo Origen de contenido, haga clic en Documentación de productos.

3 Seleccione un producto y una versión, y haga clic en Buscar para ver una lista de documentos.

PrefacioBúsqueda de documentación de productos


https://support.mcafee.com

1 Descripción general de la instalación

En este documento se proporciona una descripción general sobre los componentes de McAfee®

Enterprise Security Manager (McAfee ESM), además del procedimiento de instalación y cableado de loscomponentes de hardware. Asimismo, se describe cómo montar el software en una máquina virtual(VM) o ampliar el software en los componentes existentes, además de cómo configurar inicialmentelos componentes en la red.

Contenido Componentes de McAfee Enterprise Security Manager Escenarios de configuración Descripción general de la instalación de McAfee ESM

Componentes de McAfee Enterprise Security ManagerMcAfee ESM y sus componentes se instalan en la red y se configuran a fin de identificarvulnerabilidades y amenazas.

Si se produce una amenaza, el ESM puede:

• Notificárselo mediante la interfaz de usuario, correo electrónico, SNMP o un mensaje de texto.

• Guardar el historial de la amenaza para su análisis.

• Actuar automáticamente sobre la amenaza en función de la directiva configurada.

Entre los componentes de McAfee ESM se cuentan los siguientes.

• McAfee® Enterprise Security Manager (McAfee ESM): disponible como componente de hardware omediante la instalación del software en una máquina virtual (VM), McAfee ESM muestra datossobre amenazas, fuentes de reputación, estado de vulnerabilidad y una vista de los sistemas, losdatos, los riesgos y las actividades dentro de la empresa.

• McAfee Event Receiver (ERC): disponible como un componente de hardware o mediante lainstalación del software en una VM, recopila hasta decenas de miles de eventos por segundo,analiza esos datos y los envía a los dispositivos ESM.

• McAfee Enterprise Log Manager (ELM): disponible como un componente de hardware o mediante lainstalación del software en una VM, recopila, comprime, firma y almacena todos los eventos paraproporcionar una pista de auditoría fidedigna de la actividad.

• McAfee Enterprise Log Search (ELS): un componente de hardware que recopila, indiza y almacenatodos los eventos para proporcionar una pista de auditoría fidedigna de la actividad. El ELS buscacon mayor rapidez los eventos mediante sus índices.

• McAfee Receiver/ELM (ELMERC): disponible como un componente de hardware o mediante lainstalación del software en una VM; incluye tanto el ELM como el ERC.

1


• McAfee Advanced Correlation Editor (ACE): disponible como un componente de hardware omediante la instalación del software en una VM, simplifica la correlación de eventos y el inicio paraidentificar y calificar los eventos de amenaza en tiempo real o de forma histórica mediante la lógicabasada en reglas y riesgos.

• McAfee Application Data Monitor (ADM): un componente de hardware que supervisa más de 500aplicaciones conocidas a través de toda la pila de la capa y captura todos los detalles de sesión detodas las infracciones.

• McAfee Database Event Monitor (DEM): un componente de hardware que automatiza larecopilación, la administración, el análisis, la visualización y la generación de informes del acceso ala base de datos para la mayor parte de plataformas de base de datos.

• McAfee Direct Attached Storage (DAS): un componente de hardware que se conecta al ESM, ELM oELS para ampliar el espacio de almacenamiento.

En las soluciones redundantes, se necesita un dispositivo DAS en cada sistema. Por ejemplo, dosESM redundantes y dos ELM redundantes requieren cuatro dispositivos DAS.

• Consola de ESM: un equipo con un navegador que los administradores de seguridad emplean paraconfigurar y administrar el ESM.

Podría utilizar solo un ESM combinado, o bien varios de estos componentes, en función de su entorno.

Para obtener información de configuración detallada, consulte la Guía del producto de McAfeeEnterprise Security Manager.

Escenarios de configuración Es posible configurar McAfee ESM únicamente con un ESM combinado, o bien agregar componentespara identificar las amenazas en una red empresarial extensa.

La adición de componentes al entorno de red permite aumentar el rendimiento, agregar funcionalidady aumentar la capacidad de almacenamiento de eventos. Por ejemplo, la adición de los siguientescomponentes o modelos más avanzados de los componentes existentes puede aumentar la protecciónde su red.

Los dispositivos ESM combinados instalados en una máquina virtual tienen límites en cuanto al númerode componentes que se pueden agregar.

• ACE: aumenta la capacidad de eventos por segundo (EPS), registros, flujos de red e informacióncontextual que se envían al ESM

• ADM: escucha el tráfico de capa 7 de la red para supervisar las aplicaciones que normalmente nose controlarían con el uso exclusivo de los registros; además, rastrea los detalles de transaccionesde la aplicación que se pueden almacenar.

• DEM: aumenta el número de transacciones de base de datos que se puede almacenar, afecta a laforma de acceder a esas transacciones y descubre bases de datos desconocidas en la red paraaumentar la seguridad.

• ERC: los ERC adicionales aumentan el rendimiento de EPS de los segmentos de red y los orígenesde datos conectados.

El rendimiento de EPS de un ERC depende del modelo.

• ELM: el ELM aumenta el número de registros sin procesar que se puede comprimir y almacenar. ElELM es el único dispositivo que almacena los registros en un "formato sin procesar" conforme.

1 Descripción general de la instalaciónEscenarios de configuración


• ELS: el ELS, en comparación con el ELM, aumenta la velocidad de búsqueda de datos de eventosmediante sus etiquetas de índice. Sin embargo, tiene una tasa de compresión mucho más baja queel ELM y no está destinado a satisfacer requisitos de conformidad.

• ESM: la adición de un ESM redundante permite cambiar con rapidez al ESM en espera si el ESMactivo falla o necesita mantenimiento.

Escenario con ESM simple

En esta figura se muestra que, con un solo dispositivo ESM, es posible obtener visibilidad sobre loseventos de la red.

Escenario con ESM complejo

En esta figura se muestra cómo una red empresarial extensa utiliza varios componentes de ESM paraobtener visibilidad sobre los eventos de la red. A medida que la red crece y aumentan los eventos, esposible agregar componentes de ESM.

Descripción general de la instalaciónEscenarios de configuración 1


Descripción general de la instalación de McAfee ESMEn este diagrama de flujo se ofrece una descripción general de los pasos necesarios para instalar lasolución ESM.

1 Descripción general de la instalaciónDescripción general de la instalación de McAfee ESM


Descripción general de la instalaciónDescripción general de la instalación de McAfee ESM 1


1 Descripción general de la instalaciónDescripción general de la instalación de McAfee ESM


2 Instalación de los dispositivos McAfeeESM

La instalación de los dispositivos de McAfee requiere su montaje en el bastidor, el cableado de losdispositivos y su encendido. Estas instrucciones de instalación se aplican a todos los modelos actualesde dispositivos McAfee ESM.

Contenido Requisitos de hardware y software para la consola de ESM Identificación de una ubicación para la instalación Configuración del hardware

Requisitos de hardware y software para la consola de ESMEl sistema empleado para la consola de McAfee ESM debe ajustarse a estos requisitos mínimos dehardware y software.

• Procesador: clase P4 (no Celeron) o superior (Mobile/Xeon/Core2, Corei3/5/7), o bien AMD claseAM2 o superior (Turion64/Athlon64/Opteron64, A4/6/8)

• RAM: 1,5 GB

• Sistema operativo Windows: Windows 2000, Windows XP, Windows 2003 Server, Windows Vista,Windows Server 2008, Windows Server 2012, Windows 7, Windows 8, Windows 8.1 o Windows 10

• Navegador: Internet Explorer 11 o posterior, Mozilla Firefox 42 o posterior, Google Chrome 48 oposterior

• Flash Player: versión 11.2.x.x o posterior

Las funciones de ESM emplean ventanas emergentes al cargar o descargar archivos. Desactive elbloqueador de ventanas emergentes para las direcciones IP o el nombre de host de su ESM.

Identificación de una ubicación para la instalaciónEs necesario analizar la red existente e identificar la ubicación de red y la ubicación física para losdispositivos. La ubicación correcta es necesaria para poder hacer un uso eficaz de los dispositivos.

A la hora de seleccionar una ubicación para sus dispositivos:

2


• Instale su dispositivo ESM en una ubicación en la red donde pueda administrar los dispositivos yresultar accesible para cualquier sistema que necesite acceder a él. Si la comunicación directa estárestringida entre los dispositivos gestionados por el ESM y los sistemas que ejecutan el ESM,configure la red de forma que se enrute el tráfico de red entre ellos.

• Instale el dispositivo ESM en una ubicación segura que solo resulte accesible para el personal deseguridad.

• El receptor debe resultar accesible para los dispositivos que supervisa. Si la comunicación directano resulta posible, es necesario configurar la red para permitir el correcto enrutamiento del tráficode red entre ellos.

Configuración del hardwareEstos son los pasos necesarios para instalar físicamente, conectar y encender sus dispositivos ESM.

Procedimientos• Inspección del embalaje y el dispositivo en la página 14

Antes de instalar el equipamiento, asegúrese de que no existan signos de daños omanipulación.

Inspección del embalaje y el dispositivoAntes de instalar el equipamiento, asegúrese de que no existan signos de daños o manipulación.

Procedimiento1 Cuando reciba su dispositivo, inspeccione el paquete y el dispositivo en busca de signos de daños o

manipulación, incluida la cinta de embalar que protege el contenedor de envío, donde los signos demanipulación serían evidentes.

Si existe algún signo de daños, manipulación incorrecta o alteración, póngase en contacto con elSoporte de McAfee inmediatamente a fin de recibir instrucciones y no instale el producto.

2 Verifique que el paquete contenga todos los elementos indicados en el albarán.

3 Si va a llevar a cabo una instalación FIPS, localice el sello a prueba de manipulación dentro delpaquete de accesorios incluido en el contenedor de envío. Aplique el sello de forma que bloqueepor completo los puertos USB, evitando así su uso sin que queden pruebas de la manipulación.

Figura 2-1 Sello antimanipulación de USB

Póngase en contacto con el Soporte técnico de inmediato si no está completamente satisfecho con lainspección.

2 Instalación de los dispositivos McAfee ESMConfiguración del hardware


Montaje del hardware en un bastidorMonte sus dispositivos ESM en un bastidor para que estos y sus cables queden protegidos de los dañoso de una posible desconexión.

Procedimientos• Instalación del juego de rieles AXXVRAIL en la página 15

Junto con cada dispositivo, se incluye un juego de rieles AXXVRAIL para la instalación en unbastidor.

• Extracción del chasis en la página 19Es posible sacar el chasis de los rieles a fin de reemplazar el dispositivo o de moverlo.

• Conexión a la red e inicio de los dispositivos en la página 19Después de instalar los dispositivos, establezca las conexiones de red y encienda losdispositivos.

Instalación del juego de rieles AXXVRAILJunto con cada dispositivo, se incluye un juego de rieles AXXVRAIL para la instalación en un bastidor.

El juego de rieles predeterminado que se incluye está diseñado para adaptarse a la mayoría desistemas de bastidor. Si este sistema de rieles no funciona, podría ser necesario comprar un sistemade rieles diseñado para su armario de servidor.

Instalación de los dispositivos McAfee ESMConfiguración del hardware 2


Procedimiento1 Instale los rieles en el bastidor.

a Tire del botón de liberación (F) a fin de retirar el elemento interno (D) de la corredera.

ComponentesA - Lengüeta delantera

B - Elemento exterior

C - Lengüeta trasera

D - Elemento interior

E - Pasador de bloqueo de seguridad

F - Botón de liberación



b Alinee las lengüetas en posición vertical en el bastidor y, después, inserte los tornillos.

c Mueva el retén a la parte delantera de la corredera.



2 Instale el chasis.

a Alinee los agujeros del elemento interior con los separadores del chasis.

b Mueva el elemento interior en la dirección mostrada en la imagen siguiente.

c Instale el chasis en las correderas fijas; para ello, tire del botón de liberación del elementointerior a fin de desbloquearlo y coloque el chasis en su sitio.



Extracción del chasisEs posible sacar el chasis de los rieles a fin de reemplazar el dispositivo o de moverlo.

Procedimiento1 Extienda al máximo las correderas hasta que se bloqueen.

2 Tire del botón de liberación a fin de soltar el bloqueo y desconecte el elemento interior de lacorredera.

3 Empuje la clavija de bloqueo de seguridad para soltar el elemento interior del chasis.

Conexión a la red e inicio de los dispositivosDespués de instalar los dispositivos, establezca las conexiones de red y encienda los dispositivos.

Procedimientos• Tipos de conectores y equipos en la página 20

Puede conectar los dispositivos ESM a la red mediante cables de cobre Ethernet estándar.

• Conexión de la alimentación e inicio de los dispositivos en la página 27La conexión de la alimentación y el proceso de inicio es similar para todos los componentesde hardware de ESM.



Tipos de conectores y equiposPuede conectar los dispositivos ESM a la red mediante cables de cobre Ethernet estándar.

Conecte los dispositivos correspondientes al ESM, el receptor, el ADM y el DEM a la red medianteconectores de cobre. Los cables de cobre CAT5 cuentan con conectores RJ-45. Utilice CAT5 o superiorpara las conexiones de cobre. En el caso de las conexiones Gigabit, use CAT5e.

El ADM y el DEM requieren un analizador de puertos de conmutador (SPAN) de red o una conexión depunto de acceso para pruebas (TAP) a fin de escuchar el tráfico de red. Esto significa que el conmutadorconectado debe duplicar el tráfico de otros puertos de conmutador que se encuentran normalmente enel conmutador conectado.

Es posible conectar equipo de terminación del circuito de datos (ETCD) y equipo terminal de datos(ETD) a los dispositivos ESM.

• Los firewalls y enrutadores son ETD, mientras que los conmutadores son ETCD.

• Los dispositivos ESM son ETD.

Cables de redTodos los dispositivos ESM utilizan conexiones de cable de cobre. Emplean cables macho RJ-45 decobre de conexión directa o cruzados.

• Para conectar el puerto RJ-45 de un dispositivo ESM al ETCD, utilice un cable directo.

• Para conectar con un ETD, utilice un cable cruzado.

Para distinguir un cable directo de un cable cruzado, sujete ambos extremos del cable como se indica:

• En un cable directo, los hilos de colores presentan la misma secuencia en ambos lados.

• En un cable cruzado, el primer hilo de color (extremo izquierdo) de un lado es del mismo color queel tercer hilo del otro extremo del cable.

Puertos de redIdentifique los puertos de los dispositivos de McAfee y conecte los cables.

Los dispositivos contienen puertos de administración, así que se pueden administrar desde McAfeeESM.

En las imágenes siguientes se identifican los puertos de administración y de recopilación.

Conexiones 1U para ERC y ADM



Puerto IPMI

Eth0 La conexión varía según el dispositivo:• ERC — Admin. 1

• ADM — Admin. 2

Eth1 La conexión varía según el dispositivo:• ERC — Admin. 2

• ADM — Admin. 1

Eth5 La conexión varía según el dispositivo:• ERC — Se puede utilizar como puerto Admin. adicional

• ADM — Puertos de recopilación (analizador de protocolos o sniffer)







Supervisión de la conexión

Conexiones 1U para ERC de disponibilidad alta



Para la disponibilidad alta:• Principal — Puerto IPMI al puerto Eth5 del secundario, puerto 1 del NIC de 4 puertos

• Secundario — Puerto IPMI al puerto Eth5 del principal, puerto 1 del NIC de 4 puertos

Eth0 Admin. 1 configurado con direcciones IP exclusivas

Eth1 Admin. 2 (puerto de datos) configurado con una dirección IP compartida

Eth5 Para la disponibilidad alta:• Principal — Puerto 1 del NIC de 4 puertos al puerto IPMI del secundario

• Secundario — Puerto 1 del NIC de 4 puertos al puerto IPMI del principal

Eth4 Conexión de latido entre dispositivos de disponibilidad alta

Eth3 No se usa

Eth2 No se usa


Conexiones 2U para ERC



Eth7 Disponibilidad alta reservada para conexiónIPMI

Eth6 Disponibilidad alta reservada para latido

Eth5 Se puede utilizar como puerto Admin.adicional

Se muestra en la interfaz gráfica de usuariocomo "Interfaz 6"



Eth0 Admin. 1 Se muestra en la interfaz gráfica de usuariocomo "Interfaz 1"








Puerto IPMI

Conexiones 2U para ERC de disponibilidad alta



Eth7 Para la disponibilidad alta:• Principal — Puerto 1 del NIC de 4 puertos al puerto IPMI del secundario

• Secundario — Puerto 1 del NIC de 4 puertos al puerto IPMI del principal

Eth6 Conexión de latido

Eth5 Se puede utilizar como puerto Admin. adicional


Eth0 Admin. 1 configurado con direcciones IP exclusivas

Eth1 Admin. 2 (puerto de datos) configurado con dirección IP compartida





Para la disponibilidad alta:• Principal — Puerto 1 del NIC de 4 puertos a puerto IPMI del secundario

• Secundario — Puerto IPMI al puerto 1 del NIC de 4 puertos del principal

Conexiones 2U para ADM

Eth7 Puerto SPAN o TAP




Eth0 Admin. 1 Se muestra en la interfaz gráfica deusuario como "Interfaz 1"


Se muestra en la interfaz gráfica deusuario como "Interfaz 2"






Puerto IPMI

Conexiones 2U para DEM



De Eth4 a Ether7 Puertos SPAN o TAP

Eth0 Admin. 1

Eth1 Admin. 2

Eth2 y Eth3 Puertos de recopilación (analizador de protocolos o sniffer)


Puerto IPMI

Conexiones 2U para ETM, ELMERC, ELM, ELS, ACE y ENMELC

Eth0 Admin. 1

Eth1 Admin. 2




Puerto IPMI

Conexiones de cables de datos del DAS

Conexiones de entrada SAS habituales del DAS

Conexiones de salida SAS habituales del DAS

Véase también Identificación de una ubicación para la instalación en la página 13

Conexión de la alimentación e inicio de los dispositivosLa conexión de la alimentación y el proceso de inicio es similar para todos los componentes dehardware de ESM.

Procedimiento1 Conecte el cable de suministro eléctrico a la fuente de alimentación. Instale y conecte a tierra de

forma adecuada el equipo de acuerdo con las normativas nacionales, regionales y locales.

Conecte todos los dispositivos ESM a sistemas de alimentación ininterrumpida (SAI) independientes.La conexión de cables y módulos de alimentación redundantes en condiciones normales defuncionamiento equilibra la carga a través del diseño paralelo, lo cual resulta en un sistema dealimentación fiable.

2 Encienda el dispositivo.





3 Montaje del software de ESM en unamáquina virtual

Puede montar el software de McAfee ESM en una VM de ESXi o en servidores de máquina virtualbasada en el kernel (KVM) de Linux.

Contenido Descripción general sobre el montaje de la imagen de VM de ESM Requisitos del sistema para la máquina virtual de ESM Descarga de la imagen de máquina virtual de ESM Montaje del software de ESM en una máquina virtual de VMware ESXi Instalación de ESM en una KVM de Linux Configuración del software de ESM de máquina virtual

Descripción general sobre el montaje de la imagen de VM deESM

El montaje del software de ESM en una máquina virtual es similar para una VM de ESXi y una KVM deLinux.

Este diagrama de flujo muestra las tareas principales necesarias para instalar y configurar los distintostipos de software de VM.

3


Requisitos del sistema para la máquina virtual de ESMLa máquina virtual (VM) utilizada para la VM de McAfee ESM se debe configurar con estos requisitosmínimos.

• Procesador: de 8 núcleos y 64 bits, Dual Core2/Nehalem o superior, o bien AMD Dual Athlon64/Dual Opteron64 o superior

• RAM: depende del modelo (4 GB o más)

3 Montaje del software de ESM en una máquina virtualRequisitos del sistema para la máquina virtual de ESM


• Espacio en disco: depende del modelo (250 GB o más)

• ESXi 5.0 o posterior

• Aprovisionamiento grueso o fino: debe decidir los requisitos de disco duro necesarios para suservidor. El requisito mínimo es de 250 GB, a menos que la máquina virtual adquirida cuente conmás. Consulte las especificaciones correspondientes a su producto de VM.

Aprovisionamiento de disco grueso o fino: cuando configure el espacio de disco de su VM, use elaprovisionamiento grueso en caso de disponer el espacio en disco real disponible en su servidor ESXi.El aprovisionamiento fino ahorra espacio en disco, pero existe un ligero efecto en el rendimiento y hayque tener cuidado de no llegar nunca a llenar ese espacio de disco totalmente.

Descarga de la imagen de máquina virtual de ESMLa descarga de la imagen de máquina virtual del software ESM es similar para una VM de ESXi y unaKVM de Linux.

Antes de empezarEs necesario disponer del número de concesión de McAfee para descargar la imagen de VMdel software ESM del sitio de descargas.

Procedimiento1 Mediante el navegador y esta dirección URL, acceda al sitio de descargas de McAfee:

Descarga de productos, software de prueba y herramientas de seguridad gratuitas

2 Haga clic en Descargar, escriba su número de concesión de McAfee, indique el código Captcha y hagaclic en Enviar.

3 En la página Mis productos, desplácese hacia abajo por la lista y haga clic en una de las descargasde VM de McAfee Enterprise Security Manager**.

El número del nombre del archivo de descarga indica el número de núcleos que la imagen de ESMasigna a la máquina virtual. Por ejemplo, el archivo "VM32" asigna 32 núcleos a la máquina virtual.

4 Haga clic en la ficha Versión actual y seleccione la imagen VM de McAfee Enterprise Security Manager.

5 Seleccione una de las siguientes descargas.

• Imagen de KVM: para descargar el archivo de imagen comprimido correspondiente a una máquinavirtual basada en el kernel de Linux.

• Archivo de despliegue OVF: para descargar el archivo .ova correspondiente al cliente ESXi de VMwarevSphere.

6 Guarde el archivo de imagen en una ubicación de su sistema local.

Ahora ya puede instalar o desplegar el archivo de imagen de máquina virtual a fin de crear su VM deESM.

Montaje del software de ESM en una máquina virtualDescarga de la imagen de máquina virtual de ESM 3


http://www.mcafee.com/us/downloads/downloads.aspx

Montaje del software de ESM en una máquina virtual deVMware ESXi

Tras descargar el software de ESM, lleve a cabo estas tareas para montar el software en una máquinavirtual de VMware ESXi.

Requisitos de la máquina virtual de VMware ESXiLa máquina virtual de VMware ESXi debe ajustarse a los siguientes requisitos mínimos.

• Procesador: de 4 núcleos o más según el modelo, 64 bits, Dual Core2/Nehalem o superior, o bienAMD Dual Athlon64/Dual Opteron64 o posterior

El número de núcleos de CPU que admite la imagen está indicado en el nombre de archivo de laimagen. Por ejemplo, la imagen "VM de McAfee Enterprise Security Manager4" admite 4 núcleos. Noes posible agregar ni eliminar procesadores de la VM, como tampoco cambiar su número de ID.

• RAM: mínimo de 4 GB (depende del modelo)

• Disco: mínimo de 250 (depende del modelo)

El hecho de compartir la CPU o la RAM con otras máquinas virtuales afecta al rendimiento de la VMESXi.

• ESXi: 5.0 o posterior

Puede seleccionar el espacio libre en el disco duro necesario para el servidor. Sin embargo, losrequisitos de la máquina virtual dependen del modelo del dispositivo (250 GB como mínimo). Si nocuenta con un mínimo de 250 GB disponibles, recibirá un error al desplegar la máquina virtual.

Este espacio de disco es para el sistema operativo y no incluye el espacio necesario para la base dedatos o los registros.

La máquina virtual hace uso de diversas funciones que requieren CPU y RAM. Si el entorno ESXicomparte los requisitos de CPU o RAM con otras máquinas virtuales, el rendimiento de la máquinavirtual se verá afectado.

McAfee recomienda configurar la opción de aprovisionamiento con el valor Thick (Grueso).

Montaje de la máquina virtual de VMware ESXiTras montar una máquina virtual de VMware ESXi y aplicarle la clave, esta imita el funcionamientonormal de ESM.

Procedimiento1 Acceda a la raíz de la unidad de CD (para la instalación mediante CD) o descargue los archivos .ova

de ESX desde el sitio de descarga.

2 En vSphere Client (Cliente vSphere), haga clic en la IP del servidor en el árbol de dispositivos.

3 Haga clic en File (Archivo) y seleccione Deploy OVF Template (Desplegar plantilla OVF).

4 Designe el nombre, la carpeta para montar la máquina virtual, la configuración deaprovisionamiento de disco y la opción VM Networking (Red de máquina virtual).

5 Despliegue los archivos en el servidor ESXi, seleccione la máquina virtual y configure la opción EditVirtual Machine (Editar máquina virtual).

3 Montaje del software de ESM en una máquina virtualMontaje del software de ESM en una máquina virtual de VMware ESXi



6 Seleccione la configuración de red correcta para sus conmutadores/adaptadores de red de VMwareESXi y, después, haga clic en Play (Ejecutar) para iniciar la máquina virtual.

7 Mediante el menú de la máquina virtual, establezca la dirección IP de administración 1, la máscarade red, el gateway y las direcciones DNS; a continuación, pulse Esc para activar el menú.

8 Configure la interfaz de red en la máquina virtual, guarde los cambios antes de salir de la ventanaMenu (Menú) y aplique la clave al dispositivo. Véase la Guía del producto de McAfee EnterpriseSecurity Manager para obtener detalles sobre la aplicación de una clave a los dispositivos.

Instalación de ESM en una KVM de LinuxTras descargar el software de ESM, lleve a cabo estas tareas para instalar el software en una KVM deLinux.

Requisitos de la KVM de LinuxLa KVM de Linux donde instale el software de ESM debe reunir estos requisitos mínimos.

Requisitos mínimos

• Procesador: de 4 núcleos o más según el modelo, 64 bits, Dual Core2/Nehalem o superior, o bienAMD Dual Athlon64/Dual Opteron64 o posterior (para los procesadores)

El número de núcleos de CPU que admite la imagen está indicado en el nombre de archivo de laimagen. Por ejemplo, la imagen "VM de McAfee Enterprise Security Manager4" admite 4 núcleos. Noes posible agregar ni eliminar procesadores de la VM, como tampoco cambiar su número de ID.

• RAM: depende del modelo (4 GB o más)

• Espacio en disco: depende del modelo (250 GB o más)

El hecho de compartir la CPU o la RAM con otras máquinas virtuales afecta al rendimiento de KVM.

• Dos interfaces Ethernet Virtio para dispositivos receptores de ESM

• (tres para dispositivos IPS)

Estas interfaces utilizan direcciones MAC secuenciales.

• Un controlador de disco Virtio/Virtio-SCSI, que controla el disco duro virtual Virtio

Despliegue del software de ESM en una KVM de LinuxPara ejecutar McAfee ESM en un entorno de KVM (máquina virtual de kernel) de Linux, es necesarioimportar la imagen del disco duro del conjunto de archivos (archivo .tgz).

Procedimiento1 Obtenga el conjunto de archivos (.tgz) actual mediante la página de descargas de McAfee

Enterprise Security Manager.

El conjunto de archivos contiene archivos de configuración de muestra.

2 Mueva el conjunto de archivos al directorio donde desee que resida el disco duro virtual.

Montaje del software de ESM en una máquina virtualInstalación de ESM en una KVM de Linux 3


https://secure.mcafee.com/apps/downloads/my-products/login.aspx?region=us

https://secure.mcafee.com/apps/downloads/my-products/login.aspx?region=us

3 Extraiga el contenido del conjunto de archivos mediante la ejecución de este comando: tar –xfMcAfee_ETM_VM4_250.tgz.

tar –xf McAfee_ETM_VM4_250.tgz

Para desplegar varias máquinas virtuales del mismo tipo en la misma ubicación, cambie el nombredel disco duro virtual.

De ERC-VM4-disk-1.raw, ERC-VM4-disk-2.raw a, por ejemplo, mi_primer_erc.raw,mi_segundo_erc.raw.

4 Cree una máquina virtual en el hipervisor de KVM mediante:

(libvirt, qemu-kvm, proxmox, virt-manager, ovirt)

5 Apunte la imagen de la máquina virtual hacia el disco duro virtual existente (archivo .raw de discoVirtio) donde extrajo el conjunto de archivos.

Configuración del software de ESM de máquina virtualUna vez montado el software de ESM en la máquina virtual, es necesario configurar la conexión deinterfaz de red de la máquina virtual, conectar con el ESM mediante la consola de ESM y aplicar unaclave al dispositivo para establecer una conexión.

Procedimientos• Configuración de la máquina virtual en la página 34

Una vez montado el software de ESM en la máquina virtual, configure la interfaz de red.

• Aplicación de una clave al dispositivo de máquina virtual en la página 36Es necesario aplicar una clave al dispositivo para establecer un vínculo entre el dispositivo yel ESM.

Configuración de la máquina virtualUna vez montado el software de ESM en la máquina virtual, configure la interfaz de red.

Procedimiento1 Conecte un monitor y un teclado al dispositivo; a continuación, enciéndalo.

El proceso de arranque finaliza en unos dos minutos y aparece esta página virtual en la pantallaLCD.

2 Para iniciar la configuración, pulse Esc dos veces, desplácese hacia abajo hasta MGT IP Conf (Conf. IPadmin.) y pulse Entrar.

3 Montaje del software de ESM en una máquina virtualConfiguración del software de ESM de máquina virtual


3 Para establecer la dirección IP de la máquina virtual de ESM:

a Desplácese hacia abajo hasta Mgt1 (Admin.1) y pulse Entrar.

b Desplácese hacia abajo hasta IP Address (Dirección IP) y pulse Entrar.

c Utilice las flechas para cambiar el valor del dígito activo y para pasar de un dígito a otro; acontinuación, pulse Entrar.

4 Para establecer la dirección de la máscara de red IP:

a Desplácese hacia abajo hasta Netmask (Máscara de red) y pulse Entrar.

b Utilice las flechas para cambiar el valor del dígito activo y para pasar de un dígito a otro; acontinuación, pulse Entrar.

5 Para establecer la dirección IP del gateway de red:

a Desplácese hacia abajo hasta Gateway IP (IP de gateway) y pulse Entrar.


6 Para establecer la dirección IP de DNS:

a Desplácese hacia abajo hasta DNS1 IP (IP de DNS1) y pulse Entrar.


7 Para configurar si se debe usar DHCP:

a Desplácese hacia abajo hasta DHCP (DHCP) y pulse Entrar.

b Alterne el valor entre Y (Sí) y N (No) y pulse Entrar para seleccionar la configuración correcta.

8 Para salir y guardar los cambios:

a Desplácese hacia abajo hasta Done (Listo) y pulse Entrar para volver a MGT IP Conf (Conf. IPadmin.).

b Desplácese hacia abajo hasta Save Changes (Guardar cambios) y pulse Entrar.

9 Para llevar a cabo pasos opcionales a fin de configurar FIPS o para cambiar el puerto decomunicación, pulse la flecha hacia abajo dos veces y, después, pulse Entrar.

a Desplácese hacia abajo hasta Comm Port (Puerto comun.) y pulse Entrar.

b Cambie el número de puerto y pulse Entrar.

Tome nota del nuevo número de puerto; lo necesitará a la hora de aplicar la clave al dispositivo.

10 Véase Inicio de sesión en la consola de McAfee ESM para empezar a configurar los ajustes de lamáquina virtual de ESM.

11 Véase Aplicación de una clave al dispositivo de máquina virtual para agregar la clave SSH a lamáquina virtual de ESM.

Para completar la configuración, inicie sesión en la consola de ESM mediante la dirección IPconfigurada y su navegador.

Montaje del software de ESM en una máquina virtualConfiguración del software de ESM de máquina virtual 3


Aplicación de una clave al dispositivo de máquina virtualEs necesario aplicar una clave al dispositivo para establecer un vínculo entre el dispositivo y el ESM.

Antes de empezarConecte físicamente el dispositivo a la red. Véase Instalación de los dispositivos McAfeeESM para obtener detalles.

Procedimiento1 En el árbol de navegación del sistema, haga clic en un sistema o un grupo y, después, en el icono

Agregar dispositivo del panel de acciones.

2 Introduzca la información solicitada en cada página del Asistente de adición de dispositivos.

3 Montaje del software de ESM en una máquina virtualConfiguración del software de ESM de máquina virtual


4 Instalación de ESM en AWS

La instalación de McAfee ESM en un servidor virtual de Amazon Web Services (AWS) elimina laposibilidad de un fallo de hardware.

Contenido Utilización de ESM con AWS Creación del AWS Creación de una imagen del ESM e instalación en AWS Configuración de conexiones de AWS para ESM

Utilización de ESM con AWSUn servidor virtual de Amazon Web Services (AWS) proporciona las mismas funciones y el mismorendimiento que una máquina virtual de McAfee ESM configurada localmente.

Los pasos básicos para crear un servidor de AWS en su red con McAfee ESM incluyen:

1 Obtenga una cuenta de AWS en http://aws.amazon.com/.

2 Inicie sesión en la consola de administración de AWS y configure su instancia de AWS.

3 Instale el software correspondiente a ESM, ERC, ELM, ELS o ACE.

4 Configure el dispositivo ESM.

Creación del AWSPara poder instalar ESM en un servidor de AWS, es necesario crear el servidor con la configuraciónadecuada y crear una conexión con la red empresarial.

Antes de empezarEs necesario disponer de una cuenta de Amazon Web Services.

Este ejemplo y los valores seleccionados describen la creación de un servidor de ESM simple. Losvalores seleccionados podrían ser diferentes.

4


http://aws.amazon.com/

ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, hagaclic en ? o en Ayuda.

1 Inicie sesión en la consola de AWS para ver la página correspondiente.

2 Establezca la región del centro de datos de AWS de acuerdo con la ubicación más cercana a lamayoría de sus redes.

3 Debajo de Compute (Cómputo), haga doble clic en EC2 (Amazon Elastic Compute Cloud) paraacceder a la pantalla Step 1: Choose an Amazon Machine Image (AMI) [Paso 1: Elegir una AmazonMachine Image (AMI)] y seleccione la instancia del servidor Amazon Linux AMI (AMI de Linux deAmazon).

Este tipo cuenta con las herramientas de AWS/EC2 previamente instaladas. Si elige otros tipos deLinux, tendrá que instalar las herramientas de AWS/EC2.

4 Acceda a Step 2: Choose an Instance Type (Paso 2: Elegir un tipo de instancia), seleccione m3.largey haga clic en Next: Configure Instance Details (Siguiente: Configurar detalles de instancia).

A la hora de elegir el tipo de instancia para un dispositivo de McAfee, asegúrese de seleccionar elnúmero de CPU correcto.

5 Haga clic en Next: Configure Instance Details (Siguiente: Configurar detalles de instancia) para seleccionarla red que se utilizará al ejecutar la instancia.

Asegúrese de poder conectar con su instancia mediante:

• Dirección pública

• Dirección privada

Puede crear su propia Virtual Private Cloud en AWS. Para obtener más información, véase VPC en lalista desplegable de servicios.

6 Haga clic en Next: Add Storage (Siguiente: Agregar almacenamiento) para acceder a la página Step 4:Add Storage (Paso 4: Agregar almacenamiento). Deje los valores predeterminados seleccionadospara la instancia de "compilación" de Amazon.

El valor predeterminado para los dispositivos de McAfee es 250 GB. Puede agregar más volúmenessi los necesita.

7 Haga clic en Next: Tag Instance (Siguiente: Etiquetar instancia) para acceder a la página Step 5: TagInstance (Paso 5: Etiquetar instancia). Escriba un nombre para poder localizar la instancia en lacolumna "Value" (Valor).

8 Haga clic en Next: Configure Security Group (Siguiente: Configurar grupo de seguridad) a fin de acceder ala página Step 6: Configure Security Group (Paso 6: Configurar grupo de seguridad) y seleccioneuna opción.

• Create a new security group (Crear un nuevo grupo de seguridad): un nuevo grupo de seguridadlimita quién puede iniciar sesión en la instancia.

Agregue su intervalo de direcciones IP externo.

• Select existing security group (Seleccionar grupo de seguridad existente).

4 Instalación de ESM en AWSCreación del AWS


9 Haga clic en Review and Launch (Revisar y ejecutar) para acceder a Step 7: Review Launch Instance(Paso 7: Revisar ejecución de instancia); a continuación, haga clic en Launch (Ejecutar).

Ignore la advertencia que aparece: Your instance configuration is not eligible for the free usage tier (Laconfiguración de su instancia no es elegible para el nivel de uso gratuito).

10 Seleccione un par de claves existente o cree un par de claves nuevo; lo necesitará para iniciarsesión en la nueva instancia.

11 Haga clic en Launch Instance (Ejecutar instancia) y en View Instances (Ver instancias) para confirmar elestado del servidor de AWS.

Su instancia podría tardar entre 20 y 30 minutos en estar lista para acceder a ella. Cuando en lacolumna Status Checks (Comprobaciones de estado) situada junto a su instancia nueva aparezca2/2 checks (2/2 comprobaciones), estará todo listo para iniciar el proceso de instalación.

12 Anote la dirección IP pública. En este ejemplo, se representa así: cc.dd.ee.ff.

Esta dirección IP es necesaria para transferir el instalador a la instancia y para iniciar sesión.

Ha finalizado la creación de su servidor de AWS. Continúe con la creación de la imagen de AWS y elproceso de instalación.

Creación de una imagen del ESM e instalación en AWSLa instalación de ESM en un servidor de AWS es diferente a la instalación del software en un servidorfísico. En los pasos siguientes se describe el proceso.

Antes de empezarDebe haber creado el servidor de AWS y conectado con él previamente.

Es necesario conocer la dirección IP configurada del servidor de AWS.


1 Use scp o pscp (PuTTY Secure Copy Client) para convertir el archivo .pem a .ppk.

Por ejemplo, mediante Secure Copy Client, utilice este comando para convertir el archivo de clave ytransferirlo a la nueva instancia de AWS:

scp -i mykeypair.pem siem_install.sh [email protected]:

Mediante PuTTY Secure Copy Client, utilice este comando para convertir el archivo:

pscp -i mykeypair.pem siem_install.sh [email protected]>:

Estas son las variables de los ejemplos anteriores.

• siem_install.sh: nombre del archivo de conversión

• ec2-user: nombre de usuario

• cc.dd.ee.ff: dirección IP

Instalación de ESM en AWSCreación de una imagen del ESM e instalación en AWS 4


En el caso de Windows, utilice WinSCP para copiar el archivo a su instancia mediante la conversióndel archivo .pem a .ppk para PuTTY o WinSCP. Para obtener más información, consulte esta páginade ayuda de Amazon: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html.

Para descargar e instalar el cliente SSH PuTTY y el cliente Telnet, véase: http://www.putty.org/.

2 Inicie sesión en la nueva instancia de AWS, ya sea mediante SSH o PuTTY, con este comando:

ssh -i mykeypair.pem [email protected] son las variables del ejemplo.

• mykeypair.pem: nombre de archivo SSH de conversión

• ec2-user: nombre de usuario

• cc.dd.ee.ff: dirección IP

3 Escriba este comando para cambiar a root y pulse Entrar:

sudo su

4 Ejecute aws configure como root y proporcione los valores de Access Key ID (ID de clave deacceso) y Secret Access Key (Clave de acceso secreta) que se le han proporcionado mediante estoscomandos:

[root@<IP address> <ec2-user name>]# aws configure

AWS Access Key ID [None]: <Access Key ID>

AWS Secret Access Key [None]: <Secret Access Key>

Default region name [None]: (Dejar en blanco y pulsar Entrar)

Default output format [None] (Dejar en blanco y pulsar Entrar)

Para obtener más información sobre estas claves, consulte http://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSGettingStartedGuide/AWSCredentials.html.

5 Confirme que el script de instalación sea ejecutable. Si fuera necesario, utilice chmod. Por ejemplo:

chmod u+x siem_install.sh

4 Instalación de ESM en AWSCreación de una imagen del ESM e instalación en AWS


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html

http://www.putty.org/

http://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSGettingStartedGuide/AWSCredentials.html

http://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSGettingStartedGuide/AWSCredentials.html

6 Cree una imagen AMI y una instancia con este comando:

./siem_install.sh

Si aparece un error que indica que las claves no se han definido, puede agregar las claves en lalínea de comandos. Por ejemplo:

[root@ip-172-31-41-167 ec2-user]# ./install_McAfee_ETM_VM8.sh

The AWS access key or the AWS Secret key were not defined

[root@ip-172-31-41-167 ec2-user]# ./install_McAfee_ERU_VM8.sh -O <Access Key ID> -W

<Secret Access Key>

Para acceder a la ayuda sobre las opciones de salida:

[root@ip-172-31-6-172 ec2-user]# ./install_McAfee_ETM_VM8.sh -h

install_McAfee_ETM_VM8.sh - install SIEM to Amazon EC2

install_McAfee_ETM_VM8.sh [options]

options:

-h, --help show brief help

-O AWS key

-W AWS Secret Key

La creación de la imagen AMI lleva unos 20 minutos y no es interactiva. Este es un ejemplo de lasalida:

[root@ip-172-31-6-172 ec2-user]# ./install_McAfee_ETM_VM8.sh Decompressing files Running installer Creating volume Attaching volume formatting volume 1+0 records in 1+0 records out 4194304 bytes (4.2 MB) copied, 0.0467013 s, 89.8 MB/s mke2fs 1.42.9 (28-Dec-2013) mke2fs 1.42.9 (28-Dec-2013) mounting main partition copying main files mounting boot partition copying boot files Updating fstab Updating grub unmounting boot partition unmounting main partition detaching volume Creating snapshot (this will take a while) Creating AMI Created AMI "ami-bb8afc81". To run, launch an instance of this AMI Deleting (temporary) volume Client.InvalidVolume.NotFound: The volume 'vol-9eb2ae81' does not exist. Done

7 Una vez creada la imagen, salga del shell root, salga de la instancia, diríjase al panel de EC2 yponga fin a la instancia en ejecución.

Al poner fin a la instancia, esta desaparece.

8 Inicie sesión en AWS, haga clic en la barra lateral AMIs (Imágenes AMI) y localice la AMI que hacreado.

Esta AMI tendrá entonces el nombre del script de instalación. En este ejemplo, McAfee_ETM_VM8.

9 Haga clic con el botón derecho del ratón en el nombre de la AMI y, después, haga clic en Launch(Ejecutar).

10 Desplácese por las opciones de ejecución y haga clic en Launch (Ejecutar). En el caso de losdispositivos del tipo de McAfee, no es necesario el paso correspondiente al par de claves.Seleccione Proceed without a key pair (Continuar sin un par de claves) y haga clic en la confirmación.

Instalación de ESM en AWSCreación de una imagen del ESM e instalación en AWS 4


11 Una vez ejecutada la AMI y realizadas las "comprobaciones de estado", abra un navegador yacceda a la dirección IP asignada. Para este ejemplo, escriba http:\\172-31-6-172\ en elnavegador.

Todos los dispositivos de McAfee presentes en AWS se activan mediante DHCP y la dirección IP seles asigna automáticamente.

La dirección IP a la que acceda dependerá de cómo configure las redes en el AWS. Puede tener unadirección IP privada o pública. Para el uso a largo plazo, se recomienda usar una dirección IPprivada.

La primera vez que inicie sesión en el ESM, aparecerá esta advertencia para indicar que está en lanube y que debe confirmar las funciones para las que dispone de licencia de uso.

En este ejemplo, el hash se ha ocultado.

12 Haga clic en Hash de correo electrónico para insertar el hash creado en su cliente de correo electrónicopredeterminado.

4 Instalación de ESM en AWSCreación de una imagen del ESM e instalación en AWS


13 Agregue su número de concesión al correo electrónico y envíelo.

Un cuadro de diálogo Hash aceptado indicará que el hash se ha enviado correctamente.

Un representante de soporte examinará su número de concesión y verificará las funciones para lasque dispone de licencia. A continuación, se le enviará una cadena de hash para sobrescribir lacadena de hash previamente mostrada. Cuando haga clic en Enviar, podrá iniciar sesión por primeravez.

14 Cuando inicie sesión en el AWS de nuevo, sobrescriba el hash existente con el hash enviado porMcAfee y haga clic en Enviar.

Ya puede iniciar sesión en el ESM de AWS y configurar su dispositivo AWS, aplicarle la clave y empezara utilizarlo.

Configuración de conexiones de AWS para ESMDespués de configurar el hash para el ESM de AWS, es necesario conectar y agregar los dispositivos.

Antes de empezarEs necesario haber creado el AWS y haber instalado ESM en el AWS.


1 Tras completar la verificación de hash con McAfee, puede utilizar la dirección IP configurada parainiciar sesión en el ESM inicialmente. Véase Inicio de sesión en la consola de McAfee ESM paraobtener detalles.

2 Conecte los dispositivos físicos y virtuales al ESM.

Instalación de ESM en AWSConfiguración de conexiones de AWS para ESM 4


3 Confirme que los diversos dispositivos de ESM aparezcan en ESM antes configurar los dispositivos.

4 Aplique una clave a los dispositivos a fin de completar su configuración.

4 Instalación de ESM en AWSConfiguración de conexiones de AWS para ESM


5 Establecimiento de las conexiones de redde McAfee ESM

Una vez que el dispositivo ESM esté instalado y encendido, es necesario configurar la conexión de lainterfaz de red para cada dispositivo antes de la conexión con McAfee ESM.

Contenido Configuración de la interfaz de red de ESM Configuración de la interfaz de red en ERC, ELM, ELS o ACE Configuración de la interfaz de red en DEM o ADM

Configuración de la interfaz de red de ESM Configure la interfaz de red en un ESM.


El proceso de arranque finaliza en unos dos minutos y aparece la siguiente página virtual en lapantalla LCD.

2 Pulse Alt + F1 para acceder al menú situado en la esquina superior izquierda de la pantalla, pulsedos veces Esc, desplácese hacia abajo hasta MGT IP Conf (Conf. IP admin.) y pulse Entrar.

3 Seleccione Mgt 1 (Admin. 1) y pulse Entrar; a continuación, seleccione IP Address (Dirección IP) ypulse Entrar.

4 Establezca el valor y pulse Entrar.

5 Desplácese hacia abajo hasta Netmask (Máscara de red) y defina el valor.

6 Desplácese hacia abajo hasta Done (Listo) y pulse Entrar.

7 Desplácese hacia abajo hasta Gateway (Gateway) y pulse Entrar.

8 Establezca la dirección del gateway, desplácese hacia abajo hasta Done (Listo) y pulse Entrar.

5


9 Desplácese hacia abajo hasta DNS 1 (DNS 1), pulse Entrar y establezca el valor.


11 Desplácese hacia abajo hasta Save Changes (Guardar cambios) y pulse Entrar.

12 Inicie sesión en la consola de McAfee ESM para empezar a configurar los sistemas y los ajustes delos dispositivos.

Configuración de la interfaz de red en ERC, ELM, ELS o ACEConfigure la interfaz de red en un dispositivo ERC, ELM, ELS o ACE.


El proceso de arranque finaliza en unos dos minutos y aparece la siguiente página virtual en lapantalla LCD.

2 Pulse Alt + F1 para acceder al menú que se encuentra en la esquina superior izquierda de lapantalla, pulse dos veces Esc, desplácese hacia abajo hasta MGT IP Conf (Conf. IP admin.) y pulseEntrar.

3 Seleccione Mgt 1 (Admin. 1) y pulse Entrar; a continuación, seleccione IP Address (Dirección IP) ypulse Entrar.

Para configurar una dirección IPv6, desplácese hacia abajo hasta IPv6 Config (Configuración de IPv6).






9 Desplácese hacia abajo hasta DNS 1 (DNS 1), pulse Entrar y establezca el valor.


11 Si está usando el modo FIPS, desplácese hacia abajo hasta Port Number (Número de puerto), cambieel valor si procede y pulse Entrar.

Tome nota del nuevo número de puerto. Lo necesitará cuando aplique la clave al dispositivo. Nocambie el puerto de comunicación TCP.


5 Establecimiento de las conexiones de red de McAfee ESMConfiguración de la interfaz de red en ERC, ELM, ELS o ACE


Configuración de la interfaz de red en DEM o ADMConfigure la interfaz de red en un dispositivo DEM o ADM.


El proceso de arranque finaliza en unos dos minutos y aparece esta página virtual en la pantallaLCD.

2 Pulse Alt + F1 para acceder al menú en la esquina superior izquierda de la pantalla y, después,pulse Esc dos veces.

3 Desplácese hacia abajo hasta MGT IP Conf (Conf. IP admin.) y pulse Entrar.

4 Seleccione Mgt 1 (Admin. 1) y pulse Entrar.

5 En el menú Active (Activa), seleccione IP Address (Dirección IP) y pulse Entrar.

Para configurar una dirección IPv6, desplácese hacia abajo hasta IPv6 Config (Configuración de IPv6).






11 Si está usando el modo FIPS, desplácese hacia abajo hasta Port Number (Número de puerto), cambieel valor si procede y pulse Entrar.

Tome nota del nuevo número de puerto. Lo necesitará cuando aplique la clave al dispositivo. Nocambie el puerto de comunicación TCP.


Establecimiento de las conexiones de red de McAfee ESMConfiguración de la interfaz de red en DEM o ADM 5


5 Establecimiento de las conexiones de red de McAfee ESMConfiguración de la interfaz de red en DEM o ADM


6 Inicio de sesión y configuración inicialesdel ESM

Tras conectar los dispositivos ESM a la red y configurar sus conexiones de interfaz, es posible iniciarsesión en la consola de ESM y finalizar la configuración inicial.

Véase la Guía del producto de McAfee Enterprise Security Manager para obtener detalles sobre laconfiguración de dispositivos.

Contenido Inicio de sesión en la consola de McAfee ESM Conexión de los dispositivos Confirmación de que aparecen todos los dispositivos en ESM Aplicación de la clave a un dispositivo

Inicio de sesión en la consola de McAfee ESMInicie sesión en la consola para empezar a configurar los sistemas y los dispositivos.

Antes de empezarVerifique si está obligado a utilizar el sistema en el modo Estándar federal deprocesamiento de información (FIPS, del inglés Federal Information Processing Standard).

Procedimiento1 Abra un navegador web en un equipo cliente y diríjase a la dirección IP establecida al configurar la

interfaz de red de ESM. Por ejemplo, si la dirección IP de ESM es 172.016.001.140, escriba losiguiente en el navegador:

https:\\172.016.001.140\

2 Haga clic en Continuar en este sitio si aparece un error de certificado autofirmado en el navegador.

3 Haga clic en Inicio de sesión, seleccione el idioma para la consola y escriba el nombre de usuario y lacontraseña predeterminados.

• Nombre de usuario predeterminado: NGCP

• Contraseña predeterminada: security.4u

4 Haga clic en Inicio de sesión, lea el Acuerdo de licencia de usuario final y haga clic en Aceptar.

5 Cuando se le solicite, cambie el nombre de usuario y la contraseña; después, haga clic en Aceptar.

6


6 Indique si desea activar el modo FIPS y, si selecciona Sí, haga clic en la confirmación adicional.

En caso de estar obligado a trabajar en el modo FIPS, actívelo la primera vez que inicie sesión, deforma que toda comunicación futura con los dispositivos de McAfee se produzca en el modo FIPS. Noactive el modo FIPS si no está obligado a hacerlo. Para obtener más información sobre FIPS,consulte el Apéndice B.

7 Para el acceso a Actualización de reglas, haga clic en Aceptar y siga las instrucciones que aparecen afin de obtener su nombre de usuario y contraseña, que son necesarios para acceder a lasactualizaciones de reglas.

8 Lleve a cabo la configuración inicial de ESM:

a Seleccione el idioma que se utilizará para los registros del sistema.

b Seleccione la zona horaria donde se encuentra el ESM y el formato de fecha para esta cuenta;después, haga clic en Siguiente.

9 Introduzca la información del servidor para el ESM.

a Escriba las direcciones IPv4 y de máscara de red principales, o bien la dirección IPv6. Si fueranecesario, haga clic en Avanzada.

b (Opcional) Escriba las direcciones IPv4 y de máscara de red secundarias, o bien la direcciónIPv6. Si fuera necesario, haga clic en Avanzada.

c En Configuración general, escriba el gateway, los servidores DNS y cualquier informaciónadicional necesaria para conectar el ESM a la red.

d Haga clic en Siguiente.

10 (Opcional) Si es necesaria la conexión a través de un servidor proxy, escriba su dirección IP, elnúmero de puerto, las credenciales y establezca la configuración de la red local; después, haga clicen Siguiente.

11 (Opcional) Si es necesario, introduzca las rutas estáticas que necesite el ESM para comunicarse conla red. Cuando haya terminado, haga clic en Siguiente.

12 Agregue sus servidores NTP para sincronizar la hora del sistema de ESM. Defina las opciones deconfiguración siguientes según proceda:

• Dirección IP del servidor NTP

• Clave de autenticación

• ID de clave

Para lograr los mejores resultados en el ESM, es importante disponer de una referencia de tiempocomún para toda la empresa. De forma predeterminada, el ESM utiliza un conjunto de servidoresNTP basados en Internet. Introduzca el servidor NTP de su empresa y haga clic en Siguiente.

13 Para comprobar automáticamente el servidor de ESM en busca de actualizaciones de reglas:

• Escriba el ID de cliente y la contraseña para verificar su identidad.

• Configure el intervalo de comprobación automática en horas y minutos.

• Haga clic en Comprobar ahora o en Actualización manual.

14 Haga clic en Finalizar.

15 En el cuadro de diálogo Cambio en la configuración de la red, haga clic en Sí para reiniciar el servicio deESM.

6 Inicio de sesión y configuración iniciales del ESMInicio de sesión en la consola de McAfee ESM


El reinicio tarda unos 90 segundos en finalizar. A continuación, podría ser necesario volver a iniciarsesión en el ESM.

Conexión de los dispositivosConecte los dispositivos físicos y virtuales a McAfee ESM para permitir la supervisión de aplicaciones ybases de datos, la correlación avanzada basada en reglas y riesgo, y la generación de informes deconformidad.

Adición de dispositivos a la consola de ESMTras instalar y configurar los dispositivos físicos y virtuales, agréguelos a la consola de ESM.

Antes de empezarInstale y configure los dispositivos.

Estos pasos solo son necesarios para agregar dispositivos a un ESM en una instalación de ESMcompleja con varios dispositivos ESM. No es necesario realizar esta tarea en una instalación de ESMsimple donde se utilice un ESM combinado.

Procedimiento1 En el árbol de navegación del sistema, haga clic en el ESM Local o en un grupo.

2 En la barra de herramientas de acciones, haga clic en .

3 Seleccione el tipo de dispositivo que va a agregar y haga clic en Siguiente.

4 En el campo Nombre de dispositivo, introduzca un nombre exclusivo dentro del grupo y haga clic enSiguiente.

5 Proporcione la información solicitada.

• Dispositivos McAfee ePO: seleccione un receptor, escriba las credenciales necesarias para iniciarsesión en la interfaz web y haga clic en Siguiente. Para la comunicación con la base de datos,indique la configuración.

Seleccione Solicitar autenticación de usuario a fin de limitar el acceso a los usuarios que dispongan denombre de usuario y contraseña para el dispositivo.

• Resto de dispositivos: escriba la dirección IP de destino o la URL del dispositivo.

6 Indique si desea o no utilizar la configuración del protocolo de tiempo de redes o NTP (NetworkTime Protocol) en el dispositivo y, después, haga clic en Siguiente.

7 Introduzca una contraseña para el dispositivo y, a continuación, haga clic en Siguiente.

El ESM probará la comunicación con el dispositivo e informará del estado de la conexión.

Confirmación de que aparecen todos los dispositivos en ESMEn la consola de ESM, confirme que aparezcan los diversos dispositivos de ESM antes de iniciar laconfiguración detallada de los dispositivos.

Para obtener información detallada sobre la realización de estos pasos de confirmación, consulte laGuía del producto de McAfee Enterprise Security Manager.

Inicio de sesión y configuración iniciales del ESMConexión de los dispositivos 6



1 Inicie sesión en la consola de McAfee ESM y localice el panel de navegación del sistema para ver losdispositivos que este contiene.

2 Haga clic en Menú | Configuración para ver la pantalla física.

3 Confirme que puede hacer clic en el icono Agregar dispositivo para ver los dispositivos que se haninstalado en los bastidores y cuyos ajustes de red están configurados.

Una vez agregados los dispositivos, es necesario aplicarles una clave para permitir la comunicación ycompletar la instalación. Véase la Guía del producto de McAfee Enterprise Security Manager paraobtener detalles sobre la configuración de los dispositivos.

Aplicación de la clave a un dispositivoEs necesario aplicar una clave al dispositivo para establecer un vínculo entre el dispositivo y el ESM.

Antes de empezarConecte físicamente el dispositivo a la red.

Procedimiento1 Inicie sesión en la consola de ESM mediante un navegador. Véase Inicio de sesión en la consola de

McAfee ESM para obtener detalles.

2 En el árbol de navegación del sistema, haga clic en un dispositivo y, después, en el icono de

Propiedades .

3 Haga clic en Administración de claves | Aplicar clave a dispositivo.

Si el dispositivo tiene una conexión establecida y se puede comunicar con el ESM, se abrirá elAsistente para aplicar clave a dispositivo.

4 Escriba una nueva contraseña para el dispositivo y haga clic en Finalizar.

6 Inicio de sesión y configuración iniciales del ESMAplicación de la clave a un dispositivo


7 Ampliación del software de McAfee ESM

La ampliación del software de los dispositivos ESM proporciona, por ejemplo, funciones nuevas yampliadas, cambios en la interfaz o compatibilidad con navegadores y versiones de navegadoresadicionales.

A fin de preparar los sistemas para la ampliación, descargue los archivos de los componentes y,después, amplíelos en el orden indicado.

Contenido De qué dispone y qué necesita Preparativos para la ampliación Escenarios de ampliación especiales Descarga de los archivos de ampliación Ampliación del software en un dispositivo Ampliación del sistema Ampliación de ESM, ESMREC o ENMELM Ampliación de los receptores de disponibilidad alta Proveedores de evaluación de vulnerabilidades disponibles

De qué dispone y qué necesita Anote el software y el hardware de seguridad que tiene actualmente en su red.

Complete el siguiente cuestionario sobre la red antes de empezar a ampliar sus dispositivos y elsoftware de McAfee ESM.

Los Servicios profesionales de seguridad de McAfee requieren esta misma información para ayudarle arealizar pedidos y configurar su seguridad de red existente.

7


Cuestionario sobre la red actual

Preguntas Introducir información

¿Qué dispositivos de McAfee ESM tiene? Indique la cantidad:• Enterprise Security

Manager (ESM) —________

• Advanced CorrelationEngine (ACE) —________

• Event Receiver (ERC)— ________

• Direct AttachedStorage (DAS) —________

• Combinación dereceptor y ELM(ELMERC) —________

• Application DataMonitor (ADM) —________

• Enterprise LogManager (ELM) —________

• Database EventMonitor (DEM) —________

• Enterprise LogSearch (ELS) —________

• Tarjeta Storage AreaNetwork (SAN) —________

¿Dispone de la versión todo en uno deMcAfee ESM?

Sí

No

¿Necesitará un ACE para laintegración con el ESM?

Sí

No

¿Su solución McAfee ESM está instalada enuna máquina virtual (VM), dispositivosfísicos o una combinación de ambos?

Máquina virtual (VM)

Dispositivo físico

Combinación de VM y dispositivos

¿Cuáles son los números de modelo de loscomponentes de ESM?

Indique el número de modelo:• ESM — _____________________________

• ELM — _____________________________

• ERC — _____________________________

• ACE — _____________________________

¿Tiene una arquitectura jerárquica? Sí

No

Además del puerto 22,¿puede abrir el puerto 9092entre los ERC y los ESM?

Sí

No

Además del puerto 22,¿puede abrir el puerto 2181entre los ELS y los ESM?

Sí

No

7 Ampliación del software de McAfee ESMDe qué dispone y qué necesita


Preguntas Introducir información

¿Es usted Proveedor de servicios deseguridad gestionados (MSSP) o tienepensado serlo?

Sí

No

¿Cuál es su tasa actual de eventos porsegundo (EPS) por dispositivo?

Introduzca el número:• Número de EPS de

ESM — ________• Número de EPS de

ERC — ________

• Número de EPS deELM — ________

• Número de EPS deERC — ________

• Número de EPS deELS — ________

¿Qué versión del software ejecuta en suESM?

Debe estar empleando la versión 9.6 deMcAfee ESM para ampliar a la versión10.0.

Versión — _______

¿Qué navegadores utiliza para la consola deESM?

Chrome versión 48 o posterior

Firefox versión 42 o posterior

Internet Explorer versión 11 o posterior

Preparativos para la ampliaciónHay varias cosas que se deben hacer antes de proceder a una ampliación de los dispositivos ESM.

1 Asegúrese de que la reconstrucción de la base de datos de ESM a partir de una compilaciónanterior (9.6.0 o posterior) haya finalizado y de que sea posible planificar el período de interrupciónpara esta ampliación.

2 Cree una copia de seguridad de la base de datos de ESM. Exporte los siguientes elementos o creeuna copia de seguridad de ellos para garantizar la facilidad de recuperación en caso de que unaampliación inutilice una regla, un evento u otro contenido.

Alarmas: En el cuadro de diálogo Propiedades del sistema, haga clic en Alarmas, resalte cadauna de las alarmas, haga clic en Exportar y guarde el archivo.

Listas devigilancia:

En el cuadro de diálogo Propiedades del sistema, haga clic en Listas de vigilancia,resalte cada una de las listas de vigilancia, haga clic en Exportar y guarde elarchivo.

Ampliación del software de McAfee ESMPreparativos para la ampliación 7


Reglaspersonalizadas:

En la Directiva predeterminada del Editor de directivas, aplique este procedimiento paratodos los tipos de reglas excepto Origen de datos, Eventos de Windows, ESM,Normalización, Variable y Preprocesador.1 En el panel Tipos de regla, haga clic en un tipo de regla.

2 En el panel Filtros/etiquetado, haga clic en la ficha Avanzada, seleccione definidopor el usuario en el campo Origen y, después, haga clic en Actualizar. .

3 Resalte las reglas, haga clic en Archivo | Exportar | Reglas y guárdelas enformato XML.

Directivas: En la Directiva predeterminada del Editor de directivas, haga clic en Archivo | Exportar |Directiva y, después, seleccione Todas las reglas y variables personalizadas.

3 Asegúrese de que el subsistema de RAID por software se esté ejecutando con dos unidadesactivas. Emita el comando cat/proc/mdstat de una de las formas siguientes:

• En la consola de ESM, haga clic en Propiedades del sistema | Administración de ESM | Terminal, haga clicen Escribir y escriba el comando.

• Acceda mediante SSH al ESM.

• Conecte un monitor y un teclado al dispositivo.

Si la salida tiene un aspecto como el del siguiente ejemplo, el RAID funciona correctamente ypuede seguir con la ampliación.

Personalities : [raid1]md_d127 : active raid1 sda[0](W) sdb[1](W) 488386496 blocks [2/2][UU]Unused devices: <none>

El código [UU] identifica las unidades activas. En caso de que aparezca [_U] o [U_], una unidadno forma parte del RAID. Deberá ponerse en contacto con el Soporte técnico antes de la ampliación.

Tipo deinformación

Detalles

Tipos de dispositivosadmitidos

Los dispositivos ESM, ESM/Event Receiver o ESM/Log Manager (ENMELM) solose comunican con los dispositivos de la versión 9.6.0. A fin de comprobar elmodelo de su dispositivo, emita el comando cat/proc/cpuinfo. La salidaincluye el número de CPU en la línea model name.

Eliminación dedispositivos

Antes de ampliar el ESM, Event Receiver o ENMELM, elimine todos los modelosde dispositivos especificados y las direcciones IP virtuales correspondientes alos modelos de Nitro IPS especificados. De lo contrario, aparecerá un mensajeen la página Inicio de sesión y el registro de mensajes indicará que se haproducido este problema y que no se puede llevar a cabo la ampliación. El ESMtampoco se ampliará, y se incluirán las entradas correspondientes en elregistro de mensajes del dispositivo.

Para eliminar un IPS virtual, seleccione el dispositivo en el árbol de navegacióndel sistema y haga clic en el icono Propiedades . Seleccione Configuración deldispositivo | Dispositivos virtuales, seleccione los dispositivos virtuales existentes yhaga clic en Quitar. Haga clic en Escribir para indicar la configuración al IPS.

Es necesario desplegar la directiva del dispositivo ESM, Event Receiver oENMELM de la versión 9.6.0 en el dispositivo IPS o, de lo contrario, el IPSpermanecerá en modo de omisión y no se inspeccionará el tráfico.

7 Ampliación del software de McAfee ESMPreparativos para la ampliación


Tipo deinformación

Detalles

Almacenamiento dela configuración delreceptor

Asegúrese de haber guardado toda la configuración del receptor antes deactualizar de las versiones 9.x, a la 9.6 y, después, a la 10. Si no guarda laconfiguración, se producirá un problema que puede ocasionar consecuenciasen el receptor y en otros dispositivos. Asegúrese de guardar toda laconfiguración de cada dispositivo antes de actualizar a cualquier versión.

Tiempo dereconstrucción

El tiempo de reconstrucción de la tabla varía para ESM, Event Receiver yENMELM. Para acelerar la ampliación de la base de datos del ESM:

• Establezca una duración de extracción mayor para la recopilación de eventos,flujos y registros, lo cual aumenta el tiempo para la reconstrucción. En laconsola de ESM, haga clic enPropiedades del sistema | Eventos, flujos y registros yestablezca el Intervalo de comprobación automática.

• Desactive la recopilación de eventos, flujos y registros hasta que finalice lareconstrucción. Este paso solo se debe realizar si el número de eventos yflujos enviados al ESM es reducido. En la consola de ESM, haga clic enPropiedades del sistema | Eventos, flujos y registros y anule la selección del Intervalo decomprobación automática.

Rutas de ampliación • Es posible ampliar a la versión 10.0.0 directamente desde la versión 9.6.0 oposterior.

• Las versiones anteriores a la 9.6.0 se deben ampliar mediante la rutasiguiente:8.2.x > 8.3.x >8.4.2 > 8.5.6 > 9.0.2 > 9.2.1 > 9.4.2 o posterior > 9.6.0 oposterior > 10.0

Ampliación dedispositivosreceptores dedisponibilidad alta

A fin de ampliar los dispositivos receptores de disponibilidad alta, es necesariocomprobar antes el estado de disponibilidad alta del receptor.

Asegúrese de guardar toda la configuración de los dispositivos antes deactualizar a cualquier versión.

Copias de seguridad de la configuración y los datos de sistemade ESMCree una copia de seguridad de los archivos de configuración del ESM y guárdelos antes de iniciarcualquier ampliación de software.

Cuando se agrega un dispositivo ESM, se activa Copia de seguridad y restauración para crear una copia deseguridad cada siete días. Es posible tanto desactivar esta opción como cambiar la configuraciónpredeterminada. Véase el artículo de la base de conocimiento Backup process for McAfee ESM devices(Proceso de copia de seguridad para dispositivos ESM de McAfee) para obtener detalles.

Se recomienda realizar una Copia de seguridad completa de todos los dispositivos antes de iniciar unaampliación. Una copia de seguridad completa contiene:

• Configuración de los dispositivos ESM, ERC, DEM, ADM y ACE.

Las copias de seguridad completas de ELM solo incluyen los ajustes de configuración. Deberá crearuna copia de seguridad independiente de la configuración de la base de datos o perderá todas lasconexiones de base de datos con sus recursos compartidos locales, recursos compartidos remotos ySAN.

• Detenga CPService y, después, DBServer; cree una copia del contenido de /usr/local/ess/data/, /etc/NitroGuard y otras carpetas en un recurso compartido remoto.

Si algo va mal durante la ampliación, puede:



https://kc.mcafee.com/resources/sites/MCAFEE/content/live/CORP_KNOWLEDGEBASE/80000/KB80012/en_US/Backup%20process%20for%20McAfee%20devices.pdf

• Reinstalar el software en la versión existente.

• Reinstalar los archivos de copia de seguridad.

• Intentar de nuevo la ampliación a la siguiente versión.

Las copias de seguridad solo son compatibles con la versión actual del dispositivo ESM. No se puedeinstalar una copia de seguridad de una versión anterior en un dispositivo ESM ampliado.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración deESM | Mantenimiento | Copia de seguridad.

2 Defina la configuración de la copia de seguridad.

3 Haga clic en Aceptar para cerrar la página Copia de seguridad y restauración.

Tabla 7-1 Definiciones de opciones

Opción Definición

Frecuencia de copiade seguridad

Cuando se agregan nuevos dispositivos ESM al sistema, la función Copia deseguridad y restauración está activada para crear una copia de seguridad cada sietedías. Es posible cambiar la frecuencia o desactivar las copias de seguridad.

Hacer copia deseguridad de datospara

Seleccione lo que desee incluir en la copia de seguridad.

Ubicación de copia deseguridad

Seleccione dónde desea guardar la copia de seguridad.• ESM: se guarda en el ESM y se accede a ella mediante la página Mantenimiento

de archivos.

• Ubicación remota: se guarda en la ubicación definida en los campos que seactivan. Si va a guardar una copia del ESM y todos los datos del sistemamanualmente, deberá seleccionar esta opción.

Cuando cree una copia de seguridad en un recurso compartido CIFS, escribauna barra (/) en el campo de ruta remota.

Hacer una copia deseguridad ahora

Permite crear manualmente una copia de seguridad de la configuración delESM, así como de los eventos, flujos y registros (si se selecciona esta opción).Haga clic en Cerrar cuando finalice la copia de seguridad correctamente.

Copia de seguridadcompleta ahora

Guardar manualmente una copia de la configuración y los datos del sistema deldispositivo. Esto no se puede guardar en el ESM, así que deberá seleccionarUbicación remota en el campo Ubicación de copia de seguridad e introducir la informaciónsobre la ubicación.

Se recomienda encarecidamente realizar una copia de seguridad completaantes de cualquier actualización a una versión principal a fin de evitar la fugade datos.

El uso de un tipo de recurso compartido CIFS con versiones del servidor Sambaposteriores a la 3.2 puede provocar la fuga de datos.

7 Ampliación del software de McAfee ESMPreparativos para la ampliación


Comprobación del estado de ERC de disponibilidad altaDetermine el estado de un par de ERC de disponibilidad alta antes de realizar una ampliación.

Antes de empezarDebe disponer de privilegios de administrador para llevar a cabo esta tarea.


1 En el árbol de navegación del sistema, seleccione el dispositivo receptor de disponibilidad alta

principal y haga clic en el icono Propiedades .

2 En los campos Estado y Estado de secundario, compruebe que el estado sea OK; Estado de disponibilidad altadel dispositivo: online.

3 Acceda mediante Secure Shell (o SSH) a cada uno de los receptores de disponibilidad alta y ejecuteel comando ha_status desde la interfaz de línea de comandos de ambos ERC. La informaciónresultante muestra el estado de este ERC y el estado que este ERC piensa que tiene el otro. Tieneun aspecto similar a este:

OK hostname=McAfee1 mode=primary McAfee1=online McAfee2=online sharedIP=McAfee1 stonith=McAfee2 corosync=running hi_bit=no

4 Compruebe lo siguiente en el estado:

• La primera línea de la respuesta es OK.

• El valor de hostname es el mismo que el nombre de host que aparece en la línea de comandosmenos el número de modelo del ERC.

• El valor de mode es primary si el valor de sharedIP coincide con el nombre de host de este ERC;de lo contrario, el modo será secondary.

• Las siguientes dos líneas muestran los nombres de host de los ERC del par de disponibilidad altae indican el estado de ejecución de cada uno. El estado en ambos casos es online.

• La línea correspondiente a corosync= muestra el estado de funcionamiento de corosync, quedebería ser running.

• El valor de hi_bit es no en un ERC y yes en el otro.

Asegúrese de que solo uno de los ERC de disponibilidad alta se defina con el valor hi_bit. Siambos ERC de disponibilidad alta tienen el mismo valor, llame al Soporte de McAfee antes derealizar la ampliación a fin de corregir esta opción mal configurada.

5 Acceda mediante shell (o SSH) a cada uno de los ERC de disponibilidad alta y ejecute el comandoipconfig desde la interfaz de línea de comandos de ambos ERC.

6 Compruebe lo siguiente en los datos generados:

• Las direcciones MAC de eth0 y eth1 son exclusivas en ambos ERC.

• El ERC principal tiene la dirección IP compartida en eth1 y el ERC secundario no tiene direcciónIP en eth1.Si ambos ERC de disponibilidad alta tienen el mismo valor, llame al Soporte técnico antes derealizar la ampliación a fin de corregir esta opción mal configurada.

Estas comprobaciones garantizan que el sistema funciona y que no existe duplicación de direccionesIP, lo que implica que los dispositivos se pueden ampliar.



Escenarios de ampliación especialesEn situaciones especiales, es necesario llevar a cabo pasos adicionales antes o después de laampliación.

Situación Acción

Instalación de unnuevo modelo deMcAfee ESM

Registre su hardware en un plazo de 30 días para asegurarse de recibiractualizaciones de directivas, analizadores y reglas como parte del contrato demantenimiento. Si no se registra, no podrá recibir ampliaciones.Para obtener su nombre de usuario y su contraseña permanentes, envíe unmensaje de correo electrónico a la dirección [email protected] e incluya enél la siguiente información:• Número de concesión de McAfee • Nombre de contacto

• Nombre de cuenta • Dirección de correo electrónico decontacto

• Dirección

Obtención deactualizaciones dereglas offline

1 Acceda a Descarga de productos, software de prueba y herramientas deseguridad gratuitas.

2 En la esquina superior derecha, haga clic en Descargar, introduzca su número deconcesión, escriba las letras que se muestran y, a continuación, haga clic enEnviar. Ir.

3 Seleccione el tipo de usuario/función; a continuación, puede seleccionar el softwareque descargar.

4 Lea el acuerdo de licencia y haga clic en Acepto.Se mostrarán los archivos de actualización disponibles para cada versión deESM.

5 Descargue las reglas correspondientes a su versión de ESM.

Resolución deproblemas decomunicación delos dispositivos

Si ha ampliado un dispositivo de McAfee antes de ampliar el ESM o bien el ESMestá en proceso de ampliación, puede que aparezca este mensaje: Es necesarioampliar el dispositivo a la versión 10.0.0 para poder llevar a cabo la operación.Verifique que el ESM sea de la versión correcta.1 En la consola de ESM, seleccione el dispositivo en el árbol de navegación del

sistema y, después, haga clic en el icono Propiedades .

2 Haga clic en Conexión y, después, en Estado.

3 Vuelva a intentar la operación que provocó el mensaje.

Ampliación de unESM redundante

Se debe ampliar el ESM principal antes de hacer lo propio con el ESMredundante.

1 En el ESM principal, seleccione el ESM en el árbol de navegación del sistema yhaga clic en el icono Propiedades.

2 Haga clic en Eventos, flujos y registros y anule la selección de Intervalo de comprobaciónautomática.

3 Tras ampliar el ESM redundante, vuelva a activar la recopilación de eventos,flujos y registros en el ESM principal.

7 Ampliación del software de McAfee ESMEscenarios de ampliación especiales




Situación Acción

McAfee ePO conPolicy Auditor

Si el dispositivo de McAfee ePO ya está en el ESM, deberá actualizarlo.1 Si no tiene un dispositivo de tipo todo en uno, amplíe el receptor al que esté

conectado el dispositivo de McAfee ePO.

2 En la consola de ESM, haga clic en Propiedades de ePO | Administración de dispositivo y,después, haga clic en Actualizar.

Puede configurar la recuperación automática en la ficha Administración dedispositivo.

3 Haga clic en Propiedades de receptor y, después, haga clic en la ficha Evaluación devulnerabilidades.

4 Haga clic en Escribir.

5 Repita el paso 2 para obtener datos de evaluación de vulnerabilidades en elESM.

6 Cierre la sesión en la consola de ESM y vuelva a iniciarla.

Ampliación de losreceptores dedisponibilidad alta

Antes de llevar a cabo la ampliación, establezca el receptor principal preferidocon el valor Sin preferencia, lo cual permite utilizar la opción de Conmutación en caso deerror.

El proceso de ampliación requiere que el usuario amplíe el receptor secundario,haga clic en Conmutación en caso de error y, después, amplíe el nuevo receptorsecundario. De esta forma, hay un receptor principal que recopila datos durantetodo el proceso, garantizando así una fuga de datos mínima. Una vez ampliadosambos receptores, vuelva a aplicar el receptor principal preferido.

Ampliación del software de McAfee ESMEscenarios de ampliación especiales 7


Situación Acción

Reconstrucción dela base de datosde administraciónde ELM

La indización de la base de datos de administración de ELM podría requerir mástiempo, en función del modelo de ELM. Por ejemplo, el número de grupos dealmacenamiento existentes, la cantidad de datos enviados desde los dispositivosde registro y el ancho de banda de la red pueden aumentar el tiempo que setarda en completar la indización.

Sin embargo, esta tarea en segundo plano tiene un impacto mínimo en elrendimiento y, cuando finaliza, mejora las consultas sobre datos históricos.

Para comprobar el estado de la reconstrucción, acceda a Propiedades de ELM |Información de ELM. Si aparece el mensaje La base de datos se está reconstruyendoen el campo Estado Activo, no detenga ni inicie la base de datos de ELM. El sistemaindiza todos los datos nuevos del ELM en el dispositivo origen del envío antes deenviar dichos datos al ELM.

Si tiene receptores que realizan el registro en el ELM y se encuentran cerca desu capacidad máxima, póngase en contacto con el Soporte técnico.

Ampliación de unELM redundante

Amplíe el ELM en espera antes de hacer lo propio con el ELM activo.

No apague nunca un dispositivo durante una reconstrucción.

El proceso de ampliación suspende la redundancia de ELM. Tras ampliar ambosELM, deberá reiniciar la redundancia de ELM.1 Amplíe el ELM en espera.

2 Amplíe el ELM activo.

3 En el árbol de navegación del sistema, seleccione el ELM en espera y acceda aPropiedades de ELM | Redundancia de ELM; después, haga clic en Volver a poner en servicio.

4 Diríjase a Propiedades de ELM | Información de ELM y haga clic en Actualizar. Tanto elELM activo como el ELM en espera deberían mostrar el estado Correcto.

5 Si el ELM en espera tiene el estado Incorrecto, haga clic en Actualizar de nuevo.Tras unos minutos, el estado del ELM en espera debería cambiar a Correcto,resincronización de ELM redundante 100% finalizado. Existe la posibilidad de que tengaque hacer clic en Actualizar varias veces.

Descarga de los archivos de ampliaciónCuando el sistema esté listo para la ampliación, descargue los archivos de ampliación al sistema local.

Procedimiento1 Acceda al sitio web de Descarga de productos de McAfee e introduzca su número de concesión en el

campo Descargar mis productos. Después, haga clic en Buscar.

2 Seleccione el dispositivo que desee ampliar.

3 Seleccione el vínculo correcto (MFE <nombre del dispositivo> v10.0.0), lea el acuerdo delicencia de McAfee y haga clic en Acepto.

4 Descargue estos archivos en su sistema local:

7 Ampliación del software de McAfee ESMDescarga de los archivos de ampliación


Tipo de dispositivo Nombre de archivo

McAfee Enterprise Security Manager (ESM o ETM) ESS_Update_10.0.0.signed.tgz

McAfee Enterprise Security Manager y Log Manager (ENMELMo ESMREC)

ESSREC_Update_10.0.0.signed.tgz

McAfee Event Receiver (ERC o ELMERC) RECEIVER_Update_10.0.0.signed.tgz

McAfee Database Event Monitor (DEM) DBM_Update_10.0.0.signed.tgz

McAfee Advanced Correlation Engine (ACE) RECEIVER_Update_10.0.0.signed.tgz

McAfee Application Data Monitor (ADM) APM_Update_10.0.0.signed.tgz

McAfee Enterprise Log Manager (ELM)

Los dispositivos ELM deben ser de la versión 9.6 o posteriorpara poder ampliar a la versión 10.0.0.

RECEIVER_Update_10.0.0.signed.tgz

McAfee Enterprise Log Search (ELS) RECEIVER_Update_10.0.0.signed.tgz

Estos archivos están listos para ampliar el ESM y los dispositivos correspondientes.

Ampliación del software en un dispositivoSi el software del dispositivo está obsoleto, cargue una nueva versión del software mediante unarchivo en el ESM o su equipo local.

Antes de empezarSi hace más de 30 días que dispone del sistema, debe obtener e instalar las credencialespermanentes a fin de acceder a las actualizaciones.

Si está obligado a cumplir las normativas de Criterios comunes, no amplíe el ESM de estaforma. Póngase en contacto con el Soporte técnico a fin de obtener una actualizacióncertificada para FIPS.


1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades

.

2 En el dispositivo, haga clic en Administración | Actualizar dispositivo.

3 Seleccione una actualización de software de la tabla o haga clic en Examinar para localizarla en elsistema local.

El dispositivo se reiniciará con la versión de software actualizada.

Ampliación del software de McAfee ESMAmpliación del software en un dispositivo 7


Tabla 7-2 Definiciones de opciones

Opción Definición

Nombre de archivo Seleccione una de las actualizaciones disponibles.

Examinar Permite acceder a un archivo obtenido mediante un ingeniero de seguridad deMcAfee o el servidor de reglas y actualizaciones de McAfee.

Aceptar Si actualiza un dispositivo mediante la opción de administración Actualizar dispositivo, seinicia el proceso de actualización. Si actualiza varios dispositivos mediante la opciónAdministración de varios dispositivos, vuelve a aparecer la página Administración de variosdispositivos.

Ampliación del sistemaAmplíe el ESM y sus dispositivos siguiendo un orden específico, en función del uso del modo FIPS. Trasla ampliación, vuelva a establecer la configuración de los dispositivos y despliegue la directiva.

Antes de empezar

• Consulte Preparativos para la ampliación y Situaciones de ampliación especiales.

• Asegúrese de que en el sistema se esté ejecutando la versión 9.6 o posterior.

• Si ha ampliado recientemente a la versión 9.6, verifique que la reconstrucción de labase de datos haya finalizado.

Al realizar la ampliación, todos los recopiladores activos (tales como Windows, eStreamer y Checkpoint)dejan de recopilar datos hasta que se establece de nuevo la configuración de los dispositivos y sedespliega la directiva.

Procedimiento

1 Según si usa o no el modo FIPS, amplíe todos los dispositivos en el orden siguiente.

Para obtener detalles sobre la ampliación del ESM y los dispositivos, consulte Ampliación de ESM,ESMREC o ENMELM y Ampliación de dispositivos.

Modo Orden

No FIPS 1 Amplíe el ESM en primer lugar y, después, el ESMREC o el ENMELM.

2 Espere a que se compile la base de datos.

3 Amplíe el ELM o ELMERC.

4 Amplíe Event Receiver, ACE, DEM y ADM.

Este proceso es diferente si se amplía un ESM redundante.

FIPS 1 Amplíe el ELM o ELMERC.

2 Amplíe Event Receiver, ACE, DEM y ADM.

3 Amplíe el ESM, ESMREC o ENMELM. Puede empezar cuando se inicien todas lasampliaciones de dispositivos.

Si no se amplían los dispositivos antes de ampliar el ESM en el modo FIPS, esto puedeafectar a la recopilación de registros de ELM.

2 Verifique que existe comunicación con los dispositivos.

7 Ampliación del software de McAfee ESMAmpliación del sistema


3 Descargue la actualización de reglas manual al ESM.

4 Aplique las reglas actualizadas.

a En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades

.

b En la página Información del sistema, haga clic en Actualización de reglas y, después, en Actualizaciónmanual.

c Navegue hasta el archivo de actualización, haga clic en Cargar y, después, en Aceptar.

5 Lleve a cabo este procedimiento para volver a establecer la configuración de cada uno de losdispositivos a fin de aplicar toda la configuración de la versión 10.0.0.

a En la consola de ESM, seleccione el dispositivo en el árbol de navegación del sistema y,después, haga clic en el icono Propiedades.

b Siga estos pasos en cada dispositivo.

Tipo dedispositivo

Procedimiento

Event Receiver ocombinación ESM/Event Receiver

• Orígenes de datos: haga clic en Orígenes de datos | Escribir.

• Orígenes de evaluación de vulnerabilidades: haga clic en Evaluación devulnerabilidades | Escribir.

ACE • Correlación de riesgos: haga clic en Administración de correlación de riesgos |Escribir.

• Correlación histórica: haga clic en Histórica | Activar correlación histórica | Aplicar.Si esta opción ya estaba seleccionada, anule su selección, selecciónela denuevo y haga clic en Aplicar.

• Correlación de reglas: haga clic en Correlación de reglas, seleccione Activarcorrelación de reglas y haga clic en Aplicar. Si esta opción ya estabaseleccionada, anule su selección, selecciónela de nuevo y haga clic enAplicar.

DEM o ADM • Dispositivos virtuales (ADM): Haga clic en Dispositivos virtuales | Escribir.

• Servidores de base de datos: haga clic en Servidores de base de datos | Escribir.

6 Despliegue la directiva en todos los dispositivos ampliados.

7 Para anule el modo de omisión del dispositivo seleccionado, haga clic en Configuración del dispositivo |Interfaces.

8 Si dispone de un ELM o ELMERC que recopilan registros de un dispositivo, sincronice el ELM(Propiedades del dispositivo | Configuración del dispositivo | Sincronizar ELM).

Ampliación de ESM, ESMREC o ENMELMCuando el sistema esté listo, amplíe su ESM, ESMREC o ENMELM.

Antes de empezar• Realice los pasos descritos en la sección Instrucciones de ampliación.

• Verifique que todos los dispositivos conectados al ESM sean compatibles.

Ampliación del software de McAfee ESMAmpliación de ESM, ESMREC o ENMELM 7


Procedimiento1 En la consola de ESM, seleccione el dispositivo ESM y haga clic en el icono Propiedades .

2 Seleccione Administración de ESM y haga clic en Actualizar ESM.

3 En la página Seleccionar archivo de actualización de software, desplácese hasta uno de los archivossiguientes.

Tipo de dispositivo Archivo

McAfee Enterprise Security Manager (ESM) autónomo ESS_Update_10.0.0.signed.tgz

McAfee Enterprise Security Manager con un receptorintegrado (ESMREC)


McAfee Enterprise Security Manager con un receptor y unMcAfee Enterprise Log Manager (ENMELM) integrados, lo quetambién se conoce como equipo combinado


4 Seleccione el archivo y haga clic en Cargar.

Se le informará de que el ESM se reiniciará y todos los usuarios perderán la conexión.

5 Haga clic en Sí para continuar y, cuando se le pida que cierre el navegador, haga clic en Aceptar.

La ampliación se iniciará y puede tardar varias horas.

6 Cuando termine la ampliación, vuelva a iniciar sesión en la consola mediante una sesión nueva delnavegador.

Ampliación de los receptores de disponibilidad altaEl proceso de ampliación de receptor de disponibilidad alta amplía ambos receptores secuencialmente,empezando por el secundario.

Antes de empezarAntes de empezar con el proceso de ampliación, realice el proceso Comprobación delestado de receptores de disponibilidad alta a fin de asegurarse de que los dispositivosreceptores de disponibilidad alta estén listos para la ampliación. En caso contrario, puedensurgir problemas con la ampliación de los dispositivos y producirse un período deinactividad.

7 Ampliación del software de McAfee ESMAmpliación de los receptores de disponibilidad alta



1 En el árbol de navegación del sistema, seleccione el dispositivo receptor de disponibilidad alta y

haga clic en el icono Propiedades .

2 Amplíe el receptor secundario:

a Haga clic en Administración del receptor y seleccione Secundario.

b Haga clic en Actualizar dispositivo, seleccione el archivo que desee usar o navegue hasta él y hagaclic en Aceptar.

El receptor se reiniciará y se actualizará la versión del software.

c En Propiedades de receptor, haga clic en Disponibilidad alta | Volver a poner en servicio.

d Seleccione el receptor secundario y haga clic en Aceptar.

3 Convierta el receptor secundario en principal haciendo clic en Disponibilidad alta | Conmutación en caso deerror.

4 Amplíe el receptor secundario, para lo cual deberá repetir el paso 2.

Proveedores de evaluación de vulnerabilidades disponiblesEl ESM se puede integrar con los siguientes proveedores de evaluación de vulnerabilidades.

Proveedor de evaluación de vulnerabilidades Versión

Digital Defense Frontline 5.1.1.4

eEye REM (servidor de eventos de REM) 3.7.9.1721

eEye Retina

El origen de evaluación de vulnerabilidades eEye Retina essimilar al origen de datos Nessus. Puede usar archivos scp,ftp, nfs o cifs para obtener los archivos .rtd. Es necesariocopiar manualmente los archivos .rtd en un recursocompartido scp, ftp o nfs antes de extraerlos. Losarchivos .rtd suelen estar ubicados en el directorio Scans deRetina.

5.13.0, auditorías: 2400

McAfee Vulnerability Manager 6.8, 7.0

Critical Watch FusionVM 4-2011.6.1.48

LanGuard 10.2

Lumension Compatible con PatchLink SecurityManagement Console 6.4.5 oposterior

nCircle 6.8.1.6

Ampliación del software de McAfee ESMProveedores de evaluación de vulnerabilidades disponibles 7


Proveedor de evaluación de vulnerabilidades Versión

Nessus Compatible con Tenable Nessusversiones 3.2.1.1 y 4.2, así comolos formatos de archivoNBE, .nessus (XMLv2) y .nessus(XMLv1); también el formato XMLde OpenNessus 3.2.1

NGS

OpenVAS 3.0, 4.0

Qualys

Rapid7 Nexpose: proveedor de partner de evaluación devulnerabilidades recomendado

Rapid7 Metasploit Pro: proveedor de partner de evaluación devulnerabilidades recomendado

Se puede reducir la gravedad de un exploit de Metasploit queempieza por el nombre Nexpose mediante la adición de unorigen de evaluación de vulnerabilidades Rapid7 al mismoreceptor. Si no se puede deducir, la gravedad predeterminadaes 100.

4.1.4 Update 1, formato de archivoXML

Saint

GFI Languard

NGS SQuirrel

iScan Online?

Tripwire/nCircle IPS360?

7 Ampliación del software de McAfee ESMProveedores de evaluación de vulnerabilidades disponibles


A Escenarios de instalación alternativos

Utilice esta información para configurar adaptadores específicos y otra información importante.

Contenido Instalación de los adaptadores SAN qLogic 2460 o 2562 en el ELM o ELS Instalación del DAS Configuración evaluada según los Criterios comunes Avisos normativos

Instalación de los adaptadores SAN qLogic 2460 o 2562 en elELM o ELS

El qLogic QLE2460 es un adaptador único de canal de fibra PCIe x4 con una clasificación de velocidadde transferencia de 4 GB. El QLE2562 es un adaptador único de canal de fibra PCIe x8 de 8 GB. Sepueden conectar directamente al dispositivo SAN o a través de un conmutador SAN.

Antes de empezar• Asegúrese de que el dispositivo o el conmutador SAN que se van a conectar lleven a

cabo la negociación automática.

• Asegúrese de que el administrador de SAN asigne y cree espacio en el SAN, además deasignarlo al canal donde esté conectado el adaptador qLogic. Use el nombre de puertoWWPN para el adaptador. El WWPN se encuentra en la tarjeta del adaptador, en la bolsaantiestática y en la caja.

Procedimiento1 Apague el dispositivo en el que vaya a instalar el adaptador SAN.

2 Inserte el adaptador, coloque el dispositivo de nuevo en el bastidor y conecte los cables.

En el caso de los dispositivos 3U, inserte el adaptador en la ranura más cercana a la cubiertaprotectora de la memoria.

El mensaje de arranque de la BIOS del adaptador informará de que el adaptador está instalado yen funcionamiento. Si no aparece este mensaje o si la tarjeta no presenta luces rojas, amarillas overdes, significa que la tarjeta no se reconoce. De ser así, asegúrese de que la tarjeta esté biencolocada o insértela en una ranura PCI distinta.


3 Inicie el dispositivo.

El entorno operativo llevará a cabo la detección y cargará el controlador QLAXXX. El mensajeMounting Storage Facilities (Servicios de almacenamiento de montaje) mostrará OK (Aceptar) y elinicio continuará.

4 Mediante la consola de ESM, aplique la clave al dispositivo.

Una vez que el dispositivo tenga la clave aplicada, la página Propiedades incluirá la opción Volúmenes SAN.

Instalación del DASEl adaptador de almacenamiento conectado directamente (DAS) es un dispositivo complementariopara un ELM o un ESM de las series 4xxx/5xxx/6xxx.

La unidad DAS se suministra con un chasis y una tarjeta RAID LSI 9280-8e para:

• ETM-5205 • ENMELM-5205

• ETM-5510 • ENMELM-5510

• ETM-5600 • ENMELM-5600

• ETM-5750 • ENMELM-6000

• ETM-6000 • ELM-4600

• ETM-X3 • ELM-5205

• ETM-X4 • ELM-5510

• ETM-X5 • ELM-5600

• ETM-X6 • ELM-5750

• ESMREC-5205 • ELM-6000

• ESMREC-5510 • ELS-<Por determinar>

• ENMELM-4600

Es posible agregar un DAS (50 TB o 100 TB) a fin de proporcionar más espacio de almacenamiento.Estas instrucciones también se aplican al chasis del ESM, ELM o ELS.

Procedimiento1 Apague el dispositivo tras un procedimiento de cierre normal.

2 Saque el dispositivo del bastidor y abra la cubierta superior. Puede que necesite retirar un pequeñotornillo situado en la parte delantera o trasera de la cubierta.

3 Según el chasis, instale la tarjeta del DAS en una de estas ranuras.

• En el caso de 1U o 3U, instale una tarjeta RAID LSI 9280-4e en la ranura 4.

• En el caso de 2U, instale una tarjeta RAID LSI 9280-4e en la ranura 1.

4 Según el chasis, instale los cables del DAS en estas ranuras:

• En el caso del ESM, ELM o ELS, inserte los cables en las ranuras 1 y 2 de la tarjeta.

• En el caso del DAS, inserte los cables en las ranuras 1 y 3 de la tarjeta.

A Escenarios de instalación alternativosInstalación del DAS


5 Instale la tarjeta RAID LSI 9280-8e en la ranura 4 del ESM.

• En el caso de los dispositivos con el frontal naranja, si la tarjeta RAID Areca o 3Ware está en laranura 4, muévala a la ranura 6. Si el dispositivo McAfee ESM tiene instaladas tanto una tarjetaRAID Areca o 3Ware como una tarjeta SSD, instale la tarjeta RAID LSI 9280-8e en la ranura 5.

• En los dispositivos con el frontal negro, instale la tarjeta en una ranura libre.

6 Inserte los cables de alimentación y, después, encienda el dispositivo.

7 Acceda a la utilidad BIOS y busque la utilidad BIOS de la tarjeta RAID LSI 9280-8e.

8 Salga de la utilidad BIOS y verifique el espacio en disco del DAS con este comando: df –h.

En la página Propiedades del sistema de la consola de ESM, el campo Hardware de la página Información delsistema refleja el aumento de tamaño de la unidad de disco duro con la etiqueta /data_hd.

Configuración evaluada según los Criterios comunesEl dispositivo de McAfee se debe instalar, configurar y utilizar de una forma concreta para que existaconformidad con la configuración evaluada según los Criterios comunes. Tenga en cuenta estosrequisitos a la hora de configurar el sistema.

Tipo Requisitos

Máquinafísica yvirtual

El dispositivo de McAfee debe:• Estar protegido frente a modificaciones físicas no autorizadas.

• Estar situado en unas instalaciones con acceso controlado, lo que impide el accesofísico no autorizado.

Usoprevisto

El dispositivo de McAfee debe:• Tener acceso a todo el tráfico de red para poder realizar sus funciones.

• Permitir los cambios de dirección en el tráfico de red que supervisa el objetivo deevaluación.

• Ser proporcionado con respecto al tráfico de red que supervisa.

Escenarios de instalación alternativosConfiguración evaluada según los Criterios comunes A


Tipo Requisitos

Personal • Deben existir una o varias personas competentes encargadas de la administración deldispositivo de McAfee y de la seguridad de la información que contiene. Los ingenierosde McAfee proporcionan a todos los clientes de McAfee asistencia in situ para lainstalación y la configuración, así como formación sobre el funcionamiento deldispositivo en las instalaciones.

• Los administradores autorizados no deben ser descuidados, negligentes ni de tratodifícil, y deben respetar y acatar las instrucciones proporcionadas en la documentacióncorrespondiente al dispositivo de McAfee.

• Solo los usuarios autorizados pueden acceder al dispositivo de McAfee.

• Los responsables del dispositivo de McAfee deben asegurarse de que los usuariosprotejan todas las credenciales de acceso de forma coherente con la seguridad de TI.

Otro • No aplique actualizaciones de software al dispositivo de McAfee, ya que esto provocaríauna configuración distinta de la correspondiente a la evaluada según los Criterioscomunes. Póngase en contacto con el Soporte técnico para obtener una actualizacióncertificada.

• La activación de la función Seguridad de inicio de sesión con un servidor RADIUS permite unacomunicación segura. El entorno de TI proporciona una transmisión segura de datosentre el objetivo de evaluación y las entidades y orígenes externos. Un servidorRADIUS proporciona servicios de autenticación externa.

• El uso de la funcionalidad de SmartDashboard de la consola del firewall de Check Point noforma parte del objetivo de evaluación.

• El uso de Snort Barnyard no forma parte del objetivo de evaluación.

• El uso del cliente de MEF no forma parte del objetivo de evaluación.

• El uso del sistema de fichas Remedy no forma parte del objetivo de evaluación.

Avisos normativosLa siguiente información sobre normativas se aplica a las distintas plataformas que se puedenemplear.

A Escenarios de instalación alternativosAvisos normativos


Tabla A-1 Plataformas basadas en SuperMicro

McAfee 1U McAfee 2U o 3U

Emisioneselectromagnéticas

FCC Clase B, EN 55022 Clase B,

EN 61000-3-2/-3-3

CISPR 22 Clase B

FCC Clase B, EN 55022 Clase B,

EN 61000-3-2/-3-3

CISPR 22 Clase B

Inmunidadelectromagnética

EN 55024/CISPR 24,

(EN 61000-4-2, EN 61000-4-3,

EN 61000-4-4, EN 61000-4-5,

EN 61000-4-6, EN 61000-4-8,

EN 61000-4-11) 55024

EN 55024/CISPR 24,

(EN 61000-4-2, EN 61000-4-3,

EN 61000-4--4, EN 61000-4-5,

EN 61000-4-6, EN 61000-4-8,

EN 61000-4-11) 55024

Seguridad EN 60950/Conforme con IEC 60950,

Certificación UL (EE. UU.)

Certificación CUL (Canadá)

Certificación TÜV (Alemania)

Marcado CE (Europa)

EN 60950/Conforme con IEC 60950,

Certificación UL (EE. UU.)

Certificación CUL (Canadá)

Certificación TÜV (Alemania)

Marcado CE (Europa)

Tabla A-2 Plataformas basadas en DAS

DAS-50, DAS-100

Tensión de entrada 100/240 Vca

Frecuencia de entrada 50/60 Hz

Fuente de alimentación 1400 W X3

Consumo de energía 472 W a 120 Vca

461 W a 240 Vca

Amperios (máx.) 9,4 A

Altitud (máx.) De -0,01 a 3 km

Temperatura (máx.) De 10º a 35º C (en funcionamiento)

De -40º a 70º C (en reposo)

Altitud De -0,01 a 3 km (en funcionamiento) y de -0,01 a 7,60 km (en reposo)

Vatios 471,27

Humedad En funcionamiento: del-10 % al 85 %

(sin condensación)

En reposo: del -10 % al 90 %

Tabla A-3 Plataformas basadas en Intel 1U

Parámetro Límites

Temperatura de funcionamiento De +10° C a +35° C con una tasa máxima de variación nosuperior a 10° C por hora

Temperatura en reposo De -40° C a +70° C

Humedad en reposo 90 % sin condensación a 35° C

Ruido acústico Potencia de sonido: 7,0 BA en estado inactivo contemperatura ambiente de oficina normal (23 ± 2º C)

Escenarios de instalación alternativosAvisos normativos A


Tabla A-3 Plataformas basadas en Intel 1U (continuación)

Parámetro Límites

Impacto en funcionamiento Semionda sinusoidal, pico de 2 g, 11 ms

Impacto sin embalaje Trapezoidal, 25 g, cambio de velocidad de 345,44 cm/s (de≧18,14 kg a >36,29 kg)

Impacto con embalaje Caída libre sin paletizar de 61 cm (de ≧18,14 kg a>36,29 kg)

Impacto en funcionamiento Semionda sinusoidal, pico de 2 g, 11 ms

Vibración sin embalaje De 5 Hz a 500 Hz, 2,20 g RMS aleatorio

DES ±12 kV en descarga aérea y 8 K por contacto

Requisito de refrigeración del sistemaen vatios

486,50 W

Tabla A-4 Plataformas basadas en Intel 2U

Parámetro Límites

Temperatura En funcionamiento • ASHRAE Clase A2: funcionamiento continuo. De 10° C a35° C con un tasa máxima de variación no superior a10° C por hora.

• ASHRAE Clase A3: incluye funcionamiento hasta 40° C unmáximo de 900 horas al año

• ASHRAE Clase A4: incluye funcionamiento hasta 45° C unmáximo de 90 horas al año

Envío De -40° C a 70° C

Altitud (funcionamiento) Admite el funcionamiento hasta 3050 m con reducciones decapacidad de clase ASHRAE

Humedad (envío) Del 50 % al 90 % sin condensación, con un máximo entermómetro húmedo de 28° C (a temperaturas de entre25° C y 35° C)

Impacto Funcionamiento Semionda sinusoidal, 2 g, 11 ms

Sin embalaje Trapezoidal, 25 g, la variación de velocidad se basa en elpeso con embalaje

Con embalaje Peso del producto: de ≥40 a <80

Altura de caída libre sin paletizar = 45,72 cm

Altura de caída libre paletizado (producto único) = N/D

Vibración De 5 Hz a 500 Hz2,20 g RMS aleatorio

Con embalaje De 5 Hz a 500 Hz1,09 g RMS aleatorio

CA-CC Tensión De 90 V a 132 V y de 180 V a 264 V

Frecuencia De 47 Hz a 63 Hz

Interrupción dealimentación

No hay pérdida de datos si se corta la alimentación hasta12 ms

Sobretensión en reposoy en funcionamiento

Unidireccional

A Escenarios de instalación alternativosAvisos normativos


B Activación del modo FIPS

FIPS (del inglés Federal Information Processing Standards, estándares federales de procesamiento dela información) son estándares desarrollados y anunciados públicamente por el gobierno de losEstados Unidos sobre el procesamiento de la información. Si está obligado a cumplir estos estándares,deberá utilizar este sistema en el modo FIPS.

El modo FIPS se debe seleccionar la primera vez que se inicia sesión en el sistema, y no es posiblecambiarlo posteriormente.

Selección del modo FIPSLa primera vez que inicie sesión en el sistema, se le preguntará si desea que el sistema funcione en elmodo FIPS o no. Una vez realizada la selección, no es posible cambiarla.


1 La primera vez que inicie sesión en ESM:

a En el campo Nombre de usuario, escriba NGCP.

b En el campo Contraseña, escriba security.4u.

Se le pedirá que cambie su contraseña.

2 Introduzca y confirme la nueva contraseña.

3 En la página Activar FIPS, haga clic en Sí.

La advertencia de Activar FIPS mostrará información para solicitar confirmación de que desea que elsistema funcione en el modo FIPS de forma permanente.

4 Haga clic en Sí para confirmar su selección.


B Activación del modo FIPSSelección del modo FIPS


Índice

AACE, configurar interfaz de red 46

acerca de esta guía 5actualizaciones de reglas offline, obtener 60

actualizar software de dispositivo 63

adaptador SAN, instalar 69

ADM, configurar interfaz de red 47

Amazon Web Servicesconfigurar conexiones 43

crear el AWS 37

descripción general de la instalación 37

instalar ESM 39

ampliardescargar archivos 62

ENMELM 65

ESM 65

ESM redundante 60

ESMREC 65

Event Receiver (disponibilidad alta) 55

preparativos 55

receptor de disponibilidad alta 66

ruta 55

ampliar el sistemaFIPS, modo 64

analista de seguridaden escenarios de ESM 8

avisos normativos para plataformas 72

AWS, véase Amazon Web Services AXXVRAIL, rieles

extraer chasis 19

instalar 15

Ccables de red

conectar 20

identificar tipo 20

cables de red, identificar 20

claveconfiguración inicial de dispositivo 52

máquina virtual 36

conectar dispositivo 19

conexión de un sistema de alimentación ininterrumpida 27

configurar interfaz de redACE 46

ELM 46

Event Receiver 46

consolaagregar dispositivo 51

inicio de sesión inicial 49

contraseña de la consola de ESM 49

convenciones tipográficas e iconos utilizados en esta guía 5crear copia de seguridad

configuración de ESM 57

Criterios comunes, configuración 71

DDAS, instalar 70

DEM, configurar interfaz de red 47

descargar archivos de ampliación 62

Disponibilidad alta del receptorcableado 20

dispositivosactualizar software 63

agregar a la consola 51

agregar dispositivo 51

conectar 19, 27

configurar 45

eliminación 55

identificar puertos de red 20

iniciar 19, 27

inspeccionar 14

quitar del bastidor 19

redefinir configuración 64

software, actualizar 63

tipos admitidos 55

dispositivos admitidos 55

documentaciónconvenciones tipográficas e iconos 5destinatarios de esta guía 5específica de producto, buscar 6

EELM, configurar interfaz de red 46

embalaje, inspeccionar 14

EPS, véase eventos por segundo


ERCescenarios de red simple y complejo 8

ERC-HAcomprobar estado 59

ESMampliar 65

configurar interfaz de red 45

copia de seguridad de la configuración 57

ESM redundante 57

instalar nuevo 60

ESM redundanteampliar 60

configurar 57

establecer de nuevo configuración de dispositivos 64

estadoERC-HA 59

Event Receiver (disponibilidad alta), ampliar 55

eventos por segundodeterminar rendimiento de ERC 8por dispositivo 53

FFIPS, modo

activar 49

Hhardware, requisitos mínimos 13

Iidentificar cables de red 20

iniciar dispositivo 19, 27

iniciar sesión en la consola de ESM 49

inspeccionar embalaje y dispositivo 14

instalar dispositivodescripción general 10

identificar ubicación 13

montaje en bastidor 15

interfaz de redconfigurar en DEM y ADM 47

configurar en ESM 45

KKVM

desplegar 33

requisitos 33

Mmáquina virtual

aplicar clave 36

configurar 34

diagrama de flujo de descripción general 29

instalar 32

planificación 53

máquina virtual (continuación)requisitos 32

McAfee ServicePortal, acceso 6mensaje de error al ampliar dispositivo 60

modo FIPSactivar 75

seleccionar 75

MSSP, véase Proveedor de servicios de seguridad gestionados

Nnavegadores

usados durante la planificación 53

Network Time Protocol, configurar 49

nombre de usuario de la consola de ESM 49

NTP, véase Network Time Protocol

Ooffline, obtener actualizaciones de reglas 60

Pplanificación

cuestionario 53

plataformas, avisos normativos 72

problema de comunicación entre dispositivo y ESM 60

Proveedor de servicios de seguridad gestionados, duranteplanificación 53

proveedores de evaluación de vulnerabilidades disponibles enESM 67

puertosidentificar red para cada dispositivo 20

usados durante la planificación 53

puertos de red, identificar en cada dispositivo 20

QqLogic 2460, instalar adaptador SAN 69

quitar dispositivo 55

Rreceptor de disponibilidad alta

ampliar 66

receptor, configurar interfaz de red 46

reconstrucción, tiempo 55

red, identificar puertos de cada dispositivo 20

requisitos mínimos de hardware y software 13

SSAI, véase sistema de alimentación ininterrumpida ServicePortal, buscar documentación del producto 6software

actualizar dispositivo 63

requisitos mínimos 13

soporte técnico, encontrar información de productos 6

Índice


Ttiempo de reconstrucción 55

tipo de conector, identificar 20

tipo de equipo, identificar 20

tipo de syslog, usado durante la planificación 53

Uubicación de instalación 13

VVM, véase máquina virtual

Índice


0-02

Date post:	23-Feb-2018
Category:	Documents
Upload:	trandien
View:	219 times
Download:	1 times

McAfee Enterprise Security Manager 10.0.0 Guía de · PDF file• McAfee Advanced...

Documents