McAfee Enterprise Security Manager 10.0.0 Guia de instalação · Intel e o logotipo da Intel são...
Transcript of McAfee Enterprise Security Manager 10.0.0 Guia de instalação · Intel e o logotipo da Intel são...
Guia de instalação
McAfee Enterprise Security Manager10.0.0
COPYRIGHT
© 2017 Intel Corporation
ATRIBUIÇÕES DE MARCAS COMERCIAISIntel e o logotipo da Intel são marcas comerciais da Intel Corporation nos EUA e/ou em outros países. McAfee, o logotipo da McAfee, McAfee ActiveProtection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence,McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfeeTotal Protection, TrustedSource e VirusScan são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outrospaíses. Outros nomes e marcas podem ser propriedade de terceiros.
INFORMAÇÕES SOBRE LICENÇA
Contrato de licençaAVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL CORRESPONDENTE À LICENÇA ADQUIRIDA POR VOCÊ. NELE ESTÃODEFINIDOS OS TERMOS E AS CONDIÇÕES GERAIS PARA A UTILIZAÇÃO DO SOFTWARE LICENCIADO. CASO NÃO SAIBA O TIPO DE LICENÇA QUE VOCÊADQUIRIU, CONSULTE A DOCUMENTAÇÃO RELACIONADA À COMPRA E VENDA OU À CONCESSÃO DE LICENÇA, INCLUÍDA NO PACOTE DO SOFTWAREOU FORNECIDA SEPARADAMENTE (POR EXEMPLO, UM LIVRETO, UM ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL OPACOTE DE SOFTWARE FOI OBTIDO POR DOWNLOAD). SE VOCÊ NÃO CONCORDAR COM TODOS OS TERMOS ESTABELECIDOS NO CONTRATO, NÃOINSTALE O SOFTWARE. SE FOR APLICÁVEL, VOCÊ PODERÁ DEVOLVER O PRODUTO À McAFEE OU AO LOCAL DE AQUISIÇÃO PARA OBTER REEMBOLSOTOTAL.
2 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
Conteúdo
Prefácio 5Sobre este guia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Público-alvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Convenções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Localizar a documentação do produto . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1 Visão geral da instalação 7Componentes do McAfee Enterprise Security Manager . . . . . . . . . . . . . . . . . . . 7Cenários de configuração . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Visão geral da instalação do McAfee ESM . . . . . . . . . . . . . . . . . . . . . . . . 10
2 Instalação de dispositivos McAfee ESM 13Requisitos de hardware e software do console do ESM . . . . . . . . . . . . . . . . . . . 13Identificação de um local para instalação . . . . . . . . . . . . . . . . . . . . . . . . 13Configuração de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Inspeção de embalagem e dispositivo . . . . . . . . . . . . . . . . . . . . . . 14Montar o hardware em um rack . . . . . . . . . . . . . . . . . . . . . . . . . 15
3 Montagem do software ESM em uma VM 29Visão geral da montagem da imagem de VM do ESM . . . . . . . . . . . . . . . . . . . 29Requisitos de sistema da VM do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . 30Download da imagem da VM do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . 31Montagem do software ESM da VM do VMware ESXi . . . . . . . . . . . . . . . . . . . . 32
Requisitos de VM do VMware ESXi . . . . . . . . . . . . . . . . . . . . . . . . 32Montar a máquina virtual de VMware ESXi . . . . . . . . . . . . . . . . . . . . 32
Instalação de ESM na KVM Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Requisitos da KVM Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Distribuir o software ESM para KVM Linux . . . . . . . . . . . . . . . . . . . . . 33
Configurar o software ESM na VM . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Configurar a máquina virtual . . . . . . . . . . . . . . . . . . . . . . . . . . 34Codificar o dispositivo VM . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
4 Instalação de ESM no AWS 37Como usar o ESM com AWS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Criar o AWS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Criar a imagem de ESM e instalá-lo no AWS . . . . . . . . . . . . . . . . . . . . . . . 39Configurar conexões do AWS do ESM . . . . . . . . . . . . . . . . . . . . . . . . . . 43
5 Configuração das conexões de rede do McAfee ESM 45Configurar a interface de rede do ESM . . . . . . . . . . . . . . . . . . . . . . . . . 45Configurar a interface de rede ERC, ELM, ELS ou ACE . . . . . . . . . . . . . . . . . . . 46Configurar a interface de rede DEM ou ADM . . . . . . . . . . . . . . . . . . . . . . . 47
6 Acesso e configuração iniciais do ESM 49Entrar no console do McAfee ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 3
Conexão de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Adicionar dispositivos ao console do ESM . . . . . . . . . . . . . . . . . . . . . 51
Confirmar se todos os dispositivos aparecem no ESM . . . . . . . . . . . . . . . . . . . 51Codificar um dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
7 Upgrade do software McAfee ESM 53O que você tem e do que precisa . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Preparação para upgrade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Fazer backup das configurações do ESM e dos dados do sistema . . . . . . . . . . . . 57Verificar o status de alta disponibilidade do ERC . . . . . . . . . . . . . . . . . . 58
Cenários especiais de upgrade . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Download dos arquivos de upgrade . . . . . . . . . . . . . . . . . . . . . . . . . . 62Fazer upgrade do software em um dispositivo . . . . . . . . . . . . . . . . . . . . . . 63Upgrade do sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Fazer upgrade do ESM, ESMREC ou ENMELM . . . . . . . . . . . . . . . . . . . . . . . 65Fazer upgrade de Receptores HA . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Fornecedores de VA disponíveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
A Cenários de instalação alternativos 69Instale os adaptadores qLogic 2460 ou 2562 SAN no ELM ou ELS . . . . . . . . . . . . . . 69Instalação do DAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70Configuração avaliada por critérios comuns . . . . . . . . . . . . . . . . . . . . . . . 71Avisos regulamentares . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
B Ativação do modo FIPS 75Selecione o modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Índice 77
Conteúdo
4 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
Prefácio
Este guia fornece todas as informações necessárias para que você possa trabalhar com seu produtoMcAfee.
Conteúdo Sobre este guia Localizar a documentação do produto
Sobre este guiaEstas informações descrevem o público-alvo do guia, as convenções tipográficas e os ícones usadosneste guia, além de como o guia é organizado.
Público-alvoMcAfee é cuidadosamente pesquisada e escrita tendo em vista o seu público-alvo.
A informação contida neste guia destina-se principalmente a:
• Administradores: Pessoas responsáveis pela implementação e imposição do programa desegurança da empresa.
ConvençõesEste guia usa as seguintes convenções tipográficas e ícones.
Itálico Título de um livro, capítulo ou tópico; um novo termo; ênfase
Negrito Texto enfatizado
Monoespaçada Comandos e outros textos que o usuário digita; uma amostra de código; umamensagem exibida
Narrow Bold Palavras da interface do usuário, como opções, menus, botões e caixas de diálogo
Hipertexto azul Um link para um tópico ou para um site externo
Observação: informações adicionais que enfatizam um argumento, lembram oleitor de algo, ou fornecem um método alternativo
Dica: boas práticas
Cuidado: informações úteis para proteger o sistema de computador, instalação desoftware, rede, empresa ou dados
Aviso: informações críticas para impedir dano físico durante a utilização de umproduto de hardware
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 5
Localizar a documentação do produtoNo ServicePortal, você encontra informações sobre um produto lançado, incluindo a documentação doproduto, artigos técnicos e muito mais.
Tarefa1 Acesse o ServicePortal em https://support.mcafee.com e clique na guia Centro de conhecimento.
2 No painel Base de dados de conhecimento, em Fonte de conteúdo, clique em Documentação do produto.
3 Insira um produto e a versão, e clique em Pesquisar para exibir uma lista de documentos.
PrefácioLocalizar a documentação do produto
6 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
1 Visão geral da instalação
Este documento fornece uma visão geral dos componentes do McAfee®
Enterprise Security Manager(McAfee ESM), como instalar e conectar os componentes de hardware. Além disso, ele descreve comomontar o software em uma máquina virtual (VM) ou fazer upgrade do software nos componentesexistentes e como configurar inicialmente os componentes na rede.
Conteúdo Componentes do McAfee Enterprise Security Manager Cenários de configuração Visão geral da instalação do McAfee ESM
Componentes do McAfee Enterprise Security ManagerO McAfee ESM e seus componentes são instalados na rede e configurados para identificarvulnerabilidades e ameaças.
Se houver uma ameaça, o ESM poderá:
• Notificá-lo usando a interface do usuário, e-mail, SNMP ou mensagem de texto.
• Salvar o histórico da ameaça para análise.
• Agir automaticamente na ameaça com base na política configurada.
Os componentes do McAfee ESM incluem:
• McAfee® Enterprise Security Manager (McAfee ESM) — Disponível como um componente dehardware ou instalação de software de máquina virtual (VM), o McAfee ESM exibe dados deameaças, feeds de reputação e status de vulnerabilidade, além de uma exibição de sistemas,dados, riscos e atividades dentro da empresa.
• McAfee Event Receiver (ERC) — Disponível como um componente de hardware ou instalação desoftware de VM, ele coleta dezenas de milhares de eventos por segundo, analisa esses dados e osenvia para os dispositivos ESM.
• McAfee Enterprise Log Manager (ELM) — Disponível como um componente de hardware ouinstalação de software de VM, ele coleta, compacta, assina e armazena todos os eventos parafornecer uma trilha de auditoria de atividade comprovada.
• McAfee Enterprise Log Search (ELS) — Um componente de hardware que coleta, indexa earmazena todos os eventos para fornecer uma trilha de auditoria de atividade comprovada. O ELSpesquisa os eventos com mais rapidez usando os índices.
• McAfee Receiver/ELM (ELMERC) — Disponível como um componente de hardware ou instalação desoftware de VM que inclui o ELM e o ERC.
1
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 7
• McAfee Advanced Correlation Editor (ACE) — Disponível como um componente de hardware ouinstalação de software de VM que simplifica a correlação de eventos e a inicialização paraidentificar e pontuar eventos de ameaça no histórico ou em tempo real, usando a lógica baseadaem regra e em risco.
• McAfee Application Data Monitor (ADM) — Um componente de hardware que monitora mais de 500aplicativos conhecidos por meio da pilha inteira de camadas e captura detalhes de todas asviolações da sessão completa.
• McAfee Database Event Monitor (DEM) — Um componente de hardware que automatiza a coleta, ogerenciamento, a análise, a visualização e a geração de relatórios do acesso ao banco de dadospara a maioria das plataformas de bancos de dados.
• McAfee Direct Attached Storage (DAS) — Um componente de hardware conectado ao ESM, ELM ouELS para expandir o espaço de armazenamento.
Em soluções redundantes, é necessário um dispositivo DAS em cada sistema. Por exemplo, doisESMs redundantes e dois ELMs redundantes requerem quatro dispositivos DAS.
• Console do ESM — Um computador com um navegador usado pelos administradores de segurançapara configurar e gerenciar o ESM.
Use apenas uma combinação de ESM ou vários desses componentes, dependendo do seu ambiente.
Para obter informações detalhadas sobre configuração, consulte o Guia de produto do McAfeeEnterprise Security Manager.
Cenários de configuração Configure o McAfee ESM com apenas uma combinação de ESM ou adicione componentes paraidentificar ameaças em uma grande rede empresarial.
Adicione componentes ao ambiente de rede para aumentar o desempenho, adicionar funcionalidade eaumentar a capacidade de armazenamento de eventos. Por exemplo, a inclusão dos componentes aseguir ou de modelos mais avançados de um componente existente pode dimensionar a proteção dasua rede.
Os dispositivos da combinação de ESM instalados na máquina virtual têm limites de número decomponentes que podem ser adicionados.
• ACE — Aumenta a capacidade de eventos por segundo (EPS), registros, fluxos de rede einformações contextuais enviadas ao ESM
• ADM — Escuta o tráfego da camada 7 na rede para monitorar aplicativos que normalmente seriamperdidos com o uso apenas do registro em log, e rastreia os detalhes de transação do aplicativopara você armazenar.
• DEM — Aumenta as transações do banco de dados que podem ser armazenadas, o acesso a elas, edescobre bancos de dados desconhecidos na rede como medida extra de segurança.
• ERC — ERCs adicionais aumentam a taxa de transferência de EPS dos segmentos da sua rede e asorigens de dados conectadas.
A taxa de transferência de EPS de um ERC depende do modelo.
• ELM — Aumenta os registros brutos que você pode compactar e armazenar. O ELM é o únicodispositivo que armazena os registros em "Formato bruto" compatível.
1 Visão geral da instalaçãoCenários de configuração
8 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
• ELS — Comparado com o ELM, o ELS acelera a pesquisa de dados de evento usando suas tags deíndice. Mas sua taxa de compactação é bem menor do que a do ELM e pode não atender àsexigências de conformidade.
• ESM — Adicione um ESM redundante para alternar rapidamente para o ESM em espera, caso o ESMativo falhe ou precise de manutenção.
Cenário de ESM simples
A figura mostra que com um só dispositivo ESM você obtém visibilidade dos eventos da rede.
Cenário de ESM complexo
A figura mostra uma grande rede empresarial que usa vários componentes de ESM para obtervisibilidade dos eventos da rede. E, à medida que a rede cresce e os eventos aumentam, você podeadicionar componentes do ESM.
Visão geral da instalaçãoCenários de configuração 1
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 9
Visão geral da instalação do McAfee ESMEste fluxograma apresenta uma visão geral das etapas necessárias para instalar a solução ESM.
1 Visão geral da instalaçãoVisão geral da instalação do McAfee ESM
10 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
Visão geral da instalaçãoVisão geral da instalação do McAfee ESM 1
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 11
1 Visão geral da instalaçãoVisão geral da instalação do McAfee ESM
12 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
2 Instalação de dispositivos McAfee ESM
Na instalação dos dispositivos McAfee, é necessário montá-los no rack, conectá-los com cabos eligá-los. Estas instruções de instalação aplicam-se a todos os modelos atuais dos dispositivos McAfeeESM.
Conteúdo Requisitos de hardware e software do console do ESM Identificação de um local para instalação Configuração de hardware
Requisitos de hardware e software do console do ESMO sistema usado para o console do McAfee ESM deve atender a esses requisitos mínimos de hardwaree software.
• Processador: classe P4 (não Celeron) ou superior (Mobile/Xeon/Core2,Corei3/5/7) ou classe AMDAM2 ou superior (Turion64/Athlon64/Opteron64,A4/6/8)
• RAM — 1,5 GB
• Sistema operacional Windows — Windows 2000, Windows XP, Windows 2003 Server, WindowsVista, Windows Server 2008, Windows Server 2012, Windows 7, Windows 8, Windows 8.1 eWindows 10
• Navegador — Internet Explorer 11 ou posterior, Mozilla Firefox 42 ou posterior, Google Chrome 48ou posterior
• Flash Player — versão 11.2.x.x ou posterior
Os recursos do ESM usam janelas pop-up quando fazem upload ou download dos arquivos. Desative obloqueador de pop-ups do endereço IP ou nome de host do ESM.
Identificação de um local para instalaçãoÉ preciso analisar a rede existente e identificar uma rede e um local físico para os dispositivos. Aseleção correta do local afeta o bom uso dos dispositivos.
Ao selecionar um local para os dispositivos:
2
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 13
• Instale o dispositivo ESM em um local na rede em que ele possa gerenciar dispositivos e seracessado por qualquer sistema que precise alcançá-lo. Se a comunicação direta entre dispositivosgerenciados pelo ESM ou sistemas que executam o ESM for restrita, configure a rede paraencaminhar o tráfego da rede entre eles.
• Instale o dispositivo ESM em um local seguro que possa ser acessado apenas pelo pessoal dasegurança de rede.
• Seu receptor deve estar acessível aos dispositivos que ele monitora. Se não for possível umacomunicação direta, configure sua rede para permitir o roteamento correto do tráfego da redeentre eles.
Configuração de hardwareEssas são as etapas necessárias para instalar, conectar e ligar fisicamente os dispositivos ESM.
Tarefas• Inspeção de embalagem e dispositivo na página 14
Antes de instalar o equipamento, verifique se não existem sinais de danos ou violação.
Inspeção de embalagem e dispositivoAntes de instalar o equipamento, verifique se não existem sinais de danos ou violação.
Tarefa1 Ao receber o dispositivo, inspecione a embalagem e o dispositivo quando a indícios de danos ou
violação, inclusive a fita da embalagem antiviolação.
Se houver algum indício de dano, tratamento indevido ou violação, contate imediatamente oSuporte da McAfee para obter instruções e não instale o produto.
2 Verifique se o pacote contém todos os itens listados no recibo.
3 Ao fazer uma instalação FIPS, encontre o selo antiviolação no pacote de acessórios do contêiner deenvio. Aplique o selo para que ele bloqueie completamente as portas USB, impedindo seu uso semdeixar evidência de violação.
Figura 2-1 Selo antiviolação para USB
Entre em contato imediatamente o Suporte técnico se você não estiver inteiramente satisfeito com ainspeção.
2 Instalação de dispositivos McAfee ESMConfiguração de hardware
14 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
Montar o hardware em um rackMonte seus dispositivos ESM em um rack para protegê-los e seu cabeamento de danos ou de seremdesconectados.
Tarefas• Instalar o conjunto de trilhos AXXVRAIL na página 15
Um conjunto de trilhos AXXVRAIL é enviado junto com cada dispositivo para instalação emrack.
• Remover o chassi na página 19Você pode remover o chassi dos trilhos para substituir ou mover o dispositivo.
• Conectar-se à rede e iniciar os dispositivos na página 19Depois de instalar os dispositivos, crie as conexões de rede e ligue os dispositivos.
Instalar o conjunto de trilhos AXXVRAILUm conjunto de trilhos AXXVRAIL é enviado junto com cada dispositivo para instalação em rack.
O conjunto de trilhos padrão que enviamos foi projetado para funcionar na maioria dos sistemas derack. Se esse sistema de trilhos não funcionar, talvez você precise comprar um sistema de trilhosprojetado para o seu gabinete de servidor.
Instalação de dispositivos McAfee ESMConfiguração de hardware 2
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 15
Tarefa1 Instale os trilhos no rack.
a Puxe o botão de destravamento (F) para remover a parte interna (D) das partes corrediças.
ComponentesA: suporte frontal
B: parte externa
C: suporte traseiro
D: parte interna
E: trava de segurança
F: botão de destravamento
2 Instalação de dispositivos McAfee ESMConfiguração de hardware
16 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
b Alinhe os suportes na posição vertical no rack e insira os parafusos.
c Mova a esfera retentora para a frente das partes corrediças.
Instalação de dispositivos McAfee ESMConfiguração de hardware 2
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 17
2 Instale o chassi.
a Alinhe os orifícios da parte interior aos bloqueadores do chassi.
b Mova a parte interior na direção indicada na imagem a seguir.
c Instale o chassi nas partes corrediças, puxando o botão de destravamento na parte interior paraliberar e permitir o fechamento do chassi.
2 Instalação de dispositivos McAfee ESMConfiguração de hardware
18 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
Remover o chassiVocê pode remover o chassi dos trilhos para substituir ou mover o dispositivo.
Tarefa1 Estenda as partes corrediças até que elas travem.
2 Puxe o botão de destravamento para liberar a trava e desconectar a parte interna das partescorrediças.
3 Pressione a trava de segurança para liberar a parte interna do chassi.
Conectar-se à rede e iniciar os dispositivosDepois de instalar os dispositivos, crie as conexões de rede e ligue os dispositivos.
Tarefas• Tipos de conector e equipamento na página 20
Você pode conectar seus dispositivos ESM à rede usando cabos de cobre Ethernet padrão.
• Conectar a fonte de alimentação e iniciar dispositivos na página 27O processo de conexão de energia e inicialização é semelhante para todos os componentesde hardware do ESM.
Instalação de dispositivos McAfee ESMConfiguração de hardware 2
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 19
Tipos de conector e equipamentoVocê pode conectar seus dispositivos ESM à rede usando cabos de cobre Ethernet padrão.
Conecte os dispositivos ESM, Receptor, ADM e DEM à rede usando conectores de cobre. Os cabos decobre CAT5 têm conectores RJ-45. Use CAT5 ou superior para conexões de cobre. Para as conexõespor gigabit, use o CAT5e.
O ADM e o DEM requerem um Switch Port Analyzer (SPAN) de rede ou a conexão Test Access Point(TAP) para escutar o tráfego da rede. Isso significa que o switch conectado deve espelhar o tráfego deoutras portas de switch.
Você pode conectar o DCE (Data Circuit-Terminating Equipment) e o DTE (Data Terminal Equipment)aos dispositivos ESM.
• Firewall e roteadores são DTE e switches são DCE.
• Os dispositivos ESM são DTE.
Cabos de redeTodos os dispositivos ESM usam conexões de cabo de cobre. Eles usam um cabo de cobre RJ-45 diretoou um cruzado.
• Para conectar uma porta RJ-45 do dispositivo ESM à DCE, use um cabo direto.
• Para conectar a um DTE, use um cabo cruzado.
Para diferenciar um cabo direto de um cruzado, segure as duas extremidades do cabo como ilustrado:
• Em um cabo direto, os fios coloridos estão na mesma sequência em ambas as extremidades.
• Em um cabo cruzado, o primeiro (à esquerda) fio colorido em uma extremidade é da mesma cor doterceiro fio na outra extremidade.
Portas da redeIdentifique as portas nos dispositivos McAfee e conecte os cabos.
Os dispositivos contêm portas de gerenciamento para que possam ser gerenciados no McAfee ESM.
As imagens a seguir identificam as portas de gerenciamento e coleta.
Conexões 1U ERC e ADM
2 Instalação de dispositivos McAfee ESMConfiguração de hardware
20 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
Porta IPMI
Eth0 A conexão varia de acordo com o dispositivo:• ERC — GER. 1
• ADM — GER. 2
Eth1 A conexão varia de acordo com o dispositivo:• ERC — GER. 2
• ADM — GER. 1
Eth5 A conexão varia de acordo com o dispositivo:• ERC — Pode ser usado como porta GER. adicional
• ADM — Portas de coleta (sniffer)
Eth4 A conexão varia de acordo com o dispositivo:• ERC — Pode ser usado como porta GER. adicional
• ADM — Portas de coleta (sniffer)
Eth3 A conexão varia de acordo com o dispositivo:• ERC — Pode ser usado como porta GER. adicional
• ADM — Portas de coleta (sniffer)
Eth2 A conexão varia de acordo com o dispositivo:• ERC — Pode ser usado como porta GER. adicional
• ADM — Portas de coleta (sniffer)
Monitorar conexão
Conexões 1U ERC HA
Instalação de dispositivos McAfee ESMConfiguração de hardware 2
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 21
Para HA:• Primária — Porta IPMI para porta Eth5 secundária, 1 de NIC de 4 portas
• Secundária — Porta IPMI para porta Eth5 primária, 1 de NIC de 4 portas
Eth0 GER. 1 configurado com endereços IP exclusivos
Eth1 GER. 2 (porta de dados) configurada com um endereço IP compartilhado
Eth5 Para HA:• Primária — Porta 1 de NIC de 4 portas para porta IPMI secundária
• Secundária — Porta 1 de NIC de 4 portas para porta IPMI primária
Eth4 Conexão de pulsação entre dispositivos HA
Eth3 Não usada
Eth2 Não usada
Monitorar conexão
Conexões 2U ERC
2 Instalação de dispositivos McAfee ESMConfiguração de hardware
22 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
Eth7 HA reservada para conexão IPMI
Eth6 HA reservada para pulsação
Eth5 Pode ser usada como porta GER. adicional Mostrada na interface gráfica do usuário como"Interface 6"
Eth4 Pode ser usada como porta GER. adicional Mostrada na interface gráfica do usuário como"Interface 5"
Eth0 GER. 1 Mostrada na interface gráfica do usuário como"Interface 1"
Eth1 Pode ser usada como porta GER. adicional Mostrada na interface gráfica do usuário como"Interface 2"
Eth2 Pode ser usada como porta GER. adicional Mostrada na interface gráfica do usuário como"Interface 3"
Eth3 Pode ser usada como porta GER. adicional Mostrada na interface gráfica do usuário como"Interface 4"
Monitorar conexão
Porta IPMI
Conexões 2U ERC HA
Instalação de dispositivos McAfee ESMConfiguração de hardware 2
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 23
Eth7 Para HA:• Primária — Porta 1 de NIC de 4 portas para porta IPMI secundária
• Secundária — Porta 1 de NIC de 4 portas para porta IPMI primária
Eth6 Conexão de pulsação
Eth5 Pode ser usada como porta GER. adicional
Eth4 Pode ser usada como porta GER. adicional
Eth0 GER. 1 configurado com endereços IP exclusivos
Eth1 GER. 2 (porta de dados) configurada com endereço IP compartilhado
Eth2 Pode ser usada como porta GER. adicional
2 Instalação de dispositivos McAfee ESMConfiguração de hardware
24 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
Eth3 Pode ser usada como porta GER. adicional
Para HA:• Primária — Porta 1 de NIC de 4 portas para porta IPMI secundária
• Secundária — Porta IPMI para porta primária 1 de NIC de 4 portas
Conexões 2U ADM
Eth7 Porta SPAN ou TAP
Eth6 Porta SPAN ou TAP
Eth5 Porta SPAN ou TAP
Eth4 Porta SPAN ou TAP
Eth0 GER. 1 Mostrada na interface gráfica do usuário como"Interface 1"
Eth1 Pode ser usada como porta GER. adicional Mostrada na interface gráfica do usuário como"Interface 2"
Eth2 Pode ser usada como porta GER. adicional Mostrada na interface gráfica do usuário como"Interface 3"
Eth3 Pode ser usada como porta GER. adicional Mostrada na interface gráfica do usuário como"Interface 4"
Monitorar conexão
Porta IPMI
Conexões 2U DEM
Instalação de dispositivos McAfee ESMConfiguração de hardware 2
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 25
Eth4 a Ether7 Portas SPAN ou TAP
Eth0 GER. 1
Eth1 GER. 2
Eth2 e Eth3 Portas de coleta (sniffer)
Monitorar conexão
Porta IPMI
Conexões 2U ETM, ELMERC, ELM, ELS, ACE e ENMELC
Eth0 GER. 1
Eth1 GER. 2
2 Instalação de dispositivos McAfee ESMConfiguração de hardware
26 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
Monitorar conexão
Porta IPMI
Conexões de cabos de dados DAS
Conexões de entrada SAS típicas de DAS
Conexões de saída SAS típicas de DAS
Consulte também Identificação de um local para instalação na página 13
Conectar a fonte de alimentação e iniciar dispositivosO processo de conexão de energia e inicialização é semelhante para todos os componentes dehardware do ESM.
Tarefa1 Conecte o cabo de alimentação à fonte de energia. A instalação e o aterramento apropriados do
equipamento devem estar em conformidade com as normas locais, estaduais e nacionais.
Conecte todos os dispositivos ESM a fontes de alimentação ininterrupta (UPS) separadas. A conexãode um sistema com cabos de energia redundantes e módulos de energia operando em condiçõesnormais equilibra o compartilhamento de carga por meio de seu design paralelo, o que resulta emum sistema de energia confiável.
2 Ligue o dispositivo.
Instalação de dispositivos McAfee ESMConfiguração de hardware 2
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 27
2 Instalação de dispositivos McAfee ESMConfiguração de hardware
28 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
3 Montagem do software ESM em uma VM
Você pode montar o software McAfee ESM em servidores VM ESXi ou KVM (Kernel-based VirtualMachine) Linux.
Conteúdo Visão geral da montagem da imagem de VM do ESM Requisitos de sistema da VM do ESM Download da imagem da VM do ESM Montagem do software ESM da VM do VMware ESXi Instalação de ESM na KVM Linux Configurar o software ESM na VM
Visão geral da montagem da imagem de VM do ESMA montagem do software ESM em uma VM é parecida com a da VM VMware ESXi e da KVM Linux
Este fluxograma mostra as principais tarefas usadas para instalar e configurar diferentes softwares deVM.
3
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 29
Requisitos de sistema da VM do ESMA máquina virtual (VM) que você usa para o McAfee ESM deve ser configurada com alguns requisitosmínimos.
• Processador — 8 núcleos de 64 bits, Dual Core2/Nehalem ou superior ou AMD Dual Athlon64/DualOpteron64 ou superior
• RAM — Depende do modelo (4 GB ou mais)
3 Montagem do software ESM em uma VMRequisitos de sistema da VM do ESM
30 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
• Espaço em disco — Depende do modelo (250 GB ou mais)
• ESXi 5.0 ou posterior
• Configuração ampla ou reduzida — Escolha os requisitos de disco rígido para o seu servidor. Orequisito mínimo é de 250 GB, a menos que a VM comprada tenha mais. Consulte as especificaçõesde seu produto de VM.
Configuração ampla ou reduzida de disco — Ao configurar o espaço em disco da VM, use aconfiguração ampla, caso você tenha o espaço em disco real disponível em seu servidor ESXi. O usoda configuração reduzida economiza espaço em disco, mas há um ligeiro impacto de desempenho e épreciso ter cuidado para nunca encher esse espaço em disco até a capacidade.
Download da imagem da VM do ESMO download da imagem da VM do software ESM é parecido com o da VM ESXi e da KVM Linux.
Antes de iniciarVocê precisa ter o Número de concessão da McAfee para fazer download da imagem da VMdo software ESM no site de download.
Tarefa1 Use seu navegador e este URL para acessar o site de download da McAfee:
Downloads de produto, avaliações e ferramentas gratuitas de segurança
2 Clique em Downloads, digite seu Número de concessão da McAfee e o código Captcha e clique emEnviar.
3 Na página Meus produtos, role para baixo até a lista e clique em um dos downloads de VM do McAfeeEnterprise Security Mgr**.
O número no nome do arquivo de download indica o número de núcleos que a imagem de ESM alocapara a VM. Por exemplo, o arquivo "VM32" aloca 32 núcleos para a VM.
4 Clique na guia Versão atual e selecione a imagem de VM do McAfee Enterprise Security Mgr.
5 Selecione um destes downloads:
• Imagem KVM — Para fazer download do arquivo de imagem tarball para uma KVM Linux
• Arquivo de distribuição OVF — Para fazer download do arquivo .ova para o cliente VMware vSphereESXi.
6 Salve o arquivo de imagem em um local do sistema local.
Agora você pode instalar ou distribuir o arquivo de imagem de VM para criar a VM do seu ESM.
Montagem do software ESM em uma VMDownload da imagem da VM do ESM 3
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 31
Montagem do software ESM da VM do VMware ESXiApós o download do software ESM, execute essas tarefas para montá-lo em uma VM do VMware ESXi.
Requisitos de VM do VMware ESXiA VM do VMware ESXi precisa atender a esses requisitos mínimos.
• Processador — 4 núcleos ou mais, dependendo do modelo, 64 bits, Dual Core2/Nehalem ousuperior ou AMD Dual Athlon64/Dual Opteron64 ou posterior
O número de núcleos da CPU que a imagem suporta está indicado no nome do arquivo da imagem.Por exemplo, a imagem "McAfee Enterprise Security Mgr VM4" suporta 4 núcleos. Não é possíveladicionar ou subtrair processados da VM nem alterar o número do ID da VM.
• RAM – mínimo de 4 GB (depende do modelo)
• Disco – mínimo de 250 (depende do modelo)
Compartilhar a CPU ou a RAM com outras VMs afeta o desempenho da VM do ESXi.
• ESXI: 5.0 ou posterior
Você pode selecionar os requisitos de disco rígido para o servidor. Mas o requisito de VM depende domodelo do dispositivo (pelo menos 250 GB). Caso não haja pelo menos 250 GB disponíveis, seráexibida uma mensagem de erro quando a VM for distribuída.
Esse espaço em disco é para o sistema operacional e não inclui o espaço necessário ao banco de dadosou registros.
A VM usa muitos recursos que requerem o uso de CPU e RAM. Se o ambiente do ESXi compartilhar osrequisitos de CPU ou RAM com outras VMs, o desempenho da VM será afetado.
A McAfee recomenda definir a opção de configuração como Ampla.
Montar a máquina virtual de VMware ESXiDepois que você montar e codificar uma VM do VMware ESXi, o funcionamento será igual ao do ESM.
Tarefa1 Acesse a raiz da unidade de CD (para instalação de CD) ou faça download dos arquivos .ova do
ESX do site de downloads.
2 No vSphere Client, clique no endereço IP do servidor na árvore de dispositivos.
3 Clique em File (Arquivo) e selecione Deploy OVF Template (Distribuir modelo OVF).
4 Designe o nome, a pasta para montagem da VM, a definição da configuração de disco e a opçãoRede VM.
5 Distribua os arquivos para o servidor ESXi, selecione a VM e defina a configuração de Editar máquinavirtual.
6 Selecione as configurações de rede corretas para os switches/adaptadores da rede VMware ESXi eclique em Reproduzir para inicializar a VM.
3 Montagem do software ESM em uma VMMontagem do software ESM da VM do VMware ESXi
32 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
7 Usando o menu VM, defina o endereço IP de GER1, a máscara de rede, o gateway e os endereçosDNS, e pressione Esc para ativar o menu.
8 Configure a interface de rede na VM, salve as alterações antes de sair da janela Menu e codifique odispositivo. Para obter detalhes sobre como codificar os dispositivos, consulte o Guia de produto doMcAfee Enterprise Security Manager.
Instalação de ESM na KVM LinuxApós o download do software ESM, execute essas tarefas para instalá-lo em uma KVM Linux.
Requisitos da KVM LinuxA KVM Linux, onde o software ESM é instalado, deve atender aos requisitos mínimos.
Requisitos mínimos
• Processador — 4 núcleos ou mais, dependendo do modelo, 64 bits, Dual Core2/Nehalem ousuperior ou AMD Dual Athlon64/Dual Opteron64 ou posterior (para processadores)
O número de núcleos da CPU que a imagem suporta está indicado no nome do arquivo da imagem.Por exemplo, a imagem "McAfee Enterprise Security Mgr VM4" suporta 4 núcleos. Não é possíveladicionar ou subtrair processados da VM nem alterar o número do ID da VM.
• RAM — Depende do modelo (4 GB ou mais)
• Espaço em disco — Depende do modelo (250 GB ou mais)
Compartilhar a CPU ou a RAM com outras VMs afeta o desempenho da KVM.
• 2 interfaces Virtio Ethernet para o ESM
• Dispositivos de classe Receptor/3 para dispositivos de classe IPS
Essas interfaces usam endereços MAC sequenciais.
• 1 controlador de disco Virtio/Virtio-SCSI, que controle o disco rígido virtual do Virtio
Distribuir o software ESM para KVM LinuxPara executar o McAfee ESM em um ambiente KVM Linux, é necessário importar a imagem do discorígido do tarball (arquivo .tgz).
Tarefa1 Obtenha o arquivo tarball (.tgz) atual na página de download do McAfee Enterprise Security
Manager.
O tarball contém arquivos de configuração de exemplo.
2 Mova o arquivo tarball para o diretório onde você deseja colocar o disco rígido virtual.
Montagem do software ESM em uma VMInstalação de ESM na KVM Linux 3
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 33
3 Extraia o tarball executando este comando: tar –xf McAfee_ETM_VM4_250.tgz
tar –xf McAfee_ETM_VM4_250.tgz
Para distribuir várias VMs do mesmo tipo no mesmo local, altere o nome do disco rígido virtual.
ERC-VM4-disk-1.raw, ERC-VM4-disk-2.raw para my_first_erc.raw, my_second_erc.raw, porexemplo.
4 Crie uma VM no hipervisor KVM usando:
(libvirt, qemu-kvm, proxmox, virt-manager, ovirt)
5 Aponte a imagem da VM para o disco rígido virtual existente (arquivo .raw do disco Virtio) ondevocê extraiu o tarball.
Configurar o software ESM na VMDepois de montar o software do ESM na VM, configure a conexão da interface de rede na VM,conecte-se ao ESM usando o console do ESM e codifique o dispositivo para estabelecer uma conexão.
Tarefas
• Configurar a máquina virtual na página 34Depois de montar o software do ESM na VM, configure a interface de rede.
• Codificar o dispositivo VM na página 35Codifique o dispositivo para estabelecer um vínculo entre ele e o ESM.
Configurar a máquina virtualDepois de montar o software do ESM na VM, configure a interface de rede.
Tarefa
1 Conecte um monitor e um teclado ao dispositivo e ligue-o.
O processo de inicialização é concluído em aproximadamente dois minutos e é exibida a páginadessa tela de cristal líquido (LCD).
2 Para iniciar a configuração, pressione Esc duas vezes, role para baixo até Config. de IP de GER epressione Enter.
3 Para definir o endereço IP da VM do ESM:
a Role para baixo até Ger1 e pressione Enter.
b Role para baixo até Endereço IP e pressione Enter.
c Use as setas para alterar o valor do dígito atual e para alternar entre os dígitos. Depois deconcluído, pressione Enter.
3 Montagem do software ESM em uma VMConfigurar o software ESM na VM
34 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
4 Para definir o endereço IP da máscara de rede:
a Role para baixo até Máscara de rede e pressione Enter.
b Use as setas para alterar o valor do dígito atual e para alternar entre os dígitos. Depois deconcluído, pressione Enter.
5 Para definir o endereço IP do gateway da rede:
a Role para baixo até IP do gateway e pressione Enter.
b Use as setas para alterar o valor do dígito atual e para alternar entre os dígitos. Depois deconcluído, pressione Enter.
6 Para definir o endereço IP do DNS:
a Role para baixo até IP DNS1 e pressione Enter.
b Use as setas para alterar o valor do dígito atual e para alternar entre os dígitos. Depois deconcluído, pressione Enter.
7 Para configurar o uso do DHCP:
a Role para baixo até DHCP e pressione Enter.
b Alterne a configuração entre S(im) e N(ão) , pressione Enter para selecionar a configuraçãocorreta.
8 Para salvar as alterações e encerrar:
a Role para baixo até Concluído e pressione Enter para retornar à Config. de IP de GER.
b Role para baixo até Salvar alterações e pressione Enter.
9 As etapas opcionais para configurar o FIPS, para alterar a porta de comunicação, pressione duasvezes a seta para baixo e depois pressione Enter.
a Role para baixo até Porta de comunicação e pressione Enter.
b Altere o número da porta e pressione Enter.
Anote o novo número da porta, pois ele será necessário no momento de codificar o dispositivo.
10 Consulte Entrar no console do McAfee ESM para começar a definir as configurações da VM do ESM.
11 Consulte Codificar o dispositivo VM para adicionar a chave SSH à VM do ESM.
Para concluir a configuração, entre no console do ESM usando o endereço IP configurado e onavegador.
Codificar o dispositivo VMCodifique o dispositivo para estabelecer um vínculo entre ele e o ESM.
Antes de iniciarConecte fisicamente o dispositivo à rede. consulte Instalação de dispositivos McAfee ESMpara obter detalhes.
Montagem do software ESM em uma VMConfigurar o software ESM na VM 3
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 35
Tarefa1 Na árvore de navegação do sistema, clique no sistema ou grupo e no ícone Adicionar dispositivo no
painel de ações.
2 Insira as informações solicitadas em cada página do Assistente de adição de dispositivo.
3 Montagem do software ESM em uma VMConfigurar o software ESM na VM
36 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
4 Instalação de ESM no AWS
A instalação de McAfee ESM em um servidor virtual do Amazon Web Services (AWS) elimina apossibilidade de falha de hardware.
Conteúdo Como usar o ESM com AWS Criar o AWS Criar a imagem de ESM e instalá-lo no AWS Configurar conexões do AWS do ESM
Como usar o ESM com AWSUm servidor virtual AWS (Amazon Web Services) fornece os mesmos recursos e desempenho de umaVM do McAfee ESM configurado localmente.
As etapas básicas para criar um servidor AWS em sua rede com o McAfee ESM incluem:
1 Obtenha uma conta da AWS em http://aws.amazon.com/.
2 Entre no Console de gerenciamento da AWS e configure sua instância do AWS.
3 Instale o software do ESM, ERC, ELM, ELS ou ACE.
4 Configure o dispositivo ESM.
Criar o AWSAntes de instalar o ESM em um servidor AWS, crie o servidor com as configurações adequadas e crietambém uma conexão com a rede da sua empresa.
Antes de iniciarÉ preciso ter uma conta do Amazon Web Services.
Este exemplo e os valores selecionados descrevem um servidor ESM simples. Os valores que vocêseleciona podem ser diferentes.
4
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 37
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Entre no console do AWS para abrir a página Console do AWS.
2 Defina a região do data center do AWS como o local mais próximo à maioria de suas redes.
3 Em Computação, clique duas vezes em EC2 (Amazon Elastic Compute Cloud) para abrir a Etapa 1:Escolher Amazon Machine Image (AMI) e selecionar a instância do servidor Amazon Linux AMI.
Esse tipo tem as ferramentas AWS/EC2 pré-instaladas. Se você escolher outros tipos Linux,precisará instalar as ferramentas AWS/EC2.
4 Abra a Etapa 2: Escolher tipo de instância, selecione m3.large e clique em Avançar: Configurar detalhes dainstância.
Ao escolher o tipo de instância para um dispositivo McAfee, certifique-se de selecionar a contagemde CPU correta.
5 Clique em Avançar: Configurar detalhes da instância para selecionar a rede a ser usada durante a execuçãoda instância.
É necessário que você consiga se conectar à sua instância usando:
• Endereço público
• Endereço privado
Você pode criar sua própria Nuvem privada virtual (VPC) no AWS. Para obter mais informações,consulte VPC nos serviços da lista suspensa.
6 Clique em Avançar: Adicionar armazenamento para abrir a Etapa 4: página Adicionar armazenamento.Deixe os padrões selecionados para a instância de "compilação" da Amazon.
O padrão para dispositivos McAfee é 250 GB. Você pode adicionar mais volumes, caso precise.
7 Clique em Avançar: Instância de marca para abrir a Etapa 5: Página Instância de marca. Digite um nomepara poder localizar a instância na coluna "Valor".
8 Clique em Avançar: Configurar grupo de segurança para abrir a Etapa 6: Página Configurar grupo desegurança, em seguida, selecione:
• Criar um novo grupo de segurança — Um novo grupo de segurança limita quem pode entrar paraacessar a instância.
Adicione a faixa de endereços IP externos.
• Selecionar um grupo de segurança existente.
9 Clique em Verificar e iniciar para abrir a Etapa 7: Verificar e iniciar instância e clique em Iniciar.
Desconsidere este aviso caso ele seja exibido: A configuração de sua instância não está qualificada para acamada de uso livre.
10 Selecione um par de chaves ou crie um novo par, pois ele será necessário para entrar em sua novainstância.
4 Instalação de ESM no AWSCriar o AWS
38 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
11 Clique em Iniciar instância e Exibir instâncias para confirmar o status do servidor AWS.
Pode levar de 20 a 30 minutos até a sua instância ficar pronta para ser acessada. Quando a colunaVerificações de status, ao lado da nova instância, exibe 2/2 verificações, você está pronto para iniciar oprocesso de instalação.
12 Anote o endereço IP público. Mostrado neste exemplo como: cc.dd.ee.ff.
Esse endereço IP é necessário para transferir o instalador para a instância e para entrar.
Você criou seu servidor AWS. Continue com o processo de instalação e criação da imagem do AWS.
Criar a imagem de ESM e instalá-lo no AWSInstalar o ESM em um servidor AWS é diferente de instalar o software em um servidor físico. Essasetapas descrevem o processo.
Antes de iniciarÉ preciso que você tenha criado o servidor AWS e conectado ao servidor.
É preciso saber o endereço IP configurado do servidor AWS.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Use scp ou pscp (PuTTY Secure Copy Client) para converter o arquivo .pem para .ppk.
Por exemplo, ao usar o Secure Copy Client, use este comando para converter o arquivo de chave etransfira-o para a nova instância de AWS:
scp -i mykeypair.pem siem_install.sh [email protected]:
Ao usar o PuTTY Secure Copy Client, use este comando para converter o arquivo:
pscp -i mykeypair.pem siem_install.sh [email protected]>:
Estas são as variáveis dos exemplos anteriores:
• siem_install.sh — Nome do arquivo de conversão
• ec2-user — Nome do usuário
• cc.dd.ee.ff — Endereço IP
No Windows, use WinSCP para copiar o arquivo em sua instância, convertendo o arquivo .pempara .ppk para PuTTY ou WinSCP. Para obter mais informações, consulte esta página de ajuda daAmazon: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html.
Para fazer download e instalar o cliente SSH e telnet PuTTY, consulte: http://www.putty.org/.
2 Entre na nova instância de AWS usando SSH ou PuTTY com este comando:
ssh -i mykeypair.pem [email protected]
Instalação de ESM no AWSCriar a imagem de ESM e instalá-lo no AWS 4
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 39
Estas são as variáveis do exemplo:
• mykeypair.pem — Nome do arquivo SSH de conversão
• ec2-user — Nome do usuário
• cc.dd.ee.ff — Endereço IP
3 Digite este comando para alterar para raiz e pressione Enter:
sudo su
4 Execute aws configure como raiz e forneça o ID da chave de acesso e a Chave de acesso secretaque você recebeu, usando estes comandos:
[root@<IP address> <ec2-user name>]# aws configure
AWS Access Key ID [None]: <Access Key ID>
AWS Secret Access Key [None]: <Secret Access Key>
Default region name [None]: (Deixe em branco e pressione Enter)
Default output format [None] (Deixe em branco e pressione Enter)
Para obter mais informações sobre essas chaves, consulte http://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSGettingStartedGuide/AWSCredentials.html.
5 Confirme se o script de instalação é executável. Se for necessário, use chmod. Por exemplo:
chmod u+x siem_install.sh
4 Instalação de ESM no AWSCriar a imagem de ESM e instalá-lo no AWS
40 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
6 Crie uma imagem de AMI e uma instância com este comando:
./siem_install.sh
Se for emitido um erro indicando que as chaves não foram definidas, você poderá adicionar aschaves na linha de comando. Por exemplo:
[root@ip-172-31-41-167 ec2-user]# ./install_McAfee_ETM_VM8.sh
A chave de acesso ou a chave secreta de AWS não foi definida
[root@ip-172-31-41-167 ec2-user]# ./install_McAfee_ERU_VM8.sh -O <ID da chave deacesso> -W
<Chave de acesso secreta>
Para acessar a Ajuda, as opções de saída:
[root@ip-172-31-6-172 ec2-user]# ./install_McAfee_ETM_VM8.sh -h
install_McAfee_ETM_VM8.sh - instalar SIEM no Amazon EC2
install_McAfee_ETM_VM8.sh [opções]
opções:
-h, --help mostram ajuda breve
-O chave AWS
-W Chave secreta de AWS
A criação da imagem de AMI leva cerca de 20 minutos e não é um processo interativo. Este é umexemplo da saída:
[root@ip-172-31-6-172 ec2-user]# ./install_McAfee_ETM_VM8.sh Descompactando arquivos Executando o instalador Criando volume Anexando volume formatando volume 1+0 registros de entrada 1+0 registros de saída 4194304 bytes (4,2 MB) copiados, 0,0467013 s, 89,8 MB/s mke2fs 1.42.9 (28-Dez-2013) mke2fs 1.42.9 (28-Dez-2013) montando partição principal copiando arquivos principais montando partição de inicialização copiando arquivos de inicialização Atualizando fstab Atualizando grub desmontando partição de inicialização desmontando partição principal desconectando volume Criando instantâneo (isso levará algum tempo) Criando AMI Criada a AMI "ami-bb8afc81". Para executar, inicie uma instância dessa AMI Excluindo volume (temporário) Cliente.VolumeInválido.NãoEncontrado: o volume "vol-9eb2ae81" não existe. Concluído
7 Quando a imagem for criada, saia do shell principal, saia da instância, vá para o Dashboard EC2 efinalize a instância em execução.
A finalização da instância destrói a instância.
8 Entre no AWS, clique na barra lateral AMIs e encontre a AMI que você criou.
Agora essa AMI tem o nome do script de instalação. Neste exemplo, McAfee_ETM_VM8.
9 Clique com o botão direito no nome da AMI e clique em Iniciar.
10 Percorra as opções de inicialização e clique em Iniciar. Para os dispositivos de tipo McAfee, a etapado par de chaves não é necessária. Selecione Prosseguir sem um par de chaves e clique na confirmação.
Instalação de ESM no AWSCriar a imagem de ESM e instalá-lo no AWS 4
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 41
11 Quando a AMI tiver sido iniciada e passado pelas "verificações de status", abra um navegador enavegue até o endereço IP atribuído. Para este exemplo, digite http:\\172-31-6-172\ nonavegador.
Todos os dispositivos McAfee no AWS são ativados usando o DHCP e o endereço IP é atribuído aeles automaticamente.
O endereço IP de navegação depende de como você configurou a rede no AWS. Você pode ter umendereço IP privado ou público. Para uso de longo prazo, recomendamos o uso de um endereço IPprivado.
Em seu primeiro acesso ao ESM, esse aviso é exibido indicando que você está na nuvem e precisaconfirmar os recursos dos quais tem licença para usar.
Neste exemplo, o hash foi ocultado.
12 Clique em Enviar hash por e-mail para preencher seu cliente de e-mail padrão com o hash criado.
4 Instalação de ESM no AWSCriar a imagem de ESM e instalá-lo no AWS
42 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
13 Adicione seu número de concessão ao e-mail e o envie.
É exibida a caixa de diálogo Hash aceito, indicando que o hash foi enviado com êxito.
Um representante do suporte observa seu número de concessão e verifica os recursos dos quaisvocê tem licença. Em seguida, eles enviam de volta a você uma cadeia de hash para substituir aexibida anteriormente. Quando você clicar em Enviar, poderá entrar pela primeira vez.
14 Ao entrar no AWS novamente, substitua o hash existente pelo hash enviado pela McAfee e cliqueem Enviar.
Agora, você pode entrar no AWS do ESM sem problemas e configurar, codificar e começar a usar odispositivo AWS.
Configurar conexões do AWS do ESMDepois de configurar o hash para o AWS do ESM, conecte-se e adicione dispositivos.
Antes de iniciarÉ preciso que você tenha criado o AWS e instalado o ESM no AWS.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Após a verificação de hash com a McAfee, você pode usar seu endereço IP configurado para entrarinicialmente no ESM. Para obter detalhes, consulte Entrar no console do McAfee ESM.
2 Conecte os dispositivos físicos e virtuais ao ESM.
3 Confirme se todos os dispositivos ESM aparecem no ESM antes de configurá-los.
4 Codifique os dispositivos para concluir a configuração.
Instalação de ESM no AWSConfigurar conexões do AWS do ESM 4
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 43
4 Instalação de ESM no AWSConfigurar conexões do AWS do ESM
44 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
5 Configuração das conexões de rede doMcAfee ESM
Quando o dispositivo ESM estiver instalado e ligado, configure a conexão da interface de rede paracada dispositivo para que ele se conecte ao McAfee ESM.
Conteúdo Configurar a interface de rede do ESM Configurar a interface de rede ERC, ELM, ELS ou ACE Configurar a interface de rede DEM ou ADM
Configurar a interface de rede do ESM Configure a interface de rede em um ESM.
Tarefa
1 Conecte um monitor e um teclado ao dispositivo e ligue-o.
O processo de inicialização é concluído em aproximadamente dois minutos e é exibida a páginadessa tela de cristal líquido (LCD).
2 Pressione Alt + F1 para ir até o menu no canto superior esquerdo da tela, pressione Esc duasvezes, role para baixo até Config. de IP de GER e pressione Enter.
3 Selecione Ger. 1 e pressione Enter, em seguida, selecione Endereço IP e pressione Enter.
4 Defina o valor e pressione Enter.
5 Role para baixo até Netmask (Máscara de rede) e defina o valor.
6 Role para baixo até Concluído e pressione Enter.
7 Role para baixo até Gateway e pressione Enter.
8 Defina o endereço do gateway, role para baixo até Concluído e pressione Enter.
9 Role para baixo até DNS 1, pressione Enter e defina o valor.
5
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 45
10 Role para baixo até Concluído e pressione Enter.
11 Role para baixo até Salvar alterações e pressione Enter.
12 Entre no console do McAfee ESM para começar a configurar os sistemas e dispositivos.
Configurar a interface de rede ERC, ELM, ELS ou ACEConfigure a interface de rede em um dispositivo ERC, ELM, ELS ou ACE.
Tarefa1 Conecte um monitor e um teclado ao dispositivo e ligue-o.
O processo de inicialização é concluído em aproximadamente dois minutos e é exibida a páginadessa tela de cristal líquido (LCD).
2 Pressione Alt + F1 para ir até o menu no canto superior esquerdo da tela, pressione Esc duasvezes, role para baixo até Config. de IP de GER e pressione Enter.
3 Selecione Ger. 1 e pressione Enter, em seguida, selecione Endereço IP e pressione Enter.
Para configurar um endereço IPv6, role para baixo até Configuração de IPv6.
4 Defina o valor e pressione Enter.
5 Role para baixo até Netmask (Máscara de rede) e defina o valor.
6 Role para baixo até Concluído e pressione Enter.
7 Role para baixo até Gateway e pressione Enter.
8 Defina o endereço do gateway, role para baixo até Concluído e pressione Enter.
9 Role para baixo até DNS 1, pressione Enter e defina o valor.
10 Role para baixo até Concluído e pressione Enter.
11 Se estiver no modo FIPS, role para baixo até Número da porta, altere o valor, se necessário, epressione Enter.
Anote o novo número da porta. Ele será necessário no momento de codificar o dispositivo. Nãoaltere a porta de comunicação TCP.
12 Role para baixo até Salvar alterações e pressione Enter.
5 Configuração das conexões de rede do McAfee ESMConfigurar a interface de rede ERC, ELM, ELS ou ACE
46 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
Configurar a interface de rede DEM ou ADMConfigure a interface de rede em um dispositivo DEM ou ADM.
Tarefa1 Conecte um monitor e um teclado ao dispositivo e ligue-o.
O processo de inicialização é concluído em aproximadamente dois minutos e é exibida a páginadessa tela de cristal líquido (LCD).
2 Pressione Alt + F1 para ir ao menu no canto superior esquerdo da tela e pressione Esc duasvezes.
3 Role para baixo até Config. de IP de GER e pressione Enter.
4 Selecione Ger. 1 e pressione Enter.
5 No menu Ativo, selecione Endereço IP e pressione Enter.
Para configurar um endereço IPv6, role para baixo até Configuração de IPv6.
6 Defina o valor e pressione Enter.
7 Role para baixo até Netmask (Máscara de rede) e defina o valor.
8 Role para baixo até Concluído e pressione Enter.
9 Role para baixo até Gateway e pressione Enter.
10 Defina o endereço do gateway, role para baixo até Concluído e pressione Enter.
11 Se estiver no modo FIPS, role para baixo até Número da porta, altere o valor, se necessário, epressione Enter.
Anote o novo número da porta. Ele será necessário no momento de codificar o dispositivo. Nãoaltere a porta de comunicação TCP.
12 Role para baixo até Salvar alterações e pressione Enter.
Configuração das conexões de rede do McAfee ESMConfigurar a interface de rede DEM ou ADM 5
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 47
5 Configuração das conexões de rede do McAfee ESMConfigurar a interface de rede DEM ou ADM
48 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
6 Acesso e configuração iniciais do ESM
Quando os dispositivos ESM estiverem conectados à rede e suas conexões de interface estiveremconfiguradas, você poderá acessar o console do ESM e finalizar a configuração inicial.Consulte o Guia de produto do McAfee Enterprise Security Manager para obter a configuraçãodetalhada do dispositivo.
Conteúdo Entrar no console do McAfee ESM Conexão de dispositivos Confirmar se todos os dispositivos aparecem no ESM Codificar um dispositivo
Entrar no console do McAfee ESMEntre no console para começar a definir as configurações de sistema e dispositivo.
Antes de iniciarVerifique a necessidade de operar o sistema no modo FIPS (Federal Information ProcessingStandard).
Tarefa1 Abra um navegador da Web no computador cliente e vá até o endereço IP que você definiu ao
configurar a interface de rede do ESM. Por exemplo, se o endereço IP do ESM for 172.016.001.140,digite em seu navegador:
https:\\172.016.001.140\
2 Clique em Prosseguir para o site, se for exibido um erro de certificado autoassinado para o navegador.
3 Clique em Entrar, selecione o idioma para o console e digite a senha e o nome de usuário padrão.
• Nome de usuário padrão: NGCP
• Senha padrão: security.4u
4 Clique em Login, leia o Contrato de licença do usuário final e clique em Aceitar.
5 Quando solicitado, altere o nome do usuário e a senha e clique em OK.
6 Selecione a ativação ou não do modo FIPS e, caso selecione Sim, clique na confirmação adicional.
Se houver necessidade de trabalhar no modo FIPS, ative-o ao entrar pela primeira vez para quetodas as comunicações futuras com dispositivos McAfee sejam no modo FIPS. Não ative o modoFIPS se não for solicitado. Para obter mais informações sobre o FIPS, consulte o Apêndice A.
6
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 49
7 Em Acesso a atualizações de regras, clique em OK e siga as instruções exibidas para obter seunome de usuário e senha, que são necessários para acessar as atualizações de regras.
8 Defina a configuração inicial do ESM:
a Selecione o idioma que será usado para os registros do sistema.
b Selecione o fuso horário do ESM e o formato de data a serem usados nesta conta e clique emAvançar.
9 Digite as informações de servidor para o ESM.
a Digite os endereços IPv4 primário e da máscara de rede ou o IPv6. Se necessário, clique emAvançado.
b (Opcional) Digite os endereços IPv4 secundário e da máscara de rede ou o IPv6. Se necessário,clique em Avançado.
c Em Configurações gerais, digite o gateway, os servidores DNS e quaisquer outras informaçõesnecessárias para conectar o ESM a sua rede.
d Clique em Avançar.
10 (Opcional) Se for necessária a conexão por meio de um servidor proxy, digite seu endereço IP,número da porta e credenciais, defina a configuração de rede local e clique em Avançar.
11 (Opcional) Se necessário, insira rotas estáticas de que o ESM necessita para comunicar-se com arede. Ao concluir, clique em Avançar.
12 Adicione seus servidores NTP (Network Time Protocol) para sincronizar a hora do sistema ESM.Defina estas configurações conforme necessário:
• Endereço IP do servidor NTP
• Chave de autenticação
• ID da chave
Para obter melhores resultados no ESM, é importante ter uma referência de hora comum em toda aempresa. Por padrão, o ESM usa um conjunto de servidores NTP baseados na Internet. Insira oservidor NTP próprio da empresa e clique em Avançar.
13 Para verificar automaticamente o servidor ESM quanto a atualizações de regras:
• Digite o seu ID de cliente e senha para verificar a sua identidade.
• Configure o intervalo de verificação automática em horas e minutos.
• Clique em Verificar agora ou Atualização manual.
14 Clique em Finalizar.
15 Na caixa de diálogo Alteração nas configurações de rede, clique em Sim para reiniciar o serviço do ESM.
O reinício leva cerca de 90 segundos para ser concluído. Em seguida, você poderá ser solicitado aentrar novamente no ESM.
6 Acesso e configuração iniciais do ESMEntrar no console do McAfee ESM
50 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
Conexão de dispositivosPara possibilitar o monitoramento de bancos de dados e aplicativos, correlações avançadas baseadasem regras e riscos e geração de relatórios de conformidade, conecte dispositivos físicos e virtuais aoMcAfee ESM.
Adicionar dispositivos ao console do ESMDepois de configurar e instalar dispositivos físicos e virtuais, adicione-os ao console do ESM.
Antes de iniciarInstale e configure os dispositivos.
Essas etapas são necessárias apenas para adicionar dispositivos a um ESM em uma instalaçãocomplexa de ESM com vários dispositivos ESM. Não é necessário realizar esta tarefa com umainstalação de ESM simples usando uma combinação de ESM.
Tarefa1 Na árvore do sistema de navegação, clique em ESM local ou em um grupo.
2 Na barra de ferramentas de ações, clique em .
3 Selecione o tipo de dispositivo que está sendo adicionado e clique em Avançar.
4 No campo Nome do dispositivo, digite um nome exclusivo nesse grupo e clique em Avançar.
5 Forneça as informações solicitadas:
• Para dispositivos do McAfee ePO — Selecione um Receptor, digite as credenciais necessáriaspara entrar na interface da Web e clique em Avançar. Digite as configurações a serem usadas nacomunicação com o banco de dados.
Selecione Requer autenticação do usuário para limitar o acesso aos usuários que tenham nome deusuário e senha para o dispositivo.
• Para todos os outros dispositivos — Digite o endereço IP ou URL de destino do dispositivo.
6 Selecione se as configurações NTP (Network Time Protocol) serão usadas no dispositivo e clique emAvançar.
7 Digite uma senha para esse dispositivo e clique em Avançar.
O ESM testa a comunicação do dispositivo e informa o status da conexão.
Confirmar se todos os dispositivos aparecem no ESMNo console do ESM, confirme se todos os dispositivos ESM aparecem antes de iniciar a configuraçãodetalhada deles.
Para obter informações detalhadas sobre como executar essas etapas de confirmação, consulte o Guiade produto do McAfee Enterprise Security Manager.
Acesso e configuração iniciais do ESMConexão de dispositivos 6
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 51
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Entre no console do McAfee ESM e localize o painel de navegação do sistema para visualizar osdispositivos do sistema.
2 Clique em Menu | Configuração para ver a exibição física.
3 Para confirmar, clique no ícone Adicionar dispositivos e veja os dispositivos que você instalou nosracks e cuja rede configurou.
Depois que os dispositivos forem adicionados, codifique-os para permitir a comunicação e conclua ainstalação. Consulte o Guia de produto do McAfee Enterprise Security Manager para obter aconfiguração detalhada do dispositivo.
Codificar um dispositivoCodifique o dispositivo para estabelecer um vínculo entre o dispositivo e o ESM.
Antes de iniciarConecte fisicamente o dispositivo à rede.
Tarefa1 Entre no console do ESM usando um navegador. Para obter detalhes, consulte Entrar no console do
McAfee ESM.
2 Na árvore de navegação do sistema, clique no dispositivo e no ícone Propriedades .
3 Clique em Gerenciamento de chaves | Codificar dispositivo.
Se o dispositivo tem uma conexão estabelecida e consegue se comunicar com o ESM, é aberto oAssistente de codificação de dispositivo.
4 Digite uma nova senha para o dispositivo e clique em Finalizar.
6 Acesso e configuração iniciais do ESMCodificar um dispositivo
52 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
7 Upgrade do software McAfee ESM
O upgrade do software nos dispositivos ESM fornece, por exemplo, recursos novos e atualizados,alterações na interface ou suporte a mais navegadores e versões de navegadores.
Para preparar seus sistemas para o upgrade, faça download dos arquivos dos componentes e faça orespectivo upgrade na ordem descrita.
Conteúdo O que você tem e do que precisa Preparação para upgrade Cenários especiais de upgrade Download dos arquivos de upgrade Fazer upgrade do software em um dispositivo Upgrade do sistema Fazer upgrade do ESM, ESMREC ou ENMELM Fazer upgrade de Receptores HA Fornecedores de VA disponíveis
O que você tem e do que precisa Liste o software e hardware de segurança atuais da sua rede.
Preencha o seguinte questionário sobre rede antes de iniciar o upgrade dos dispositivos e software doMcAfee ESM.
Os serviços profissionais de segurança da McAfee requerem essas mesmas informações para ajudá-lo asolicitar e configurar a segurança da rede.
7
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 53
Questionário sobre rede atual
Perguntas Insira informações
Quais dispositivos McAfee ESM você possui? Informe a quantidade:• Enterprise Security
Manager (ESM) —________
• Advanced CorrelationEngine (ACE) —________
• Event Receiver (ERC)— ________
• Direct AttachedStorage (DAS) —________
• Combinação deReceiver e ELM(ELMERC) —________
• Application DataMonitor (ADM) —________
• Enterprise LogManager (ELM) —________
• Database EventMonitor (DEM) —________
• Enterprise LogSearch (ELS) —________
• Placa Storage AreaNetwork (SAN) —________
Você tem um All-in-One McAfee ESM? Sim
Não
Você vai precisar de um ACEpara integrar ao ESM?
Sim
Não
A sua solução McAfee ESM está instaladaem uma máquina virtual (VM), dispositivosfísicos ou uma combinação de ambos?
Máquina virtual (VM)
Dispositivo físico
Combinação de VM e dispositivos
Quais são os números de modelo de seuscomponentes ESM?
Informe o número do modelo:• ESM — _____________________________
• ELM — _____________________________
• ERC — _____________________________
• ACE — _____________________________
Você tem uma arquitetura hierárquica? Sim
Não
Além da porta 22, vocêconsegue abrir a porta 9092entre seus ERCs e ESMs?
Sim
Não
Além da porta 22, vocêconsegue abrir a porta 2181entre seus ELSs e ESMs?
Sim
Não
7 Upgrade do software McAfee ESMO que você tem e do que precisa
54 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
Perguntas Insira informações
Você é, ou será, um MSSP (ManagedSecurity Service Provider, provedor deserviços de segurança gerenciados)?
Sim
Não
Qual é a sua taxa atual de eventos porsegundo (EPS) por dispositivo?
Informe a contagem:• ESM — ________
contagem EPS• ERC — ________
contagem EPS
• ELM — ________contagem EPS
• ERC — ________contagem EPS
• ELS — ________contagem EPS
Que versão de software está sendoexecutada no ESM?
A versão usada do McAfee ESM precisaser a 9.6 para fazer upgrade para aversão 10.0.
Versão — _______
Que navegadores você usa para acessar oconsole do ESM?
Chrome versão 48 ou posterior
Firefox versão 42 ou posterior
Internet Explorer versão 11 ou posterior
Preparação para upgradeSão necessários vários procedimentos antes de fazer upgrade dos dispositivos ESM.
1 Verifique se a reconstrução do banco de dados do ESM de uma compilação anterior (9.6.0 ouversão posterior) foi concluída. Lembre-se também de programar o período para interrupção deenergia durante o upgrade.
2 Conclua um backup do banco de dados do ESM. Exporte ou faça backup dos seguintes itens paragarantir a facilidade de recuperação se um upgrade inutilizar uma regra, um evento ou outro tipode conteúdo:
Alarmes: Na caixa de diálogo Propriedades do sistema, clique em Alarmes, destaque cadaalarme, clique em Exportar e salve o arquivo.
Listas deobservação:
Na caixa de diálogo Propriedades do sistema, clique em Listas de observação,destaque cada lista de observação, clique em Exportar e salve o arquivo.
Regraspersonalizadas:
Em Política padrão do Editor de políticas, siga este processo para cada tipo deregra, exceto Origem de dados, Eventos do Windows, ESM, Normalização, Variável ePré-processador.1 No painel Tipos de regras, clique em um tipo de regra.
2 No painel Filtros/Marcação, clique na guia Avançado, selecione definido pelo usuáriono campo Origem e clique em Atualizar. .
3 Destaque as regras, clique em Arquivo | Exportar | Regras, e salve-as noformato XML.
Políticas: Em Política padrão no Editor de políticas, clique em Arquivo | Exportar | Política eselecione Todas as regras personalizadas e variáveis personalizadas.
Upgrade do software McAfee ESMPreparação para upgrade 7
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 55
3 Verifique se o subsistema soft RAID está em execução com duas unidades ativas. Emita o comandocat /proc/mdstat de uma destas formas:
• No console do ESM, clique em Propriedades do sistema | Gerenciamento de ESM | Terminal, clique em Gravare digite o comando.
• SSH no ESM.
• Conecte um monitor e um teclado ao dispositivo.
Se a saída for semelhante ao seguinte exemplo, isso significa que o RAID está funcionandocorretamente e que você pode prosseguir com o upgrade.
Personalities : [raid1] md_d127 : active raid1 sda[0](W) sdb[1](W) 488386496 blocks [2/2][UU]Unused devices: <none>
O código [UU] identifica unidades ativas. Se aparecer [_U] ou [U_], a unidade não faz parte doRAID. É necessário contatar o Suporte técnico antes de fazer upgrade.
Tipo deinformação
Detalhes
Tipos dedispositivocompatíveis
O ESM, ESM/Event Receiver ou ESM/Log Manager (ENMELM) se comunicamsomente com dispositivos 9.6.0. Para verificar o modelo de seu dispositivo, emitao comando cat /proc/cpuinfo. O resultado inclui o número da CPU na linhanome do modelo.
Remoção dedispositivo
Antes do upgrade do ESM, Event Receiver ou ENMELM, remova todos os modelosde dispositivo especificados e endereços IP virtuais para os modelos do Nitro IPSespecificados. Se isso não for feito, será exibida uma mensagem na página Entrar eo log da mensagem informará a ocorrência do problema e a falha do upgrade.Também haverá falha no upgrade do ESM e notações serão inseridas no log demensagens do dispositivo.
Para remover um IPS virtual, selecione o dispositivo na árvore de navegação dosistema e clique no ícone Propriedades . Selecione Configuração do dispositivo |Dispositivos virtuais, depois selecione os dispositivos virtuais existentes e clique emRemover. Clique em Gravar para gravar as configurações no IPS.
É necessário distribuir a política do ESM 9.6.0, Event Receiver ou ENMELM para odispositivo IPS. Caso contrário, o IPS permanecerá em modo de desvio e nenhumtráfego será inspecionado.
Salvarconfigurações doreceptor
Todas as configurações do Receptor precisam ser salvas antes da atualização dasversões 9.x para 9.6, em seguida, para 10. Se as configurações não forem salvas,poderão surgir problemas no receptor e em outros dispositivos. Todas asconfigurações de todos os dispositivos precisam ser salvas antes de atualizar paraqualquer versão.
Tempo derecompilação
O tempo de recompilação da tabela varia para o ESM, Event Receiver e ENMELM.Para agilizar o upgrade do banco de dados do ESM:
• Defina a duração da coleta de eventos, fluxos e logs com um tempo de pullmaior, dando mais tempo para a reconstrução. No console do ESM, clique emPropriedades do sistema | Eventos, fluxos e logse defina o Intervalo de verificação automática.
• Desative a coleta de eventos, fluxos e logs até a reconstrução terminar. Concluaessa etapa somente se o número de eventos e fluxos enviados ao ESM forbaixo. No console do ESM, clique em Propriedades do sistema | Eventos, fluxos e logsecancele a seleção de Intervalo de verificação automática.
7 Upgrade do software McAfee ESMPreparação para upgrade
56 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
Tipo deinformação
Detalhes
Caminhos deupgrade
• O upgrade pode ser direto da versão 9.6.0 ou posterior para o 10.0.0.
• O upgrade das versões anteriores à 9.6.0 deve seguir este caminho:8.2.x > 8.3.x > 8.4.2 > 8.5.6 > 9.0.2 > 9.2.1 > 9.4.2 ou posterior > 9.6.0 ouposterior > 10.0
Upgrade dedispositivosReceptor-HA
Para fazer upgrade de dispositivos Receptor-HA, é preciso primeiramente verificaro status de alta disponibilidade do Receptor.
Todas as configurações dos dispositivos precisam ser salvas antes de atualizar paraqualquer versão.
Fazer backup das configurações do ESM e dos dados do sistemaFaça backup e salve os arquivos de configuração do ESM antes de iniciar quaisquer upgrades desoftware.
Quando um dispositivo ESM é adicionado, a opção Backup e restauração é ativada para fazer backup acada sete dias. É possível desativá-la ou alterar as configurações padrão. Para obter detalhes, consulteo artigo da Base de conhecimentos Processo de backup para dispositivos McAfee [ESM].
É recomendável fazer um Backup completo de todos os dispositivos antes de iniciar um upgrade. Umbackup completo contém:
• Configurações para os dispositivos ESM, ERC, DEM, ADM e ACE.
Os backups completos de ELM incluem somente definições de configuração. Faça um backupseparado das configurações do banco de dados ou perderá todas as conexões do banco de dadoscom compartilhamentos locais e remotos e com SANs.
• Interrompa o CPService e, em seguida, o DBServer. Crie uma cópia do conteúdo de: /usr/local/ess/data/, /etc/NitroGuard e outras pastas em um compartilhamento remoto.
Se algo der errado durante o upgrade, você poderá:
• Reinstalar o software na versão existente.
• Reinstalar os arquivos de backup.
• Tentar fazer upgrade para a versão seguinte.
Os backups são compatíveis apenas com a versão atual do dispositivo ESM. Não é possível instalar umbackup de versão anterior em um dispositivo ESM atualizado.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Gerenciamento de ESM| Manutenção | Backup.
2 Defina as configurações do backup.
3 Clique em OK para fechar a página Backup e restauração.
Upgrade do software McAfee ESMPreparação para upgrade 7
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 57
Tabela 7-1 Definições das opções
Opção Definição
Frequência debackup
Quando os dispositivos do ESM são adicionados ao sistema, a função Backup erestauração é ativada para executar um backup a cada sete dias. É possível alterara frequência ou desativa o backup.
Dados de backuppara
Selecione o que você deseja incluir no backup.
Local de backup Selecione onde você deseja que o backup seja salvo:• ESM – Ele é salvo no ESM e pode ser acessado na página Manutenção do arquivo.
• Local remoto – Ele é salvo no local definido nos campos que ficam ativos. Se vocêestiver salvando uma cópia do ESM e de todos os dados do sistemamanualmente, deve selecionar esta opção.
Ao fazer backup para um compartilhamento de CIFS, use uma barra (/) nocampo do caminho remoto.
Fazer backup agora Fazer backup manual das configurações do ESM e dos eventos, fluxos e registros(se selecionado). Clique em Fechar quando o backup for concluído com êxito.
Fazer backupcompleto agora
Salvar manualmente uma cópia das configurações do dispositivo e dos dados dosistema. Não é possível salvá-los no ESM, portanto, selecione Local remoto nocampo Local de backup e insira as informações de local.
É altamente recomendável fazer um backup completo antes de qualqueratualização de versões, para evitar perdas de dados.
O uso do tipo de compartilhamento Common Internet File System (CIFS) comversões de servidor Samba posteriores a 3.2 pode resultar na perda de dados.
Verificar o status de alta disponibilidade do ERCDetermine o status de um par de ERCs de alta disponibilidade (HA) antes de realizar um upgrade.
Antes de iniciarVocê precisa ter privilégios de administrador para concluir esta tarefa.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Na árvore de navegação do sistema, selecione o dispositivo ERC-HA primário e clique no ícone
Propriedades .
2 Nos campos Status e Status secundário, verifique se o status é OK; Status HA: on-line.
3 Garanta Shell ou SSH para cada um dos ERCs-HA e execute o comando ha_status na interface delinha de comando nos dois ERCs. As informações resultantes mostram o status desse ERC e comoele interpreta o status do outro ERC. Assemelha-se ao seguinte:
OK hostname=McAfee1 mode=primary McAfee1=online McAfee2=online sharedIP=McAfee1 stonith=McAfee2 corosync=running hi_bit=no
7 Upgrade do software McAfee ESMPreparação para upgrade
58 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
4 Verifique o seguinte no status:
• A primeira linha da resposta é OK.
• Host name corresponde ao nome do host na linha de comando menos o número do modelo doERC.
• Mode será primary (primário) se o valor de sharedIP for o nome do host desse ERC, casocontrário, o modo será secundário.
• As próximas duas linhas mostram os nomes do host dos ERCs no par de HA e o status emexecução de cada ERC. O status de ambos é online.
• corosync= mostra o status da execução de corosync, que deve ser running (em execução).
• hi_bit é no (não) em um ERC e yes (sim) no outro.
Certifique-se de que somente um dos ERCs-HA esteja definido com o valor hi_bit. Se os doisERCs-HA estiverem definidos com o mesmo valor, ligue para o Suporte da McAfee antes de fazero upgrade para corrigir essa configuração.
5 Garanta Shell ou SSH para cada um dos ERCs-HA e execute o comando ifconfig nos dois ERCs.
6 Verifique o seguinte nos dados gerados:
• Os endereços MAC em eth0 e eth1 são únicos nos dois ERCs.
• O ERC primário tem o endereço IP compartilhado em eth1 e o ERC secundário não tem qualquerendereço IP em eth1.
Se os dois ERCs-HA estiverem definidos com o mesmo valor, ligue para o Suporte técnico antesde fazer o upgrade para corrigir essa configuração.
Essa verificação garante a funcionalidade do sistema e que não existam endereços IP duplicados, oque significa que pode ser feito o upgrade dos dispositivos.
Upgrade do software McAfee ESMPreparação para upgrade 7
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 59
Cenários especiais de upgradeEm casos especiais, você deve realizar outras etapas antes ou depois de fazer o upgrade.
Situação Ação
Instalação de umnovo modelo doMcAfee ESM
Registre o hardware dentro de 30 dias para ter certeza de que receberáatualizações de política, analisador e regra como parte do contrato demanutenção. Se não registrá-lo, não poderá receber upgrades.Para obter um nome de usuário e senha permanentes, envie um e-mail [email protected] contendo as seguintes informações:• Número de concessão da McAfee • Nome do contato
• Nome da conta • Endereço de e-mail do contato
• Endereço
Obtenção deatualizações deregras offline
1 Vá para Downloads de produto, avaliações e ferramentas gratuitas desegurança.
2 No canto superior direito, clique em Download , insira seu número de concessão,digite as letras exibidas e clique em Enviar. Ir.
3 Selecione o tipo/função do usuário e poderá selecionar o software para fazerdownload.
4 Leia o contrato de licença e clique em Concordo.Os arquivos de atualização disponíveis aparecem de acordo com a versão doESM.
5 Faça download das regras para a versão do seu ESM.
Resolução deproblemas decomunicação dodispositivo
Se você tiver feito upgrade de um dispositivo da McAfee antes de fazer upgradedo ESM ou o ESM estiver no meio do upgrade, esta mensagem poderá serexibida: É necessário fazer upgrade do dispositivo para a versão 10.0.0 antes derealizar a operação. Verifique se o ESM tem a versão correta.1 No console do ESM, selecione o dispositivo na árvore de navegação do sistema
e clique no ícone Propriedades .
2 Clique em Conexão e em Status.
3 Tente novamente a operação que resultou na mensagem.
Upgrade de umESM redundante
Faça upgrade do ESM principal primeiro e depois do ESM redundante.
1 No ESM primário, selecione o ESM na árvore de navegação e clique no íconePropriedades.
2 Clique em Eventos, fluxos e logs e desmarque Intervalo de verificação automática.
3 Após fazer upgrade do ESM redundante, reative a coleta de eventos, fluxos elogs no ESM primário.
7 Upgrade do software McAfee ESMCenários especiais de upgrade
60 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
Situação Ação
McAfee ePO comPolicy Auditor
Se o dispositivo McAfee ePO já estiver no ESM, será preciso atualizá-lo.1 Se você não estiver em um dispositivo multifuncional, faça upgrade do
Receptor ao qual o dispositivo McAfee ePO está conectado.
2 No console do ESM, clique em Propriedades do ePO | Gerenciamento de dispositivos eclique em Atualizar.
É possível definir a recuperação automática na guia Gerenciamento de dispositivos.
3 Clique em Propriedades do Receptor e em seguida clique na guia Avaliação devulnerabilidade.
4 Clique em Gravar.
5 Repita a etapa 2 para obter dados de VA no ESM.
6 Saia do console do ESM e entre novamente.
Upgrade deReceptores de altadisponibilidade(HA)
Antes de fazer upgrade, defina o Receptor primário de preferência como Sempreferência, o que lhe permite usar a opção Recuperação de falhas.
O processo de upgrade requer que o usuário faça upgrade do Receptorsecundário, clique em Recuperação de falhas e faça upgrade para o novo Receptorsecundário. Dessa forma, um Receptor principal coleta dados ao longo doprocesso, garantindo perda de dados mínima. Após fazer upgrade dos doisReceptores, reaplique seu Receptor principal de preferência.
Upgrade do software McAfee ESMCenários especiais de upgrade 7
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 61
Situação Ação
Recompilação dobanco de dados degerenciamento doELM
A indexação do banco de dados de gerenciamento do ELM pode requerer tempoadicional, dependendo do modelo do ELM. Por exemplo, o número de pools dearmazenamento que você possui, a quantidade de dados enviados dedispositivos de log e a largura de banda da rede podem aumentar o temponecessário para concluir a indexação.
No entanto, essa tarefa em segundo plano tem impacto mínimo no desempenhoe, quando concluída, aprimora a consulta de dados históricos.
Para verificar o status da recompilação, vá para Propriedades do ELM | Informações doELM. Se a mensagem O banco de dados está sendo recompilado for exibida nocampo Status ativo, não interrompa ou inicie o banco de dados do ELM. O sistemaindexa todos os dados novos do ELM no dispositivo de envio antes de enviar osdados ao ELM.
Se houver Receptores entrando no ELM e eles estiverem próximos da capacidademáxima, contate o Suporte técnico.
Upgrade de umELM redundante
Faça upgrade do ELM de espera primeiro e depois do ELM ativo.
Nunca desligue o dispositivo durante uma reconstrução.
O processo de upgrade suspende a redundância do ELM. Após fazer upgrade deambos os ELMs, será necessário reiniciar a redundância do ELM.1 Faça upgrade do ELM de espera.
2 Faça upgrade do ELM ativo.
3 Na árvore de navegação do sistema, selecione o ELM de espera e vá paraPropriedades do ELM | Redundância do ELM, depois clique em Retomar serviço.
4 Vá para Propriedades do ELM | Informações do ELM e clique em Atualizar. Os ELMs ativose de espera exibem o status OK.
5 Se o ELM de espera exibir o status Não está OK, clique novamente em Atualizar.Após alguns minutos, o status do ELM de espera mudará para OK, rsync do ELMredundante está 100% concluído. Talvez seja necessário clicar em Atualizar váriasvezes.
Download dos arquivos de upgradeQuando o sistema estiver pronto para o upgrade, faça download dos arquivos de upgrade para osistema local.
Tarefa1 Vá para o site de Downloads de produtos da McAfee e insira seu número de concessão de cliente no
campo Fazer download de meus produtos. Em seguida, clique em Pesquisar.
2 Selecione o dispositivo para o upgrade.
3 Selecione o link correto (MFE <nome do dispositivo> v10.0.0), leia o contrato de licença daMcAfee e clique em Concordo.
4 Faça download destes arquivos para o sistema local:
7 Upgrade do software McAfee ESMDownload dos arquivos de upgrade
62 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
Tipo de dispositivo Nome do arquivo
McAfee Enterprise Security Manager (ESM ou ETM) ESS_Update_10.0.0.signed.tgz
McAfee Enterprise Security Manager e Log Manager (ENMELMou ESMREC)
ESSREC_Update_10.0.0.signed.tgz
McAfee Event Receiver (ERC ou ELMERC) RECEIVER_Update_10.0.0.signed.tgz
McAfee Database Event Monitor (DEM) DBM_Update_10.0.0.signed.tgz
McAfee Advanced Correlation Engine (ACE) RECEIVER_Update_10.0.0.signed.tgz
McAfee Application Data Monitor (ADM) APM_Update_10.0.0.signed.tgz
McAfee Enterprise Log Manager (ELM)
Os dispositivos ELM devem ser de versão 9.6 ou posteriorpara fazer upgrade para 10.0.0.
RECEIVER_Update_10.0.0.signed.tgz
McAfee Enterprise Log Search (ELS) RECEIVER_Update_10.0.0.signed.tgz
Esses arquivos agora estão prontos para serem usados no upgrade do ESM e dos dispositivos.
Fazer upgrade do software em um dispositivoSe o software no dispositivo estiver desatualizado, faça upload de uma versão nova do software apartir de um arquivo no ESM ou no computador local.
Antes de iniciarSe você já tem o sistema há mais de 30 dias, é preciso obter e instalar as credenciaispermanentes para acessar as atualizações.
Se for necessário cumprir com o Common Criteria e normas FIPS, não faça upgrade do ESMdessa maneira. Entre em contato com o Suporte técnico para obter uma atualizaçãocertificada FIPS.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades .
2 Clique no dispositivo Gerenciamento | Atualizar dispositivo.
3 Selecione uma atualização na tabela ou clique em Procurar para localizar o software de atualizaçãono sistema local.
O dispositivo será reiniciado com a versão de software atualizada.
Upgrade do software McAfee ESMFazer upgrade do software em um dispositivo 7
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 63
Tabela 7-2 Definições das opções
Opção Definição
Nome do arquivo Selecione uma das atualizações da lista.
Procurar Procure um arquivo obtido de um engenheiro de segurança da McAfee ou do servidorde atualizações e regras do McAfee.
OK Se você está atualizando um dispositivo usando a opção Atualizar dispositivo dogerenciamento de dispositivos, o processo de atualização será iniciado. Se você estiveratualizando vários dispositivos usando a opção Gerenciamento de vários dispositivos,retornará à página Gerenciamento de vários dispositivos.
Upgrade do sistemaFaça upgrade do ESM e de seus dispositivos em uma ordem específica, com base no modo FIPS. Apóso upgrade, regrave as configurações do dispositivo e distribua a política.
Antes de iniciar• Leia Preparação para upgrade e Situações especiais de upgrade.
• Verifique se o sistema está executando a versão 9.6 ou posterior.
• Se você tiver feito upgrade para a versão 9.6 recentemente, verifique se a reconstruçãodo banco de dados foi concluída.
Ao fazer upgrade, todos os coletores ativos (como Windows, eStreamer e Checkpoint) param de coletardados até que você regrave as configurações do dispositivo e distribua a política.
Tarefa1 Dependendo do modo FIPS, faça upgrade de todos os dispositivos na ordem a seguir.
Para obter detalhes sobre como fazer upgrade do ESM e dos dispositivos, consulte Fazer upgrade doESM, do ESMREC ou do ENMELM e Fazer upgrade de dispositivos.
Modo Ordem
Não FIPS 1 Faça upgrade do ESM primeiro, depois do ESMREC ou ENMELM.
2 Aguarde a compilação do banco de dados.
3 Faça upgrade do ELM ou do ELMERC.
4 Faça upgrade do Event Receiver, ACE, DEM e ADM.
O processo será diferente se você estiver fazendo upgrade de um ESM redundante.
FIPS 1 Faça upgrade do ELM ou do ELMERC.
2 Faça upgrade do Event Receiver, ACE, DEM e ADM.
3 Faça upgrade do ESM, ESMREC ou ENMELM. Você pode começar quando todos osupgrades de dispositivo começarem.
Se você não fizer upgrade dos dispositivos antes do upgrade do ESM quando estiver nomodo FIPS, isso poderá afetar a coleta de registros do ELM.
2 Verifique se há comunicação com os dispositivos.
7 Upgrade do software McAfee ESMUpgrade do sistema
64 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
3 Faça download da atualização manual de regras para o ESM.
4 Aplique as regras atualizadas.
a Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades .
b Na página Informações do sistema, clique em Atualização de regras e em Atualização manual.
c Procure o arquivo de atualização, clique em Fazer upload e em OK.
5 Siga este processo para regravar as configurações de cada dispositivo, para que todas asconfigurações da versão 10.0.0 sejam aplicadas.
a No console do ESM, selecione o dispositivo na árvore de navegação do sistema e clique no íconePropriedades.
b Siga estes procedimentos para cada dispositivo.
Tipo dedispositivo
Processo
Event Receiver oucombinação ESM/Event Receiver
• Para origens de dados: clique em Origens de dados | Gravar.
• Para origens VA: clique em Avaliação de vulnerabilidade | Gravar.
ACE • Para correlação de risco: clique em Gerenciamento de correlação de risco | Gravar.
• Para correlação histórica: clique em Histórico | Ativar correlação histórica | Aplicar.Se já estiver selecionada, clique em Aplicar.
• Para correlação de regras: clique em Correlação de regras, selecione Ativarcorrelação de regras e clique em Aplicar. Se a opção já estiver selecionada,desmarque-a, selecione-a novamente e clique em Aplicar.
DEM ou ADM • Para dispositivos virtuais (ADM): Clique em Dispositivos virtuais | Gravar.
• Para servidores de banco de dados: clique em Servidores de banco de dados |Gravar.
6 Distribua a política para todos os dispositivos que sofreram upgrade.
7 Para tirar o dispositivo selecionado do modo de desvio, clique em Configuração do dispositivo | Interfaces.
8 Se um você tiver um ELM ou ELMERC que colete registros de algum dispositivo, sincronize o ELM(Propriedades do dispositivo | Configuração do dispositivo | Sincronizar ELM).
Fazer upgrade do ESM, ESMREC ou ENMELMQuando o sistema estiver pronto, faça upgrade do ESM, ESMREC ou ENMELM.
Antes de iniciar• Conclua as etapas da seção Instruções de upgrade.
• Verifique se todos os dispositivos anexados ao ESM são compatíveis.
Upgrade do software McAfee ESMFazer upgrade do ESM, ESMREC ou ENMELM 7
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 65
Tarefa1 No console do ESM, selecione o dispositivo ESM e clique no ícone Propriedades .
2 Selecione Gerenciamento de ESM e clique em Atualizar ESM.
3 Na página Selecionar arquivo de atualização de software, procure um desses arquivos.
Tipo de dispositivo Arquivo
McAfee Enterprise Security Manager independente (ESM) ESS_Update_10.0.0.signed.tgz
McAfee Enterprise Security Manager com um receptorincorporado (ESMREC)
ESSREC_Update_10.0.0.signed.tgz
McAfee Enterprise Security Manager com um receptorincorporado e McAfee Enterprise Log Manager (ENMELM),também conhecido como Caixa de combinação
ESSREC_Update_10.0.0.signed.tgz
4 Selecione o arquivo e clique em Fazer upload.
Você será informado de que o ESM será reiniciado e haverá perda de conexão para todos osusuários.
5 Clique em Sim para continuar e, quando for solicitado a fechar o navegador, clique em OK.
O upgrade é iniciado e pode levar muitas horas.
6 Quando o upgrade for concluído, entre no console novamente em uma nova sessão do navegador.
Fazer upgrade de Receptores HAO processo de upgrade do Receptor-HA faz o upgrade dos dois receptores em sequência, começandopelo Receptor secundário.
Antes de iniciarAntes de iniciar o upgrade, execute o processo de Verificar o status de alta disponibilidadedo Receiver para se certificar de que os dispositivos dos Receptores-HA estejam prontospara o upgrade. Se esse procedimento não for seguido, poderão ocorrer problemas deinatividade e de upgrade com o dispositivo.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Na árvore de navegação do sistema, selecione o dispositivo do Receptor-HA e clique no ícone
Propriedades .
2 Faça upgrade do Receptor secundário:
a Clique em Gerenciamento do receptor e em Secundário.
b Clique em Atualizar dispositivo, selecione ou procure o arquivo que deseja usar e clique em OK.
O Receptor é reiniciado, e a versão do software é atualizada.
7 Upgrade do software McAfee ESMFazer upgrade de Receptores HA
66 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
c Em Propriedades do Receptor, clique em Alta disponibilidade | Retomar serviço.
d Selecione o Receptor secundário e clique em OK.
3 Altere o Receptor secundário para primário clicando em Alta disponibilidade | Recuperação de falhas.
4 Repita a etapa 2 para fazer upgrade do novo Receptor secundário.
Fornecedores de VA disponíveisO ESM pode se integrar a esses fornecedores de VA.
Fornecedor de VA Versão
Digital Defense Frontline 5.1.1.4
eEye REM (servidor de eventos REM) 3.7.9.1721
eEye Retina
A origem VA eEye Retina é como a origem de dadosNessus. Você pode usar scp, ftp, nfs ou cifs para obterarquivos .rtd. É preciso copiar manualmente osarquivos .rtd para um compartilhamento scp, ftp ou nfspara efetuar pull. Normalmente, os arquivos .rtd ficamlocalizados no diretório Retina Scans.
5.13.0, auditorias: 2400
McAfee Vulnerability Manager 6.8, 7.0
Critical Watch FusionVM 4-2011.6.1.48
LanGuard 10.2
Lumension Suporte do PatchLink SecurityManagement Console 6.4.5 e versõesposteriores
nCircle 6.8.1.6
Nessus Compatível com Tenable Nessusversões 3.2.1.1 e 4.2 e formatos dearquivo NBE, .nessus (XMLv2)e .nessus (XMLv1); também, formatoXML do OpenNessus 3.2.1
NGS
OpenVAS 3.0, 4.0
Qualys
Rapid7 Nexpose — Fornecedor parceiro de VA recomendado
Rapid7 Metasploit Pro — Fornecedor parceiro de VArecomendado
Você pode deduzir a gravidade de uma exploraçãoMetasploit que começa com o nome Nexpose adicionandouma origem Rapid7 VA ao mesmo Receptor. Se não puderser deduzida, a gravidade padrão será 100.
4.1.4-Atualização 1, formato dearquivo XML
Saint
GFI Languard
NGS SQuirrel
Upgrade do software McAfee ESMFornecedores de VA disponíveis 7
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 67
Fornecedor de VA Versão
iScan Online?
Tripwire/nCircle IPS360?
7 Upgrade do software McAfee ESMFornecedores de VA disponíveis
68 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
A Cenários de instalação alternativos
Use essas informações para configurar adaptadores específicos e outras informações importantes.
Conteúdo Instale os adaptadores qLogic 2460 ou 2562 SAN no ELM ou ELS Instalação do DAS Configuração avaliada por critérios comuns Avisos regulamentares
Instale os adaptadores qLogic 2460 ou 2562 SAN no ELM ouELS
O qLogic QLE2460 é um adaptador único e Fibre Channel PCIe x4, com taxa de transferência de 4 GB.O QLE2562 é um adaptador Fiber Channel PCIe x8 único, com velocidade de 8 GB. Eles podem seconectar diretamente ao dispositivo SAN ou por meio de um switch SAN.
Antes de iniciar• Verifique se o dispositivo SAN ou o switch SAN usados para a conexão se comunicam
automaticamente.
• Verifique se o administrador de SAN aloca e cria espaço no SAN, atribuindo-o ao canalem que o adaptador qLogic está conectado. Use o nome WWPN do adaptador. O WWPNse localiza na placa do adaptador, na embalagem antiestática e na caixa.
Tarefa1 Desligue o dispositivo em que estiver instalando o adaptador SAN.
2 Insira o adaptador, retorne o dispositivo ao rack e conecte os cabos.
No caso de um dispositivo 3U, insira o adaptador no slot mais próximo à tampa protetora damemória.
A mensagem de inicialização de BIOS do adaptador informa que o adaptador foi instalado e estáem funcionamento. Se essa mensagem não for exibida ou se a placa não emitir uma luz vermelha,amarela ou verde, ele não foi reconhecido. Se for esse o caso, verifique se a placa está posicionadacorretamente ou insira-a em outro slot PCI.
3 Inicie o dispositivo.
O ambiente operacional o detectará e carregará o driver QLAXXX. A mensagem de Montagem derecursos de armazenamento exibe OK e continua.
4 Usando o console do ESM, codifique o dispositivo.
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 69
Quando o dispositivo estiver codificado, a página Propriedades incluirá a opção Volumes SAN.
Instalação do DASO adaptador de DAS (direct attached storage) é um dispositivo complementar ao ESM ou ELM dasséries 4xxx/5xxx/6xxx.
A unidade DAS é enviada com um chassi e um cartão LSI 9280-8e RAID para:
• ETM-5205 • ENMELM-5205
• ETM-5510 • ENMELM-5510
• ETM-5600 • ENMELM-5600
• ETM-5750 • ENMELM-6000
• ETM-6000 • ELM-4600
• ETM-X3 • ELM-5205
• ETM-X4 • ELM-5510
• ETM-X5 • ELM-5600
• ETM-X6 • ELM-5750
• ESMREC-5205 • ELM-6000
• ESMREC-5510 • ELS-<TBD>
• ENMELM-4600
Você pode adicionar um DAS (50 TB ou 100 TB) para oferecer mais armazenamento. Estas instruçõessão iguais para o chassi de ESM, ELM ou ELS.
Tarefa
1 Desligue o dispositivo seguindo o procedimento normal de encerramento.
2 Puxe o dispositivo pelo rack e abra a tampa superior. Talvez seja necessário remover um pequenoparafuso na parte frontal ou traseira da tampa.
3 Dependendo do chassi, instale a placa DAS em um destes slots:
• Para o 1U ou 3U, instale a placa LSI 9280-4e RAID no slot 4
• Para o 2U, instale a placa LSI 9280-4e RAID no slot 1
4 Dependendo do chassi, instale os cabos DAS nestes slots:
• Para o ESM, ELM ou ELS, insira os cabos nos slots 1 e 2 da placa.
• Para o DAS, insira os cabos nos slots 1 e 3 da placa.
5 Instale a placa LSI 9280-8e RAID no slot 4 do ESM.
• Nos dispositivos de face laranja, se a placa Areca ou 3Ware RAID estiver no slot 4, mova-a parao slot 6. Se o dispositivo McAfee ESM tiver uma placa Areca ou 3Ware RAID e também um SSDinstalados, instale a placa LSI 9280-8e RAID no slot 5.
• Nos dispositivos com face preta, instale o cartão em um slot aberto.
6 Insira os cabos elétricos e ligue o dispositivo.
A Cenários de instalação alternativosInstalação do DAS
70 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
7 Insira o utilitário BIOS e procure o utilitário BIOS da placa LSI 9280-8e RAID.
8 Saia do utilitário BIOS e verifique o espaço em disco de DAS com o comando: df –h
Em Propriedades do sistema do console do ESM, o campo Hardware da guia Informações do sistema reflete otamanho ampliado do disco rígido denominado /data_hd.
Configuração avaliada por critérios comunsO dispositivo McAfee deve ser instalado, configurado e operado de uma maneira específica para estarem conformidade com as configurações avaliadas por Common Criteria. Considere esses requisitos aoconfigurar seu sistema.
Tipo Requisitos
Máquina físicae virtual
O dispositivo McAfee deve estar:• Protegido contra modificações físicas não autorizadas.
• Localizado em instalações com acesso controlado, o que evita o acesso físico nãoautorizado.
Usopretendido
O dispositivo McAfee deve:• Ter acesso a todo o tráfego da rede para executar suas funções.
• Ser gerenciado para permitir alterações de endereço no tráfego da redemonitorado pelo Destino de Avaliação (TOE).
• Ser dimensionado de acordo com o tráfego de rede monitorado.
Funcionários • Deve haver um ou mais indivíduos competentes atribuídos para gerenciar odispositivo McAfee e a segurança das informações nele contidas. A assistência nolocal para a instalação e configuração e o treinamento no local para a operação dodispositivo são fornecidos pelos engenheiros da McAfee a cada cliente do McAfee.
• Os administradores autorizados não devem ser descuidados, propositalmentenegligentes ou hostis, devendo seguir e cumprir as instruções fornecidas peladocumentação do dispositivo McAfee.
• Somente usuários autorizados podem acessar o dispositivo McAfee.
• Os responsáveis pelo dispositivo McAfee devem garantir que todas as credenciaisde acesso sejam protegidas pelos usuários de maneira consistente com asegurança de TI.
Outros • Não aplique atualizações de software ao dispositivo McAfee, pois isso resultará emuma configuração diferente da avaliada por Common Criteria. Entre em contatocom o Suporte técnico para obter uma atualização certificada.
• Para assegurar uma comunicação segura, ative o recurso Segurança de login com umservidor RADIUS. O ambiente de TI oferece uma transmissão segura de dadosentre o TOE e entidades e origens externas. Um servidor RADIUS fornece serviçosde autenticação externa.
• O uso do recurso Smart Dashboard do console de firewall Check Point não faz parte doTOE.
• O uso do Snort Barnyard não faz parte do TOE.
• O uso do cliente MEF não faz parte do TOE.
• O uso do sistema de tíquete do Remedy não faz parte do TOE.
Cenários de instalação alternativosConfiguração avaliada por critérios comuns A
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 71
Avisos regulamentaresEstas informações regulamentares se aplicam às diferentes plataformas que podem ser usadas.
Tabela A-1 Plataformas baseadas em SuperMicro
McAfee 1U McAfee 2U ou 3U
Emissõeseletromagnéticas
Classe B do FCC, classe B do EN55022,
EN 61000-3-2/-3-3
Classe B do CISPR 22
Classe B do FCC, classe B do EN55022,
EN 61000-3-2/-3-3
Classe B do CISPR 22
Imunidadeeletromagnética
EN 55024/CISPR 24,
(EN 61000-4-2, EN 61000-4-3,
EN 61000-4-4, EN 61000-4-5,
EN 61000-4-6, EN 61000-4-8,
EN 61000-4-11) 55024
EN 55024/CISPR 24,
(EN 61000-4-2, EN 61000-4-3,
EN 61000-4--4, EN 61000-4-5,
EN 61000-4-6, EN 61000-4-8,
EN 61000-4-11) 55024
Segurança Em conformidade com EN 60950/IEC60950,
Lista UL (EUA)
Lista CUL (Canadá)
Certificação TUV (Alemanha)
Marcação CE (Europa)
Em conformidade com EN 60950/IEC60950,
Lista UL (EUA)
Lista CUL (Canadá)
Certificação TUV (Alemanha)
Marcação CE (Europa)
Tabela A-2 Plataformas baseadas em DAS
DAS-50, DAS-100
Voltagem de entrada 100/240 VCA
Frequência de entrada 50/60 Hz
Fonte de alimentação 1400 W X3
Consumo de energia 472 W@120 VCA
461 W@240 VCA
Amperagem (máx.) 9,4 A
Altitude (máx.) –45 a 9.500 pés
Temperatura (máx.) 10 ºC a 35 ºC (operacional)
–40 ºC a 70 ºC (não operacional)
Altitude –45 a 9.500 pés (operacional) –45 a 25.000 pés (não operacional)
BTU BTU/HR 1609
Umidade Operacional: 10% a 85%
(sem condensação)
não operacional: 10% a 90%
A Cenários de instalação alternativosAvisos regulamentares
72 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
Tabela A-3 Plataforma Intel 1U
Parâmetro Limites
Temperatura operacional +10 °C a +35 °C com a taxa máxima de alteração sem ultrapassar10 °C por hora
Temperatura não operacional –40 °C a +70 °C
Umidade não operacional 90%, sem condensação a 35 °C
Ruído acústico Potência sonora: 7,0 BA em estado ocioso a uma temperaturaambiente normal de escritório. (23 ± 2 graus C)
Choque, operacional Meia senoide, 2 g pico, 11 ms
Choque, desembalado Trapezoidal, 25 g, alteração de velocidade 3,45 m/s ( ≧ 18 kg a >37 kg)
Choque, embalado Queda livre não paletizada de uma altura de 60 cm ( ≧18 kg a > 37kg)
Choque, operacional Meia senoide, 2 g pico, 11 ms
Vibração, desembalado 5 Hz a 500 Hz, 2,20 g RMS aleatório
ESD ±12 kV para descarga de ar e 8 K para contato
Requisito do sistema deresfriamento em BTUs/h
1.660 BTUs/hora
Tabela A-4 Plataforma Intel 2U
Parâmetro Limites
Temperatura Operacional • ASHRAE Classe A2 — Operação contínua. 10 °C a 35 °C (50°F a 95 °F) com a taxa máxima de alteração que nãoultrapasse 10 °C por hora.
• ASHRAE Classe A3: inclui operação até 40 °C por até 900horas por ano
• ASHRAE Classe A4: inclui operação até 45 °C por até 90 horaspor ano
Envio -40 ℃ a 70 °C (-40 °F a 158 °F)
Altitude (operacional) Operação compatível de até 3.050 m com diminuição depotência na classe ASHRAE
Umidade (envio) 50% a 90%, sem condensação, com lâmpada úmida no máximoaté 28 °C (em temperaturas entre 25 °C e 35 °C)
Choque Operacional Meia senoide, 2 g, 11 ms
Desembalado Trapezoidal, 25 g, alteração da velocidade baseada no peso comembalagem
Embalado Peso do produto: ≥ 40 a < 80
Altura de queda livre não paletizada = 45,72 cm
Altura de queda livre paletizada (produto único) = ND
Vibração 5 Hz a 500 Hz2,20 g RMS aleatório
Embalado 5 Hz a 500 Hz1,09 g RMS aleatório
AC-DC Voltagem 90 Hz a 132 V e 180 V a 264 V
Cenários de instalação alternativosAvisos regulamentares A
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 73
Tabela A-4 Plataforma Intel 2U (continuação)
Parâmetro Limites
Frequência 47 Hz a 63 Hz
Interrupção de fonte Sem perda de dados para interrupção de energia de 12 ms
Sobretensão nãooperacional eoperacional
Unidirecional
A Cenários de instalação alternativosAvisos regulamentares
74 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
B Ativação do modo FIPS
O FIPS (Federal Information Processing Standard) consiste em padrões públicos desenvolvidos pelogoverno federal dos Estados Unidos. Caso seja necessário atender a essas normas, você deverá operaro sistema no modo FIPS.
Você deverá selecionar o modo FIPS na primeira vez que entrar no sistema e não poderá alterá-loposteriormente.
Selecione o modo FIPSAo efetuar logon pela primeira vez no sistema, você precisa indicar se deseja que o sistema opere nomodo FIPS. Depois que essa seleção for feita, não será possível alterá-la.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 A primeira vez que você entra no ESM:
a No campo Nome do usuário, digite NGCP.
b No campo Senha, digite security.4u.
Você será solicitado a alterar sua senha.
2 Insira e confirme a nova senha.
3 Na página Ativar FIPS, clique em Sim.
O aviso Ativar FIPS exibe informações de solicitação de confirmação se você deseja que o sistemaopere no modo FIPS permanentemente.
4 Clique em Sim para confirmar sua seleção.
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 75
B Ativação do modo FIPSSelecione o modo FIPS
76 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
Índice
AACE, configurar interface de rede 46
adaptador qLogic 2460 SAN, instalar 69
adaptador SAN, instalar 69
ADM, configurar interface de rede 47
Amazon Web Servicesconfigurar conexões 43
criar o AWS 37
instalar o ESM 39
visão geral da instalação 37
Analista de segurançaem cenários do ESM 8
atualizações de regras off-line, obtenção 60
atualizar software do dispositivo 63
avisos regulamentares sobre plataformas 72
AWS, consulte Amazon Web Services
Ccabos de rede
conectar 20
identificar tipo 20
cabos de rede, identificar 20
cabos, identificar rede 20
chaveconfiguração inicial do dispositivo 52
máquina virtual 35
conectar dispositivo 19
conexão da fonte de alimentação ininterrupta 27
Configuração com critérios comuns 71
consoleacesso inicial 49
adicionar dispositivo 51
convenções e ícones utilizados neste guia 5
DDAS, instalar 70
de atualizações de regras, recebimento de mensagens de erro60
DEM, configurar interface de rede 47
dispositivosadicionar ao console 51
adicionar dispositivo 51
atualizar software 63
dispositivos (continuação)conectar 19
conectar-se 27
configurar 45
identificar portas de rede 20
iniciar 19, 27
inspecionar 14
regravar configurações 64
remoção 55
remover do rack 19
software, atualizar 63
tipos compatíveis 55
dispositivos compatíveis 55
documentaçãoconvenções tipográficas e ícones 5específica do produto, como encontrar 6público-alvo para este guia 5
download de arquivos de upgrade 62
Eefetuar logon no console do ESM 49
ELM, configurar interface de rede 46
embalagem, inspecionar 14
EPS, consulte eventos por segundo ERC
cenários de redes simples e complexas 8ERC-HA
verificar status 58
ESMconfigurar interface de rede 45
ESM redundante 57
fazer backup de configurações 57
instalação de novas 60
upgrade 65
ESM redundanteconfigurar 57
upgrade 60
eventos por segundodetermina a taxa de transferência de ERC 8por dispositivo 53
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 77
Ffazer backup
Configurações do ESM 57
fazer upgradeReceptor-HA 66
fazer upgrade do sistemaModo FIPS 64
Fornecedores de VA disponíveis no ESM 67
Hhardware, requisitos mínimos 13
Iiniciar dispositivo 19, 27
inspecionar embalagem e dispositivo 14
instalar dispositivoidentificar local 13
montagem no rack 15
visão geral 10
interface de redeconfigurar DEM e ADM 47
configurar ESM 45
interface de rede, configurarACE 46
ELM 46
Receptor 46
KKVM
distribuir 33
Llocal de instalação 13
Mmáquina virtual
codificar 35
configurar 34
fluxograma geral 29
instalar 32
planejamento 53
requisitos 32
McAfee ServicePortal, como acessar 6modo FIPS
ativar 75
selecione 75
Modo FIPSativar 49
MSSP, consulte Provedor de serviços de segurança gerenciados
Nnavegadores
usado durante o planejamento 53
network time protocol, configurar 49
nome do usuário para o console do ESM 49
NTP, consulte network time protocol
Ooffline ao fazer upgrade de dispositivo 60
Pplanejamento
questionário 53
plataformas, avisos regulamentares sobre 72
portasidentificar rede para cada dispositivo 20
usado durante o planejamento 53
portas de rede, identificar em cada dispositivo 20
portas, identificar rede de cada dispositivo 20
problema de comunicação entre o dispositivo e o ESM 60
Provedor de serviços de segurança gerenciados, durante oplanejamento da 53
RReceptor-HA
cabeamento 20
fazer upgrade 66
Receptor-HA, upgrade 55
Receptor, configurar interface de rede 46
regravação das configurações do dispositivo 64
remoção de um dispositivo 55
Requisitos deKVM 33
requisitos mínimos de hardware e software 13
Ssenha para o console do ESM 49
ServicePortal, como encontrar a documentação do produto 6sobre este guia 5software
atualizar dispositivo 63
requisitos mínimos 13
statusERC-HA 58
suporte técnico, como encontrar informações sobre produtos 6
Ttempo de reconstrução 55
tempo para reconstruir 55
tipo de conector, identificar 20
tipo de equipamento, identificar 20
tipo de syslog, usado durante o planejamento 53
trilhos AXXVRAILinstalar 15
remover chassi 19
Índice
78 McAfee Enterprise Security Manager 10.0.0 Guia de instalação
Uupgrade
caminho 55
download de arquivos 62
ENMELM 65
ESM 65
ESM redundante 60
ESMREC 65
upgrade (continuação)preparação 55
Receptor-HA 55
UPS, consulte fonte de alimentação ininterrupta
VVM, consulte máquina virtual
Índice
McAfee Enterprise Security Manager 10.0.0 Guia de instalação 79
0-12