Guia de produto. McAfee Enterprise Security Manager 9.5.1

Transcrição

1 Guia de produto McAfee Enterprise Security Manager 9.5.1

2 COPYRIGHT Copyright 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, , ATRIBUIÇÕES DE MARCAS COMERCIAIS Intel e o logotipo da Intel são marcas comerciais da Intel Corporation nos EUA e/ou em outros países. McAfee, o logotipo da McAfee, McAfee Active Protection, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource e VirusScan são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outros países. Outros nomes e marcas podem ser propriedade de terceiros. INFORMAÇÕES SOBRE LICENÇA Contrato de licença AVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL CORRESPONDENTE À LICENÇA ADQUIRIDA POR VOCÊ. NELE ESTÃO DEFINIDOS OS TERMOS E AS CONDIÇÕES GERAIS PARA A UTILIZAÇÃO DO SOFTWARE LICENCIADO. CASO NÃO SAIBA O TIPO DE LICENÇA QUE VOCÊ ADQUIRIU, CONSULTE A DOCUMENTAÇÃO RELACIONADA À COMPRA E VENDA OU À CONCESSÃO DE LICENÇA, INCLUÍDA NO PACOTE DO SOFTWARE OU FORNECIDA SEPARADAMENTE (POR EXEMPLO, UM LIVRETO, UM ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL O PACOTE DE SOFTWARE FOI OBTIDO POR DOWNLOAD). SE VOCÊ NÃO CONCORDAR COM TODOS OS TERMOS ESTABELECIDOS NO CONTRATO, NÃO INSTALE O SOFTWARE. SE FOR APLICÁVEL, VOCÊ PODERÁ DEVOLVER O PRODUTO À McAFEE OU AO LOCAL DE AQUISIÇÃO PARA OBTER REEMBOLSO TOTAL. 2 McAfee Enterprise Security Manager Guia de produto

3 Conteúdo Prefácio 9 Sobre este guia Público-alvo Convenções Localizar a documentação do produto Encontre informações traduzidas Perguntas frequentes Introdução 13 Como o McAfee Enterprise Security Manager funciona Dispositivos e o que eles fazem O console do ESM Usar a Ajuda do ESM Perguntas frequentes Encontre informações traduzidas Guia de introdução 19 Requisitos de hardware e software Sobre o modo FIPS Informações sobre o modo FIPS Selecione o modo FIPS Verificar integridade FIPS Adicionar um dispositivo codificado ao modo FIPS Solução de problemas do modo FIPS Configuração avaliada por critérios comuns Efetuar logon e logoff Personalizar a página de entrada Atualizar software do ESM Obter e adicionar credenciais de atualização de regra Verificar atualizações de regras Alterar o idioma dos registros de eventos Conexão de dispositivos Adicionar dispositivos ao console do ESM Selecione um tipo de exibição Gerenciar tipos de exibição personalizadas Gerenciar um grupo em um tipo de exibição personalizada Excluir um grupo ou um dispositivo Excluir dispositivos duplicados na árvore de navegação do sistema Preferências do console O console do ESM Trabalhar com o tema de cores do console Selecione as configurações de exibição do console Defina o valor de tempo limite do console Selecione configurações do usuário Configurar credenciais de usuário para o McAfee epo McAfee Enterprise Security Manager Guia de produto 3

4 Conteúdo 3 Configuração do ESM 37 Gerenciamento de dispositivos Exibir estatísticas de dispositivo Adicionar dispositivos ao console do ESM Sobre chaves de dispositivo Atualizar o software em um dispositivo Organização de dispositivos Gerenciar vários dispositivos Gerenciar links de URL para todos os dispositivos Exibir relatórios de resumo do dispositivo Exibir um registro do sistema ou dispositivo Relatórios de status de integridade do dispositivo Excluir um grupo ou um dispositivo Atualizar dispositivos Configuração de dispositivos Dispositivos e o que eles fazem Event Receiver Configurações do Enterprise Log Manager (ELM) Configurações do Advanced Correlation Engine (ACE) Configurações do Application Data Monitor (ADM) Configurações do Database Event Monitor (DEM) Configurações do DESM (ESM distribuído) Configurações do epolicy Orchestrator Configurações do Nitro Intrusion Prevention System (Nitro IPS) Configurações do McAfee Vulnerability Manager Configurações do McAfee Network Security Manager Configuração de serviços auxiliares Informações gerais do sistema Definir configurações do servidor Remedy Parar atualização automática da árvore de sistemas do ESM Definição de configurações de mensagem Configurar NTP em um dispositivo Definir configurações de rede Sincronização da hora do sistema Instalar um novo certificado Configurar perfis Configuração de SNMP Gerenciamento do banco de dados Configurar o armazenamento de dados do ESM Configurar o armazenamento de dados da VM do ESM Aumentar o número de índices de acumulador disponíveis Configurar o arquivo de partições inativas Configurar limites de retenção de dados Definir limites de alocação de dados Gerenciar configurações de indexação de banco de dados Gerenciar a indexação do acumulador Exibir utilização de memória do banco de dados Trabalhar com usuários e grupos Adicionar um usuário Selecione configurações do usuário Configuração de segurança Configurar credenciais de usuário para o McAfee epo Desativar ou reativar um usuário Autenticar usuários para um servidor LDAP Configurar grupos de usuários Adicionar um grupo com acesso limitado McAfee Enterprise Security Manager Guia de produto

5 Conteúdo Backup e restauração das configurações do sistema Fazer backup das configurações do ESM e dos dados do sistema Restaurar configurações do ESM Restaurar arquivos de configuração com backup Trabalhar com arquivos de backup no ESM Gerenciar a manutenção do arquivo ESM redundante Configurar um ESM redundante Substituir um ESM redundante Gerenciamento do ESM Gerenciar registros Mascarar endereços IP Configurar o registro do ESM Alterar o idioma dos registros de eventos Exportar e restaurar chaves de comunicação Gerar chave SSH novamente Gerenciador de tarefas de consulta Gerenciar consultas em execução no ESM Atualizar ESM primário ou redundante Acessar um dispositivo remoto Usar comandos do Linux Comandos do Linux disponíveis Uso de uma lista negra global Configurar uma lista negra global O que é enriquecimento de dados Adicionar origens de enriquecimento de dados Configurar enriquecimento de dados no McAfee Real Time for McAfee epo Adicione uma origem de enriquecimento de dados Hadoop HBase Adicionar origem de enriquecimento de dados Hadoop Pig Adicionar enriquecimento de dados do Active Directory para nomes do usuário Gerenciamento de "ciberameaças" 219 Configurar gerenciamento de ciberameaça Exibir resultados de feeds de ciberameaças Trabalho com pacotes de conteúdo 223 Importar pacotes de conteúdo Fluxo de trabalho de alarmes 225 Preparar para criar alarmes Configurar mensagens de alarme Gerenciar arquivos de áudio de alarme Gerenciar fila de relatórios de alarme Criar alarmes Ativar ou desativar o monitoramento de alarmes Copiar um alarme Criar alarmes Monitorar e responder a alarmes Exibir e gerenciar alarmes disparados Exibir resultados de feeds de ciberameaças Integração do Threat Intelligence Exchange Gerenciar fila de relatórios de alarme Ajustar alarmes Criar alarmes UCAPL Adicionar alarmes de evento do monitor de integridade Adicionar um alarme de Correspondência de campos McAfee Enterprise Security Manager Guia de produto 5

6 Conteúdo Adicionar um alarme às regras Definir interceptação SNMP para notificação de queda de energia Criar interceptações de SNMP e ações de alarmes Adicionar um alarme de notificação de queda de energia Gerenciar origens de dados fora de sincronização Trabalho com eventos 263 Eventos, fluxos e registros Configurar downloads de eventos, fluxos e registros Limitar horário da coleta de dados Definir as configurações de limite de inatividade Obter eventos e fluxos Verificar eventos, fluxos e registros Definir configurações de localização geográfica e ASN Obter eventos e fluxos Agregação de eventos ou fluxos Configuração do encaminhamento de evento Gerenciamento de relatórios Definir o mês inicial para os relatórios trimestrais Adicionar relatório Adicionar layout de relatório Incluir uma imagem em PDFs e relatórios Adicionar uma condição de relatório Exibir nomes de host em um relatório Descrição dos filtros contains e regex Trabalhar com exibições do ESM Uso de exibições do ESM Exibir detalhes da sessão Barra de ferramentas de exibição Exibições predefinidas Adicionar uma exibição personalizada Exibir componentes Trabalhar com o Assistente de consulta Gerenciar exibições Verificar um evento Exibir os detalhes do endereço IP de um evento Alterar a exibição padrão Filtragem de exibições Listas de observação Normalização de cadeia Tipo de filtros personalizados Criar tipos personalizados Tabela de tipos personalizados predefinidos Adicionar tipos personalizados de tempo Tipos personalizados de nome/valor Adicionar tipo personalizado de grupo de nomes/valores Exibir hora do evento Gerenciamento de casos 319 Adicionar um caso Criar um caso a partir de um evento Adicionar eventos a um caso existente Editar ou fechar um caso Exibir detalhes do caso Adicionar níveis de status de caso Casos de McAfee Enterprise Security Manager Guia de produto

7 Conteúdo Exibir todos os casos Gerar relatórios de gerenciamento de casos Trabalhar com o Asset Manager 325 Gerenciar ativos Definir ativos antigos Configurar o gerenciamento de configurações Gerenciar arquivos de configuração recuperados Descoberta de rede Descobrir a rede Gerenciar a lista de exclusão de IP Descobrir terminais Exibir um mapa da rede Alterar o comportamento de Descoberta de rede Origens de ativos Gerenciar origens de ativos Gerenciar origens de avaliação de vulnerabilidade Gerenciamento de zonas Gerenciar zonas Adicionar uma zona Exportar configurações de zona Importar configurações de zona Adicionar uma subzona Ativo, ameaça e avaliação de risco Gerenciar ameaças conhecidas Gerenciamento de políticas e regras 335 Compreensão do Editor de políticas A Árvore de políticas Gerenciar políticas na Árvore de políticas Tipos de regras e suas propriedades Variáveis Regras de pré-processador Regras de firewall Regras de inspeção de pacote detalhadas Regras internas Regras de filtragem Regras do Analisador de syslog avançado (ASP) Regras de origem de dados Regras de eventos do Windows Regras de ADM Regras do DEM Regras de correlação Exibir detalhes de correlação de regras Adicionar regras personalizadas de ADM, banco de dados ou correlação Regras do ESM Normalização Ativar Copiar pacote Configurações padrão de políticas Modo somente alertas Configurar Modo de excesso de assinaturas Exibir status de atualização de política de dispositivos Operações de regras Gerenciar regras Importar regras Importar variáveis McAfee Enterprise Security Manager Guia de produto 7

8 Conteúdo Regras de exportação Definir regras para inclusão automática na lista negra Filtrar regras existentes Exibir a assinatura de uma regra Recuperar atualizações de regra Limpar status de regra atualizada Comparar arquivos de regra Exibir o histórico de alterações de regra Criar uma nova lista de observação de regras Adicionar regras a uma lista de observação Atribuir marcas a regras ou ativos Modificar configurações de agregação Ação de substituição em regras obtidas por download Níveis de gravidade Defina os níveis de gravidade Exibir histórico de alteração de política Aplicar alterações de política Gerenciar tráfego de prioridade Índice McAfee Enterprise Security Manager Guia de produto

9 Prefácio Este guia fornece todas as informações necessárias para que você possa trabalhar com seu produto McAfee. Conteúdo Sobre este guia Localizar a documentação do produto Sobre este guia Estas informações descrevem o público-alvo do guia, as convenções tipográficas e os ícones usados neste guia, além de como o guia é organizado. Público-alvo McAfee é cuidadosamente pesquisada e escrita tendo em vista o seu público-alvo. A informação contida neste guia destina-se principalmente a: Administradores: Pessoas responsáveis pela implementação e imposição do programa de segurança da empresa. Usuários: Pessoas que utilizam o computador onde o software está instalado e que têm acesso a todos ou alguns dos seus recursos. Convenções Este guia usa as seguintes convenções tipográficas e ícones. Título do livro, termo, ênfase Negrito Digitação do usuário, código, mensagem Texto da interface Azul de hipertexto Título de um livro, capítulo ou tópico; um novo termo; ênfase. Texto bastante enfatizado. Comandos e outros textos digitados pelo usuário; um fragmento de código; uma mensagem exibida. Palavras da interface do produto, como opções, menus, botões e caixas de diálogo. Um link para um tópico ou para um site externo. Observação: Informações adicionais, como um método alternativo de acessar uma opção. Dica: Sugestões e recomendações. McAfee Enterprise Security Manager Guia de produto 9

10 Prefácio Localizar a documentação do produto Importante/cuidado: Informações importantes para proteger o sistema do seu computador, sua instalação de software, rede, negócios ou seus dados. Aviso: Informações críticas para prevenir lesões corporais durante a utilização de um produto de hardware. Localizar a documentação do produto Após o lançamento de um produto, as informações adicionais sobre ele são introduzidas no Centro de conhecimento online da McAfee. 1 Acesse a guia Knowledge Center do ServicePortal da McAfee em 2 No painel Base de conhecimento, clique em uma fonte de conteúdos: Documentação do produto para encontrar a documentação do usuário Artigos técnicos para encontrar artigos da Base de conhecimento 3 Selecione Não limpar meus filtros. 4 Insira um produto, selecione uma versão, e clique em Pesquisar para exibir uma lista de documentos. s Encontre informações traduzidas na página 10 Fornecemos notas de versão localizadas (traduzidas) do McAfee ESM, além de Ajuda on-line, guia do produto e guia de instalação para: Perguntas frequentes na página 11 Aqui você encontra respostas para perguntas frequentes. Encontre informações traduzidas Fornecemos notas de versão localizadas (traduzidas) do McAfee ESM, além de Ajuda on-line, guia do produto e guia de instalação para: Chinês simplificado Japonês Chinês tradicional Coreano Inglês Português (Brasil) Francês Espanhol Alemão Acesso à Ajuda on-line localizada Alterar a configuração de idioma no ESM muda automaticamente o idioma usado na Ajuda on-line. 1 Entre no ESM. 2 No painel de navegação do sistema do console ESM, selecione Opções. 10 McAfee Enterprise Security Manager Guia de produto

11 Prefácio Localizar a documentação do produto 3 Selecione um idioma e clique em OK. 4 Clique no ícone Ajuda, no canto superior direito das janelas do ESM, ou selecione o menu Ajuda. A Ajuda aparece no idioma selecionado. Se a ajuda aparecer somente em inglês, significa que a Ajuda localizada ainda não está disponível. Uma atualização futura instalará a Ajuda localizada. Encontre a documentação localizada do produto no Centro de conhecimento 1 Acesse o Centro de conhecimento. 2 Procure a documentação localizada do produto usando os seguintes parâmetros: Termos de pesquisa guia do produto, guia de instalação ou notas de versão Produto SIEM Enterprise Security Manager Versão ou posterior 3 Nos resultados da pesquisa, clique no título do documento relevante. 4 Na página com o ícone de PDF, role a página para baixo até encontrar os links de idiomas do lado direito. Clique no idioma relevante. 5 Clique no link do PDF para abrir a versão localizada do documento do produto. Consulte também Usar a Ajuda do ESM na página 16 Perguntas frequentes Aqui você encontra respostas para perguntas frequentes. Onde posso encontrar informações do ESM em outros idiomas? Nós traduzimos as notas de versão, a Ajuda on-line, o guia do produto e o guia de instalação do ESM para os seguintes idiomas: Chinês simplificado e tradicional Japonês Inglês Coreano Francês Português (Brasil) Alemão Espanhol Encontre informações traduzidas na página 10 Onde encontro informações sobre o McAfee ESM? Usar a Ajuda do ESM na página 16 Acesse o Centro de conhecimento Visite o Centro de especialistas Assista a vídeos do McAfee ESM Quais dispositivos SIEM são compatíveis? Visite o site do McAfee ESM Como configuro origens de dados específicas? Encontre os guias de configuração mais atualizados sobre origens de dados no Centro de conhecimento McAfee Enterprise Security Manager Guia de produto 11

12 Prefácio Localizar a documentação do produto Quais pacotes de conteúdo estão disponíveis? Leia o artigo da KB no Centro de conhecimento 12 McAfee Enterprise Security Manager Guia de produto

13 1 1 Introdução O McAfee Enterprise Security Manager (McAfee ESM) permite que profissionais de segurança e conformidade coletem, armazenem, analisem e tomem providências em relação a riscos e ameaças de um único local. Conteúdo Como o McAfee Enterprise Security Manager funciona Dispositivos e o que eles fazem O console do ESM Usar a Ajuda do ESM Perguntas frequentes Encontre informações traduzidas Como o McAfee Enterprise Security Manager funciona O McAfee ESM coleta e agrega dados e eventos de dispositivos de segurança, infraestruturas de rede, sistemas e aplicativos. Em seguida, ele aplica inteligência a esses dados, combinando-os com informações contextuais sobre usuários, ativos, vulnerabilidades e ameaças. Ele correlaciona essas informações para localizar incidentes que sejam relevantes. Usando dashboards interativos e personalizáveis, você poderá fazer busca detalhada em eventos específicos para investigar incidentes. O ESM é composto por três camadas: Interface Um programa de navegador que fornece a interface com o usuário para o sistema (conhecido como Console do ESM). Armazenamento, gerenciamento e análise de dados Dispositivos que fornecem todos os serviços necessários de manipulação de dados, incluindo configuração, geração de relatórios, visualização e pesquisa. O ESM (obrigatório), o Advanced Correlation Engine (ACE), o ESM distribuído (DESM) e o Enterprise Log Manager (ELM) desempenham essas funções. Aquisição de dados Dispositivos que fornecem as interfaces e serviços que adquirem dados do ambiente de rede do usuário. O Nitro Intrusion Prevention System (IPS), o Event Receiver (Receiver), o ADM (Application Data Monitor) e o DEM (Database Event Monitor) desempenham essas funções. Todas as funções de comando, controle e comunicação entre os componentes são coordenadas por meio de canais seguros de comunicação. McAfee Enterprise Security Manager Guia de produto 13

14 1 Introdução Dispositivos e o que eles fazem Dispositivos e o que eles fazem O ESM permite que você administre, gerencie e interaja com todos os dispositivos físicos e virtuais do seu ambiente de segurança. Consulte também Event Receiver na página 64 Configurações do Enterprise Log Manager (ELM) na página 116 Configurações do Application Data Monitor (ADM) na página 136 Configurações do Database Event Monitor (DEM) na página 150 Configurações do Advanced Correlation Engine (ACE) na página 133 Configurações do DESM (ESM distribuído) na página 157 Configurações do epolicy Orchestrator na página 158 Configurações do Nitro Intrusion Prevention System (Nitro IPS) na página McAfee Enterprise Security Manager Guia de produto

15 Introdução O console do ESM 1 O console do ESM O console do ESM permite visibilidade em tempo real para a atividade nos seus dispositivos, bem como acesso rápido a notificações de alarme e casos atribuídos. 1 Barra de navegação do sistema para funções de configuração geral. 2 Ícones para acessar páginas usadas com frequência. 3 Barra de ferramentas de ações para selecionar as funções necessárias à configuração de cada dispositivo. 4 Painel de navegação do sistema para exibir os dispositivos do sistema. 5 Painel de casos e alarmes para exibir as notificações de alarme e casos abertos atribuídos. 6 Painel de exibições para consultar dados de eventos, fluxos e registros. 7 Barra de ferramentas de exibição para criar, editar e gerenciar exibições. 8 Painel de filtros para aplicar filtros a exibições de dados com base em eventos ou fluxos. McAfee Enterprise Security Manager Guia de produto 15

16 1 Introdução Usar a Ajuda do ESM Usar a Ajuda do ESM Dúvidas sobre como usar o ESM? Use a Ajuda on-line como fonte de informações sensíveis ao contexto, onde você encontra informações conceituais, materiais de referência e instruções passo a passo sobre como usar o ESM. Antes de iniciar Opcional: Encontre informações traduzidas na página Para abrir a Ajuda do ESM, siga uma destas opções: Selecione a opção do menu Ajuda Conteúdo da ajuda. Clique no ponto de interrogação no canto superior direito das telas do ESM para encontrar uma Ajuda sensível ao contexto, específica da tela. 2 Na janela de Ajuda: Use o campo Pesquisar para encontrar qualquer palavra na Ajuda. Os resultados aparecem abaixo do campo Pesquisar. Clique no link relevante para exibir o tópico de Ajuda no painel à direita. Use a guia Conteúdo (índice) para exibir uma lista sequencial de tópicos na Ajuda. Use o Índice para encontrar um termo específico na Ajuda. As palavras-chave são organizadas por ordem alfabética, assim você consegue percorrer a lista até encontrar o item desejado. Clique na palavra-chave para exibir o tópico de Ajuda desejado. Imprima o tópico de Ajuda ativo (sem barras de rolagem) clicando no ícone da impressora, no canto superior direito do tópico de Ajuda. Encontre links para os tópicos de Ajuda relacionados, rolando a página até o final do tópico de Ajuda. Consulte também Encontre informações traduzidas na página 10 Perguntas frequentes Aqui você encontra respostas para perguntas frequentes. Onde posso encontrar informações do ESM em outros idiomas? Nós traduzimos as notas de versão, a Ajuda on-line, o guia do produto e o guia de instalação do ESM para os seguintes idiomas: Chinês simplificado e tradicional Japonês Inglês Coreano Francês Português (Brasil) Alemão Espanhol Encontre informações traduzidas na página 10 Onde encontro informações sobre o McAfee ESM? Usar a Ajuda do ESM na página 16 Acesse o Centro de conhecimento 16 McAfee Enterprise Security Manager Guia de produto

17 Introdução Encontre informações traduzidas 1 Visite o Centro de especialistas Assista a vídeos do McAfee ESM Quais dispositivos SIEM são compatíveis? Visite o site do McAfee ESM Como configuro origens de dados específicas? Encontre os guias de configuração mais atualizados sobre origens de dados no Centro de conhecimento Quais pacotes de conteúdo estão disponíveis? Leia o artigo da KB no Centro de conhecimento Encontre informações traduzidas Fornecemos notas de versão localizadas (traduzidas) do McAfee ESM, além de Ajuda on-line, guia do produto e guia de instalação para: Chinês simplificado Japonês Chinês tradicional Coreano Inglês Português (Brasil) Francês Espanhol Alemão Acesso à Ajuda on-line localizada Alterar a configuração de idioma no ESM muda automaticamente o idioma usado na Ajuda on-line. 1 Entre no ESM. 2 No painel de navegação do sistema do console ESM, selecione Opções. 3 Selecione um idioma e clique em OK. 4 Clique no ícone Ajuda, no canto superior direito das janelas do ESM, ou selecione o menu Ajuda. A Ajuda aparece no idioma selecionado. Se a ajuda aparecer somente em inglês, significa que a Ajuda localizada ainda não está disponível. Uma atualização futura instalará a Ajuda localizada. Encontre a documentação localizada do produto no Centro de conhecimento 1 Acesse o Centro de conhecimento. 2 Procure a documentação localizada do produto usando os seguintes parâmetros: Termos de pesquisa guia do produto, guia de instalação ou notas de versão Produto SIEM Enterprise Security Manager Versão ou posterior 3 Nos resultados da pesquisa, clique no título do documento relevante. McAfee Enterprise Security Manager Guia de produto 17

18 1 Introdução Encontre informações traduzidas 4 Na página com o ícone de PDF, role a página para baixo até encontrar os links de idiomas do lado direito. Clique no idioma relevante. 5 Clique no link do PDF para abrir a versão localizada do documento do produto. Consulte também Usar a Ajuda do ESM na página McAfee Enterprise Security Manager Guia de produto

19 2 Guia 2 de introdução Verifique se o ambiente do ESM é atual e está pronto para uso. Conteúdo Requisitos de hardware e software Sobre o modo FIPS Configuração avaliada por critérios comuns Efetuar logon e logoff Personalizar a página de entrada Atualizar software do ESM Obter e adicionar credenciais de atualização de regra Verificar atualizações de regras Alterar o idioma dos registros de eventos Conexão de dispositivos Preferências do console Requisitos de hardware e software Seu sistema precisa atender aos requisitos mínimos de hardware e software. Requisitos do sistema Processador: classe P4 (não Celeron) ou superior (Mobile/Xeon/Core2,Corei3/5/7) ou classe AMD AM2 ou superior (Turion64/Athlon64/Opteron64,A4/6/8) RAM: 1,5 GB Sistema operacional Windows Windows 2000, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows Server 2012, Windows 7, Windows 8, Windows 8.1 Navegador Internet Explorer 9 ou posterior, Mozilla Firefox 9 ou posterior, Google Chrome 33 ou posterior Flash Player: versão 11.2.x.x ou posterior Os recursos do ESM usam janelas pop-up quando fazem upload ou download dos arquivos. Desative o bloqueador de pop-ups do endereço IP ou nome de host do seu ESM. Requisitos da máquina virtual Processador 8 núcleos de 64 bits, Dual Core2/Nehalem ou superior ou AMD Dual Athlon64/Dual Opteron64 ou superior RAM Depende do modelo (4 GB ou mais) McAfee Enterprise Security Manager Guia de produto 19

20 2 Guia de introdução Sobre o modo FIPS Espaço em disco: Depende do modelo (250 GB ou mais) ESXi 5.0 ou posterior Configuração ampla ou reduzida Escolha os requisitos de disco rígido para o seu servidor. Os requisitos mínimos são de 250 GB, a menos que a VM comprada tenha mais. Consulte as especificações de seu produto de VM. O ENMELM VM usa muitos recursos que requerem CPU e RAM. Se o ambiente do ESXi compartilhar os requisitos de CPU/RAM com outras VMs, o desempenho do ENMELM VM será afetado. Não deixe de incluir o que é necessário em termos de CPU e RAM nos requisitos. Sobre o modo FIPS O FIPS (Federal Information Processing Standard) consiste em padrões públicos desenvolvidos pelo governo federal dos Estados Unidos. Caso seja necessário atender a essas normas, você deverá operar o sistema no modo FIPS. O modo FIPS deve ser selecionado na primeira vez que você efetuar logon no sistema e não poderá ser alterado posteriormente. Consulte também Informações sobre o modo FIPS na página 21 Conteúdo Informações sobre o modo FIPS Selecione o modo FIPS Verificar integridade FIPS Adicionar um dispositivo codificado ao modo FIPS Solução de problemas do modo FIPS 20 McAfee Enterprise Security Manager Guia de produto

21 Guia de introdução Sobre o modo FIPS 2 Informações sobre o modo FIPS Em virtude das normas FIPS, alguns recursos do ESM não estão disponíveis, alguns recursos disponíveis estão fora de conformidade e outros estão disponíveis somente durante o modo FIPS. Esses recursos são observados em todo o documento e estão listados aqui. Status do recurso Recursos removidos Recursos disponíveis somente no modo FIPS Descrição Receivers de alta disponibilidade. Terminal GUI. Capacidade de se comunicar com o dispositivo usando o protocolo SSH. No console do dispositivo, o shell principal é substituído por um menu de gerenciamento de dispositivo. Há quatro funções de usuário que não se sobrepõem: Usuário, Usuário avançado, Auditoria de admin e Admin de chave e certificado. Todas as páginas de Propriedades têm uma opção de Autoteste que permite verificar se o sistema está funcionando corretamente no modo FIPS. Se houver falha de FIPS, será adicionado um sinalizador de status à árvore de navegação de sistemas para refletir a falha. Todas as páginas de Propriedades têm a opção Exibir que, quando é clicada, abre a página Token de identidade FIPS. Ela exibe um valor que precisa ser comparado ao valor mostrado naquelas seções do documento, para garantir que o FIPS não foi comprometido. Em Propriedades do sistema Usuários e Grupos Privilégios Editar grupo, a página inclui o privilégio Autoteste de criptografia do FIPS que concede aos membros do grupo a autorização para executar autotestes do FIPS. Quando você clica em Importar chave ou Exportar chave em Propriedades de IPS Gerenciamento de chaves, é exibido um prompt para selecionar o tipo de chave que você deseja importar ou exportar. Em Assistente para Adicionar dispositivo, o protocolo TCP é sempre definido como Porta 22. A porta SSH pode ser alterada. Selecione o modo FIPS Ao efetuar logon pela primeira vez no sistema, você precisa indicar se deseja que o sistema opere no modo FIPS. Depois que essa seleção for feita, não será possível alterá-la. 1 A primeira vez que você entra no ESM: a No campo Nome do usuário, digite NGCP. b No campo Senha, digite security.4u. Você será solicitado a alterar sua senha. 2 Insira e confirme a nova senha. McAfee Enterprise Security Manager Guia de produto 21

22 2 Guia de introdução Sobre o modo FIPS 3 Na página Ativar FIPS, clique em Sim. O aviso Ativar FIPS exibe informações de solicitação de confirmação se você deseja que o sistema opere no modo FIPS permanentemente. 4 Clique em Sim para confirmar sua seleção. Verificar integridade FIPS Se você estiver operando no modo FIPS, o FIPS exige que o teste de integridade do software seja executado regularmente. Esse teste deve ser executado no sistema e em cada dispositivo. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e verifique se a opção Informações do sistema está selecionada. 2 Execute uma das ações a seguir. No campo... Status do FIPS Teste ou Autoteste de FIPS Exibir ou Identidade FIPS Faça isto... Exiba os resultados dos autotestes de FIPS mais recentes executados no ESM. Execute os autotestes de FIPS, que testam a integridade dos algoritmos usados no cripto-executável. Os resultados podem ser exibidos no Registro de mensagens. Se o autoteste de FIPS falhar, o FIPS for comprometido ou ocorrer falha no dispositivo. Entre em contato com o Suporte da McAfee. Abra a página Token de identidade FIPS para executar o teste de integridade do software de inicialização. Compare o valor abaixo com a chave pública que aparece nesta página: Se este valor não corresponder ao da chave pública, o FIPS está comprometido. Entre em contato com o Suporte da McAfee. 22 McAfee Enterprise Security Manager Guia de produto

23 Guia de introdução Sobre o modo FIPS 2 Adicionar um dispositivo codificado ao modo FIPS Há dois métodos no modo FIPS para adicionar um dispositivo que já tenha sido codificado a um ESM. Essa terminologia e as extensões de arquivo são úteis durante esses processos. Terminologia Chave de dispositivo Contém os direitos de gerenciamento que um ESM tem para um dispositivo e não é usada para criptografia. Chave pública A chave de comunicação SSH pública do ESM, que é armazenada na tabela de chaves autorizadas de um dispositivo. Chave privada A chave de comunicação SSH privada do ESM, que é usada pelo executável de SSH em um ESM para estabelecer a conexão SSH com um dispositivo. ESM primário O ESM que foi originalmente usado para registrar o dispositivo. ESM secundário O ESM adicional que se comunica com o dispositivo. Extensões de arquivo para arquivos de exportação diferentes.exk Contém a chave do dispositivo..puk Contém a chave pública..prk Contém a chave privada e a chave do dispositivo. Backup e restauração das informações de um dispositivo no modo FIPS Esse método é usado para fazer backup e restaurar informações de comunicação de um dispositivo no ESM. Seu uso principal é em caso de falha que exija a substituição do ESM. Se as informações de comunicação não forem exportadas antes da falha, a comunicação com o dispositivo não poderá ser restabelecida. Esse método exporta e importa o arquivo.prk. A chave privada do ESM primário é usada pelo ESM secundário para estabelecer comunicação com o dispositivo inicialmente. Quando a comunicação é estabelecida, o ESM secundário copia sua chave pública para a tabela de chaves autorizadas do dispositivo. Em seguida, o ESM apaga a chave privada do ESM primário e inicia a comunicação com seu próprio par de chaves públicas ou privadas. McAfee Enterprise Security Manager Guia de produto 23

24 2 Guia de introdução Sobre o modo FIPS Ação Exportar o arquivo.prk do ESM primário Etapas 1 Na árvore de navegação do ESM primário, selecione o dispositivo com as informações de comunicação que deseja fazer backup e clique no ícone de Propriedades. 2 Selecione Gerenciamento de chaves e clique em Exportar chave. 3 Selecione Backup da chave SSH privada e clique em Avançar. 4 Digite e confirme uma senha e defina a data de expiração. Após a data de expiração, a pessoa que importa a chave não conseguirá comunicar-se com o dispositivo até que outra chave seja exportada com uma data de expiração futura. Se você selecionar Nunca expira, a chave nunca expirará se for importada para outro ESM. 5 Clique em OK, selecione o local onde deseja salvar o arquivo.prk criado pelo ESM e saia do ESM primário. Adicionar um dispositivo ao ESM secundário e importar o arquivo.prk 1 Na árvore de navegação do sistema do dispositivo secundário, selecione o nó de nível do sistema ou grupo ao qual deseja adicionar o dispositivo. 2 Na barra de ferramentas de ações, clique em Adicionar dispositivo. 3 Selecione o tipo de dispositivo que você deseja adicionar e clique em Avançar. 4 Insira um nome para o dispositivo que seja exclusivo no grupo e clique em Avançar. 5 Insira o endereço IP de destino do dispositivo, insira a porta de comunicação do FIPS e clique em Avançar. 6 Clique em Importar chave, navegue até o arquivo.prk exportado anteriormente e clique em Fazer upload. Digite a senha especificada quando essa senha foi exportada inicialmente. 7 Faça logoff do ESM secundário. Ativar a comunicação com vários dispositivos ESM no modo FIPS Você pode permitir que vários ESMs se comuniquem com o mesmo dispositivo exportando e importando arquivos.puk e.exk. Esse método usa dois processos de exportação e importação. Primeiro, o ESM primário é usado para importar o arquivo.puk exportado do dispositivo ESM secundário e enviar a chave pública contida no ESM secundário para o dispositivo, permitindo que os dois dispositivos ESM se comuniquem com o dispositivo. Segundo, o arquivo.exk do dispositivo é exportado do ESM primário e importado para o ESM secundário, concedendo ao ESM secundário a capacidade de se comunicar com o dispositivo. 24 McAfee Enterprise Security Manager Guia de produto

25 Guia de introdução Sobre o modo FIPS 2 Ação Exportar o arquivo.puk do ESM secundário Importar o arquivo.puk para o ESM primário Etapas 1 Na página Propriedades do sistema do ESM secundário, selecione Gerenciamento de ESM. 2 Clique em Exportar SSH e selecione o local onde o arquivo.puk deverá ser salvo. 3 Clique em Salvar e saia. 1 Na árvore de navegação do sistema do ESM primário, selecione o dispositivo que deseja configurar. 2 Clique no ícone Propriedades e selecione Gerenciamento de chaves. 3 Clique em Gerenciar chaves SSH. 4 Clique em Importar, selecione o arquivo.puk e clique em Fazer upload. 5 Clique em OK e faça logoff do ESM primário. Exportar o arquivo.exk do dispositivo do ESM primário 1 Na árvore de navegação do sistema do ESM primário, selecione o dispositivo que deseja configurar. 2 Clique no ícone Propriedades e selecione Gerenciamento de chaves. 3 Clique em Exportar chave, selecione a chave do dispositivo de backup e clique em Avançar. 4 Digite e confirme uma senha e defina a data de expiração. Após a data de expiração, a pessoa que importa a chave não conseguirá comunicar-se com o dispositivo até que outra chave seja exportada com uma data de expiração futura. Se você selecionar Nunca expira, a chave nunca expirará se for importada para outro ESM. 5 Selecione os privilégios do arquivo.exk e clique em OK. 6 Selecione o local onde esse arquivo deverá ser salvo e faça logoff do ESM primário. Importar o arquivo.exk para o ESM secundário 1 Na árvore de navegação de sistemas do dispositivo secundário, selecione o nó no nível de sistema ou de grupo ao qual você deseja adicionar o dispositivo. 2 Na barra de ferramentas de ações, clique em Adicionar dispositivo. 3 Selecione o tipo de dispositivo que deseja adicionar e clique em Avançar. 4 Insira um nome para o dispositivo que seja exclusivo a esse grupo e clique em Avançar. 5 Clique em Importar chave e procure o arquivo.exk. 6 Clique em Fazer upload e insira a senha que foi especificada quando essa chave foi inicialmente exportada. 7 Faça logoff do ESM secundário. McAfee Enterprise Security Manager Guia de produto 25

26 2 Guia de introdução Configuração avaliada por critérios comuns Solução de problemas do modo FIPS Podem surgir problemas durante a operação do ESM no modo FIPS. Problema Não é possível comunicar-se com o ESM Não é possível comunicar-se com o dispositivo Erro O arquivo é inválido ao adicionar um dispositivo Descrição e resolução Verifique o LCD na parte frontal do dispositivo. Se ele informar Falha de FIPS, entre em contato com o Suporte da McAfee. Verifique se há uma condição de erro na interface HTTP exibindo a página da Web de autoteste de FIPS do ESM em um navegador. Se um único dígito 0 for exibido, indicando que o dispositivo falhou em um autoteste de FIPS, reinicialize o dispositivo ESM e tente corrigir o problema. Se a condição de falha persistir, entre em contato com o Suporte para obter mais instruções. - Se um único dígito 1 for exibido, o problema de comunicação não está relacionado à falha de FIPS. Entre em contato com o suporte para obter mais etapas de solução de problemas. Se houver um sinalizador de status ao lado do nó do dispositivo na árvore de navegação do sistema, coloque o cursor sobre ele. Se ele informar Falha de FIPS, entre em contato com o Suporte da McAfee no portal de suporte. Siga a descrição sob o problema Não é possível comunicar-se com o ESM. Não é possível exportar uma chave de um dispositivo não FIPS e importá-la para um dispositivo que estiver operando no modo FIPS. Além disso, não é possível exportar uma chave de um dispositivo FIPS e importá-la para um dispositivo não FIPS. Esse erro aparece na tentativa dos dois cenários. Configuração avaliada por critérios comuns O appliance McAfee deve ser instalado, configurado e operado de uma maneira específica para estar em conformidade com as configurações avaliadas por critérios comuns. Mantenha esses requisitos em mente ao configurar seu sistema. Tipo Físico Uso pretendido Requisitos O appliance McAfee deve ser: Protegido contra modificações físicas não autorizadas. Localizado em instalações com acesso controlado, o que evita o acesso físico não autorizado. O appliance McAfee deve: Ter acesso a todo o tráfego da rede para executar suas funções. Ser gerenciado para permitir alterações de endereço no tráfego da rede monitorado pelo Destino de Avaliação (TOE). Ser dimensionado de acordo com o tráfego de rede monitorado. 26 McAfee Enterprise Security Manager Guia de produto

27 Guia de introdução Efetuar logon e logoff 2 Tipo Funcionários Outros Requisitos Um ou mais indivíduos competentes devem gerenciar o appliance McAfee e a segurança das informações nele contidas. Os engenheiros da McAfee fornecem treinamento no local sobre a instalação, a configuração e sobre a operação do appliance para todos os clientes da McAfee. Os administradores autorizados não devem ser descuidados, propositalmente negligentes ou hostis, devendo seguir e cumprir as instruções fornecidas pela documentação do appliance McAfee. O appliance McAfee só deve ser acessado por usuários autorizados. Os responsáveis pelo appliance McAfee devem garantir que todas as credenciais de acesso sejam protegidas pelos usuários de maneira consistente com a segurança de TI. Não aplique atualizações de software ao appliance McAfee, pois isso resultará em uma configuração diferente da avaliada por critérios comuns. Entre em contato com o Suporte da McAfee para obter uma atualização certificada. Em um dispositivo Nitro IPS, a ativação das configurações Temporizador de observação e Forçar desvio na página Configurações da interface de rede resulta em uma configuração diferente da avaliada por Critérios comuns. Em um dispositivo Nitro IPS, o uso de uma configuração de modo de excesso de assinaturas diferente de descartar resultará em uma configuração diferente da avaliada por Critérios comuns. Ativar o recurso Segurança de login com um servidor RADIUS resultará em uma comunicação segura. O ambiente de TI oferece uma transmissão segura de dados entre o TOE e entidades e origens externas. O servidor RADIUS pode fornecer serviços de autenticação externa. O uso do recurso Smart Dashboard do console de firewall Check Point não faz parte do TOE. O uso do Snort Barnyard não faz parte do TOE. O uso do cliente MEF não faz parte do TOE. O uso do sistema de tíquete do Remedy não faz parte do TOE. Efetuar logon e logoff Depois de instalar e configurar os dispositivos, você pode efetuar logon no console do ESM pela primeira vez. 1 Abra um navegador da Web no computador cliente e vá para o endereço IP que você definiu ao configurar a interface de rede. 2 Clique em Entrar, selecione o idioma para o console e digite a senha e o nome do usuário padrão. Nome do usuário padrão: NGCP Senha padrão: security.4u 3 Clique em Login, leia o Contrato de licença do usuário final e clique em Aceitar. McAfee Enterprise Security Manager Guia de produto 27

28 2 Guia de introdução Personalizar a página de entrada 4 Altere o nome do usuário e a senha e clique em OK. 5 Selecione se deseja ativar o modo FIPS. Se você precisar trabalhar no modo FIPS, será necessário ativá-lo na primeira vez que você entrar no sistema para que todas as futuras operações com dispositivos da McAfee sejam feitas no modo FIPS. Recomendamos que você não ative o modo FIPS se isso não for exigido. Para obter mais informações, consulte Sobre o modo FIPS. 6 Siga as instruções para obter o nome do usuário e a senha, que são necessários para o acesso às atualizações de regras. 7 Defina a configuração inicial do ESM: a Selecione o idioma que será usado para os registros do sistema. b c Selecione o fuso horário no qual o ESM está e o formato de data a serem usados nesta conta, e clique em Avançar. Defina as configurações nas páginas do assistente de Configuração de ESM inicial. Clique no ícone Mostrar ajuda em cada página para obter instruções. 8 Clique em OK e nos links para obter ajuda sobre como começar ou para ver os novos recursos disponíveis nesta versão do ESM. 9 Ao concluir a sessão de trabalho, saia usando um destes métodos: Se nenhuma página estiver aberta, clique em logout na barra de navegação do sistema, no canto superior direito do console. Se houver páginas abertas, feche o navegador. Consulte também Sobre o modo FIPS na página 20 Personalizar a página de entrada Você pode personalizar a página de entrada para adicionar texto, como políticas de segurança da empresa ou um logotipo. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema Configurações personalizadas. 2 Siga um destes procedimentos: 28 McAfee Enterprise Security Manager Guia de produto

29 Guia de introdução Atualizar software do ESM 2 Para... Adicionar texto personalizado Faça isto... 1 Clique na caixa de texto na parte superior da página. 2 Digite o texto que deseja adicionar à página Login. Adicionar uma imagem personalizada 3 Selecione Incluir texto na tela de login. 1 Clique em Selecionar imagem. 2 Faça upload da imagem que deseja usar. 3 Selecione Incluir imagem na tela de login. Caso ainda veja o logotipo antigo na página Login depois de fazer upload de um novo logotipo personalizado, limpe o cache de seu navegador. Excluir uma imagem personalizada Clique em Excluir imagem. O logotipo padrão é exibido. Atualizar software do ESM Acesse as atualizações de software a partir do servidor de atualizações ou de um engenheiro e faça upload delas no ESM. Para atualizar um ESM primário ou redundante, consulte Atualizar um ESM primário ou redundante. 1 Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Gerenciamento de ESM. 2 Na guia Manutenção, clique em Atualizar ESM. 3 Selecione o arquivo que deseja usar para atualizar o ESM e clique em OK. O ESM é reinicializado e todas as sessões atuais são desconectadas enquanto a atualização é instalada. Consulte também Atualizar ESM primário ou redundante na página 210 Obter e adicionar credenciais de atualização de regra O ESM fornece atualizações de políticas, analisadores e regras como parte do seu contrato de manutenção. Você tem 30 dias de acesso antes de solicitar suas credenciais permanentes. 1 Obtenha suas credenciais enviando uma mensagem de para Licensing@McAfee.com incluindo as seguintes informações: Número de concessão da McAfee Nome da conta McAfee Enterprise Security Manager Guia de produto 29

30 2 Guia de introdução Verificar atualizações de regras Endereço Nome de contato Endereço de de contato 2 Ao receber seu ID de cliente e senha da McAfee, selecione Propriedades do sistema Informações do sistema Atualização de regras na árvore de navegação do sistema. 3 Clique em Credenciais e digite a ID de cliente e senha. 4 Clique em Validar. Verificar atualizações de regras As assinaturas de regra usadas pelo IPS do Nitro para examinar o tráfego de rede são continuamente atualizadas pela Equipe de assinatura da McAfee e estão disponíveis para download no servidor central da McAfee. As atualizações de regras podem ser recuperadas automática ou manualmente. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e verifique se Informações do sistema está selecionado. 2 No campo Atualizações de regras, verifique se a sua licença não expirou. Se a sua licença tiver expirado, consulte Obter e adicionar credenciais de atualização de regra. 3 Se sua licença for válida, clique em Atualização de regras. 4 Selecione uma destas opções: Intervalo de verificação automática para configurar o sistema para que verifique atualizações automaticamente com a frequência que você selecionar Verificar agora para verificar atualizações agora Atualização manual para atualizar as regras de um arquivo local 5 Clique em OK. Consulte também Obter e adicionar credenciais de atualização de regra na página 29 Alterar o idioma dos registros de eventos Quando você efetuou logon no ESM pela primeira vez, selecionou o idioma a ser usado nos registros de eventos de registro, por exemplo, registro do monitor de integridade e registro de dispositivos. Você pode alterar essa configuração de idioma. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema Gerenciamento de ESM. 2 Clique em Localidade do sistema, selecione um idioma na lista suspensa e clique em OK. 30 McAfee Enterprise Security Manager Guia de produto

31 Guia de introdução Conexão de dispositivos 2 Conexão de dispositivos Conecte dispositivos físicos e virtuais ao McAfee ESM para permitir perícias em tempo real, monitoramento de bancos de dados e aplicativos, correlações avançadas baseadas em regras e riscos e geração de relatórios de conformidade. À medida que aumentar o número de dispositivos no sistema, organize-os de forma lógica. Por exemplo, se você tiver escritórios em vários locais, exiba os dispositivos de acordo com a zona em que se encontram. Você pode usar as exibições pré-definidas e também criar exibições personalizadas. Para melhor organizar os dispositivos, agrupe-os em cada exibição personalizada. Conteúdo Adicionar dispositivos ao console do ESM Selecione um tipo de exibição Gerenciar tipos de exibição personalizadas Gerenciar um grupo em um tipo de exibição personalizada Excluir um grupo ou um dispositivo Excluir dispositivos duplicados na árvore de navegação do sistema Adicionar dispositivos ao console do ESM Após configurar e instalar dispositivos físicos e virtuais, você deve adicioná-los ao console do ESM. Antes de iniciar Configure e instale os dispositivos (consulte o Guia de Instalação do McAfee Enterprise Security Manager. 1 Na árvore do sistema de navegação, clique em ESM local ou em um grupo. 2 Na barra de ferramentas de ações, clique no ícone Adicionar dispositivo. 3 Selecione o tipo de dispositivo que está sendo adicionado e clique em Avançar. 4 No campo Nome do dispositivo, digite um nome exclusivo nesse grupo e clique em Avançar. 5 Forneça as informações solicitadas: Para dispositivos do McAfee epo Selecione um Receiver, digite as credenciais necessárias para entrar na interface da Web e clique em Avançar. Digite as configurações a serem usadas para comunicação com o banco de dados. Selecione Requer autenticação do usuário para limitar o acesso aos usuários que tenham nome do usuário e senha para o dispositivo. Para todos os outros dispositivos Digite o URL ou o endereço IP de destino do dispositivo e um número de porta SSH de destino que seja válido para ser usado com o endereço IP. 6 Selecione se as configurações NTP (Network Time Protocol) serão usadas no dispositivo e clique em Avançar. McAfee Enterprise Security Manager Guia de produto 31

32 2 Guia de introdução Conexão de dispositivos 7 Se você tiver uma chave que deseja importar, selecione Importar chave (não disponível no dispositivo ELM ou Receiver/Log Manager Combo). Caso contrário, clique em Codificar dispositivo. As chaves de dispositivos originalmente exportadas de um ESM anterior ao 8.3.x não reconhecem o modelo de comunicação do Ao fazer upgrade, você foi solicitado a recodificar o dispositivo. Para ter acesso a dispositivos em versões ou posteriores, é necessário exportar novamente a chave desse dispositivo de um ESM de versão ou posterior. Certifique-se de definir todos os privilégios necessários para o dispositivo, como o privilégio Configurar dispositivos virtuais. 8 Digite uma senha para esse dispositivo e clique em Avançar. O ESM testa a comunicação do dispositivo e informa o status da conexão. Selecione um tipo de exibição Selecione a maneira que deseja exibir os dispositivos na árvore de navegação do sistema. Antes de iniciar Para selecionar uma exibição personalizada, você deve primeiro adicioná-la ao sistema (consulte Gerenciar tipos de exibição personalizadas). 1 No painel de navegação do sistema, clique na seta suspensa no campo tipo de exibição. 2 Selecione um dos tipos de exibição. A organização dos dispositivos na árvore de navegação é alterada a fim de refletir o tipo selecionado para a sessão atual de trabalho. Gerenciar tipos de exibição personalizadas É possível definir como você deseja que os dispositivos da árvore de navegação do sistema sejam organizados ao adicionar, editar ou excluir tipos de exibições personalizadas. 1 No painel de navegação do sistema, clique na seta suspensa de tipo de exibição. 2 Siga um destes procedimentos: Para... Adicionar um tipo de exibição personalizado Editar tipo de exibição personalizado Faça isto... 1 Clique em Adicionar exibição. 2 Preencha os campos e clique em OK. 1 Clique no ícone Editar ao lado do tipo de exibição que deseja editar. 2 Altere as configurações e clique em OK. Excluir um tipo de exibição personalizado Clique no ícone Excluir excluir. ao lado do tipo de exibição que deseja 32 McAfee Enterprise Security Manager Guia de produto

33 Guia de introdução Conexão de dispositivos 2 Gerenciar um grupo em um tipo de exibição personalizada É possível usar grupos em um tipo de exibição personalizada para organizar os dispositivos em agrupamentos lógicos. Antes de iniciar Adicione um tipo de exibição personalizada (consulte Gerenciar tipos de exibição personalizada). 1 No painel de navegação do sistema, clique na lista suspensa de tipo de exibição. 2 Selecione a exibição personalizada e siga um destes procedimentos: Para... Adicionar um novo grupo Faça isto... 1 Clique em um sistema ou nó de grupo e clique no ícone Adicionar grupo na barra de ferramentas de ações. 2 Preencha os campos e clique em OK. 3 Arraste e solte os dispositivos na exibição para adicioná-los ao grupo. Se o dispositivo fizer parte de uma árvore na exibição, um nó duplicado de dispositivo será criado. Em seguida, você pode excluir a duplicação na árvore de sistemas. Editar grupo Selecione o grupo, clique no ícone Propriedades Propriedades do grupo. e faça alterações na página Excluir grupo Selecione o grupo e clique no ícone Excluir grupo. O grupo e os dispositivos contidos nele são excluídos da exibição personalizada. Os dispositivos não são excluídos do sistema. Consulte também Gerenciar tipos de exibição personalizadas na página 32 Excluir um grupo ou um dispositivo Quando um dispositivo não fizer mais parte do sistema ou um grupo não for mais usado, os exclua da árvore de navegação do sistema. 1 Na árvore de navegação do sistema, destaque o dispositivo ou grupo que deseja excluir e clique no ícone Excluir na barra de ferramentas ações. 2 Quando for solicitado a confirmar, clique em OK. Excluir dispositivos duplicados na árvore de navegação do sistema Nós de dispositivo duplicados podem aparecer na árvore de navegação do sistema quando você arrasta e solta dispositivos de uma árvore de sistemas para um grupo ou quando você tem grupos McAfee Enterprise Security Manager Guia de produto 33

34 2 Guia de introdução Preferências do console configurados e faz upgrade do software do ESM. Recomendamos que você o exclua para evitar confusão. 1 No painel de navegação do sistema, clique na lista suspensa de tipo de exibição. 2 Selecione o ícone Editar ao lado da exibição que inclui os dispositivos duplicados. 3 Desmarque os dispositivos duplicados e clique em OK. Os dispositivos que estavam duplicados agora estão listados somente em seus grupos atribuídos. Preferências do console Você pode personalizar diversos recursos no console do ESM alterando o tema de cores, o formato de data e hora, o valor do tempo limite e várias configurações padrão. Também é possível configurar as credenciais do McAfee epolicy Orchestrator (McAfee epo ). O console do ESM O console do ESM permite visibilidade em tempo real para a atividade nos seus dispositivos, bem como acesso rápido a notificações de alarme e casos atribuídos. 34 McAfee Enterprise Security Manager Guia de produto

35 Guia de introdução Preferências do console 2 1 Barra de navegação do sistema para funções de configuração geral. 2 Ícones para acessar páginas usadas com frequência. 3 Barra de ferramentas de ações para selecionar as funções necessárias à configuração de cada dispositivo. 4 Painel de navegação do sistema para exibir os dispositivos do sistema. 5 Painel de casos e alarmes para exibir as notificações de alarme e casos abertos atribuídos. 6 Painel de exibições para consultar dados de eventos, fluxos e registros. 7 Barra de ferramentas de exibição para criar, editar e gerenciar exibições. 8 Painel de filtros para aplicar filtros a exibições de dados com base em eventos ou fluxos. Trabalhar com o tema de cores do console Personalize o console do ESM selecionando um tema de cores existente ou criando o seu próprio tema. Você também pode editar ou excluir temas de cores personalizados. 1 Na barra de navegação do sistema do console do ESM, clique em opções. 2 Selecione um tema de cores existente ou adicione, edite ou remova um tema personalizado. 3 Se você clicar em Adicionar ou Editar, selecione as cores do tema personalizado e clique em OK. Se você adicionou um novo tema, uma amostra das cores será adicionada à seção Selecionar um tema. 4 Clique em OK para salvar suas configurações. Selecione as configurações de exibição do console Defina as configurações padrão para as exibições no console do ESM. Nessa página, você pode definir o sistema para fazer isto: Atualizar os dados automaticamente em um modo de exibição aberto Alterar as exibições que são abertas automaticamente quando o sistema é iniciado Alterar as exibições que são abertas quando você seleciona Resumir em um evento ou exibição de fluxo 1 Na barra de navegação do sistema do console do ESM, clique em opções. 2 Na página Exibições, selecione as preferências e clique em OK. Defina o valor de tempo limite do console A sessão atual do console do ESM permanecerá aberta enquanto estiver em atividade. Defina por quanto tempo pode não haver atividade antes que a sessão seja encerrada. McAfee Enterprise Security Manager Guia de produto 35

36 2 Guia de introdução Preferências do console 1 Na árvore de navegação do sistema, selecione Propriedades do sistema Segurança de login. 2 Em Valor de tempo limite da interface do usuário, selecione quantos minutos devem passar sem atividades e clique em OK. Se você selecionar zero (0), o console permanecerá aberto indefinidamente. Selecione configurações do usuário A página Configurações do usuário possibilita a alteração de várias configurações padrão. Você pode alterar o fuso horário, o formato de data, a senha, a exibição padrão e o idioma do console. Você também pode escolher se deseja ou não mostrar origens de dados desativadas, a guia Alarmes e a guia Casos. 1 Na barra de navegação do sistema do console ESM, clique em opções. 2 Verifique se a opção Configurações do usuário foi selecionada. 3 Altere as configurações conforme o necessário e clique em OK. A aparência do console é alterada com base nas suas configurações. Configurar credenciais de usuário para o McAfee epo É possível limitar o acesso a um dispositivo McAfee epo configurando credenciais de usuário. Antes de iniciar O dispositivo McAfee epo não deve ser configurado para requerer autenticação de usuário global (consulte Configurar autenticação de usuário global). 1 Na barra de navegação de sistemas do console do ESM, clique em opções e selecione Credenciais do epo. 2 Clique no dispositivo e em Editar. Se na coluna de status do dispositivo constar Não obrigatório, o dispositivo será definido para autenticação de usuário global. É possível alterar o status do dispositivo na página Conexão (consulte Alterar a conexão com o ESM). 3 Digite o nome do usuário e a senha, teste a conexão e clique em OK. Para acessar o dispositivo, os usuários precisam do nome do usuário e da senha que foram adicionados. 36 McAfee Enterprise Security Manager Guia de produto

37 3 3 Configuração do ESM O ESM administra dados, definições, atualizações e configurações. Ele se comunica com vários dispositivos simultaneamente. Ao criar o ambiente do ESM, considere cuidadosamente as necessidades da sua organização e os objetivos de conformidade para dar suporte ao ciclo de vida do gerenciamento de segurança da sua organização. Conteúdo Gerenciamento de dispositivos Configuração de dispositivos Configuração de serviços auxiliares Gerenciamento do banco de dados Trabalhar com usuários e grupos Backup e restauração das configurações do sistema ESM redundante Gerenciamento do ESM Uso de uma lista negra global O que é enriquecimento de dados Gerenciamento de dispositivos O painel de navegação do sistema lista os dispositivos adicionados ao sistema. É possível executar funções em um ou mais dispositivos e organizá-los conforme o necessário. Você também pode exibir McAfee Enterprise Security Manager Guia de produto 37

38 3 Configuração do ESM Gerenciamento de dispositivos relatórios de status de integridade quando os sistemas forem sinalizados, a fim de resolver problemas existentes. Tabela 3-1 Definições de recursos Esse recurso... 1 Barra de ferramentas de ações Ícone de propriedades Adicionar ícone dos dispositivos Sinalizadores de status de integridade Gerenciamento de vários dispositivos Obter eventos e fluxos Excluir um dispositivo Atualizar Permite... Selecione uma ação a ser executada nos dispositivos da árvore de navegação do sistema. Definir configurações do sistema ou dispositivo selecionado na árvore de navegação do sistema. Adicionar dispositivos à árvore de navegação do sistema. Exibir alertas de status do dispositivo. Iniciar, interromper, reiniciar e atualizar vários dispositivos individualmente. Recuperar eventos e fluxos para dispositivos selecionados. Excluir o dispositivo selecionado. Atualizar os dados de todos os dispositivos. 38 McAfee Enterprise Security Manager Guia de produto

39 Configuração do ESM Gerenciamento de dispositivos 3 Tabela 3-1 Definições de recursos (continuação) Esse recurso... Permite... 2 Tipo de exibição Selecione o modo como deseja organizar os dispositivos na árvore. O ESM vem com três tipos predefinidos: Exibição física Lista dispositivos por hierarquia. O primeiro nível é formado pelos nós do sistema (Exibição física, ESM local e dispositivo base do ESM local). O segundo nível é formado por dispositivos individuais, e todos os outros níveis são formados pelas origens que você adicionou aos dispositivos (origem de dados, dispositivo virtual, entre outros). Os dispositivos base são adicionados automaticamente no ESM local, origem de dados, dispositivo virtual e nós do servidor do banco de dados. Eles têm ícones esmaecidos e ficam entre parênteses. Exibição do tipo de dispositivo Agrupa os dispositivos por tipo de dispositivo (Nitro IPS, ADM, DEM). Exibição de zona Organiza os dispositivos por zona, definidos usando o recurso Gerenciamento de zonas. Também é possível adicionar tipos de exibição personalizados (consulte Organização de dispositivos). 3 Pesquisa rápida Faça uma pesquisa rápida por um dispositivo na árvore de navegação do sistema. 4 Árvore de navegação do sistema Exibir os dispositivos do sistema. Consulte também Organização de dispositivos na página 43 Relatórios de status de integridade do dispositivo na página 60 Gerenciar vários dispositivos na página 58 Exibir estatísticas de dispositivo Exiba a CPU específica de um dispositivo, memória, fila ou outros detalhes específicos dele. Antes de iniciar Verifique se você tem a permissão de Gerenciamento de dispositivos. 1 Na árvore de navegação do sistema, selecione o dispositivo relevante e clique no ícone Propriedades. 2 Clique em Gerenciamento, depois em Exibir estatísticas. Um gráfico que é atualizado a cada 10 minutos exibe estatísticas desse dispositivo. A exibição de dados requer no mínimo 30 minutos de dados. Cada tipo de métrica contém várias métricas, algumas delas são ativadas por padrão. Clique em Exibido para ativar as métricas. A quarta coluna indica a escala da métrica correspondente. McAfee Enterprise Security Manager Guia de produto 39

40 3 Configuração do ESM Gerenciamento de dispositivos Adicionar dispositivos ao console do ESM Após configurar e instalar dispositivos físicos e virtuais, você deve adicioná-los ao console do ESM. Antes de iniciar Configure e instale os dispositivos (consulte o Guia de Instalação do McAfee Enterprise Security Manager. 1 Na árvore do sistema de navegação, clique em ESM local ou em um grupo. 2 Na barra de ferramentas de ações, clique no ícone Adicionar dispositivo. 3 Selecione o tipo de dispositivo que está sendo adicionado e clique em Avançar. 4 No campo Nome do dispositivo, digite um nome exclusivo nesse grupo e clique em Avançar. 5 Forneça as informações solicitadas: Para dispositivos do McAfee epo Selecione um Receiver, digite as credenciais necessárias para entrar na interface da Web e clique em Avançar. Digite as configurações a serem usadas para comunicação com o banco de dados. Selecione Requer autenticação do usuário para limitar o acesso aos usuários que tenham nome do usuário e senha para o dispositivo. Para todos os outros dispositivos Digite o URL ou o endereço IP de destino do dispositivo e um número de porta SSH de destino que seja válido para ser usado com o endereço IP. 6 Selecione se as configurações NTP (Network Time Protocol) serão usadas no dispositivo e clique em Avançar. 7 Se você tiver uma chave que deseja importar, selecione Importar chave (não disponível no dispositivo ELM ou Receiver/Log Manager Combo). Caso contrário, clique em Codificar dispositivo. As chaves de dispositivos originalmente exportadas de um ESM anterior ao 8.3.x não reconhecem o modelo de comunicação do Ao fazer upgrade, você foi solicitado a recodificar o dispositivo. Para ter acesso a dispositivos em versões ou posteriores, é necessário exportar novamente a chave desse dispositivo de um ESM de versão ou posterior. Certifique-se de definir todos os privilégios necessários para o dispositivo, como o privilégio Configurar dispositivos virtuais. 8 Digite uma senha para esse dispositivo e clique em Avançar. O ESM testa a comunicação do dispositivo e informa o status da conexão. Sobre chaves de dispositivo Para que o ESM se comunique com um dispositivo, ele precisa criptografar todas as comunicações usando a chave criada quando o dispositivo é codificado. É recomendável exportar todas as chaves para um arquivo alternativo e criptografado por senha. Em seguida, elas podem ser importadas para restaurar a comunicação com o dispositivo no caso de uma emergência ou para exportar a chave para outro dispositivo. Todas as configurações são armazenadas no ESM, o que significa que o console do ESM tem conhecimento das chaves mantidas no ESM e não precisa importar a chave de um dispositivo se o ESM já estiver se comunicando bem com o dispositivo. 40 McAfee Enterprise Security Manager Guia de produto

41 Configuração do ESM Gerenciamento de dispositivos 3 Por exemplo, você pode fazer backup das configurações (o que inclui as chaves do dispositivo) na segunda-feira, e recodificar um dos dispositivos na terça-feira. Se, na quarta-feira, você perceber que precisava ter restaurado as configurações de segunda-feira, importe a chave criada na terça-feira depois que a restauração das configurações estiver concluída. Embora a restauração reverta a chave do dispositivo ao estado de segunda-feira, o dispositivo ainda escuta somente o tráfego codificado com a chave de terça-feira. Essa chave precisa ser importada antes que a comunicação com o dispositivo seja possível. Recomendamos não importar uma chave de dispositivo para um ESM separado. Para as funções de direito de gerenciamento do dispositivo, a chave de exportação é usada para reinstalar um dispositivo no ESM que o gerencia. Se você importar um dispositivo para um segundo ESM, vários recursos do dispositivo não poderão ser utilizados, inclusive o gerenciamento de políticas, o registro e gerenciamento do ELM e as configurações de dispositivo virtual e origem de dados. Os administradores de dispositivos podem sobrescrever as configurações nos dispositivos usando outro ESM. É recomendável utilizar um único ESM para gerenciar os dispositivos conectados a ele. Um DESM pode lidar com a coleta de dados dos dispositivos conectados a outro ESM. Codificar um dispositivo Depois de adicionar um dispositivo ao ESM, é preciso codificá-lo para possibilitar a comunicação. A codificação protege o dispositivo, pois ignora todas as fontes externas de comunicação. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Gerenciamento de chaves Codificar dispositivo. Se o dispositivo tiver uma conexão estabelecida e puder se comunicar com o ESM, o Assistente de atribuição de chave será aberto. 3 Digite uma nova senha para o dispositivo e clique em Avançar. 4 Clique em Exportar chave e preencha a página Exportar chave ou clique em Finalizar se não pretende exportar nesse momento. Exportar uma chave Depois de codificar um dispositivo, exporte a chave para um arquivo. Se o sistema estiver operando no modo FIPS, não siga este procedimento. Consulte Adicionar um dispositivo codificado ao modo FIPS para ver o processo correto. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Gerenciamento de chaves Exportar chave. McAfee Enterprise Security Manager Guia de produto 41

42 3 Configuração do ESM Gerenciamento de dispositivos 3 Defina as configurações na página Exportar chave e clique em OK. O ESM cria o arquivo da chave de exportação e pergunta se deseja exportá-lo. 4 Clique em Sim e selecione onde deseja salvar o arquivo. É recomendável exportar uma cópia de backup pessoal da chave do dispositivo que esteja definida como Nunca expira e inclua todos os privilégios. Importar uma chave Importe uma chave para restaurar as configurações anteriores do ESM ou para usá-la em outro console do ESM ou console de legado. Se a versão deste dispositivo for 9.0 ou posterior, você somente poderá importar uma chave de um ESM que seja da versão 8.5 ou posterior. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Gerenciamento de chaves Importar chave. 3 Localize e selecione o arquivo de chave salvo. 4 Clique em Fazer upload e digite a senha que foi definida quando a chave foi exportada. Quando a chave é importada corretamente, uma página exibe o status. Gerenciar chaves SSH Os dispositivos podem ter chaves de comunicação SSH para os sistemas com os quais precisam se comunicar com segurança. É possível interromper a comunicação com esses sistemas excluindo a chave. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Gerenciamento de chaves e em Gerenciar chaves SSH. A página Gerenciar chaves SSH contém os IDs do ESM com o qual o dispositivo se comunica. 3 Realce o ID e clique em Excluir para interromper a comunicação com um dos sistemas da lista. 4 Confirme a exclusão e clique em OK. 42 McAfee Enterprise Security Manager Guia de produto

43 Configuração do ESM Gerenciamento de dispositivos 3 Atualizar o software em um dispositivo Se o software no dispositivo estiver desatualizado, faça upload de uma versão nova do software a partir de um arquivo no ESM ou no computador local. Antes de iniciar Se você já tiver o sistema há mais de 30 dias, deverá obter e instalar suas credenciais permanentes para ter acesso às atualizações (consulte Obter e adicionar credenciais de atualização de regra). Se for necessário cumprir com os Critérios Comuns e normas FIPS, não atualize o ESM dessa forma. Ligue para o suporte da McAfee para obter uma atualização certificada. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Gerenciamento do dispositivo Atualizar dispositivo. 3 Selecione uma atualização na tabela ou clique em Procurar para localizá-la no sistema local. O dispositivo é reiniciado com a versão de software atualizada. Organização de dispositivos A árvore de navegação de sistemas lista os dispositivos do sistema. Você pode selecionar o modo como eles devem ser exibidos usando o recurso de tipo de exibição. À medida que aumenta o número de dispositivos no sistema, é útil organizá-los de maneira lógica, para que você possa encontrar aqueles de que necessita para trabalhar. Por exemplo, se você tiver escritórios em vários locais, será melhor exibi-los de acordo com a zona onde se encontram. Use as três exibições predefinidas para criar exibições personalizadas. Adicione grupos a cada exibição personalizada para organizar melhor os dispositivos. Configurar controle de tráfego de rede em um dispositivo Defina um valor de saída de dados máximo para dispositivos DEM, Receiver, ACE, ELM, Nitro IPS e ADM. Esse recursos é útil quando há restrições de banda larga e você precisa controlar a quantidade de dados que pode ser enviada por cada um desses dispositivos. As opções são Kb (quilobits), Mb (megabits) e Gb (gigabits) por segundo. Tenha cuidado ao configurar esse recurso porque a limitação de tráfego pode resultar em perda de dados. 1 Na árvore de navegação do sistema, selecione o dispositivo e clique no ícone Propriedades. 2 Clique na opção Configuração do dispositivo, em Interfaces e na guia Tráfego. A tabela listará os controles existentes. McAfee Enterprise Security Manager Guia de produto 43

44 3 Configuração do ESM Gerenciamento de dispositivos 3 Para adicionar controles para um dispositivo, clique em Adicionar, insira o endereço de rede e máscara, defina a taxa e clique em OK. Se você definir a máscara como zero (0), todos os dados enviados serão controlados. 4 Clique em Aplicar. A velocidade do tráfego de saída do endereço de rede especificado é controlada. Configuração do dispositivo A página Configuração para cada dispositivo fornece opções para a definição de configurações do dispositivo, como interface de rede, notificações de SNMP, configurações de NTP e registro do ELM. Configurar interfaces de rede Configurações de interface determinam como o ESM se conecta com o dispositivo. Você deve defini-las para cada dispositivo. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique na opção Configuração do dispositivo e depois em Interfaces. 3 Insira os dados conforme solicitado e clique em Aplicar. Todas as alterações são enviadas por push para o dispositivo e têm efeito imediatamente. Depois que as alterações são aplicadas, o dispositivo é reinicializado, o que causa a perda de todas as sessões. Gerenciamento de interfaces de rede A comunicação com um dispositivo pode ocorrer utilizando-se interfaces públicas e privadas dos caminhos de tráfego. Isso significa que o dispositivo estará invisível na rede, já que não requer um endereço IP. Interface de gerenciamento Alternadamente, administradores de rede podem configurar uma interface de gerenciamento com um endereço IP para comunicação entre o ESM e o dispositivo. Estes recursos de dispositivo requerem o uso de uma interface de gerenciamento: Controle total de cartões de rede de desvio Uso de sincronização de hora NTP Syslog gerado pelo dispositivo Notificações SNMP Os dispositivos são equipados com pelo menos uma interface de gerenciamento, o que fornece ao dispositivo um endereço IP. Com um endereço IP, o dispositivo pode ser acessado diretamente pelo ESM sem o direcionamento da comunicação para outro nome do host ou endereço IP de destino. Não conecte a interface de rede de gerenciamento a uma rede pública, já que ela estará visível para a rede pública e sua segurança pode ser comprometida. 44 McAfee Enterprise Security Manager Guia de produto

45 Configuração do ESM Gerenciamento de dispositivos 3 Para um dispositivo em execução no modo Nitro IPS, deve haver duas interfaces para cada caminho de tráfego de rede. Para o modo de detecção de intrusão, deve haver um mínimo de duas interfaces de rede no dispositivo. Você pode configurar mais de uma interface de rede de gerenciamento no dispositivo. Placa de rede de desvio Um dispositivo no modo de desvio permite a passagem de todo o tráfego, inclusive tráfego malicioso. Em circunstâncias normais, você pode sofrer uma perda de conexão de um a três segundos quando o dispositivo alterna para o modo de desvio e de 18 segundos quando ele sai. Estar conectado a certos switches, como alguns modelos do Cisco Catalyst, pode alterar esses números. Nesse caso, você pode sofrer uma perda de conexão de 33 segundos quando o dispositivo alterna para o modo de desvio e quando sai. Se esse for o seu caso, você pode ativar o port fast na porta do switch e configurar manualmente a velocidade e o duplex para que as horas voltem ao normal. Certifique-se de definir todas as quatro portas (switch, duas no Nitro IPS e em outro dispositivo) com as mesmas configurações; do contrário, você poderá ter um problema de negociação no modo de desvio (consulte Configurar placas de rede de desvio). As opções de desvio disponíveis dependem do tipo de placa de rede de desvio no dispositivo, Tipo 2 ou Tipo 3. Adicionar rotas estáticas Uma rota estática é um conjunto de instruções sobre como acessar um host ou uma rede que não esteja disponível pelo gateway padrão. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Configuração Interfaces. 3 Ao lado da tabela Rotas estáticas, clique em Adicionar. 4 Insira as informações e clique em OK. Placa de rede de desvio Em circunstâncias normais, você pode sofrer uma perda de conexão de um a três segundos quando o dispositivo alterna para o modo de desvio e de 18 segundos quando ele sai. Estar conectado a certos switches, como alguns modelos do Cisco Catalyst, pode alterar esses números. Nesse caso, você pode sofrer uma perda de conexão de 33 segundos quando o dispositivo alterna para o modo de desvio e quando sai. Se esse for o seu caso, você pode ativar o port fast na porta do switch e configurar manualmente a velocidade e o duplex para que as horas voltem ao normal. Certifique-se de definir todas as quatro portas (switch, no IPS Nitro e outro dispositivo) para as mesmas configurações; do contrário, você pode ter um problema de negociação no modo de desvio. As opções de desvio disponíveis dependem do tipo de placa de rede de desvio no dispositivo, Tipo 2 ou Tipo 3. McAfee Enterprise Security Manager Guia de produto 45

46 3 Configuração do ESM Gerenciamento de dispositivos Configurar placas de rede de desvio Nos dispositivos IPS, é possível definir as configurações de placa de rede de desvio para permitir a passagem de todo o tráfego. Os dispositivos ADM e DEM estão sempre no modo IDS. É possível exibir o tipo e o status da placa de rede de desvio, mas não é possível alterar suas configurações. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Configuração Interfaces. 3 Na página Configurações da interface de rede, vá para a seção Configuração de placa de rede de desvio, na parte inferior. 4 Exiba o tipo e o status ou, em um IPS, altere as configurações. 5 Clique em OK. Adicionar VLANs e aliases Adicione redes virtuais de área local (VLANs) e aliases a uma interface ACE ou ELM. Os aliases são endereços IP e pares de máscaras de rede atribuídos que você adiciona quando tem um dispositivo de rede que possui mais de um endereço IP. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades seguida clique na Configuração do dispositivo., em 2 Na seção Interfaces da guia Rede, clique em Configuração, depois em Avançado. 3 Clique em Adicionar VLAN, insira as informações solicitadas e clique em OK. 4 Selecione a VLAN onde deseja adicionar o alias e clique em Adicionar alias. 5 Insira as informações solicitadas e clique em OK. Configurar notificações SNMP Para configurar notificações de SNMP geradas pelo dispositivo, defina quais interceptações de SNMP devem ser enviadas e os destinos das interceptações. Se você estiver configurando um SNMP em um Receptor HA, as interceptações do Receptor primário passarão pelo endereço IP compartilhado. Portanto, ao configurar os ouvintes, um deles deve ser configurado para o endereço IP compartilhado. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Configuração SNMP. 3 Defina as configurações e clique em OK. 46 McAfee Enterprise Security Manager Guia de produto

47 Configuração do ESM Gerenciamento de dispositivos 3 Configurar NTP em um dispositivo Sincronize a hora do dispositivo com o ESM usando um servidor NTP (Network Time Protocol). 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Configuração NTP. 3 Preencha as informações solicitadas e clique em OK. s Exibir o status dos servidores NTP na página 174 Exiba o status de todos os servidores NTP no ESM. Sincronizar dispositivo com o ESM Se você precisar substituir o seu ESM, importe a chave para cada dispositivo para restaurar as configurações. Se você não tiver um backup do banco de dados atual, deve também sincronizar as configurações da origem de dados, do dispositivo virtual e do servidor de banco de dados com o ESM para que eles possam retomar o pull de eventos. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Configuração Sincronizar dispositivo. 3 Quando a sincronização for concluída, clique em OK. Configurar a comunicação com o ELM Se você estiver enviando os dados deste dispositivo para o ELM, IP do ELM e Sincronizar ELM aparecerão na página Configuração do dispositivo, permitindo que você atualize o endereço IP e sincronize o ELM com o dispositivo. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Configuração e execute uma das seguintes ações: Clique em... Para fazer isto... IP do ELM Sincronizar ELM Atualizar o endereço IP para o ELM com o qual o dispositivo está vinculado. Você deve fazer isto caso altere o endereço IP para o ELM ou a interface de gerenciamento do ELM pela qual o dispositivo se comunica com o ELM. Sincronize o ELM com o dispositivo caso um deles tenha sido substituído. Quando você usa este recurso, a comunicação SSH entre os dois dispositivos é restabelecida usando a chave para o novo dispositivo com as configurações anteriores. McAfee Enterprise Security Manager Guia de produto 47

48 3 Configuração do ESM Gerenciamento de dispositivos Definir linha de registro padrão Se você possui um dispositivo ELM em seu sistema, é possível configurar um dispositivo para que os dados de evento que ele receber sejam enviados para o dispositivo ELM. Para fazer isso, você deve configurar a lista de registro padrão. O dispositivo não envia um evento ao ELM até que seu período de agregação tenha expirado. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Configuração Log. 3 Faça as seleções apropriadas nas páginas que serão abertas. Você será informado quando o registro de dados do dispositivo para o ELM estiver ativado. Configurações e informações gerais sobre dispositivo Cada dispositivo tem uma página com informações gerais sobre o dispositivo, como o número de série e a versão do software. Também é possível definir configurações para o dispositivo, como a seleção da zona e a sincronização do relógio. Exibir os registros de mensagens e as estatísticas do dispositivo Você pode exibir as mensagens geradas pelo sistema, exibir estatísticas sobre o desempenho do dispositivo ou fazer download de um arquivo.tgz que contenha informações sobre o status do dispositivo. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Gerenciamento de dispositivos e selecione uma das seguintes opções: Opção Exibir registro Exibir estatísticas Dados do dispositivo Descrição Clique para exibir mensagens que foram registradas pelo sistema. Clique em Fazer download de todo o arquivo para fazer download dos dados em um arquivo. Clique para exibir estatísticas sobre o desempenho do dispositivo, como interface da ethernet, ifconfig e filtro iptables. Clique para fazer download de um arquivo.tgz que contém dados sobre o status do dispositivo. Você pode usar quando estiver trabalhando com o suporte da McAfee para resolver um problema do sistema. 48 McAfee Enterprise Security Manager Guia de produto

49 Configuração do ESM Gerenciamento de dispositivos 3 Atualizar o software em um dispositivo Se o software no dispositivo estiver desatualizado, faça upload de uma versão nova do software a partir de um arquivo no ESM ou no computador local. Antes de iniciar Se você já tiver o sistema há mais de 30 dias, deverá obter e instalar suas credenciais permanentes para ter acesso às atualizações (consulte Obter e adicionar credenciais de atualização de regra). Se for necessário cumprir com os Critérios Comuns e normas FIPS, não atualize o ESM dessa forma. Ligue para o suporte da McAfee para obter uma atualização certificada. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Gerenciamento do dispositivo Atualizar dispositivo. 3 Selecione uma atualização na tabela ou clique em Procurar para localizá-la no sistema local. O dispositivo é reiniciado com a versão de software atualizada. Inserir comandos do Linux em um dispositivo Use a opção Terminal para inserir comandos do Linux em um dispositivo. Este recurso é recomendável para usuários avançados e deve ser usado seguindo as orientações da equipe de suporte da McAfee em situações de emergência. Essa opção não está em conformidade com o FIPS e fica desativada no modo FIPS. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Gerenciamento do dispositivo Terminal. 3 Insira a senha do sistema e clique em OK. 4 Insira os comandos do Linux, exporte o arquivo ou transfira os arquivos. 5 Clique em Fechar. Conceder acesso ao sistema Quando você faz uma chamada de suporte para a McAfee, pode ser necessário permitir o acesso do engenheiro do suporte técnico ao seu sistema. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Gerenciamento do dispositivo Conectar. O botão muda para Desconectar e seu endereço IP é fornecido. McAfee Enterprise Security Manager Guia de produto 49

50 3 Configuração do ESM Gerenciamento de dispositivos 3 Informe o endereço IP ao engenheiro de suporte técnico. Você talvez tenha que fornecer informações adicionais, como a senha. 4 Clique em Desconectar para encerrar a conexão. Monitorar tráfego Se precisar monitorar o tráfego que flui em um dispositivo DEM, ADM ou IPS, você poderá usar a Descarga do TCP para fazer download de uma instância do programa Linux em execução no dispositivo. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Gerenciamento do dispositivo. 3 Na seção Descarga do TCP da página, siga os procedimentos para fazer download da instância. Exibir informações do dispositivo Exibir informações gerais sobre um dispositivo. Abra a página Informações do dispositivo para ver ID do sistema, número de série, modelo, versão, compilação, e mais informações. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Exiba as informações disponíveis e clique em OK. Iniciar, interromper, reinicializar ou atualizar um dispositivo Iniciar, interromper, reinicializar ou atualizar um dispositivo na página Informações. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Verifique se a opção Informações do dispositivo está marcada e clique em Iniciar, Interromper, Reinicializar ou Atualizar. Alterar o nome do dispositivo Ao adicionar um dispositivo à árvore de sistemas, nomeie-o e esse nome será exibido na árvore. Esse nome, o nome do sistema, o URL e a descrição podem ser alterados. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Nome e descrição, altere o nome, o nome do sistema, o URL e a descrição ou exiba o número de ID de dispositivo. 3 Clique em OK. 50 McAfee Enterprise Security Manager Guia de produto

51 Configuração do ESM Gerenciamento de dispositivos 3 Adicionar link de URL Para exibir informações do dispositivo em um URL, é possível configurar o link na página Nome e descrição de cada dispositivo. Quando adicionado, o link pode ser acessado nas exibições Análise de evento e Análise de fluxo de cada dispositivo clicando no ícone Abrir URL do dispositivo, inferior dos componentes da exibição. localizado na parte 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Nome e descrição e digite o URL. 3 Clique em OK para salvar as alterações. Alterar a conexão com o ESM Ao adicionar um dispositivo ao ESM, configure a conexão do dispositivo com o ESM. É possível alterar o endereço IP e a porta, desativar a comunicação SSH e verificar o status da conexão. A alteração dessas configurações não afeta o dispositivo. Ela afeta somente a maneira como o ESM se comunica com o dispositivo. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Conexão e faça as alterações. 3 Clique em Aplicar. Eventos, fluxos e registros Os dispositivos de IPS, ADM e Receptores coletam eventos, fluxos e logs. Os dispositivos de ACE e DEM coletam eventos e logs. Os dispositivos de ELM coletam logs. Defina cada dispositivo para verificá-lo manual ou automaticamente. Além disso, é possível agregar os eventos ou fluxos gerados por um dispositivo. Configurar downloads de eventos, fluxos e registros Verifique eventos, fluxos e registros manualmente ou defina o dispositivo para verificá-los automaticamente. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Eventos, fluxos e logs, Eventos e logs ou Logs. 3 Configure os downloads e clique em Aplicar. McAfee Enterprise Security Manager Guia de produto 51

52 3 Configuração do ESM Gerenciamento de dispositivos Definir configurações de localização geográfica e ASN A Localização geográfica informa a localização física dos computadores conectados à Internet. ASN (Autonomous System Number - Número de sistema autônomo) é um número atribuído a um sistema autônomo, que identifica cada rede exclusivamente na Internet. Os dois tipos de dados podem ajudar a identificar a localização física de uma ameaça. Os dados da localização geográfica de origem e de destino podem ser coletados para os eventos. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Eventos, fluxos e registros ou Eventos e registros em Localização geográfica. 3 Faça as seleções para gerar as informações necessárias e clique em OK. Você pode filtrar dados do evento usando essas informações. Agregação de eventos ou fluxos Um evento ou fluxo pode ser gerado milhares de vezes. Em vez de ser forçado a verificar milhares de eventos idênticos, com a agregação você pode exibi-los como um evento ou fluxo único, junto com a contagem que indica o número de vezes que ele ocorreu. O uso da agregação permite usar o espaço em disco, tanto no dispositivo quanto no ESM, de forma mais eficiente, pois elimina a necessidade de armazenar cada pacote. Esse recurso aplica-se somente a regras para as quais a agregação está ativada no Editor de políticas. Endereço IP de destino e IP de origem Os valores "não definidos" ou agregados de endereço IP de destino e IP de origem são exibidos como "::", e não como " " em todos os conjuntos de resultados. Por exemplo: ::ffff: é inserido como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 é ). ::0000: seria Eventos e fluxos agregados Os eventos e fluxos agregados usam o primeiro, o último e o campo de totais, para indicar a duração e o volume de agregação. Por exemplo, se o mesmo evento ocorreu 30 vezes nos primeiros 10 minutos após o meio-dia, o campo Primeira vez contém a hora 12:00 (a hora da primeira instância do evento), o campo Última vez contém a hora 12:10 (a hora da última instância do evento) e o campo Total contém o valor 30. É possível alterar as configurações de agregação de evento ou de fluxo padrão do dispositivo com um todo e, no caso dos eventos, é possível adicionar exceções às configurações do dispositivo para regras individuais (consulte Gerenciar exceções de agregação de evento). A agregação dinâmica também é ativada por padrão. Quando selecionada, ela substitui as configurações da agregação de Nível 1 e aumenta as configurações do Nível 2 e Nível 3. Ela recupera registros com base na configuração de eventos, fluxos e registros. Se configurado para recuperação automática, o dispositivo compacta um registro somente até a primeira vez que ele for obtido pelo ESM. Se estiver configurado para recuperação manual, o registro compacta até 24 horas ou até que um novo registro seja obtido manualmente, o que ocorrer primeiro. Se o tempo de compactação alcançar o limite de 24 horas, um novo registro é obtido e a compactação começará no novo registro. 52 McAfee Enterprise Security Manager Guia de produto

53 Configuração do ESM Gerenciamento de dispositivos 3 Alterar as configurações de agregação de eventos e fluxos A agregação de eventos e fluxos é ativada por padrão e definida como Alta. Você pode alterar as configurações conforme o necessário. O desempenho de cada configuração está descrito na página Agregação. Antes de iniciar Você deve ter privilégios de Administrador de políticas e Gerenciamento de dispositivos ou Administrador de políticas e Regras personalizadas para alterar essas configurações. A agregação de eventos está disponível somente para dispositivos ADM, IPS e Receiver. E a agregação de fluxo para dispositivos IPS e Receivers. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Agregação do evento ou Agregação do fluxo. 3 Defina as configurações e clique em OK. Gerenciar exceções de agregação de evento Você pode exibir uma lista das exceções de agregação de evento que foram adicionadas ao sistema. É possível também editar ou remover uma exceção. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Agregação do evento e em Exibir na parte inferior da tela. 3 Efetue as alterações necessárias e clique em Fechar. Adicionar exceções às configurações de agregação de evento Configurações de agregação aplicam-se a todos os eventos gerados por um dispositivo. Você pode criar exceções para regras individuais se as configurações gerais não se aplicarem aos eventos gerados pela regra. 1 No painel de exibições, selecione um evento gerado pela regra para a qual deseja adicionar uma exceção. 2 Clique no ícone Menu e selecione Modificar configurações de agregação. 3 Selecione os tipos de campo que deseja agregar nas listas suspensas Campo 2 e Campo 3. Os campos que você selecionar em Campo 2 e Campo 3 devem ser de tipos diferentes; caso contrário, um erro ocorrerá. Ao selecionar esses tipos de campo, a descrição para cada nível de agregação mudará para refletir as seleções feitas. Os limites de tempo para cada nível dependem da configuração de agregação do evento definida para o dispositivo. 4 Clique em OK para salvar as configurações e clique em Sim para continuar. McAfee Enterprise Security Manager Guia de produto 53

54 3 Configuração do ESM Gerenciamento de dispositivos 5 Desmarque os dispositivos para os quais não quiser distribuir as alterações. 6 Clique em OK para distribuir as alterações para os dispositivos selecionados. A coluna Status exibe o status da atualização quando as alterações foram distribuídas. Dispositivos virtuais É possível adicionar dispositivos virtuais a certos modelos de dispositivos IPS do Nitro e ADM para monitorar o tráfego, comparar padrões de tráfego e gerar relatórios. Objetivo e benefícios Os dispositivos virtuais podem ser usados com vários objetivos: Comparar padrões de tráfego com conjuntos de regras. Por exemplo, para comparar o tráfego da Web com regras da Web, é possível configurar um dispositivo virtual que verifique somente portas de tráfego da Web e definir uma política na qual seja possível permitir ou desativar diferentes regras. Gerar relatórios. Usar um dispositivo virtual desta maneira é como ter uma configuração automática de filtro. Monitorar vários caminhos de tráfego de uma vez. Usando um dispositivo virtual, é possível ter políticas separadas para cada caminho de tráfego e classificar tráfegos diferentes em diferentes políticas. Número máximo de dispositivos por modelo O número de dispositivos virtuais que podem ser adicionados a um ADM ou IPS do Nitro é baseado no modelo: Máximo para o dispositivo Modelo 2 APM-1225 NTP-1225 APM-1250 NTP APM-2230 NTP-2230 NTP-2600 APM-3450 NTP NTP-2250 NTP-4245 NTP APM-VM NTP-VM Como as regras de seleção são usadas As regras de seleção são usadas como filtros para determinar os pacotes que serão processados por um dispositivo virtual. 54 McAfee Enterprise Security Manager Guia de produto

55 Configuração do ESM Gerenciamento de dispositivos 3 Para que um pacote corresponda a uma regra de seleção, todos os critérios do filtro definidos pela regra devem ser correspondentes. Se as informações do pacote corresponderem a todos os critérios do filtro para uma única regra de seleção, ele será processado pelo dispositivo virtual que contém a regra de seleção correspondente. Caso contrário, ele será repassado ao dispositivo virtual seguinte na ordem e depois processado pelo próprio ADM ou IPS do Nitro, por padrão, se não houver nenhuma regra de seleção correspondente em nenhum dispositivo virtual. Notas sobre dispositivos virtuais IPv4: Todos os pacotes para uma única conexão são classificados com base somente no primeiro pacote da conexão. Se o primeiro pacote em uma conexão corresponder a uma regra de seleção para o terceiro dispositivo virtual na lista, todos os pacotes subsequentes na conexão irão para o terceiro dispositivo virtual, mesmo se os pacotes corresponderem a um dispositivo virtual mais adiante na lista. Pacotes inválidos (um pacote que não configure uma conexão ou parte de uma conexão estabelecida) são classificados no dispositivo base. Por exemplo, você tem um dispositivo virtual que procura pacotes com uma porta de origem ou de destino igual a 80. Quando um pacote inválido entra por uma porta de origem ou de destino igual a 80, ele é classificado no dispositivo base, e não no dispositivo virtual que procura o tráfego da porta 80. Portanto, é possível ver eventos no dispositivo base que aparentemente deveriam ter ido para um dispositivo virtual. A ordem em que as regras de seleção são listadas é importante, pois quando um pacote corresponde a uma regra pela primeira vez, ele é automaticamente encaminhado para esse dispositivo virtual para processamento. Por exemplo, você adiciona quatro regras de seleção e a quarta na ordem é o filtro que dispara com maior frequência. Isso significa que os outros filtros desse dispositivo virtual deverão ser repassados por cada pacote antes de chegarem à regra de seleção disparada com maior frequência. Para aumentar a eficiência do processamento, mantenha o filtro disparado com maior frequência em primeiro lugar na ordem, e não em último. Ordem dos dispositivos virtuais A ordem na qual os dispositivos virtuais são verificados é importante, já que os pacotes que chegam ao dispositivo do ADM ou IPS do Nitro são comparados às regras de seleção para cada dispositivo virtual para que os dispositivos virtuais sejam configurados. O pacote só chega às regras de seleção para o segundo dispositivo virtual se ele não corresponder a nenhuma regra de seleção no primeiro dispositivo. Para alterar a ordem em um dispositivo ADM, vá para a página Editar dispositivo virtual (Propriedades do ADM Dispositivos virtuais Editar) e use as setas para colocá-los na ordem correta. Para alterar a ordem em um dispositivo IPS do Nitro, use as setas na página Dispositivos virtuais (Propriedades do IPS Dispositivos virtuais). Dispositivos virtuais do ADM Os dispositivos virtuais do ADM monitoram o tráfego em uma interface. Pode haver até quatro filtros de interface do ADM no sistema. Cada filtro pode ser aplicado a somente um dispositivo virtual ADM por vez. Se um filtro estiver atribuído a um dispositivo virtual do ADM, ele não aparecerá na lista de filtros disponíveis até que seja removido do dispositivo. Pacotes inválidos (um pacote que não configure uma conexão ou parte de uma conexão estabelecida) são classificados no dispositivo base. Por exemplo, se um dispositivo virtual do ADM procurar pacotes com uma porta de origem ou de destino igual a 80 e um pacote inválido entrar por uma porta de origem ou de destino igual a 80, ele será classificado no dispositivo base, e não no dispositivo virtual do ADM que procura o tráfego da porta de 80. Então, é possível ver eventos no dispositivo base que aparentemente deveriam ter ido para um dispositivo virtual do ADM. McAfee Enterprise Security Manager Guia de produto 55

56 3 Configuração do ESM Gerenciamento de dispositivos Gerenciar regras de seleção As regras de seleção são usadas como filtros para determinar quais pacotes serão processados por um dispositivo virtual. É possível adicionar, editar e excluir regras de seleção. A ordem em que as regras de seleção são listadas é importante, pois quando um pacote corresponde a uma regra pela primeira vez, ele é automaticamente encaminhado para esse dispositivo virtual para processamento. 1 Selecione um nó de dispositivo IPS ou ADM e clique no ícone Propriedades. 2 Clique em Dispositivos virtuais e em Adicionar. A janela Adicionar dispositivo virtual é aberta. 3 Adicione, edite, remova ou altere a ordem das regras de seleção na tabela. Adicionar um dispositivo virtual Você pode adicionar um dispositivo virtual a alguns dispositivos do ADM e IPS, configurando as regras de seleção que determinam quais pacotes serão processados por cada dispositivo. Antes de iniciar Verifique se é possível adicionar dispositivos virtuais ao dispositivo que você selecionou (consulte Sobre dispositivos virtuais). 1 Na árvore de navegação do sistema, selecione um dispositivo ADM ou IPS e clique no ícone Propriedades. 2 Clique em Dispositivos virtuais Adicionar. 3 Insira as informações solicitadas e clique em OK. 4 Clique em Gravar para adicionar as configurações ao dispositivo. Gerenciar tipos de exibição personalizadas É possível definir como você deseja que os dispositivos da árvore de navegação do sistema sejam organizados ao adicionar, editar ou excluir tipos de exibições personalizadas. 1 No painel de navegação do sistema, clique na seta suspensa de tipo de exibição. 2 Siga um destes procedimentos: 56 McAfee Enterprise Security Manager Guia de produto

57 Configuração do ESM Gerenciamento de dispositivos 3 Para... Adicionar um tipo de exibição personalizado Editar tipo de exibição personalizado Faça isto... 1 Clique em Adicionar exibição. 2 Preencha os campos e clique em OK. 1 Clique no ícone Editar ao lado do tipo de exibição que deseja editar. 2 Altere as configurações e clique em OK. Excluir um tipo de exibição personalizado Clique no ícone Excluir excluir. ao lado do tipo de exibição que deseja Selecione um tipo de exibição Selecione a maneira que deseja exibir os dispositivos na árvore de navegação do sistema. Antes de iniciar Para selecionar uma exibição personalizada, você deve primeiro adicioná-la ao sistema (consulte Gerenciar tipos de exibição personalizadas). 1 No painel de navegação do sistema, clique na seta suspensa no campo tipo de exibição. 2 Selecione um dos tipos de exibição. A organização dos dispositivos na árvore de navegação é alterada a fim de refletir o tipo selecionado para a sessão atual de trabalho. Gerenciar um grupo em um tipo de exibição personalizada É possível usar grupos em um tipo de exibição personalizada para organizar os dispositivos em agrupamentos lógicos. Antes de iniciar Adicione um tipo de exibição personalizada (consulte Gerenciar tipos de exibição personalizada). 1 No painel de navegação do sistema, clique na lista suspensa de tipo de exibição. 2 Selecione a exibição personalizada e siga um destes procedimentos: McAfee Enterprise Security Manager Guia de produto 57

58 3 Configuração do ESM Gerenciamento de dispositivos Para... Adicionar um novo grupo Faça isto... 1 Clique em um sistema ou nó de grupo e clique no ícone Adicionar grupo na barra de ferramentas de ações. 2 Preencha os campos e clique em OK. 3 Arraste e solte os dispositivos na exibição para adicioná-los ao grupo. Se o dispositivo fizer parte de uma árvore na exibição, um nó duplicado de dispositivo será criado. Em seguida, você pode excluir a duplicação na árvore de sistemas. Editar grupo Selecione o grupo, clique no ícone Propriedades Propriedades do grupo. e faça alterações na página Excluir grupo Selecione o grupo e clique no ícone Excluir grupo. O grupo e os dispositivos contidos nele são excluídos da exibição personalizada. Os dispositivos não são excluídos do sistema. Consulte também Gerenciar tipos de exibição personalizadas na página 32 Excluir dispositivos duplicados na árvore de navegação do sistema Nós de dispositivo duplicados podem aparecer na árvore de navegação do sistema quando você arrasta e solta dispositivos de uma árvore de sistemas para um grupo ou quando você tem grupos configurados e faz upgrade do software do ESM. Recomendamos que você o exclua para evitar confusão. 1 No painel de navegação do sistema, clique na lista suspensa de tipo de exibição. 2 Selecione o ícone Editar ao lado da exibição que inclui os dispositivos duplicados. 3 Desmarque os dispositivos duplicados e clique em OK. Os dispositivos que estavam duplicados agora estão listados somente em seus grupos atribuídos. Gerenciar vários dispositivos A opção Gerenciamento de vários dispositivos permite que você inicie, interrompa e reinicialize ou atualize o software em vários dispositivos de uma vez só. 1 Na árvore de navegação do sistema, selecione os dispositivos que deseja gerenciar. 2 Clique no ícone Gerenciamento de vários dispositivos na barra de ferramentas de ações. 3 Selecione a operação que deseja executar e os dispositivos nos quais ela será executada e clique em Iniciar. 58 McAfee Enterprise Security Manager Guia de produto

59 Configuração do ESM Gerenciamento de dispositivos 3 Gerenciar links de URL para todos os dispositivos Você pode configurar um link para cada dispositivo, de modo a exibir as informações do dispositivo em uma URL. Antes de iniciar Configuração do site do URL para o dispositivo. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Configurações personalizadas Links do dispositivo. 2 Para adicionar ou editar um URL, destaque o dispositivo, clique em Editar e insira o URL. O campo URL tem um limite de 512 caracteres. 3 Clique em OK. Você pode acessar o URL clicando no ícone Abrir URL do dispositivo Análise de evento e Análise de fluxo de cada dispositivo. na parte inferior das exibições Exibir relatórios de resumo do dispositivo Os relatórios de resumo do dispositivo mostram os tipos e o número de dispositivos no ESM e a última vez que um evento foi recebido por cada um deles. Esses relatórios podem ser exportados no formato de valores separados por vírgula (CSV). 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Informações do sistema Exibir relatórios. 2 Exiba ou exporte a Contagem de tipos de dispositivo ou o relatório de Hora do evento. 3 Clique em OK. Exibir um registro do sistema ou dispositivo Registros do sistema e do dispositivo mostram eventos que ocorreram nos dispositivos. Você pode exibir a página de resumo, que mostra a contagem de eventos e a hora do primeiro e do último evento no ESM ou no dispositivo ou exibir uma lista detalhada de eventos na página Registro do sistema ou Registro do dispositivo. 1 Exibir um resumo dos dados de evento: Dados do sistema Em Propriedades do sistema, clique em Registro do sistema. Dados do dispositivo Na página Propriedades do evento, clique em Registro do dispositivo. 2 Para exibir o registro de eventos, insira um intervalo de tempo e clique em Exibir. A página Registro do sistema ou Registro do dispositivo lista todos os eventos gerados durante o intervalo de tempo especificado. McAfee Enterprise Security Manager Guia de produto 59

60 3 Configuração do ESM Gerenciamento de dispositivos Relatórios de status de integridade do dispositivo Sinalizadores de status de integridade nas cores branco (informativo), amarelo (inatividade ou status do dispositivo) ou vermelho (crítico) aparecerão ao lado dos nós do sistema, grupo ou dispositivo na árvore de navegação do sistema quando um relatório de status de integridade estiver disponível. Ao clicar no sinalizador, a página Alertas de status do dispositivo fornecerá diferentes opções para exibir as informações e resolver qualquer problema. Um sinalizador neste tipo de nó... Sistema ou grupo Dispositivo Abre... A página Resumo de alertas de status do dispositivo, que é um resumo dos alertas de status para os dispositivos associados ao sistema ou grupo. Ela pode exibir os seguintes alertas de status: Partição excluída Uma tabela de banco de dados contendo os dados do evento, fluxo ou registro atingiu o seu tamanho máximo e teve uma partição excluída para adicionar espaço para novos registros. Dados de evento, fluxo e registro podem ser exportados para evitar perdas permanentes. Espaço da unidade Uma unidade de disco rígido está cheia ou com pouco espaço. Isso pode incluir o disco rígido no ESM, ESM redundante ou ponto de montagem remoto. Crítico O dispositivo não está funcionando corretamente e deve ser corrigido. Aviso Algo no dispositivo não está funcionando como deveria. Informativo O dispositivo está funcionando corretamente, mas o nível de status do dispositivo foi alterado. Fora de sincronização As configurações do dispositivo virtual, origem de dados ou servidor de banco de dados no ESM estão fora de sincronização em relação ao que está no dispositivo. Renovado A tabela de registros para este dispositivo ficou sem espaço e foi renovada. Isso significa que os novos registros estão sobrescrevendo os antigos. Inativo O dispositivo não gerou eventos ou fluxos durante o período limite de inatividade. Desconhecido O ESM não pôde se conectar ao dispositivo. Você pode limpar os sinalizadores Partição excluída, Espaço da unidade, Renovado e Informativo marcando as caixas junto aos sinalizadores e clicando em Limpar selecionados ou Limpar tudo. A página Alertas de status do dispositivo, que contém botões para locais onde é possível resolver o problema. Ela pode incluir os seguintes botões: Registro A página Registro do sistema (para o ESM local) ou Registro do dispositivo exibe um resumo de todas as ações que ocorreram no sistema ou dispositivo. Dispositivos virtuais, Origens de dados, Origens VA ou Servidores de banco de dados Lista os dispositivos desse tipo no sistema, permitindo que você verifique se há problemas. Inativo A página Limite de inatividade exibe as configurações de limite para todos os dispositivos. Esse sinalizador indica que o dispositivo não gerou um evento no intervalo de tempo especificado. Um sinalizador informativo aparece sempre que um subsistema recupera-se de um status de aviso ou crítico. Segue uma descrição de cada tipo de sinalizador informativo. 60 McAfee Enterprise Security Manager Guia de produto

61 Configuração do ESM Gerenciamento de dispositivos 3 Status Modo de desvio A inspeção de pacote detalhada não está em execução O programa de alertas do firewall (ngulogd) não está em execução O banco de dados não está em execução Modo de excesso de assinaturas O canal de controle não está em execução Os programas RDEP ou Syslog não estão em execução O Monitor de integridade não pôde se comunicar com o programa controlador da Inspeção de pacote detalhada O registrador do sistema não está em execução Pouco espaço livre na partição do disco rígido Alerta de velocidade do ventilador Alerta de temperatura Erros de rede Problema em um ponto de montagem remoto Pouco espaço livre em disco no ponto de montagem remoto Descrição e instruções A Placa de rede (NIC) está no modo de desvio. Possíveis motivos incluem a falha de um processo crítico do sistema, a configuração manual do dispositivo para o modo de desvio ou outra falha. Para retirar o dispositivo do modo de desvio, vá para Propriedades Configuração Interfaces. A Inspeção detalhada de pacote (DPI) funcionou incorretamente. É possível que isso se recupere sem intervenção. Caso contrário, reinicie o dispositivo. O Agregador de alerta do firewall (FAA) funcionou incorretamente. É possível que isso se recupere sem intervenção. Caso contrário, reinicie o dispositivo. O servidor McAfee Extreme Database (EDB) funcionou incorretamente. Reiniciar o dispositivo pode resolver o problema, mas o banco de dados pode precisar ser reconstruído. Se a rede monitorada estiver ocupada além da capacidade do IPS do Nitro, os pacotes de rede podem não ser inspecionados. O monitor de integridade gera um alerta indicando que o IPS do Nitro está com excesso de assinaturas. Por padrão, o valor do modo de excesso de assinaturas está definido para descarte. Para alterar o valor, navegue até o Editor de políticas, clique em Variável no painel Tipos de regras, expanda a variável packet_inspection e selecione Herdar para a variável OVERSUBSCRIPTION _MODE. Aprovação e Descarte são permitidos para essa variável. O processo que oferece suporte ao canal de comunicação com o ESM falhou. A reinicialização do dispositivo pode reparar o problema. Se houver um mau funcionamento no sistema que lida com as origens de dados de terceiros (como syslog ou SNMP), um alerta crítico será gerado. Um alerta de nível de aviso será gerado se o coletor não receber dados da origem de dados de terceiros em determinado período. Isso indica que a origem de dados pode estar desativada ou não estar enviando dados para o Receptor conforme esperado. O Monitor de integridade não pôde se comunicar com a Inspeção de pacote detalhada para recuperar seu status. Isso pode significar que o programa de controle não está em execução, e o tráfego de rede pode não estar passando pelo IPS do Nitro. Reaplicar a política pode resolver o problema. O registrador do sistema não está respondendo. A reinicialização do dispositivo pode reparar o problema. A quantidade de espaço livre em disco está criticamente baixa. Os ventiladores estão girando muito devagar ou não estão funcionando. Até que o ventilador possa ser substituído, mantenha o dispositivo em um cômodo com ar condicionado para evitar danos. A temperatura de componentes críticos está acima do limite. Mantenha o dispositivo em um cômodo com ar condicionado para evitar danos permanentes. Verifique se há algo bloqueando o fluxo de ar pelo dispositivo. Existem erros de rede ou um excesso de colisões na rede. A causa pode ser um grande domínio de colisão ou cabos de rede defeituosos. Há um problema em um ponto de montagem remoto. Há pouco espaço livre em disco no ponto de montagem remoto. McAfee Enterprise Security Manager Guia de produto 61

62 3 Configuração do ESM Configuração de dispositivos Status Todos os coletores da origem de dados que não receberam comunicação de uma origem de dados por pelo menos 10 minutos O coletor da origem de dados não está em execução O Monitor de integridade não pôde obter um status válido de um subsistema Recuperação de um status de aviso ou crítico de um subsistema Descrição e instruções O Receptor não recebeu comunicação de uma origem de dados por pelo menos 10 minutos. Existe um mau funcionamento no subsistema que lida com as origens de dados de terceiros específicas (como syslog ou SNMP). O coletor não recebeu dados da origem de dados de terceiros em determinado período. A origem de dados pode estar desativada ou não estar enviando dados para o Receptor conforme esperado. O Monitor de integridade não obteve um status válido de um subsistema. Quando o monitor de integridade é iniciado e interrompido, um alerta de informações é gerado. Se o monitor de integridade tiver problemas na comunicação com outros subsistemas nos dispositivos, um alerta também será gerado. A exibição do registro de eventos pode fornecer detalhes sobre as causas dos alertas de aviso e críticos. Excluir um grupo ou um dispositivo Quando um dispositivo não fizer mais parte do sistema ou um grupo não for mais usado, os exclua da árvore de navegação do sistema. 1 Na árvore de navegação do sistema, destaque o dispositivo ou grupo que deseja excluir e clique no ícone Excluir na barra de ferramentas ações. 2 Quando for solicitado a confirmar, clique em OK. Atualizar dispositivos É possível atualizar os dispositivos no sistema manualmente para que as informações que eles contêm correspondam às existentes no ESM. Na barra de ferramentas de ações, clique no ícone Atualizar dispositivos. Configuração de dispositivos Conecte dispositivos físicos e virtuais ao McAfee ESM para permitir perícias em tempo real, monitoramento de bancos de dados e aplicativos, correlações avançadas baseadas em regras e riscos e geração de relatórios de conformidade. Conteúdo Dispositivos e o que eles fazem Event Receiver Configurações do Enterprise Log Manager (ELM) Configurações do Advanced Correlation Engine (ACE) Configurações do Application Data Monitor (ADM) Configurações do Database Event Monitor (DEM) Configurações do DESM (ESM distribuído) 62 McAfee Enterprise Security Manager Guia de produto

63 Configuração do ESM Configuração de dispositivos 3 Configurações do epolicy Orchestrator Configurações do Nitro Intrusion Prevention System (Nitro IPS) Configurações do McAfee Vulnerability Manager Configurações do McAfee Network Security Manager Dispositivos e o que eles fazem O ESM permite que você administre, gerencie e interaja com todos os dispositivos físicos e virtuais do seu ambiente de segurança. Consulte também Event Receiver na página 64 Configurações do Enterprise Log Manager (ELM) na página 116 Configurações do Application Data Monitor (ADM) na página 136 Configurações do Database Event Monitor (DEM) na página 150 Configurações do Advanced Correlation Engine (ACE) na página 133 Configurações do DESM (ESM distribuído) na página 157 Configurações do epolicy Orchestrator na página 158 Configurações do Nitro Intrusion Prevention System (Nitro IPS) na página 164 McAfee Enterprise Security Manager Guia de produto 63

64 3 Configuração do ESM Configuração de dispositivos Event Receiver O Event Receiver possibilita a coleta de eventos de segurança e dados de fluxo da rede de origens de vários fornecedores, incluindo firewalls, VPNs (redes virtuais privadas), roteadores, IPS/detecção de intrusão do Nitro, NetFlow, sflow e outros. O Event Receiver possibilita a coleta de dados e os normaliza em uma solução única e gerenciável. Dessa forma, você tem uma exibição única dos dispositivos de vários fornecedores, como Cisco, Check Point, Juniper. Além disso, é possível coletar dados de fluxo e eventos em dispositivos IPS do Nitro e roteadores que enviam feeds de dados ao Receiver. Os Receivers de alta disponibilidade (Receiver de HA) podem ser usados em modo primário e secundário, atuando como backups um do outro. O Receiver secundário (B) monitora o Receiver primário (A) de forma contínua, e novas configurações ou informações sobre a política são enviadas aos dois dispositivos. Quando o Receiver B determina que houve uma falha no Receiver A, o primeiro desconecta a placa de rede da origem de dados do Receiver A da rede e assume o posto de novo primário. Ele permanece como primário até que haja intervenção manual para restaurar o Receiver A como primário. Exibir eventos de streaming O Visualizador de streaming exibe uma lista de eventos à medida que eles são gerados pelo McAfee epo, McAfee Network Security Manager, Receptor, origem de dados, origem de dados filho ou cliente selecionado. É possível filtrar a lista e selecionar um evento para uma exibição. 1 Na árvore de navegação do sistema, selecione o dispositivo que você precisa exibir e clique no ícone Exibir eventos de streaming na barra de ferramentas de ações. 2 Clique em Iniciar para começar o streaming e em Interromper para interrompê-lo. 3 Selecione uma das ações disponíveis no visualizador. 4 Clique em Fechar. Receivers de alta disponibilidade Os Receivers de alta disponibilidade são usados no modo primário e secundário para que o secundário possa assumir o controle rapidamente quando o primário falhar. Isso permite uma continuidade na coleta de dados melhor do que a fornecida por um único Receiver. O recurso Receivers de alta disponibilidade está fora de conformidade com o FIPS. Se for necessária a conformidade com as normas FIPS, não use esse recurso. Essa configuração consiste em dois Receivers, um agindo como o primário ou primário de preferência e o outro como secundário. O Receiver secundário monitora o primário continuamente. Quando o secundário observa que o primário falhou, ele interrompe as operações do primário e assume sua função. Quando o primário é reparado, ele se torna secundário ou volta a ser o primário. Isso é determinado pela opção selecionada no campo Dispositivo primário de preferência na guia Receiver de HA (consulte Instalar dispositivos Receiver de HA. 64 McAfee Enterprise Security Manager Guia de produto

65 Configuração do ESM Configuração de dispositivos 3 Os seguintes modelos de Receiver podem ser comprados com a função de alta disponibilidade: ERC-1225-HA ERC-1250-HA ERC-2230-HA ERC-1260-HA ERC-2250-HA ERC-2600-HA ERC-4245-HA ERC-4600-HA ERC-4500-HA Esses modelos incluem uma porta IPMI (Intelligent Platform Management Interface) e pelo menos quatro NICs, que são necessários para a funcionalidade de HA (consulte Portas de rede no Receptor-HA). Os cartões IPMI encerram o receptor que falhou, o que elimina a possibilidade de ambos os NICs DS usarem o MAC e o IP compartilhado simultaneamente. Os cartões IPMI conectam-se por um cabo cruzado ou direto ao outro Receptor. Os Receptores conectam-se por um cabo cruzado ou direto ao NIC de pulsação. Existe um NIC de gerenciamento para comunicação com o ESM, e um NIC da origem de dados para coleta de dados. Quando o Receptor primário é executado corretamente e o Receptor secundário está no modo secundário, ocorre o seguinte: Os Receptores se comunicam constantemente por meio do NIC de pulsação dedicado e do NIC de gerenciamento. Todos os certificados recebidos, como OPSEC ou Estreamer, são passados para o outro Receptor. Todas as origens de dados usam o NIC da origem de dados. Cada Receptor monitora e relata sua própria integridade. Isso inclui itens de integridade interna, como erros de disco, congelamentos de banco de dados e links perdidos nos NICs. O ESM se comunica com os receptores periodicamente para determinar seu status e integridade. Toda informação nova sobre configuração é enviada aos Receptores primário e secundário. O ESM envia a política aos Receptores primário e secundário. Interromper/Reinicializar/Terminal/Call Home aplicam-se a cada receptor de forma independente. As seções a seguir descrevem o que ocorre quando o Receptor-HA está com problemas. Falha do Receptor primário A determinação da falha do Receptor primário é responsabilidade do Receptor secundário. Ele precisa determinar essa falha com rapidez e precisão a fim de minimizar a perda de dados. Durante a recuperação de falhas, todos os últimos dados enviados pelo primário ao ESM e ao ELM se perdem. O volume de dados perdidos depende da taxa de transferência de dados do Receptor e da taxa do ESM para efetuar pull dos dados no Receptor. Esses processos concorrentes devem ser cuidadosamente balanceados para otimizar a disponibilidade dos dados. Quando o Receptor primário falha completamente (perda de energia, falha de CPU), não ocorre comunicação de pulsação com o Receptor primário. O corosync reconhece a perda de comunicação e marca a falha do Receptor primário. O pacemaker no Receptor secundário solicita que o cartão IPMI no Receptor primário encerre o Receptor primário. O Receptor secundário deduz, então, o endereço MAC e IP compartilhado e inicia todos os coletores. McAfee Enterprise Security Manager Guia de produto 65

66 3 Configuração do ESM Configuração de dispositivos Falha do Receptor secundário O processo de falha do secundário ocorre quando o Receptor secundário deixa de responder à comunicação de pulsação. Isso significa que o sistema não conseguiu se comunicar com o Receptor secundário depois de tentar fazê-lo durante um tempo usando as interfaces de gerenciamento e pulsação. Se o primário não conseguir obter sinais de pulsação e integridade, o corosync marca a falha do secundário e o pacemaker utiliza o cartão IPMI secundário para encerrá-lo. Problema de integridade do primário A integridade do Receptor primário pode ser gravemente prejudicada. Integridade gravemente prejudicada inclui um banco de dados que não responde, a interface de uma origem de dados que para de responder e erros de disco excessivos. Quando o Receptor primário detecta um alerta de healthmon dessas condições, ele termina os processos do corosync e do pacemaker e configura um alerta de healthmon. O término desses processos provoca a transferência das tarefas de coleta de dados para o Receptor secundário. Problema de integridade do secundário Quando a integridade do Receptor secundário fica gravemente prejudicada, ocorre o seguinte: O Receptor secundário relata problemas de integridade ao ESM quando consultado e termina os processos do corosync e pacemaker. Se o Receiver secundário ainda integrar o cluster, ele se retirará do cluster e ficará indisponível em caso de falha do Receiver primário. O problema de integridade será analisado e haverá tentativa de reparo. Se o problema de integridade for solucionado, o Receptor voltará a funcionar normalmente usando o procedimento Retomar serviço. Se o problema de integridade não for solucionado, o processo Substituir Receiver com falha será iniciado. Retomada de serviço Quando um Receiver volta a funcionar após uma falha (por exemplo, reinicia após uma queda de energia, reparo de hardware ou reparo de rede), ocorre o seguinte: Os Receivers em modo de alta disponibilidade não começam a coletar dados no momento da inicialização. Eles ficam no modo secundário até que sejam definidos como primários. O dispositivo primário de preferência assume a função de primário e começa a usar o IP compartilhado da origem de dados para coletar dados. Se não houver dispositivo primário de preferência, o dispositivo que estiver como primário no momento começará a usar a origem de dados compartilhada e a coletar dados. Para obter detalhes referentes a esse processo, consulte Substituir Receiver com falha. 66 McAfee Enterprise Security Manager Guia de produto

67 Configuração do ESM Configuração de dispositivos 3 Upgrade do Receptor-HA O processo de upgrade do Receptor-HA faz upgrade dos dois receptores em sequência, começando pelo receptor secundário. Isso ocorre da seguinte forma: 1 O arquivo tarball resultante ao fazer upgrade é carregado no ESM e aplicado ao receptor secundário. 2 Para alternar a função dos Receptores primário e secundário, use o processo Alternar funções do Receptor-HA. Assim, o Receptor que passou por upgrade se torna o Receptor primário e o que não passou por upgrade se torna secundário. 3 O tarball resultante após fazer upgrade é aplicado ao novo receptor secundário. 4 É possível alternar novamente a função dos Receptores primário e secundário usando o processo Alternar funções do Receptor-HA, de modo que as funções do Receptor original são adotadas novamente. Ao fazer upgrade, é melhor não ter um Receiver primário de preferência. Consulte Se o seu Receiver de HA for configurado com um primário de preferência, é melhor alterar a configuração antes de fazer o upgrade. Na guia Receiver de HA (consulte Instalar dispositivos Receiver de HA), selecione Nenhum no campo Dispositivo primário de preferência. Isso permite que você use a opção Recuperação de falhas, que não fica disponível com uma configuração primária de preferência. Após o upgrade dos dois Receivers, você poderá aplicar a configuração primária de preferência novamente. Portas de rede em Receptores-HA Estes diagramas mostram como conectar as portas de rede a um Receptor-HA. Estabelecer conexão entre receptores de HA 1U 1 IPMI primária 4 IPMI secundária 2 Mgmt 2 5 Pulsação (HB) 3 Mgmt 1 6 Mgmt 3 McAfee Enterprise Security Manager Guia de produto 67

68 3 Configuração do ESM Configuração de dispositivos Estabelecer conexão entre receptores de HA 2U 1 IPMI 5 Ger. 4 (eth3) 2 Ger. 2 (eth1) 6 Ger. 5 (eth4) 3 Ger. 1 (eth0) 7 Ger. 6 (eth5) 4 Ger. 3 (eth2) Instalar dispositivos Receptor-HA Defina as configurações dos dispositivos Receptor-HA. Antes de iniciar Adicione o Receptor que atua como o dispositivo primário (consulte Adicionar dispositivos ao console do ESM). Deve haver três ou mais NICS. O recurso Receivers de alta disponibilidade está fora de conformidade com o FIPS. Se for necessária a conformidade com as normas FIPS, não use esse recurso. 68 McAfee Enterprise Security Manager Guia de produto

69 Configuração do ESM Configuração de dispositivos 3 1 Na árvore de navegação do sistema, selecione o Receptor que será o dispositivo primário e clique no ícone Propriedades. 2 Clique em Configuração do receptor e em Interface. 3 Clique na guia Receptor HA e selecione Instalar alta disponibilidade. 4 Preencha as informações solicitadas e clique em OK. É iniciado o processo que codifica o segundo Receptor, atualiza o banco de dados, aplica globals.conf e sincroniza os dois Receptores. Reinicializar o dispositivo secundário Se, por algum motivo, o Receptor secundário sair de serviço, reinstale-o e reinicialize-o em seguida. 1 Na árvore de navegação do sistema, selecione Propriedades do Receptor para o Receptor primário e clique em Configuração do receptor Interface Receptor HA. 2 Confira se o endereço IP correto está no campo IP de gerenciamento secundário. 3 Clique em Reinicializar secundário. O ESM executa os procedimentos necessários para reinicializar o Receptor. Redefinir dispositivos HA Se você precisar redefinir os Receptores HA para que retornem ao estado antes de terem sido configurados como dispositivos HÁ, poderá fazê-lo no console ESM ou, se a comunicação com o Receptor falhar, no menu LCD. Siga um destes procedimentos: Para... Redefinir um Receptor no console do ESM Faça isto... 1 Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Configuração do receptor Interface. 2 Desmarque a opção Instalar alta disponibilidade e clique em OK. 3 Clique em Sim na página de aviso e em Fechar. Ambos os Receptores reiniciam após um tempo limite de cerca de cinco minutos, retornando os endereços MAC para seus valores originais. Redefinir o Receptor primário ou secundário no menu LCD 1 No menu LDC do Receptor, pressione X. 2 Pressione a seta até a opção Desativar HA ser exibida. 3 Pressione a seta da direita uma vez para exibir Desativar primário na tela LCD. 4 Para redefinir o Receptor primário, pressione a marca de seleção. 5 Para redefinir o Receptor secundário, pressione a seta para baixo uma vez e depois a marca de seleção. McAfee Enterprise Security Manager Guia de produto 69

70 3 Configuração do ESM Configuração de dispositivos Alternar as funções do Receptor-HA O processo de alternância iniciado pelo usuário permite alternar as funções dos Receptores primário e secundário. Talvez você precise fazer isso ao fazer upgrade de um Receptor, preparar um Receptor para ser devolvido ao fabricante ou mover os cabos de um Receptor. Essa alternância minimiza o volume de dados perdidos. Se um coletor (incluindo o dispositivo McAfee epo) estiver associado a um Receptor-HA e o Receptor-HA falhar, o coletor não poderá se comunicar com o Receptor-HA até que as alternâncias entre os dois associe o novo endereço MAC do Receptor com falha ao endereço IP compartilhado. Isso pode levar de alguns minutos a alguns dias, dependendo da configuração de rede atual. 1 Na árvore de navegação do sistema, selecione o dispositivo do Receptor-HA e clique no ícone Propriedades. 2 Selecione Alta disponibilidade Recuperação de falhas. Ocorre o seguinte: O ESM instrui o Receptor secundário a começar a usar o IP da origem de dados compartilhado e a coletar dados. O Receptor secundário emite um comando CRM (Cluster Resource Manager) para alternar o IP compartilhado e o MAC, e inicia os coletores. O ESM faz pull de todos os dados de fluxo e alerta no Receptor primário. O ESM marca o Receptor secundário como o primário e o primário como o secundário. Fazer upgrade de Receptores HA O processo de upgrade do Receptor-HA faz o upgrade dos dois receptores em sequência, começando pelo Receptor secundário. Antes de iniciar o upgrade, execute o processo de Verificar o status de alta disponibilidade do Receptor para se certificar de que os dispositivos dos Receptores-HA estejam prontos para o upgrade. Se esse procedimento não for seguido, poderão ocorrer problemas de inatividade e de upgrade com o dispositivo. 1 Na árvore de navegação do sistema, selecione o dispositivo do Receptor-HA e clique no ícone Propriedades. 2 Faça upgrade do Receptor secundário: a b Clique em Gerenciamento do receptor e em Secundário. Clique em Atualizar dispositivo, selecione ou procure o arquivo que deseja usar e clique em OK. O Receptor é reiniciado, e a versão do software é atualizada. c d Em Propriedades do Receptor, clique em Alta disponibilidade Retomar serviço. Selecione o Receptor secundário e clique em OK. 70 McAfee Enterprise Security Manager Guia de produto

71 Configuração do ESM Configuração de dispositivos 3 3 Altere o Receptor secundário para primário clicando em Alta disponibilidade Recuperação de falhas. 4 Repita a etapa 2 para fazer upgrade do novo Receptor secundário. Verificar o status do Receptor HA Determine o status de um par de Receptores HA antes de fazer upgrade. 1 Na árvore de navegação do sistema, selecione o dispositivo Receptor-HA primário e clique no ícone Propriedades. 2 Nos campos Status e Status secundário, verifique se o status é OK; Status HA: on-line. 3 Garanta Shell ou SSH para cada Receptor HA e execute o comando ha_status na interface de linha de comando nos dois Receptores. As informações resultantes mostram o status deste Receptor e como ele interpreta o status do outro Receptor. Assemelha-se ao seguinte: OK hostname=mcafee1 mode=primary McAfee1=online McAfee2=online sharedip=mcafee1 stonith=mcafee2 corosync=running hi_bit=no 4 Verifique o seguinte nas informações acima: A primeira linha da resposta é OK. Hostname corresponde ao nome do host na linha de comando menos o número do modelo do Receptor. Mode será primary (primário) se o valor de sharedip for o nome do host deste Receptor. Se não for, trata-se do modo secundário. As próximas duas linhas mostram os nomes do host dos Receptores no par de HA e o status em execução de cada Receptor. O status de ambos é online. corosync= mostra o status da execução de corosync, que deve ser running (em execução). hi_bit é no (não) em um Receptor e yes (sim) no outro. Não importa qual seja qual. Certifique-se de que somente um dos Receptores HA esteja definido com o valor hi_bit. Se os dois Receptores HA estiverem definidos com o mesmo valor, entre em contato com o Suporte da McAfee antes de fazer upgrade para corrigir esse erro de configuração. McAfee Enterprise Security Manager Guia de produto 71

72 3 Configuração do ESM Configuração de dispositivos 5 Garanta Shell ou SSH para cada Receptor HA e execute o comando ifconfig na interface de linha de comando nos dois Receptores. 6 Verifique o seguinte nos dados gerados: Os endereços MAC em eth0 e eth1 são únicos nos dois Receptores. O Receptor primário tem o endereço IP compartilhado em eth1 e o Receptor secundário não tem qualquer endereço IP em eth1. Se os dois Receptores HA estiverem definidos com o mesmo valor, entre em contato com o suporte da McAfee antes de fazer upgrade para corrigir esse erro de configuração. Essa verificação garante a funcionalidade do sistema e que não existam endereços IP duplicados, o que significa que pode ser feito o upgrade dos dispositivos. Substituir Receptor com falha Se um Receptor secundário tiver algum problema de integridade que não possa ser solucionado, talvez seja necessário substituir o Receptor. Quando você receber o novo Receptor, instale-o seguindo os procedimentos no Guia de configuração e instalação do McAfee ESM. Depois que os endereços IP forem definidos e os cabos conectados, você poderá retornar o Receptor ao cluster de HA. 1 Na árvore de navegação do sistema, selecione Propriedades do Receptor para o Receptor HA e clique em Configuração do receptor Interface. 2 Clique na guia Receptor HA e verifique se a opção Instalar alta disponibilidade está marcada. 3 Verifique se os endereços IP estão corretos e clique em Reinicializar secundário. O novo Receptor é colocado no cluster e o modo HA é ativado. Solução de problemas em um Receptor com falha Se um Receptor em uma instalação de HA é desativado por algum motivo, a gravação das origens de dados, configurações globais, configurações de agregação e outras, parecem falhar e uma mensagem de erro de SSH é exibida. Na verdade, as configurações são distribuídas no Receptor que ainda está funcionando. Porém, uma mensagem de erro é exibida porque ele não consegue sincronizar com o Receptor que está inativo. A política, entretanto, não é distribuída. Nessa situação, você tem as seguintes opções: Aguardar para distribuir a política até um Receptor secundário estar disponível e sincronizado. Remover o Receptor do modo HA, o que gera dois a cinco minutos de inatividade do cluster de HA, o que impede a coleta de eventos. Arquivamento de dados brutos do Receptor Configure o Receptor para encaminhar um backup dos dados brutos para seu dispositivo de armazenamento para um armazenamento de longa duração. Os três tipos de armazenamento aceitos pelo ESM são SMB/CIFS (Server Message Block/Common Internet File System), NFS (Network File System) e Encaminhamento syslog. SMB/CIFS e NFS armazenam, na forma de arquivos de dados, um backup de todos os dados brutos enviados ao Receiver por origens de dados que utilizam os protocolos de , estream, http, SNMP, SQL, syslog e agentes remotos. Os arquivos de dados são enviados para o arquivo a cada cinco minutos. O Encaminhamento syslog envia os dados brutos para os protocolos syslog como um fluxo contínuo de 72 McAfee Enterprise Security Manager Guia de produto

73 Configuração do ESM Configuração de dispositivos 3 syslogs combinados para o dispositivo configurado na seção Encaminhamento syslog da página Configurações de arquivamento de dados. O Receiver pode encaminhar para somente um tipo de armazenamento por vez. Você pode configurar os três tipos, mas somente um poderá ser ativado para arquivar dados. Esse recurso não é compatível com os tipos de origem de dados de Netflow, sflow e IPFIX. Definir configurações de arquivo Para armazenar dados brutos de mensagens syslog, é necessário definir as configurações usadas pelo Receptor para arquivamento. 1 Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Configuração do receptor Arquivamento de dados. 2 Selecione o tipo de compartilhamento e insira as informações solicitadas. A porta 445 precisa ser aberta no sistema com o compartilhamento CIFS para possibilitar uma conexão do compartilhamento CIFS. Da mesma forma, a porta 135 precisa ser aberta no sistema com o compartilhamento SMB para que uma conexão SMB seja estabelecida. 3 Quando estiver pronto para aplicar as alterações ao dispositivo Receptor, clique em OK. Exibir eventos de origem para evento de correlação É possível exibir os eventos de origem para um evento de correlação na exibição Análise de evento. Antes de iniciar Uma origem de dados de correlação já deve existir no ESM (consulte Origem de dados de correlação e Adicionar uma origem de dados). 1 Na árvore de navegação do sistema, expanda o Receptor e clique em Mecanismo de correlação. 2 Na lista de exibição, clique em Exibições de eventos e selecione Análise de evento. 3 Na exibição Análise de evento, clique no sinal de mais (+) na primeira coluna ao lado do evento de correlação. Aparecerá um sinal de mais somente se o evento de correlação tiver eventos de origem. Os eventos de origem são listados no evento de correlação. Exibir estatísticas de taxa de transferência do Receiver Exiba as estatísticas de uso do Receiver, que incluem as taxas de origem de dados (análise) de saída dos últimos 10 minutos, da última hora e das últimas 24 horas. Antes de iniciar Verifique se você tem o privilégio de Gerenciamento de dispositivos. McAfee Enterprise Security Manager Guia de produto 73

74 3 Configuração do ESM Configuração de dispositivos 1 Na árvore de navegação do sistema, selecione um Receiver e clique no ícone Propriedades. 2 Clique em Gerenciamento do Receiver Exibir estatísticas Taxa de transferência. 3 Exiba as estatísticas do Receiver. Se as taxas de entrada ultrapassarem a taxa de saída em 15 por cento, o sistema sinalizará essa linha como crítico (nas últimas 24 horas) ou como aviso (na última hora). 4 Filtre a origem de dados selecionando as opções Tudo, Crítico ou Aviso. 5 Selecione a unidade de medição para exibir a métrica em número de kilobytes (KBs) ou número de registros. 6 Para atualizar os dados automaticamente a cada 10 segundos, marque a caixa de seleção Atualização automática. 7 Classifique os dados clicando no título da coluna relevante. Origens de dados do Receptor O McAfee Event Receiver possibilita a coleta de eventos de segurança e dados de fluxo da rede de origens de vários fornecedores, incluindo firewalls, VPNs (redes virtuais privadas), roteadores, IPS/ detecção de intrusão do Nitro, NetFlow, sflow e outros. As origens de dados são usadas para controlar como os dados de registro e eventos são coletados pelo Receptor. É preciso adicionar origens de dados e definir suas configurações para que possam coletar os dados necessários. A página Origens de dados é o ponto de partida para gerenciar origens de dados do dispositivo Receptor. É um meio de você adicionar, editar e excluir origens de dados, além de importá-las, exportá-las e migrá-las. Você também pode adicionar origens de dados filho e cliente. Adicionar uma origem de dados Defina as configurações das origens de dados que precisam ser adicionadas ao Receptor para a coleta de dados. 1 Na árvore de navegação do sistema, selecione o Receptor ao qual deseja adicionar a origem de dados e clique no ícone de Propriedades. 2 Em Propriedades do Receptor, clique em Origens de dados Adicionar. 3 Selecione o fornecedor e o modelo. Os campos a serem preenchidos dependem de suas seleções. 4 Preencha as informações solicitadas e clique em OK. A origem de dados é adicionada à lista de origens de dados do Receptor, bem como à árvore de navegação do sistema no Receptor selecionado. 74 McAfee Enterprise Security Manager Guia de produto

75 Configuração do ESM Configuração de dispositivos 3 Processamento de origem de dados com Interceptação de SNMP A funcionalidade de interceptação de SNMP permite que a origem de dados aceite as interceptações padrão de SNMP de qualquer dispositivo de rede gerenciável que tenha a capacidade de enviar interceptações de SNMP. As intercepções padrão são: Falha de autenticação Desvincular Partida a frio Vinculação e partida a quente Perda de vizinho EGP Para enviar interceptações SNMP através do IPv6, você deve indicar o endereço IPv6 como um endereço de conversão IPv4. Por exemplo, convertendo em IPv6 fica assim: 2001:470:B:654:0:0: or 2001:470:B:654::A000:0254. Se você selecionar Interceptação de SNMP, há três opções: Se um perfil não tiver sido selecionado anteriormente, a caixa de diálogo Perfis de origens de dados SNMP será aberta, permitindo que você escolha o perfil a ser usado. Se um perfil tiver sido selecionado anteriormente, a caixa de diálogo Perfis de origens de dados SNMP será aberta. Para alterar o perfil, clique na seta para baixo no campo Perfis do sistema e selecione um novo perfil. Se um perfil tiver sido selecionado anteriormente e você desejar alterá-lo, mas a lista suspensa da caixa de diálogo Perfis de origens de dados SNMP não incluir o perfil necessário, crie um perfil SNMP de origem de dados. Gerenciar origens de dados Você pode adicionar, editar, excluir, importar, exportar e migrar origens de dados, bem como adicionar origens de dados filho e cliente na página Origens de dados. 1 Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origens de dados. 2 Exiba uma lista das origens de dados no Receptor e execute quaisquer das opções disponíveis para gerenciá-las. 3 Clique em Aplicar ou OK. SIEM Collector O SIEM Collector envia Logs de eventos do Windows para um Receiver, usando uma conexão criptografada. Sem o IEM Collector, a coleta de eventos do Windows é limitada ao uso do protocolo WMI ou de um agente de terceiros. Em muitos ambientes, a política de segurança bloqueia o acesso ao sistema para que você não possa usar o WMI. O tráfego WMI é texto sem criptografia e somente permite acesso a logs gravados no Log de eventos do Windows. Não é possível acessar arquivos de log criados por outros serviços, como DNS, DHCP e IIS ou usando outro agente de terceiro. Usando o SIEM Collector de forma independente ou como parte de uma implementação existente do McAfee epolicy Orchestrator, você poderá adicionar a funcionalidade do WMI a agentes existentes do McAfee. McAfee Enterprise Security Manager Guia de produto 75

76 3 Configuração do ESM Configuração de dispositivos Você também pode usar o SIEM Collector como um hub para coletar logs de outros sistemas, via RPC, sem adicionar o pacote do SIEM Collector a cada sistema. Outras funcionalidades: Plug-in para a coleta de banco de dados SQL definida pelo usuário (compatível com SQL Server e Oracle). Plug-in para analisar Eventos do Windows exportados em formatos.evt ou.evtx. Plug-in para suporte à auditoria do SQL Server C2 (formato.trc). Integração de dados de Avaliação de vulnerabilidade A Vulnerability Assessment (VA) no DEM e no receptor permite integrar dados que podem ser recuperados de muitos fornecedores de VA. Esses dados podem ser usados de várias maneiras. Determine a gravidade de um evento com base na vulnerabilidade conhecida do terminal a esse evento. Defina o sistema para que detecte automaticamente os ativos e seus atributo (sistema operacional e serviços). Crie e manipule a associação de grupos de ativos definidos pelo usuário. Acesse o resumo e faça uma busca detalhada das informações dos ativos da rede. Modifique a configuração do Editor de políticas, como ativar as assinaturas de MySQL, se for descoberto algum ativo executando MySQL. Você pode acessar dados de VA gerados pelo sistema em exibições predefinidas ou nas exibições personalizadas que você criar. As exibições predefinidas são: Exibições de dashboard Dashboard de vulnerabilidade de ativos Exibições de conformidade PCI Testar sistemas e processos de segurança 11.2 Varreduras de vulnerabilidade de rede Exibições executivas Vulnerab. crítica em ativos regulados Para criar uma exibição personalizada, consulte Adicionar uma exibição personalizada. Se criar uma exibição que inclua o componente Número total de vulnerabilidades Contagem ou Discagem, você poderá ver uma contagem aumentada de vulnerabilidades. Isso ocorre porque o feed do McAfee Threat Intelligence Services (MTIS) adiciona ameaças com base na vulnerabilidade original reportada pela origem VA (consulte Ativo, ameaça e avaliação de risco). A equipe da McAfee responsável por regras mantém um arquivo de regras que mapeia um signid da McAfee a um VIN para uma ou mais referências ao ID de Common Vulnerabilities and Exposures (CVE), ID de BugTraq, ID de Open Source Vulnerability Database (OSVDB) e/ou ID de Secunia. Esses fornecedores informam IDs de CVE e BugTraq em suas vulnerabilidades. Portanto, os IDs de CVE e BugTraq foram incluídos nesta versão. Definir um perfil de sistema VA Ao adicionar uma origem eeye REM, na página Adicionar a origem de Vulnerability Assessment, você tem a opção de usar um perfil do sistema anteriormente definido. Para usar esse recurso, primeiramente é preciso definir o perfil. 76 McAfee Enterprise Security Manager Guia de produto

77 Configuração do ESM Configuração de dispositivos 3 1 Na árvore de navegação do sistema, selecione um dispositivo DEM ou receptor e clique no ícone Propriedades. 2 Clique em Vulnerability Assessment Adicionar. 3 No campo Tipo de origem VA, selecione eeye REM. 4 Clique em Usar perfil de sistema. 5 Clique em Adicionar e selecione Vulnerability Assessment no campo Tipo de perfil. 6 No campo Agente do perfil, selecione a versão de SNMP deste perfil. Os campos na página são ativados de acordo com a versão selecionada. 7 Preencha as informações solicitadas e clique em OK. Adicionar uma origem VA Para comunicar-se com origens VA, é preciso adicionar a origem ao sistema, configurar parâmetros de comunicação para o fornecedor de VA, programar os parâmetros para que informem com que frequência os dados serão recuperados e modificar cálculos da gravidade dos eventos. 1 Na árvore de navegação do sistema, selecione um dispositivo DEM ou receptor e clique no ícone Propriedades. 2 Clique em Vulnerability Assessment. 3 Adicione, edite, remova ou recupere origens de VA e grave as alterações no dispositivo. 4 Clique em Aplicar ou OK. Recuperar dados de VA Assim que uma origem for adicionada, será possível recuperar dados de VA. Há duas formas de se recuperar dados de VA em uma origem: programada ou imediata. Os dois tipos de recuperação podem ser realizados em todas as origens VA, exceto eeye REM, que precisa ser programada. 1 Na árvore de navegação do sistema, selecione Propriedades do DEM ou Propriedades do Receptor e clique em Vulnerability Assessment. 2 Selecione uma origem de VA e uma das opções. McAfee Enterprise Security Manager Guia de produto 77

78 3 Configuração do ESM Configuração de dispositivos Para... Recuperar imediatamente Programar recuperação Faça isto... Clique em Recuperar. A tarefa é executada em segundo plano e você é informado se a recuperação foi bem-sucedida (consulte Solução de problemas de recuperação de VA se ocorrer algum problema). 1 Clique em Editar. 2 No campo Programar recuperação de dados VA, selecione a frequência. 3 Clique em OK. 4 Na página Vulnerability Assessment, clique em Gravar para gravar as alterações no dispositivo. 3 Clique em OK. 4 Para exibir os dados, clique no ícone de inicialização rápida do Asset Manager Vulnerability Assessment. e selecione a guia Solução de problemas de recuperação de VA Quando você recupera dados de VA, é informado se o processo não é bem-sucedido. Aqui estão alguns motivos que podem prejudicar a recuperação. Este recurso... Nessus, OpenVAS e Rapid7 Metasploit Pro Qualys, FusionVM e Rapid7 Nexpose Nessus Causas... Diretório vazio. Erro nas configurações. Os dados no diretório já foram recuperados, portanto, não são atuais. Os dados no diretório já foram recuperados, portanto, não são atuais. Se você sobrescreveu um arquivo do Nessus ao fazer upload de um outro arquivo novo do Nessus file no site do FTP, a data do arquivo permanecerá igual. Portanto, quando você realizar uma recuperação de VA, nenhum dado será retornado, porque será entendido como dado antigo. Para evitar essa situação, exclua o antigo arquivo do Nessus do site do FTP antes de fazer upload do novo ou use um nome diferente para o arquivo do qual fez upload. Fornecedores de VA disponíveis O ESM pode se integrar a esses fornecedores de VA. Fornecedor de VA Versão Digital Defense Frontline eeye REM (servidor de eventos REM) eeye Retina A origem VA eeye Retina é como a origem de dados Nessus. Você pode optar por usar scp, ftp, nfs ou cifs para obter arquivos.rtd. Normalmente, é preciso copiar os arquivos.rtd para um compartilhamento scp, ftp ou nfs para efetuar pull. Normalmente, os arquivos.rtd ficam localizados no diretório Retina Scans , auditorias: 2400 McAfee Vulnerability Manager 6.8, McAfee Enterprise Security Manager Guia de produto

79 Configuração do ESM Configuração de dispositivos 3 Fornecedor de VA Versão Critical Watch FusionVM LanGuard 10.2 Lumension ncircle Nessus NGS OpenVAS 3.0, 4.0 Qualys Rapid7 Nexpose Rapid7 Metasploit Pro Saint Você pode deduzir a gravidade de uma exploração Metasploit que começa com o nome Nexpose adicionando uma origem Rapid7 VA ao mesmo Receptor. Se não puder ser deduzida, a gravidade padrão será 100. Criar origens de dados automaticamente Suporte do PatchLink Security Management Console e versões posteriores Compatível com Tenable Nessus versões e 4.2 e formatos de arquivo NBE,.nessus (XMLv2) e.nessus (XMLv1); também, formato XML do OpenNessus Atualização 1, formato de arquivo XML É possível configurar o Receptor para criar origens de dados automaticamente usando as cinco regras padrão fornecidas como o Receptor ou as regras criadas por você. Antes de iniciar Garanta que a verificação automática esteja selecionada na caixa de diálogo Eventos, fluxos e logs (Propriedades do sistema Eventos, fluxos e logs) ou clique no ícone Obter eventos e fluxos barra de ferramentas de ações para efetuar pull de eventos e/ou fluxos. na 1 Em Propriedades do receptor, clique em Origens de dados Aprender automaticamente. 2 Na janela Aprender automaticamente, clique em Configurar. 3 Na janela Editor de adição automática de regra, garanta que a opção Ativar a criação automática esteja selecionada, e selecione as regras que deseja que o Receptor use para criar as origens de dados automaticamente. 4 Clique em Executar se desejar aplicar as regras selecionadas aos dados aprendidos automaticamente existentes e clique em Fechar. Adicionar novas regras de criação automática É possível adicionar regras personalizadas a serem usadas pelo Receptor para a criação automática de origens de dados. McAfee Enterprise Security Manager Guia de produto 79

80 3 Configuração do ESM Configuração de dispositivos 1 Em Propriedades do receptor, clique em Origens de dados Aprender automaticamente Configurar Adicionar. 2 Na caixa de diálogo Configurar regra de adição automática, adicione os dados necessários para definir a regra e clique em OK. A nova regra será adicionada à lista de regras de adição automática na caixa de diálogo Editor de adição automática de regra. Você então pode selecioná-la para que as origens de dados sejam criadas quando os dados aprendidos automaticamente atenderem aos critérios definidos na regra. Definir formato de data para origens de dados Selecione o formato das datas incluídas nas origens de dados. 1 Na árvore de navegação do sistema, selecione um Receptor e clique no ícone Adicionar origem de dados. 2 Clique em Avançado e faça a seleção no campo Ordem de data: Padrão Usa a ordem de data padrão (mês antes do dia). Ao usar as origens de dados clientes, os clientes que usarem essa configuração herdarão a ordem de data da origem de dados pai. Mês antes de dia O mês vem antes do dia (04/23/2014). Dia antes do mês O dia vem antes do mês (23/04/2014). 3 Clique em OK. Origens de dados fora de sincronização Como resultado de várias configurações possíveis, o horário em uma origem de dados pode ficar fora de sincronização com o ESM. Quando uma origem de dados fora de sincronização gera um evento, um sinalizador vermelho aparece ao lado do Receiver na árvore de navegação do sistema. Você pode configurar um alarme para ser notificado quando isso acontecer. Você poderá gerenciar as origens de dados que estiverem fora de sincronização acessando a página Delta de tempo (consulte Gerenciar origens de dados fora de sincronização). Eventos fora de sincronização podem ser eventos antigos ou futuros. Há vários motivos que levam as origens de dados a ficar fora de sincronização com o ESM. 1 Configuração de fuso horário incorreta no ESM (consulte Selecionar configurações do usuário). 2 Você pode ter definido o horário no fuso errado ao adicionar a origem de dados (consulte Adicionar uma origem de dados). 3 O sistema está ativo há muito tempo e alguma falha o levou a ficar fora de sincronização. 4 Você configurou o sistema dessa forma de propósito. 5 O sistema não está conectado à Internet. 6 O evento chega ao Receiver fora de sincronização. 80 McAfee Enterprise Security Manager Guia de produto

81 Configuração do ESM Configuração de dispositivos 3 Consulte também Adicionar uma origem de dados na página 74 Gerenciar origens de dados fora de sincronização na página 81 Selecione configurações do usuário na página 36 Gerenciar origens de dados fora de sincronização Configure um alarme para alertá-lo quando as origens de dados fora de sincronização gerarão eventos, de maneira que você possa exibir uma lista de origens de dados, editar suas configurações e exportar a lista. Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de alarme. Essa ferramenta de diagnóstico identifica quando uma origem de dados está coletando eventos antigos ou futuros, o que pode gerar um sinalizador vermelho no Receptor. 1 Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Defina um alarme para receber notificação quando o Receptor receber um evento, gerado por uma origem de dados fora de sincronização com o ESM. a b c Clique em Alarmes Adicionar, digite as informações solicitadas na guia Resumo e clique na guia Condição. Selecione Delta de evento no campo Tipo, a frequência com que o ESM deve verificar origens de dados fora de sincronização e a diferença de horário que deve haver para que o alarme dispare. Preencha as informações das guias restantes. 3 Exiba, edite ou exporte as origens de dados que estiverem fora de sincronização. a b Na árvore de navegação do sistema, clique no Receiver e no ícone Propriedades. Clique em Gerenciamento do Receiver e em Delta de tempo. Adicionar uma origem de dados filho É possível adicionar origens de dados filhos para ajudá-lo a organizar as origens de dados. 1 Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origens de dados. 2 Na tabela de origens de dados, clique na origem de dados à qual deseja adicionar uma origem de dados filho. 3 Clique em Adicionar filho e preencha os campos como faria em uma origem de dados pai. 4 Clique em OK. A origem de dados é adicionada como filho abaixo da origem de dados pai na tabela e na árvore de navegação do sistema. McAfee Enterprise Security Manager Guia de produto 81

82 3 Configuração do ESM Configuração de dispositivos Origens de dados cliente Você pode aumentar o número de origens de dados permitidas em um Receptor adicionando origens de dados cliente. Para as origens de dados com um coletor syslog, ASP, CEF, MEF, NPP e WMI, é possível adicionar até clientes de origens de dados. Se a origem de dados já for um pai ou um filho, ou se for WMI e a opção Usar RPC estiver selecionada, essa opção não estará disponível. Agora você pode ter mais de uma origem de dados cliente com o mesmo endereço IP e usar o número de porta para diferenciá-las. Isso permite separar os dados usando uma porta diferente para cada tipo de dados e encaminhá-los usando a mesma porta pela qual eles entraram. Ao adicionar uma origem de dados cliente (consulte Origens de dados cliente e Adicionar uma origem de dados cliente), você optará entre usar a porta de origem de dados pai ou outra porta. As origens de dados clientes têm estas características: Elas não têm direitos VIPS, Política ou Agente. Elas não são exibidas na tabela Origens de dados. Elas aparecem na árvore de navegação do sistema. Elas compartilham a mesma política e os mesmos direitos da origem de dados pai. Elas devem estar no mesmo fuso horário, pois usam a configuração do pai. As origens de dados cliente do WMI podem ter fusos horários independentes porque o fuso horário é determinado pela consulta enviada ao servidor WMI. Adicionar uma origem de dados cliente Adicione um cliente a uma origem de dados já existente para aumentar o número de origens de dados permitidas no Receptor. Antes de iniciar Adicione a origem de dados ao Receptor (consulte Adicionar uma origem de dados). 1 Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origens de dados. 2 Selecione a origem de dados à qual deseja adicionar o cliente e clique em Clientes. A página Clientes de origem de dados relaciona os clientes que no momento fazem parte da origem de dados selecionada. 3 Clique em Adicionar, preencha as informações solicitadas e clique em OK. Os eventos se direcionam à origem de dados (pai ou cliente) que for mais específica. Por exemplo, você tem duas origens de dados cliente, uma com um endereço IP e a outra com um endereço IP /24, o que abrange uma faixa. Ambas são do mesmo tipo. Se um evento corresponder a , ele irá para o primeiro cliente porque é mais específico. 82 McAfee Enterprise Security Manager Guia de produto

83 Configuração do ESM Configuração de dispositivos 3 Localizar um cliente A página Clientes de origem de dados contém todos os clientes do sistema. Como você pode ter mais de clientes, existe um recurso de pesquisa para possibilitar a localização de um cliente específico, caso seja necessário. 1 Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origens de dados Clientes. 2 Insira as informações que deseja procurar e clique em Pesquisar. Importar uma lista de origens de dados A opção Importar na página Origens de dados permite a importação de uma lista de origens de dados salvas em formato.csv, o que elimina a necessidade de adicionar, editar ou remover cada origem de dados individualmente. Há duas situações em que é possível usar esta opção: Para importar os dados brutos da origem de dados de um Receptor em um local protegido para um Receptor em um local não protegido. Se é isso o que você está fazendo, consulte Mover origens de dados. Para editar as origens de dados em um Receptor adicionando origens de dados à lista existente e editando ou removendo origens de dados existentes. Se isso for o que você precisa fazer, siga as etapas a seguir. 1 Exporte uma lista das origens de dados que estão atualmente no Receiver. a b c Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origens de dados. Clique em Exportar e em Sim para confirmar o download. Selecione o local do download, altere o nome do arquivo se necessário e clique em Salvar. A lista das origens de dados existentes será salva. d Acesse e abra esse arquivo. Será aberta uma planilha com uma lista dos dados das origens de dados que estão no Receiver no momento (consulte Campos de planilha na importação de origens de dados). 2 Adicione, edite ou remova as origens de dados na lista. a b Na coluna A, especifique a ação a ser adotada com essa origem de dados: adicionar, editar ou remover. Se você está adicionando ou editando origens de dados, insira as informações nas colunas da planilha. Não é possível editar a política ou o nome da origem de dados. c Salve as alterações efetuadas na planilha. Não é possível editar uma origem de dados para torná-la uma origem de dados de uma origem de dados cliente ou vice-versa. McAfee Enterprise Security Manager Guia de produto 83

84 3 Configuração do ESM Configuração de dispositivos 3 Importe a lista para o Receiver. a b Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origens de dados. Clique em Importar, selecione o arquivo e clique em Fazer upload. Não é possível alterar a política ou o nome da origem de dados A página Importar origens de dados é aberta, listando as alterações que foram efetuadas na planilha. c Para importar as alterações, clique em OK. As alterações formatadas corretamente serão adicionadas. d e f g Se houver erros na formatação das alterações, um Registro de mensagens descreve o erros. Clique em Fazer download de todo o arquivo e clique em Sim. Selecione o local para salvar o download, altere o nome do arquivo se necessário e clique em Salvar. Abra o arquivo obtido por download. Ele contém as origens de dados que apresentam erros. h i Corrija os erros, salve e feche o arquivo. Feche Registro de mensagens e Importar origens de dados, clique em Importar e selecione o arquivo que foi salvo. Importar origens de dados relaciona as origens de dados que foram corrigidas. j Clique em OK. Campos de planilha para importação de origens de dados A planilha utilizada para importar as origens de dados tem várias colunas, sendo algumas obrigatórias e outras somente usadas para tipos de origens de dados específicos. Campos requeridos para todas as origens de dados Coluna Descrição Detalhes op Operação a ser realizada na origem de dados Insira uma dessas funções na coluna op: adicionar = Adicione uma origem de dados. editar = Modifique uma origem de dados existente. remover = Remova sem reatribuir. Se esta coluna for deixada em branco, nenhuma ação será realizada na origem de dados. rec_id ID do receptor Este número de ID do dispositivo pode ser encontrado na página Nome e descrição do Receptor. dsname Nome da origem de dados Deve ser único no Receptor. 84 McAfee Enterprise Security Manager Guia de produto

85 Configuração do ESM Configuração de dispositivos 3 Campos usados por todas as origens de dados Coluna Descrição Detalhes IP Endereço IP válido para a origem de dados É obrigatório, exceto se o protocolo = 'corr'. Validação realizada para origens de dados ativadas somente. Exclui: Protocolos: cifs, nfs, ftp, scp, http Coletor = 'curl' ou 'mount' SNMPTrap - Não é válido se outras origens de dados usarem correspondências de IPAddress e de interceptação SNMP. nfxsql - Não é válido se a combinação de IPAddress, 'dbname' e 'port' for encontrada. netflow ou opsec - Não é válido se a combinação de IPAddress e 'port' for encontrada. mef é o coletor (se o analisador for mef, o coletor será automaticamente mef) - Não é válido se mef e protocolo forem encontrados. model vendor parent_id child_type ID da origem de dados pai Tipo de origem de dados filho match_type Que correspondente ao cliente parsing Sinalizador ativado de origem de dados A entrada deve ser uma correspondência exata, exceto para clientes com MatchByFlag = 1 (correspondência por IPAddress) A entrada deve ser uma correspondência exata, exceto para clientes com MatchByFlag = 1 (correspondência por IPAddress) Obrigatório para um agente ou cliente. Se esse ID for um nome, é feita uma tentativa de encontrar a origem de dados pai com esse nome, que é um filho do Receiver especificado. Obrigatório: 0 = não é um filho, 1 = agente, 2 = cliente Obrigatório para adicionar ou editar fontes de dados: 1 = correspondência por endereço IP, 2 = correspondência por tipo de fornecedor Sinalizador ativado (sim/não), o padrão é sim Campos usados por origens de dados que não são clientes Coluna Descrição Detalhes snmp_trap_id ID do perfil para interceptação snmp O padrão é 0. elm_logging Registre-se no elm (sim/não) O padrão é não. lista Nome da lista do elm O padrão é em branco. meta-vendor meta-product meta_version O padrão é em branco. O padrão é em branco. O padrão é em branco. url URL de detalhes do evento O padrão é em branco. analisador Método analisador de formato de dados O padrão é Padrão. coletor Método de recuperação de dados O padrão é Padrão. Se o analisador for mef, o coletor será definido como mef. Scp, http, ftp, nfs, cifs estão corretos se o formato do arquivo simples for compatível com o protocolo. McAfee Enterprise Security Manager Guia de produto 85

86 3 Configuração do ESM Configuração de dispositivos Campos obrigatórios se o formato for CEF ou MEF Coluna Descrição Detalhes criptografar Sinalizador de criptografia de origem de dados hostname agregar Nome do host ou ID do host Retransmissão de syslog O padrão é F. Também usado se o Formato for Padrão, a Recuperação for mef e o Protocolo for gsyslog. A criptografia deve ser a mesma para todos os mef de mesmo endereço IP. O padrão é em branco. Opcional se o Protocolo for gsyslog ou syslog Deve ser único. Opcional se o Protocolo for nas. Os valores válidos são em branco e syslogng. O padrão é em branco. Também usado se o Formato for Padrão, a Recuperação for Padrão e o Protocolo for gsyslog. tz_id ID de fuso horário O padrão é em branco. Também usado se o Formato for Padrão e se uma das seguintes condições se aplicar: O Protocolo for syslog e o Modelo não for Adiscon Windows Events. O Protocolo for nfxsql. O Protocolo for nfxhttp. O Protocolo for . O Protocolo for estream. Também usado na compatibilidade de alguns arquivos simples Outros campos Coluna Descrição Detalhes profile_id O nome ou ID do perfil O padrão é em branco. Se o nome do perfil não puder encontrar o registro de perfil, um erro é registrado em log. exportmcafeefile exportprofileid mcafee_formated_file Sinalizador de transporte de origem de dados Nome de perfil do compartilhamento remoto Analisar sinalizador de arquivo de dados brutos mcafee_formated_file_xsum Use o sinalizador de soma de verificação O padrão é não. Se for sim, este banco de dados será incluído no transporte de banco de dados. O padrão é em branco. O padrão é não. Se for sim, o método de análise usará o arquivo de dados brutos. O padrão é não. Se for sim, use a soma de verificação antes de analisar o arquivo de dados brutos. mcafee_formated_file_ipsid O ID original do IPS do Nitro Obrigatório se estiver usando o arquivo de dados brutos. zoneid Nome da zona O padrão é em branco. policy_name O nome ou ID da política O padrão é em branco. Usado somente quando novas fontes de dados forem adicionadas. Este valor não é atualizado em uma operação de edição. Campos validados para protocolos específicos O fornecedor e o modelo determinam o protocolo, exceto quando o formato for Padrão ou CEF e a Recuperação não for Padrão ou MEF. Então o protocolo será o valor de Recuperação. Esses campos são validados para o protocolo especificado, se nenhum perfil for especificado. 86 McAfee Enterprise Security Manager Guia de produto

87 Configuração do ESM Configuração de dispositivos 3 Tabela 3-2 Campos Netflow Inicia na coluna AF Coluna Descrição Detalhes netflow_port O padrão é netflow_repeat_enabled Encaminhamento ativado O padrão é F. netflow_repeat_ip Encaminhamento de endereço IP Obrigatório se repeat_enabled = T. O padrão é em branco. netflow_repeat_port Encaminhamento de porta O padrão é Tabela 3-3 Campos rdep Inicia na coluna AJ Coluna Descrição Detalhes rdep_sdee_username rdep_sdee_password rdep_sdee_interval Tabela 3-4 Campos opsec Inicia na coluna AM Coluna Descrição Detalhes opsec_parent opsec_authentication Sinalizador pai (tipo de dispositivo) Usar sinalizador de autenticação Obrigatório Obrigatório O padrão é 60 segundos. Obrigatório (T/F). T = a origem de dados é um pai. F = a origem de dados não é um pai Usado se pai = T, o padrão é F opsec_appname Nome do aplicativo Obrigatório se autenticação = T, opcional se F, o padrão é em branco opsec_actkey Chave de ativação Obrigatório se autenticação = T, opcional se F, o padrão é em branco opsec_parent_id Nome pai de origem de dados Nome pai obrigatório se pai = F. É registrado um erro em log se o nome pai da origem de dados não puder encontrar a origem de dados pai. opsec_port Usado se pai = T, o padrão é opsec_encryption opsec_comm_method opsec_server_entity_dn Usar sinalizador de criptografia Método de comunicação Nome distinto da entidade do servidor opsec_collect_audit_events Sinalizador para o tipo de coleta opsec eventos de auditoria Usado se pai = T, o padrão é F Usado se pai = T, o padrão é em branco. Deve ser um valor válido: '' (blank) 'asym_sslca' 'asym_sslca_com p' 'asym_sslca_rc4' 'asym_sslca_rc4_ comp' 'ssl_clear' 'sslca' 'sslca_clear' 'sslca_comp' 'sslca_rc4' 'sslca_rc4_comp' O padrão é em branco. Usado se pai = T. Obrigatório se tipo de dispositivo = Log Server/CLM ou Secondary SMS/CMA. Usado se pai = T, o padrão é "yes" McAfee Enterprise Security Manager Guia de produto 87

88 3 Configuração do ESM Configuração de dispositivos Tabela 3-4 Campos opsec Inicia na coluna AM (continuação) Coluna Descrição Detalhes opsec_collect_log_events Sinalizador de eventos de log para tipo de coleta Usado se pai = T, o padrão é "sim". opsec_type Tipo de dispositivo Obrigatório. Os valores válidos para esse campo são: Valor Nome na lista suspensa de thin-client 0 SMS/CMA 1 Dispositivo de segurança 2 Log Server/CLM 3 SMS/CMA secundário Tabela 3-5 Campos wmi Inicia na coluna AY Coluna Descrição Detalhes wmi_use_rpc Usar o sinalizador RPC O padrão é não. wmi_logs Logs de eventos O padrão é SYSTEM,APPLICATION,SECURITY. wmi_nbname Nome NetBIOS Obrigatório se Recuperação = Padrão, do contrário é opcional. O padrão é em branco. wmi_username Nome do usuário Obrigatório se Recuperação = Padrão, do contrário é opcional. O padrão é em branco. wmi_password Senha Obrigatório se Recuperação = Padrão, do contrário é opcional. O padrão é em branco. wmi_interval O padrão é 600. wmi_version O padrão é 0. Tabela 3-6 Campos gsyslog Inicia na coluna BF Coluna Descrição Detalhes gsyslog_autolearn Compatível com sinalizador de syslogs genérico Valores válidos: T, F, COUNT. O padrão é F. gsyslog_type Atribuição de regra genérica Obrigatório se autolearn = T; do contrário é opcional. O padrão é gsyslog_mask Usado se Recuperação for Padrão. O padrão é 0. Tabela 3-7 Campo corr Coluna BI Coluna Descrição Detalhes corr_local Usar sinalizador de dados locais Tabela 3-8 Campos sdee Inicia na coluna BJ Coluna Descrição Detalhes sdee_username sdee_password sdee_uri O padrão é F. Se o modelo do Receptor for ERC-VM-25 ou ERC-VM-500, a origem de dados não será adicionada. Do contrário, não pode haver outras origens de dados usando esse Protocolo. Obrigatório Obrigatório O padrão é cgi-bin/sdee-server. 88 McAfee Enterprise Security Manager Guia de produto

89 Configuração do ESM Configuração de dispositivos 3 Tabela 3-8 Campos sdee Inicia na coluna BJ (continuação) Coluna Descrição Detalhes sdee_interval O padrão é 600 segundos. sdee_port O padrão é 443. sdee_proxy_port O padrão é sdee_use_ssl O padrão é T. sdee_proxy_ip sdee_proxy_username sdee_proxy_password sdee_use_proxy O padrão é F. Tabela 3-9 Campos mssql Inicia na coluna BU Coluna Descrição Detalhes mssql_parent Obrigatório se use_proxy = T. O padrão é em branco. Obrigatório se use_proxy = T. O padrão é em branco. Obrigatório se use_proxy = T. O padrão é em branco. Tipo de dispositivo O padrão é T. Servidor = T. Dispositivo gerenciado = F mssql_port Usado se pai = T. O padrão é mssql_interval mssql_username mssql_password Usado se pai = T. O padrão é 600 segundos. Obrigatório se pai = T. O padrão é em branco. Obrigatório se pai = T. O padrão é em branco. mssql_parent_id Nome pai Obrigatório se pai = F. É registrado um erro em log se o nome pai não puder encontrar a origem de dados. Tabela 3-10 Campos syslog Inicia na coluna CA Coluna Descrição Detalhes syslog_untrust_iface Interface menos confiável Obrigatório se o Fornecedor for CyberGuard. syslog_burb Nome burb da Internet Obrigatório se o Fornecedor for McAfee e o Modelo for McAfee Firewall Enterprise. syslog_sg_mc syslog_nsm syslog_wmi_syslog_format syslog_wmi_version syslog_aruba_version syslog_rev_pix_dir syslog_aggregate Sinalizador de centro de gerenciamento Sinalizador de gerenciador de segurança Inverter valores de rede Retransmissão de syslog Opcional se o Fornecedor for Stonesoft Corporation, o padrão é não Opcional se o Fornecedor for Juniper Networks e o Modelo for Netscreen Firewall/Security Manager ou Netscreen IDP, o padrão é não Opcional se o Fornecedor for Microsoft e o Modelo for Adiscon Windows Events, o padrão é 0 Opcional se o Fornecedor for Microsoft e Modelo for Adiscon Windows Events, o padrão é 2000 Opcional se o Fornecedor for Aruba, o padrão é 332 Opcional se o Fornecedor for Cisco e o Modelo for PIX/ASA ou Firewall Services Module, o padrão é não Os valores válidos estão em branco e Fornecedor. O padrão é em branco. syslog_require_tls T/F Indica se o TLS está sendo usado para a origem de dados. McAfee Enterprise Security Manager Guia de produto 89

90 3 Configuração do ESM Configuração de dispositivos Tabela 3-10 Campos syslog Inicia na coluna CA (continuação) Coluna Descrição Detalhes syslog_syslog_tls_port syslog_mask Máscara para endereço IP Tabela 3-11 Campos nfxsql Inicia na coluna CM Coluna Descrição Detalhes nfxsql_port A porta a ser usada para TLS de syslog se ele estiver sendo usado. (Opcional) Permite aplicar uma máscara a um endereço IP para que uma faixa de endereços IP possa ser aceita. Um zero (0) no campo significa que nenhuma máscara foi usada. O padrão é 0. O padrão depende do fornecedor e do modelo: Padrão Fornecedor Modelo 9117 Enterasys Networks Dragon Sensor ou Dragon Squire 1433 IBM ISS Real Secure Desktop Protector ou ISS Real Secure Network ou ISS Real Secure Server Sensor 1433 McAfee epolicy Orchestrator ou epolicy Orchestrator firewall ou epolicy Orchestrator host IPS 3306 Symantec Symantec Mail Security for SMTP 1433 Websense Websense Enterprise 1433 Microsoft Operations Manager 1433 NetIQ NetIQ Security Manager 1433 Trend Micro Control Manager 1433 Zone Labs Integrity Server 1433 Cisco Security Agent 1127 Sophos Sophos Antivirus 1433 Symantec Symantec Antivirus Corporate Edition Server 443 Outros nfxsql_userid nfxsql_password nfxsql_dbname nfxsql_splevel nfxsql_version Nome do banco de dados Nível do Service Pack Obrigatório Obrigatório (Opcional) O padrão é em branco. Usado se o Fornecedor for IBM e o Modelo for ISS Real Secure Desktop Protector ou ISS Real Secure Network ou ISS Real Secure Server Sensor. O padrão é SP4. (Opcional) O padrão é 9i se o Fornecedor for Oracle e o Modelo for Oracle Audits. O padrão é 3.6 se o Fornecedor for McAfee e o Modelo for epolicy Orchestrator ou epolicy Orchestrator Firewall ou epolicy Orchestrator Host IPS. 90 McAfee Enterprise Security Manager Guia de produto

91 Configuração do ESM Configuração de dispositivos 3 Tabela 3-11 Campos nfxsql Inicia na coluna CM (continuação) Coluna Descrição Detalhes nfxsql_logtype nfxsql_sid Tipo de registro SID do banco de dados Tabela 3-12 Campos nfxhttp Inicia na coluna CU Obrigatório se o Fornecedor for Oracle e o Modelo for Oracle Audits (FGA, GA, ou ambos). Opcional se o Fornecedor for Oracle e o Modelo for Oracle Audits. O padrão é em branco. Coluna Descrição Detalhes nfxhttp_port O padrão é 433. nfxhttp_userid nfxhttp_password nfxhttp_mode Tabela 3-13 Campos Inicia na coluna CY Obrigatório Obrigatório Coluna Descrição Detalhes O padrão é seguro. _port O padrão é _mailbox Protocolo de O padrão é imap pop3. _connection Tipo de conexão O padrão é ssl clear. _interval _userid _password Tabela 3-14 Campos estream Inicia na coluna DE O padrão é 600 segundos. Obrigatório Obrigatório Coluna Descrição Detalhes Esses campos estão na planilha. No entanto, um arquivo de certificação é obrigatório, para que eles sejam ignorados nesse momento. jestream_port O padrão é 993. jestream_password Obrigatório jestream_estreamer_cert_file Obrigatório jestream_collect_rna Tabela 3-15 Campos de origem de arquivos Inicia na coluna DI Coluna Descrição Detalhes Usado para os Protocolos cifs, ftp, http, nfs, scp. fs_record_lines Número de linhas por registro fs_file_check Intervalo O padrão é 15 minutos. fs_file_completion fs_share_path fs_filename Expressão curinga Obrigatório fs_share_name Usado se suporte a arquivo simples. O padrão é 1. O padrão é 60 segundos. O padrão é em branco. Obrigatório se o Protocolo for cifs ou nfs (do contrário, não usado). McAfee Enterprise Security Manager Guia de produto 91

92 3 Configuração do ESM Configuração de dispositivos Tabela 3-15 Campos de origem de arquivos Inicia na coluna DI (continuação) Coluna Descrição Detalhes fs_username fs_password fs_encryption fs_port fs_verify_cert fs_compression fs_login_timeout fs_copy_timeout fs_wmi_version fs_aruba_version fs_rev_pix_dir fs_untrust_iface fs_burb fs_nsm fs_autolearn fs_type fs_binary fs_protocol fs_delete_files Verificar Certificado SSL Inverter valores de rede Interface menos confiável Nome burb da Internet Sinalizador de gerenciador de segurança Suporte a syslogs genéricos Atribuição de regra genérica Usado se o Protocolo for cifs, ftp ou scp. O padrão é em branco. Usado se o Protocolo for cifs, ftp ou scp. O padrão é em branco. Usado se o Protocolo for ftp ou http. O padrão é não. Também usado se o suporte a arquivo simples e o Protocolo forem ftp. Usado se o Protocolo for ftp, o padrão é 990. Se o Protocolo for http, o padrão é 443. Também usado se o suporte a arquivo simples e o Protocolo forem ftp. O padrão é 80. Usado se o Protocolo for ftp ou http. O padrão é não. Também usado se o suporte a arquivo simples e o Protocolo forem ftp. Usado se o Protocolo for scp ou sftp. O padrão é não. Usado se o Protocolo for scp. O padrão é 1 segundo. Usado se o Protocolo for scp. O padrão é 1 segundo. Usado se o suporte a arquivo simples e o Fornecedor forem Microsoft e o Modelo for Adiscon Windows Events. O padrão é Windows Usado se o suporte a arquivo simples e o Fornecedor forem Aruba. O padrão é 332. Usado se o suporte a arquivo simples e o Fornecedor forem Cisco e o Modelo for PIX/ASA ou Firewall Services Module. O padrão é não. Obrigatório se o suporte a arquivo simples e o Fornecedor forem CyberGuard. Obrigatório se o suporte a arquivo simples e o Fornecedor forem McAfee e o Modelo for McAfee Firewall Enterprise. Opcional se o suporte a arquivo simples e o Fornecedor forem Juniper Networks e o Modelo for Netscreen Firewall/Security Manager ou Netscreen IDP. O padrão é não. Opcional se o suporte a arquivo simples e a Recuperação forem gsyslog. Valores válidos: T, F, COUNT. O padrão é F. Obrigatório se autolearn = T; do contrário é opcional. O padrão é O padrão é não. Tabela 3-16 Campos sql_ms Inicia na coluna EH O padrão é ' Usado se o analisador for Padrão e o coletor for Origem de arquivo nfs. Coluna Descrição Detalhes sql_ms_port O padrão é sql_ms_userid sql_ms_password sql_ms_dbname Nome do banco de dados Obrigatório Obrigatório 92 McAfee Enterprise Security Manager Guia de produto

93 Configuração do ESM Configuração de dispositivos 3 Tabela 3-17 Campo nas Coluna EL Coluna nas_type Descrição Detalhes O padrão é (Definido pelo usuário 1). Este campo é somente usado para origens de dados McAfee/PluginProtocol. Tabela 3-18 Campo ipfix Coluna EM Coluna Descrição Detalhes ipfix_transport Tabela 3-19 Campos snmp Inicia na Coluna EN Coluna Descrição Detalhes snmp_authpass Senha de autenticação Obrigatório. Os valores válidos são TCP e UDP. TCP é o padrão. Obrigatório se: traptype = v3trap e seclevel = authpriv ou authnopriv. traptype = v3inform e seclevel = authpriv ou authnopriv. snmp_authproto Protocolo de autenticação Os valores válidos são MD5 ou SHA1. Obrigatório se: traptype = v3trap e seclevel = authpriv ou authnopriv. traptype = v3inform e seclevel = authpriv ou authnopriv other traptypes. O padrão é MD5. snmp_community Nome da comunidade snmp_engineid snmp_privpass Obrigatório se traptype = v1trap, v2trap, v2inform. Obrigatório se traptype = v3trap Senha de privacidade Obrigatório se: traptype = snmpv3trap e seclevel = authpriv traptype = snmpv3inform e seclevel = authpriv snmp_privproto Protocolo de privacidade Os valores válidos são: DES e AES. Obrigatório se: traptype = snmpv3trap e seclevel = authpriv traptype = snmpv3inform e seclevel = authpriv Outros traptypes, o padrão é DES. snmp_seclevel Nível de segurança Os valores válidos são: noauthnopriv, authnopriv e authpriv. Obrigatório se traptype = v3trap ou v3inform. Outros traptypes, o padrão é noautnopriv. snmp_traptype snmp_username tipo snmp_version Atribuição de regra padrão Obrigatório. Os valores válidos são: v1trap, v2trap, v2inform, v3trap e v3inform. Obrigatório se traptype = snmpv3 ou snmpv3inform. Obrigatório. O padrão é Preenchido automaticamente. Tabela 3-20 sql_ws Inicia na coluna EY Coluna Descrição Detalhes sql_ws_port sql_ws_userid (Opcional) O padrão depende do fornecedor. O padrão para Websense é Obrigatório McAfee Enterprise Security Manager Guia de produto 93

94 3 Configuração do ESM Configuração de dispositivos Tabela 3-20 sql_ws Inicia na coluna EY (continuação) Coluna Descrição Detalhes sql_ws_password sql_ws_dbname sql_ws_db_instance Nome da instância do banco de dados Tabela 3-21 sql Inicia na coluna FD Obrigatório (Opcional) O padrão é em branco. Obrigatório Coluna Descrição Detalhes sql_port sql_userid sql_password sql_dbinstance sql_config_logging sql_protocol sql_dbname Porta usada para se conectar ao banco de dados ID de usuário de banco de dados Senha do banco de dados Nome da instância do banco de dados Nome do banco de dados Tabela 3-22 oracleidm Inicia na coluna FK Os valores válidos são: 0 (para o banco de dados do SQL Server Express) e 1 (para o banco de dados do SQL) Se o valor de sql_config_logging for 1, este será gsql. Coluna Descrição Detalhes oracleidm_port oracleidm_userid oracleidm_password Porta usada para se conectar ao banco de dados do Oracle Identify Manager ID de usuário para o banco de dados do Oracle Identify Manager Senha para o banco de dados do Oracle Identify Manager oracleidm_ip_address Endereço IP para o banco de dados do Oracle Identify Manager oracleidm_dpsid Nome TNS da conexão em uso Tabela 3-23 text Inicia na coluna FP Coluna Descrição Detalhes Campos usados para a origem de dados do epolicy Orchestrator. text_dbinstance Instância do banco de dados na qual o banco de dados do epolicy Orchestrator está em execução text_dbname text_password text_port text_userid Nome do banco de dados do epolicy Orchestrator Senha para o banco de dados do epolicy Orchestrator Porta usada para se conectar ao banco de dados do epolicy Orchestrator ID de usuário para o banco de dados do epolicy Orchestrator Tabela 3-24 gsql Inicia na coluna FU Coluna Descrição Detalhes gsql_port gsql_userid (Opcional) O padrão depende do fornecedor. O padrão para Websense é Obrigatório 94 McAfee Enterprise Security Manager Guia de produto

95 Configuração do ESM Configuração de dispositivos 3 Tabela 3-24 gsql Inicia na coluna FU (continuação) Coluna Descrição Detalhes gsql_password gsql_dbname gsql_db_instance Nome da instância do banco de dados Obrigatório (Opcional) O padrão é em branco. Obrigatório gsql_nsmversion Versão NSM Obrigatório. Se for deixado em branco, padroniza para a versão 6.x. Migrar origens de dados para outro Receptor Você pode realocar ou redistribuir origens de dados entre Receptores no mesmo sistema. Isso pode ser particularmente útil se você comprar um novo Receptor e quiser balancear as origens de dados e os dados associados entre os dois Receptores, ou se comprar um Receptor substituto maior e precisar transferir as origens de dados do atual Receptor para o novo. 1 Na árvore de navegação do sistema, selecione Propriedades do Receptor para o Receptor com as origens de dados e clique em Origens de dados. 2 Selecione as origens de dados que serão migradas e clique em Migrar. 3 Selecione o novo Receptor no campo Receptor de destino e clique em OK. Mover origens de dados para outro sistema Para mover as origens de dados de um Receptor para outro em um sistema diferente, é preciso selecionar as origens de dados a serem movidas, salvá-las e também seus dados brutos em um local remoto e importá-los para outro Receptor. Antes de iniciar Para executar essa função, é preciso ter direitos de gerenciamento de dispositivos em ambos os Receptores. Siga esse processo para mover as origens de dados de um Receptor em um local protegido para um Receptor em um local não protegido. Existem limitações para a exportação de informações de origens de dados: McAfee Enterprise Security Manager Guia de produto 95

96 3 Configuração do ESM Configuração de dispositivos Não é possível transportar origens de dados de fluxo (por exemplo, IPFIX, NetFlow ou sflow). Os eventos de origem dos eventos correlacionados não são exibidos. Se você realizar uma alteração nas regras de correlação do segundo Receptor, o mecanismo de correlação não processará essas regras. Quando os dados de correlação são transportados, ele insere esses eventos a partir do arquivo. Para... Selecionar as origens de dados e o local remoto Faça isto... 1 Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origem de dados. 2 Selecione a origem de dados e clique em Editar. 3 Clique em Avançado e selecione Exportar no formato NitroFile. Os dados são exportados para um local remoto e configurados com o uso de um perfil. 4 Clique em OK. Daí em diante, os dados brutos gerados por essa origem de dados são copiados para o local de compartilhamento remoto. Criar arquivo de dados brutos Criar um arquivo que descreva as origens de dados 1 Acesse o local de compartilhamento remoto onde os dados brutos são salvos. 2 Salve os dados brutos que foram gerados em um local que permita mover o arquivo para o segundo Receptor (como um pen-drive que você leva para o local não protegido). 1 Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origem de dados Importar. 2 Localize o arquivo das origens de dados que foi movido e clique em Fazer upload. 3 Na lista Perfil de compartilhamento remoto, selecione o local para salvar os arquivos de dados brutos. Se o perfil não estiver na lista, clique em Perfil de compartilhamento remoto e adicione o perfil. 4 Clique em OK. As origens de dados são adicionadas ao segundo Receptor e os dados brutos serão acessados por meio do perfil de compartilhamento remoto. Importar arquivos de origens de dados e dados brutos 1 Na árvore de navegação do sistema, acesse Origens de dados no segundo Receptor e clique em Importar. 2 Localize o arquivo das origens de dados que foi movido e clique em Fazer upload. A página Importar origens de dados contém as origens de dados a serem importadas. 3 Na lista Perfil de compartilhamento remoto, selecione o local para salvar os arquivos de dados brutos. Se o perfil não estiver na lista, clique em Perfil de compartilhamento remoto e adicione o perfil (consulte Configurar perfis). 4 Clique em OK. Configurar aprendizado automático da origem de dados Configure o ESM para que aprenda os endereços IP automaticamente. Antes de iniciar Verifique se as portas estão definidas para Syslog, MEF e fluxos (consulte Configurar interfaces). 96 McAfee Enterprise Security Manager Guia de produto

97 Configuração do ESM Configuração de dispositivos 3 O firewall no Receptor abre pelo tempo que você designar, de modo que o sistema possa conhecer um conjunto de endereços IP desconhecidos. Em seguida, você pode adicionar ao sistema como origens de dados. Quando você faz upgrade, os resultados do aprendizado automático são excluídos da página Aprender automaticamente. Se houver resultados de aprendizado automático para os quais você não tomou qualquer iniciativa, será preciso executar o aprendizado automático após fazer upgrade para coletar esses resultados novamente. 1 Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origens de dados Aprender automaticamente. 2 Defina as configurações conforme o necessário e clique em Fechar. Exibir os arquivos gerados pelas origens de dados Para exibir arquivos gerados pelas origens de dados, é preciso acessar a página Exibir arquivos. Eles não podem ser vistos em uma exibição do ESM. 1 Na árvore de navegação do sistema, selecione a origem de dados da McAfee. 2 Na barra de ferramentas de ações, clique no ícone Exibir arquivos. 3 Siga um destes procedimentos: Digite um nome de arquivo no campo Filtro de nome de arquivo para localizar um arquivo específico. Altere as configurações no campo Intervalo de tempo para exibir somente os arquivos gerados nesse período. Clique em Atualizar para atualizar a lista de arquivos. Selecione um arquivo na lista e clique em Fazer download para fazer download do arquivo. 4 Clique em Cancelar para fechar a página. Tipo de origem de dados definidos pelo usuário Essa tabela lista os tipos definidos pelo usuário e seu nome ou entrada correspondente, que é exibido no editor de origem de dados. ID Modelo do dispositivo Fornecedor Protocolo Prefixo do nome da regra Tipo do editor de regras Definido pelo usuário 1 N/D syslog DefinidopeloUsuário1_ Genérico Definido pelo usuário 2 N/D syslog DefinidopeloUsuário2_ Genérico Definido pelo usuário 3 N/D syslog DefinidopeloUsuário3_ Genérico Definido pelo usuário 4 N/D syslog DefinidopeloUsuário4_ Genérico Definido pelo usuário 5 N/D syslog DefinidopeloUsuário5_ Genérico Definido pelo usuário 6 N/D syslog DefinidopeloUsuário6_ Genérico Definido pelo usuário 7 N/D syslog DefinidopeloUsuário7_ Genérico Definido pelo usuário 8 N/D syslog DefinidopeloUsuário8_ Genérico McAfee Enterprise Security Manager Guia de produto 97

98 3 Configuração do ESM Configuração de dispositivos ID Modelo do dispositivo Fornecedor Protocolo Prefixo do nome da regra Tipo do editor de regras Definido pelo usuário 9 N/D syslog DefinidopeloUsuário9_ Genérico Definido pelo usuário 10 Origens de dados compatíveis N/D syslog DefinidopeloUsuário10_ Genérico A McAfee adiciona suporte a novas origens de dados regularmente. Os Receivers podem ter, no máximo, 2000, 200 ou 50 origens de dados. Para exibir os atuais Guias de configuração de origem de dados, acesse o Centro de conhecimento. Estes dispositivos podem ter até origens de dados associadas: ERC-1225 ENMELM-5600 ERC-1250 ENMELM-5750 ERC-2230 ENMELM-6000 ERC-2250 ELMERC-2230 ERC-2600 ELMERC-2250 ERC-3450 ELMERC-2600 ERC-4245 ELMERC-4245 ERC-4600 ELMERC-4600 ENMELM-2250 ESMREC-4245 ENMELM-4245 ESMREC-5205 ENMELM-4600 ESMREC-5510 ENMELM-5205 O ERC-110 permite somente 50 origens de dados, e todos os outros podem ter no máximo 200. Estes são os mapas de intervalos das origens de dados: Tipo de origem de dados: 1 a Tipos definidos pelo usuário: a Reservado à McAfee (por exemplo, conjuntos de regras): a Se você usar um McAfee Firewall Enterprise Event Reporter (ERU), somente as origens de dados da McAfee estarão disponíveis. Configurar para origens de dados específicas Algumas origens de dados requereem mais informações e configurações especiais. Consulte essas seções para obter detalhes. Check Point Big Fix IBM Internet Security Systems SiteProtector Common Event Format 98 McAfee Enterprise Security Manager Guia de produto

99 Configuração do ESM Configuração de dispositivos 3 McAfee epolicy Orchestrator ArcSight epolicy Orchestrator 4.0 Security Device Event Exchange NSM-SEIM Analisador de syslog avançado Suporte à retransmissão de syslog log de eventos WMI Adiscon Você também pode consultar os atuais guias de configuração referentes a essas origens de dados no Centro de conhecimento. Registro de eventos WMI WMI é a implementação da Microsoft do WBEM (Web-Based Enterprise Management), como definido pela DMTF (Distributed Management Task Force). É a principal tecnologia de gerenciamento dos sistemas operacionais Windows, permitindo o compartilhamento de informações de gerenciamento entre os aplicativos de gerenciamento. A possibilidade de obter dados de gerenciamento de computadores remotos é o que torna o WMI relevante. WMI está fora de conformidade com FIPS. Se for necessária a conformidade com as normas FIPS, não use este recurso. Os registros de eventos WMI são configurados como uma origem de dados e enviados pelo Receptor. O Receptor sonda o servidor Windows em intervalos definidos e coleta os eventos. O coletor WMI pode coletar eventos de qualquer registro de eventos de logon no computador Windows. Por padrão, o Receptor coleta registros de segurança, administração e eventos. Você consegue inserir outros arquivos de registros, como Directory Service ou Exchange. Os dados do registro de eventos são coletados nos dados do pacote e podem ser exibidos nos detalhes da tabela de eventos. O operador precisa ter privilégios administrativos ou de backup nos registros de evento WMI, exceto quando utilizar o Windows 2008 ou o 2008 R2 se a origem de dados e o usuário estiverem configurados corretamente (consulte Efetuar pull dos registros de segurança do Windows). Estes dispositivos adicionais são compatíveis com a origem de dados do WMI: McAfee Antivirus Microsoft SQL Server Windows RSA Authentication Manager Microsoft ISA Server Symantec Antivirus Microsoft Active Directory Microsoft Exchange Para obter instruções sobre como configurar o WMI do syslog através do Adiscon, consulte Configuração do Adiscon. Na configuração de uma origem de dados do WMI, o fornecedor é a Microsoft e o modelo é WMI Event Log. Configurar para efetuar pull dos registros de segurança do Windows Quando você usa o Windows 2008 ou 2008 R2, os usuários sem privilégios administrativos podem efetuar pull dos registros de segurança do Windows se a origem de dados do Registro de eventos WMI e o usuário estiverem configurados corretamente. McAfee Enterprise Security Manager Guia de produto 99

100 3 Configuração do ESM Configuração de dispositivos 1 Crie um novo usuário no sistema Windows 2008 ou 2008 R2 onde os logs de evento serão lidos. 2 Atribua o usuário ao grupo de leitores de registros de eventos no sistema Windows. 3 Crie uma nova origem de dados do Registro de eventos WMI da Microsoft no McAfee Event Receiver, inserindo as credenciais do usuário criado na etapa 1 (consulte Adicionar uma origem de dados). 4 Marque a caixa Usar RPC e clique em OK. Origem de dados de correlação Uma origem de dados de correlação analisa dados que fluem de um ESM, detecta padrões suspeitos no fluxo de dados, gera alertas de correlação que representa esses padrões, e insere esses alertas no banco de dados de alerta do Receptor. Um padrão suspeito é representado pelos dados interpretados por regras de política de correlação, que você pode criar e modificar. Esses tipos de regras são separadas e distintas das regras do Nitro IPS ou de firewall e têm atributos que especificam seu comportamento. Somente uma origem de dados de correlação pode ser configurada em um Receptor, de forma semelhante à configuração do syslog ou OPSEC. Depois de configurar uma origem de dados de correlação do Receptor, você pode distribuir a política padrão da correlação, editar as regras básicas nessa política padrão da correlação ou adicionar regras e componentes personalizados e depois distribuir a política. Você pode ativar ou desativar cada regra e definir o valor dos parâmetros configuráveis pelo usuário de cada regra. Para obter detalhes sobre a política de correlação, consulte Regras de correlação. Quando você adiciona uma origem de dados de correlação, o fornecedor é a McAfee e o modelo é Mecanismo de correlação. Quando a origem de dados de correlação é ativada, o ESM envia alertas para o mecanismo de correlação no Receptor. 100 McAfee Enterprise Security Manager Guia de produto

101 Configuração do ESM Configuração de dispositivos 3 Gravidade e mapeamento de ações Os parâmetros de gravidade e ação têm finalidades um pouco distintas. O objetivo deles é mapear um valor da mensagem do syslog para um valor que se encaixe no esquema do sistema. severity_map A gravidade aparece como um valor entre 1 (menos grave) e 100 (mais grave) atribuído aos eventos correspondentes à regra. Em alguns casos, o dispositivo que estiver enviando a mensagem poderá mostrar a gravidade como um número de 1 a 10 ou como texto (alta, média e baixa). Quando isso acontece, ele não pode ser capturado como a gravidade, e um mapeamento precisa ser criado. Por exemplo, esta é uma mensagem proveniente do McAfee IntruShield que mostra a gravidade na forma de texto. <113>Apr 21 07:16:11 SyslogAlertForwarder: Attack NMAP: XMAS Probe (Medium)\000 A sintaxe de uma regra que utiliza mapeamento de gravidade teria esta aparência (o mapeamento de gravidade está em negrito somente para enfatizar): alert any any any -> any any (msg:"mcafee Traffic"; content:"syslogalertforwarder"; severity_map:high=99,medium=55,low=10; pcre:"(syslogalertforwarder)\x3a\s+attack\s+ ([^\x27]+)\x27([^\x28]+)\x28"; raw; setparm:application=1; setparm:msg=2; setparm:severity=3; adsid:190; rev:1;) severity_map : High=99,Medium=55,Low=10. Isso mapeia o texto para um número no formato utilizável. setparm : severity=3. Informa para utilizar a terceira captura e defini-la igual à gravidade. Todos os modificadores setparm funcionam dessa forma. action_map Usado exatamente como a gravidade. Action representa a ação executada pelo dispositivo do outro fornecedor. O objetivo é criar um mapeamento que seja útil ao usuário final. Por exemplo, esta é uma mensagem de falha na entrada do OpenSSH. Dec 6 10:27:03 nina sshd[24259]: Failed password for root from port ssh2 alert any any any -> any any (msg:"ssh Login Attempt"; content:"sshd"; action_map:failed=9,accepted=8; pcre:"sshd\x5b\d+\x5d\x3a\s+((failed Accepted)\s+password)\s+for\s+((invalid illegal)\s+user\s+)?(\s+)\s+from\s+(\s+)(\s+(\s+)\s+port\s+(\d+))?"; raw; setparm:msg=1; setparm:action=2; setparm:username=5; setparm:src_ip=6; adsid:190; rev:1;) A ação (Falha) é mapeada para um número. Esse número representa as diferentes ações que podemos usar no nosso sistema. Veja abaixo a lista completa de tipos de ação utilizáveis. 0 = nulo 20 = interrupção 1 = aprovação 21 = com aviso 2 = rejeição 22 = confiável 3 = descarte 23 = não confiável sdrop 24 = falso positivo 5 = alerta 25 = alerta-rejeição 6 = padrão 26 = alerta-descarte 7 = erro 27 = alerta-sdrop 8 = êxito 28 = reinicialização McAfee Enterprise Security Manager Guia de produto 101

102 3 Configuração do ESM Configuração de dispositivos 9 = falha 29 = bloqueio 10 = emergência 30 = limpeza 11 = crítico 31 = limpeza-falha 12 = aviso 32 = continuação 13 = informativo 33 = infectado 14 = depuração 34 = movimento 15 = integridade 35 = mover-falha 16 = adição 36 = quarentena 17 = modificação 37 = quarentena-falha 18 = remoção 38 = remover-falha 19 = inicialização 39 = negado Nesse exemplo, Falha é mapeada da mensagem do syslog para 9, que o sistema relata como Falha. Esta é uma divisão da estrutura de uma regra. Alert any any any -> any any (msg: Login Attempt ; content: sshd ; action_map or severity_map (if you need it); pcre: your regular expression goes here ; raw; setparm:data_tag_goes_here; adsid:190; rev:1;) Analisador de syslog avançado O ASP (Analisador de syslog avançado) oferece um mecanismo para a análise de dados das mensagens de syslog com base em regras definidas pelo usuário. As regras instruem o ASP a reconhecer uma determinada mensagem e em que parte dos dados de evento específicos dessa mensagem se encontram itens como IDs de assinatura, endereços IP, portas, nomes de usuário e ações. O ASP pode ser utilizado em dispositivos que não foram especificamente identificados na página Adicionar origem de dados ou quando o analisador específico de origem não interpreta corretamente as mensagens ou interpreta integralmente os pontos de dados relacionados aos eventos recebidos. Ele também é ideal para pesquisar em origens de registros complexos, como servidores Linux e UNIX. Essa funcionalidade requer a gravação de regras (consulte Adicionar regras de analisador de syslog avançado) ajustadas ao seu ambiente Linux ou UNIX. É possível adicionar uma origem de dados ASP ao Receptor selecionando Syslog como o fornecedor (consulte Adicionar uma origem de dados). Depois de fazer isso, siga as instruções do fabricante do dispositivo para configurar o dispositivo syslog, para que envie dados do syslog para o endereço IP do Receptor. Ao adicionar uma origem ASP, é importante que você aplique uma política antes de coletar dados de evento. Se você ativar o Suporte a syslogs genéricos, poderá aplicar uma política sem regras e começar a coletar dados de evento genericamente. Algumas origens de dados, incluindo os servidores Linux e UNIX, podem produzir grandes volumes de dados não uniformes. Isso faz com que o Receptor não agrupe corretamente eventos semelhantes. Isso resulta em uma variedade de eventos aparentemente grande, quando na verdade ocorre a repetição do mesmo evento, porém com dados de syslog variáveis enviados ao Receptor. A adição de regras ao ASP permitir um uso mais eficiente dos dados de evento. O ASP utiliza um formato muito semelhante ao do Snort. 102 McAfee Enterprise Security Manager Guia de produto

103 Configuração do ESM Configuração de dispositivos 3 ACTION Protocol Src_ip Src_port -> Dst_ip Dst_port (keyword: option; keyword: option;...;) Ao concatenar um valor literal com uma subcaptura de PCRE nas versões e versões posteriores, coloque os literais entre as aspas individualmente se contiverem espaços ou outros caracteres, e deixe as referências da subcaptura de PCRE sem aspas. As regras são definidas da forma a seguir. Seção Campo Descrição Cabeçalho da regra O cabeçalho da regra contém a ação de Alerta (Alert) e o formato any any any. A regra é: ALERT any any any -> any any Corpo da regra Ação Protocolo IP origem/ destino Porta origem/ destino msg content procname adsid sid O que fazer com o evento quando ocorre uma correspondência. As opções são: ALERT Registrar evento DROP Registrar o evento, mas não encaminhar SDROP Não registrar ou encaminhar o evento PASS Encaminhar se estiver definido, mas não registrar Se o evento define um protocolo, filtre a correspondência de fato, de acordo com o protocolo. Se o evento define um endereço IP de origem ou de destino, filtre a correspondência de fato com base nesse endereço. Se o evento define uma porta de origem ou de destino, filtre a correspondência de fato com base nessa porta. O corpo da regra contém a maioria dos critérios de correspondência e define como os dados devem ser analisados e registrados no banco de dados do ESM. Elementos do corpo da regra são definidos em pares de palavra-chave e opção. Algumas palavras-chave não são seguidas de opção. (Obrigatório) A mensagem a ser associada à regra. Essa é a cadeia exibida no ESM Thin Client para fins de geração de relatórios, a menos que seja substituída por uma mensagem detectada por pcre/setparm (veja abaixo). O primeiro trabalho da msg é o nome da categoria, seguida da mensagem propriamente dita (msg: "category rule message"). (Opcional um ou mais) A palavra-chave content é um qualificador de texto que não é um caractere curinga para filtrar previamente os Eventos à medida que eles passam pelo conjunto de regras, que também pode conter espaços (por exemplo, content:"search 1"; content "something else") Em muitos sistemas UNIX e Linux, o nome do processo (e ID do processo) faz parte de um cabeçalho de mensagem syslog padronizado. A palavra-chave procname pode ser usada para filtrar correspondências de eventos para a regra. Usada para excluir ou filtrar correspondências de eventos, onde o texto da mensagem de dois processos em um servidor Linux ou UNIX pode ser semelhante ou igual. ID da origem de dados a ser usado. Este valor substitui a Atribuição de regra padrão no editor de origens de dados. ID de assinatura da regra. É o ID de correspondência usado no ESM Thin Client, a menos que seja substituído por um sid detectado por pcre/ setparm. McAfee Enterprise Security Manager Guia de produto 103

104 3 Configuração do ESM Configuração de dispositivos Seção Campo Descrição Marca rev gravidade pcre nocase nomatch raw setparm Descrição Revisão de regra. Usada para rastrear alterações. Valor entre 1 (menos grave) e 100 (mais grave) atribuído a eventos correspondentes à regra. A palavra-chave PCRE é uma correspondência de Perl Compatible Regular Expression (Expressão Regular Compatível com Perl) para eventos de entrada. O PCRE vem entre aspas e todas as ocorrências de "/" são tratadas como um caractere normal. O conteúdo entre parênteses é mantido para uso da palavra-chave setparm. A palavra-chave PCRE pode ser modificada pelas palavras-chave nocase, nomatch, raw e setparm. Faz com que o conteúdo de PCRE seja correspondido, independentemente de o caso corresponder ou não. Inverte a correspondência de PCRE (equivalente a!~ no Perl). Compare o PCRE à mensagem de syslog inteira, incluindo os dados do cabeçalho (recurso, daemon, data, host/ip, nome e nome e ID de processo). Normalmente o cabeçalho não é usado na correspondência de PCRE. Pode ocorrer mais de uma vez. A cada grupo de parênteses no PCRE, é atribuído um número na ordem de ocorrência. Esses números podem ser atribuídos a marcas de dados (por exemplo: setparm:username=1). O texto capturado no primeiro grupo de parênteses é obtido e atribuído à marca de dados do nome do usuário. As marcas reconhecidas estão na tabela abaixo. * sid Este parâmetro capturado substitui o sid da regra correspondida. * msg Este parâmetro capturado substitui o nome ou a mensagem da regra correspondida. * action Este parâmetro capturado indica a ação executada pelo dispositivo de terceiros. * protocol * src_ip Substitui o IP da origem syslog que é o IP de origem padrão de um evento. * src_port * dst_ip * dst_port * src_mac * dst_mac * dst_mac * genid Usada para modificar o sid armazenado no banco de dados, usada para correspondências do snort que não são da McAfee em pré-processadores snort. * url Reservada, mas ainda não usada. * src_username Primeiro nome do usuário (de origem). * username Nome alternativo para src_username. * dst_username Segundo nome do usuário (de destino). * domain * hostname * application 104 McAfee Enterprise Security Manager Guia de produto

105 Configuração do ESM Configuração de dispositivos 3 Marca Descrição * severity Deve ser um inteiro. * action map Permite mapear ações específicas do produto para as ações da McAfee. O mapa de ações diferencia maiúsculas de minúsculas. Exemplo: alert any any any -> any any (msg:"openssh Accepted Password"; content:"accepted password for "; action_map:accepted=8, Blocked=3; pcre:"(accepted)\s+password\s+for\s+(\s +)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;)). Consulte Gravidade e mapa de ação para obter detalhes. * severity map Permite mapear gravidades específicas do produto para a gravidade da McAfee. Assim como action map, severity map diferencia maiúsculas e minúsculas. Exemplo: alert any any any -> any any (msg:"openssh Accepted Password"; content:"accepted password for "; severity_map:high=99, Low=25, 10=99, 1=25; pcre:"(accepted)\s+password\s+for\s+(\s+)\s+from\s+(\d+\.\d+\.\d+\. \d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;))pri(?:\x3d \x3a)\s*(?:p \x5f)?([^\x2c]+). Consulte Gravidade e mapa de ação para obter detalhes. * var Esta é outra forma de usar setparms. O uso vantajoso, entretanto, é criar um valor a partir de várias capturas de vários PCREs. É possível criar mais de um PCRE que capture somente um pequeno trecho da cadeia, em vez de um PCRE grande com várias capturas. Este é um exemplo de captura de nome do usuário, domínio e criação de endereço de para armazenar no campo objectname. Syntax = var:field=${pcre:capture} PCRE = não o PCRE real, mas o número do pcre. Se a regra tem dois PCREs, você terá um PCRE de 1 ou 2. Capture = não a captura real, mas o número (primeira, segunda ou terceira captura [1,2,3]) Amostra de mensagem: um homem chamado Jim trabalha para a McAfee. PCRE: (Jim).*?(McAfee) Regra: alert any any any -> any any (msg:"var User Jim"; content:"jim"; pcre:"(jim)"; pcre:"(mcafee)"; var:src_username=${1:1}; var:domain=${2:1}; var:objectname=${1:1}@${2:1}.com raw; classtype:unknown; adsid:190; sev: 25; sid: ; rev:1; normid: ; gensys:t;) Usuário de origem mapeado: Jim Domínio mapeado: McAfee * sessionid Este é um inteiro. Nome de objeto mapeado: Jim@McAfee.com * commandname O valor é uma cadeia. * objectname O valor é uma cadeia. * event_action Esta marca é usada para definir a ação padrão. Você não pode usar event_action e action_map na mesma regra. Por exemplo, se você tiver um evento para um êxito no login, poderá usar a marca event_action e padronizar a ação como êxito (por exemplo, event_action:8;). McAfee Enterprise Security Manager Guia de produto 105

106 3 Configuração do ESM Configuração de dispositivos Marca Descrição * firsttime_fmt Usada para definir a primeira vez do evento. Consulte a lista de formatos. * lasttime_fmt Usada para definir a última vez do evento. Consulte a lista de formatos. Você pode usar isso com setparm ou var (var:firsttime="${1:1}" ou setparm:lasttime="1"). Por exemplo: alert any any any -> any any (msg:"ssh Login Attempt"; content:"content"; firsttime_fmt:"%y-%m-%dt%h:%m:%s.%f"; lasttime_fmt:"%y-%m-%dt%h: %M:%S.%f" pcre:"pcre goes here; raw; setparm:firsttime=1; setparm:lasttime=1; adsid:190; rev:1;) Para obter detalhes sobre os formatos atuais com suporte, consulte pubs.opengroup.org/onlinepubs/ /functions/strptime.html. %Y - %d - %m %H : %M : %S %m - %d - %Y %H : %M : %S %b %d %Y %H : %M : %S %b %d %Y %H - %M - %S %b %d %H : %M : %S %Y %b %d %H - %M - %S %Y %b %d %H : %M : %S %b %d %H - %M - %S %Y %H : %M : %S %Y %H - %M - %S %m - %d - %Y %H : %M : %S %H - %M - %S %Y é um ano com quatro dígitos %m é o número do mês (1 a 12) %d é a data (1 a 31) %H é a hora (1 a 24) %M são os minutos (0 a 60) %S são os segundos (0 a 60) %b é a abreviação do mês (jan, fev) Este é um exemplo de regra que identifica uma senha com base em login OpenSSH e efetua pull do endereço IP de origem, porta de origem e nome do usuário do evento: alert any any any -> any any (msg:"openssh Accepted Password";content:"Accepted password for ";pcre:"accepted\s+password\s+for\s+(\s+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s +port\s+(\d+)";setparm:username=1;setparm:src_ip=2;setparm:src_port=3;sid:31;rev:1;) Para informar-se sobre os recursos on-line do PCRE, acesse Adicionar uma origem de dados ASP com codificação diferente O ESM lê dados codificados em UTF-8. Se você tiver uma origem de dados ASP que gere dados com codificação diferente, será necessário indicar isso ao adicionar a origem de dados. 106 McAfee Enterprise Security Manager Guia de produto

107 Configuração do ESM Configuração de dispositivos 3 1 Na árvore de navegação do sistema, clique em um Receptor e clique no ícone Adicionar origem de dados. 2 Selecione Genérico no campo Fornecedor da origem de dados e selecione Analisador avançado de syslog no campo Modelo da origem de dados. 3 Insira as informações solicitadas e selecione a codificação correta no campo Codificação. Os dados dessa origem de dados são formatados para que possam ser lidos pelo Receptor que forem recebidos. Security Device Event Exchange (SDEE) O formato SDEE descreve uma maneira padrão de representar eventos gerados por vários tipos de dispositivos de segurança. A especificação SDEE indica que os eventos do SDEE são transportados com os protocolos HTTP ou HTTPS. Os servidores HTTP que usam o SDEE para fornecer informações de eventos a clientes são chamados de provedores de SDEE, ao passo que os iniciadores de solicitações de HTTP são chamados de clientes de SDEE. A Cisco definiu algumas extensões para o padrão SDEE, chamando-o de padrão CIDEE. O Receptor pode agir como um cliente SDEE que solicita dados CIDEE gerados pelos sistemas de prevenção a intrusões. Diferente de alguns outros tipos de origens de dados compatíveis com o Receptor, o SDEE utiliza um modelo de "pull" em vez de um modelo de "push". Isso significa que periodicamente o Receptor contata o provedor de SDEE e solicita os eventos gerados desde a solicitação do último evento. Toda vez que os eventos são solicitados ao provedor de SDEE, eles são processados e armazenados no banco de dados de eventos do Receptor, prontos para serem recuperados pelo ESM. É possível adicionar um provedor de SDEE a um Receptor como uma origem de dados. Para isso, basta selecionar a Cisco como o fornecedor e IOS IPS (SDEE) como o modelo de origem de dados (consulte Adicionar uma origem de dados). O Receptor é capaz de extrair as informações de um evento SDEE/CIDEE: Endereços IP de origem e destino Portas de origem e destino Protocolo Hora do evento Contagem de eventos (o CIDEE fornece um formulário de agregação de eventos, que o Receptor cumpre) ID de assinatura e subid A ID de evento do ESM é calculada a partir da ID de assinatura do SDEE e da ID de subassinatura do CIDEE segundo esta fórmula: ID do ESMI = (ID do SDEE * 1000) + subid do CIDEE Portanto, se a ID de assinatura do SDEE for 2000 e a ID de subassinatura do CIDEE for 123, a ID de evento do ESMI será VLAN McAfee Enterprise Security Manager Guia de produto 107

108 3 Configuração do ESM Configuração de dispositivos Gravidade Descrição do evento Conteúdo do pacote (se disponível). Se o Receptor estiver se conectando ao provedor de SDEE pela primeira vez, a data e a hora atuais serão utilizadas como ponto de partida para a solicitação de eventos. Futuras conexões solicitarão todos os eventos desde o último pull bem-sucedido. Configurar o epolicy Orchestrator 4.0 A origem de dados do McAfee Event Receiver para o epolicy Orchestrator agora é compatível com o epolicy Orchestrator 4.0. epolicy Orchestrator O 4.0 armazena eventos no banco de dados SQL Server. A origem de dados do epolicy Orchestrator se conecta a esse banco de dados SQL Server por meio do JDBC para efetuar pull de informações sobre os eventos. Um novo nome do usuário (ID) e uma senha precisam ser criados no banco de dados epolicy Orchestrator para uso com a origem de dados do epolicy Orchestrator. 1 Efetue login no servidor do banco de dados epolicy Orchestrator. 2 Inicie o SQL Server Enterprise Manager selecionando Iniciar Todos os Programas Microsoft SQL Server Enterprise Manager. 3 Expanda o nó da raiz do console várias vezes para exibir os itens localizados na pasta Security (Segurança). 4 Clique com o botão direito do mouse no ícone Logins (Logins) e selecione New login (Novo login) no menu. 5 Na página SQL Server Login Properties-New Login (Propriedades de login do SQL Server Novo login), preencha o seguinte na guia General (General): a b c No campo Name (Nome), insira o nome do usuário que deseja usar para a origem de dados do epolicy Orchestrator se conectar ao banco de dados epolicy Orchestrator (por exemplo, nfepo). Em Authentication (Autenticação), selecione SQL Server Authentication Password (Senha de autenticação do SQL Server) e insira a senha. Em Defaults (Padrões), selecione o banco de dados epolicy Orchestrator (epo4_<nome do host>) na lista suspensa Database (Banco de dados). Se o banco de dados padrão for o mestre, a origem de dados do epolicy Orchestrator não conseguirá efetuar pull dos eventos. 6 Na guia Database Access (Acesso ao banco de dados), selecione Permit (Permitir) associado ao banco de dados do epolicy Orchestrator. 7 Para Permit in Database Role (Permitir na função do banco de dados), selecione db_datareader e clique em OK. 8 Confirme a nova senha e clique em OK. Adicionar uma origem de dados ArcSight Adicione origens de dados aos dispositivos ArcSight. 108 McAfee Enterprise Security Manager Guia de produto

109 Configuração do ESM Configuração de dispositivos 3 1 Na árvore de navegação do sistema, selecione o nó Receptor. 2 Clique no ícone Adicionar origem de dados na barra de ferramentas de ações. 3 Selecione ArcSight no campo Fornecedor da origem de dados e selecione Common Event Format no campo Modelo da origem de dados. 4 Digite um nome para a origem de dados e o endereço IP do ArcSight. 5 Preencha os demais campos (consulte Adicionar uma origem de dados). 6 Clique em OK. 7 Configure uma origem de dados para cada origem que encaminhe dados para o dispositivo ArcSight. Os dados recebidos de ArcSight são analisados para poderem ser exibidos no console do ESM. Common Event Format (CEF) Atualmente, o ArcSight converte eventos de 270 origens de dados em Common Event Format (CEF) usando conectores inteligentes. CEF é um padrão de interoperabilidade para dispositivos que geram eventos ou registros. Ele contém as informações mais relevantes do dispositivo e facilita a análise e o uso de eventos. A mensagem do evento não precisa ser gerada explicitamente pelo produtor do evento. A mensagem é formatada com o uso de um prefixo comum, composto de campos delimitados por uma barra ( ). O prefixo é obrigatório e todos os campos especificados precisam estar presentes. Campos adicionais são especificados na extensão. O formato é: CEF:Versão Fornecedor do dispositivo Produto do dispositivo Versão do dispositivo IDdeclasseEventoDispositivo Nome Gravidade Extensão A parte da extensão da mensagem é um espaço reservado para campos adicionais. Veja a seguir definições para os campos com prefixo: Versão é um inteiro e identifica a versão do formato CEF. Os consumidores de eventos usam essas informações para determinar o que o campo representa. No momento, somente a versão 0 (zero) está estabelecida no formato acima. A experiência pode exigir que outros campos sejam adicionados ao "prefixo", o que requer uma mudança no número da versão. A adição de novos formatos ocorre no corpo dos padrões. Fornecedor do dispositivo, Produto do dispositivo e Versão do dispositivo são cadeias que identificam, com exclusividade, o tipo de dispositivo remetente. Dois produtos não podem usar o mesmo par de dispositivo-fornecedor e dispositivo-produto. Não existe uma autoridade central gerenciando esses pares. Os produtores de eventos têm que atribuir pares com nomes exclusivos. IDdeclasseEventoDispositivo é um identificador exclusivo por tipo de evento. Pode ser uma cadeia ou um número inteiro. DeviceEventClassId identifica o tipo de evento relatado. No âmbito do IDS (sistema de detecção de intrusões), cada assinatura ou regra que detectar uma certa atividade tem uma deviceeventclassid exclusiva atribuída. Esse é um requisito para outros tipos de dispositivos também. E ajuda os mecanismos de correlação a lidar com os eventos. Nome é uma cadeia que representa uma descrição do evento que seja legível e compreensível. O nome do evento não deve conter informações que sejam mencionadas especificamente em outros campos. Por exemplo: "Port scan from targeting " não é um bom nome de evento. Deve ser: "Port scan." As outras informações são redundantes e podem ser obtidas nos outros campos. McAfee Enterprise Security Manager Guia de produto 109

110 3 Configuração do ESM Configuração de dispositivos Gravidade é um número inteiro e reflete a importância do evento. Somente números de 0 a 10 são permitidos, onde 10 indica o evento mais importante. Extensão é um conjunto de pares de chave-valor. As chaves fazem parte de um conjunto previamente definido. O padrão aceita a inclusão de chaves adicionais, como descrito posteriormente. Um evento pode conter qualquer número de pares de chave-valor em qualquer ordem, separadas por espaços. Se um campo tiver um espaço, como um nome de arquivo, ele poderá ser registrado da mesma maneira. Por exemplo: filename=c:\arquivos de Programas\ArcSight é um token válido. Esta é uma mensagem de amostra para ilustrar como seria a aparência: Sep 19 08:26:10 zurich CEF:0 security threatmanager worm successfully stopped 10 src= dst= spt=1232 Se você usa NetWitness, seu dispositivo precisa ser configurado corretamente para enviar o CEF ao Receptor. Por padrão, quando se usa o NetWitness, o formato CEF será este: CEF:0 Netwitness Informer 1.6 {name} {name} Medium externalid={#sessionid} proto={#ip.proto} categorysignificance=/normal categorybehavior=/authentication/verify categorydevicegroup=/os categoryoutcome=/attempt categoryobject=/host/application/ Service act={#action} devicedirection=0 shost={#ip.host} src={#ip.src} spt={#tcp.srcport} dhost={#ip.host} dst={#ip.dst} dport={#tcp.dstport} duser={#username} dproc=27444 filetype=security cs1={#did} cs2={#password} cs3=4 cs4=5 cn1={#rid} cn2=0 cn3=0 O formato correto requer que você altere "dport" acima para "dpt." Instalação de Adiscon O WMI do syslog é compatível com o Adiscon. O seguinte formato de cadeia deve ser usado no Event Reporter para que a origem de dados Adiscon de eventos do Microsoft Windows funcione corretamente: %sourceproc%,%id%,%timereported:::uxtimestamp%,%user%,%category%,%param0%;%param1%; %Param2%;%Param3%;%Param4%;%Param5%;%Param6%;%Param7%;%Param8%;%Param9%;%Param10%; %Param11%;%Param12%;%Param13%;%Param14%;%Param15% Suporte à retransmissão de syslog Encaminhar eventos de vários dispositivos por meio do RelayServer de um syslog para o Receptor requer procedimentos adicionais. É preciso adicionar uma única origem de dados de retransmissão de syslog para aceitar o fluxo de dados e origens de dados adicionais. Dessa forma, o Receptor pode dividir o fluxo de dados nas origens de dados iniciais. Compatibilidade com Sylog-ng e Splunk. Este diagrama descreve o cenário: 110 McAfee Enterprise Security Manager Guia de produto

111 Configuração do ESM Configuração de dispositivos 3 1 Dispositivo Cisco ASA 5 Origem de dados 1 retransmissão de syslog 2 Dispositivo SourceFire Snort 6 Origem de dados 2 Cisco ASA 3 Dispositivo TippingPoint 7 Origem de dados 3 SourceFire Snort 4 Retransmissão de syslog 8 Origem de dados 4 TippingPoint Usando esse cenário como exemplo, é preciso configurar a origem de dados de retransmissão de syslog (5) para receber o fluxo de dados da retransmissão de syslog (4), selecionando syslog no campo Retransmissão de syslog. Depois que a origem de dados de retransmissão de syslog estiver configurada, adicione as origens de dados dos dispositivos individuais (6, 7 e 8), selecionando Nenhum no campo Retransmissão de syslog, porque o dispositivo não é um servidor de retransmissão de syslog. O recurso Fazer upload de mensagens do syslog não funciona em uma configuração de retransmissão de syslog. O cabeçalho do syslog deve ser configurado para assemelhar-se a este exemplo: 1 <123> 345 Oct 7 12:12: mcafee.com httpd[123] onde 1 = versão do syslog (opcional) 345 = tamanho do syslog (opcional) <123> = recurso (opcional) Oct 7 12:12: = mcafee.com httpd = data. Compatibilidade com centenas de formatos (obrigatório) nome de host ou endereço IP (ipv4 ou ipv6) (obrigatório) nome do aplicativo (opcional) [123] pid do aplicativo (opcional) : = dois-pontos (opcional) Os campos de dados e nome do host podem aparecer em qualquer ordem. Um endereço IPv6 pode ser inserido entre colchetes [ ]. Executar a ferramenta de configuração NSM-SIEM (Security Information and Event Management) Antes de configurar uma origem de dados NSM, é preciso executar a ferramenta de configuração NSM-SIEM (Security Information and Event Management). 1 Faça download da ferramenta de configuração. a b c d e Procure o site de download de produtos da McAfee. Insira o número de concessão do cliente na caixa de pesquisa Fazer download de meus produtos. Clique em Pesquisar. Os arquivos de atualização do produto podem ser encontrados no link de download do <nome do produto> <versão> do MFE. Leia o EULA da McAfee e clique em Concordo. Faça download dos arquivos da ferramenta de configuração NSM-SIEM (Security Information and Event Management). McAfee Enterprise Security Manager Guia de produto 111

112 3 Configuração do ESM Configuração de dispositivos 2 Execute a ferramenta de configuração no servidor NSM. A ferramenta precisa localizar o caminho padrão até o NSM. Se ela não o localizar, procure. 3 Insira nome, senha e nome do banco de dados SQL do NSM especificados na instalação do NSM. 4 Insira o nome do usuário e a senha do SIEM (Security Information and Event Management) na origem de dados e no endereço IP do Receptor onde a origem de dados foi adicionada. Essas informações foram inseridas na tela de origem de dados. Configuração do epolicy Orchestrator Você pode configurar várias origens de dados do epolicy Orchestrator, todas apontando para o mesmo endereço IP, com nomes diferentes no campo do nome do banco de dados. Permite configurar quantas origens de dados do epolicy Orchestrator você quiser e tê-las todas apontando para um banco de dados diferente no servidor central. Preencha os campos ID de usuário e Senha com as informações que garantem o acesso ao banco de dados epolicy Orchestrator, e o campo Versão com a versão do dispositivo epolicy Orchestrator. A porta padrão é Nome do banco de dados é obrigatório. Se houver um traço no nome do banco de dados, você terá que colocar o nome entre colchetes (por exemplo, [epo4_win ]). A opção Consulta epo permite que você consulte o dispositivo epolicy Orchestrator e crie origens de dados cliente. Se a opção padrão Corresponder por tipo for selecionada no campo Usar origens de dados clientes e você clicar em Consulta epo, o dispositivo epolicy Orchestrator será consultado e todos os produtos compatíveis do epolicy Orchestrator serão adicionados às origens de dados cliente. Estes produtos serão compatíveis se estiverem totalmente integrados ao epolicy Orchestrator: ANTISPYWARE MNAC DLP POLICYAUDITOR EPOAGENT SITEADVISOR GSD VIRUSCAN GSE SOLIDCORE HOSTIPS Se a opção Correspondência de IP for selecionada, o dispositivo epolicy Orchestrator será consultado e criará origens de dados cliente para todos os terminais do banco de dados epolicy Orchestrator. Se houver mais de 256 terminais no banco de dados epolicy Orchestrator, serão criadas várias origens de dados com clientes. Os dados da avaliação de risco da McAfee são adquiridos nos servidores epolicy Orchestrator. É possível especificar vários servidores epolicy Orchestrator de onde adquirir dados do McAfee Risk Advisor. Os dados do McAfee Risk Advisor são obtidos por meio de uma consulta do banco de dados SQL Server do epolicy Orchestrator. A consulta do banco de dados gera uma lista de pontuação comparativa entre IP e reputação e fornece valores constantes para a reputação baixa e valores de reputação alta. Todas as listas do epolicy Orchestrator e do McAfee Risk Advisor se mesclam, e os IPs duplicados recebem a pontuação mais alta. A lista mesclada é enviada, com os valores baixos e altos, a todos os dispositivos do ACE para pontuação dos campos SrcIP e DstIP. Quando você adiciona uma origem de dados do epolicy Orchestrator e clica em OK para salvá-la, você é solicitado a informar se deseja usá-la para configurar dados do McAfee Risk Advisor. Se você clicar em Sim, uma fonte de enriquecimento de dados e as duas regras de pontuação ACE (se aplicáveis) 112 McAfee Enterprise Security Manager Guia de produto

113 Configuração do ESM Configuração de dispositivos 3 serão criadas e implementadas. Para exibi-las, vá até as páginas Ativar enriquecimento de dados e Pontuação de correlação de risco. Para usar as regras de pontuação, é necessário criar um gerenciador de correlação de risco (consulte Adicionar um gerenciador de correlação de risco). IBM Internet Security System SiteProtector O Receptor é capaz de recuperar eventos de um servidor ISS (Internet Security Systems) SiteProtector consultando o banco de dados Microsoft SQL Server que o SiteProtector usou para armazenar seus eventos. Diferente de alguns outros tipos de origens de dados compatíveis com o Receptor, a recuperação de eventos de um servidor SiteProtector é feita com um modelo de "pull" em vez de um modelo de "push". Isso significa que periodicamente o Receptor entra em contato com o banco de dados SiteProtector e solicita novos eventos ocorridos desde o pull do último evento. Toda vez que os eventos são recuperados do servidor SiteProtector, eles são processados e armazenados no banco de dados de eventos do Receptor, prontos para serem recuperados pelo ESM. Existes duas opções de tipo de dispositivo disponíveis: Servidor e Dispositivo gerenciado. Instalar uma origem de dados com o tipo de dispositivo Servidor selecionado é o requisito mínimo para coletar eventos em um servidor SiteProtector. Depois que a origem de dados do servidor SiteProtector estiver configurada, todos os eventos coletados no SiteProtector aparecerão como pertencentes a essa origem de dados, sem relação com o ativo real que relatou o evento ao servidor SiteProtector. Para que os eventos sejam melhor categorizados de acordo com o ativo gerenciado que relatou o evento ao SiteProtector, você pode configurar origens de dados adicionais do SiteProtector com o tipo Dispositivo gerenciado selecionado. A opção Avançado na parte inferior da página possibilita definir um URL que possa ser usado para iniciar URLs específicos durante a exibição de dados de evento. Você também pode definir fornecedor, produto e versão a serem usados para encaminhamento de eventos CEF (Common Event Format). Essas configurações são opcionais. Para que o Receptor consulte o banco de dados SiteProtector em busca de eventos, a instalação do Microsoft SQL Server que hospeda o banco de dados usado pelo SiteProtector deve aceitar conexões do protocolo TCP/IP. Consulte a documentação do Microsoft SQL Server para obter informações de como ativar esse protocolo e definir a porta usada para essas conexões (o padrão é a porta 1433). Quando o Receptor se conecta ao banco de dados SiteProtector pela primeira vez, novos eventos gerados são recuperados. Futuras conexões solicitam todos os eventos que ocorreram depois do último evento que foi recuperado com sucesso. O Receptor extrai essas informações de um evento do SiteProtector: Endereços IP de origem e destino (IPv4) Contagem de eventos Portas de origem e destino VLAN Protocolo Gravidade Hora do evento Descrição do evento McAfee Enterprise Security Manager Guia de produto 113

114 3 Configuração do ESM Configuração de dispositivos Configurar o Check Point Configure origens de dados que abranjam Provedor 1, Alta disponibilidade do Check Point e a maioria dos ambientes padrão do Check Point. Seu primeiro passo é adicionar a origem de dados pai do Check Point (consulte Adicionar uma origem de dados). É preciso adicionar uma origem de dados para o servidor de registros se a origem de dados pai não estiver agindo como um servidor de registros e você tiver um servidor de registros dedicado. Adicione também origens de dados filho se necessário. Se o ambiente é de alta disponibilidade, é necessário adicionar uma origem de dados filho para cada SMS/CMA secundário. 1 Adicione uma origem de dados pai do SMS/CMA, onde o aplicativo/certificado OPSEC está armazenado ou, no caso de um Receptor-HA, o SMS/CMA primário. OPSEC está fora de conformidade com FIPS. Se for necessária a conformidade com as normas FIPS, não use este recurso (consulte o Apêndice A). 2 Clique em Opções. 3 Na página Configurações avançadas, selecione o método de comunicação e digite o Nome distinto da entidade do servidor desta origem de dados. 4 Clique em OK duas vezes. 5 Faça o seguinte, se necessário: 114 McAfee Enterprise Security Manager Guia de produto

115 Configuração do ESM Configuração de dispositivos 3 Se receber esta mensagem de erro... SIC Error for lea: Client could not choose an authentication method for service lea (Erro do SIC para o lea: o cliente não pôde escolher um método de autenticação para o lea do serviço) Faça o seguinte... 1 Verifique se selecionou as configurações corretas para Usar autenticação e Usar criptografia quando adicionou a origem de dados de Check Point. Se você selecionou somente Usar autenticação, o cliente OPSEC tenta se comunicar com o servidor de registros usando "sslca_clear". Se você selecionou Usar autenticação e Usar criptografia, o cliente OPSEC tenta se comunicar com o servidor de registros usando "sslca." Se você não selecionou nenhum dos dois, o cliente OPSEC tenta se comunicar com o servidor de registros usando "none". SIC Error for lea: Peer sent wrong DN: <expected dn> (Erro do SIC para o lea: par enviou nome diferenciado incorreto: <nome diferenciado esperado> 2 Verifique se o aplicativo OPSEC usado para se comunicar com o servidor de registros Check Point tem a opção LEA (LEA) selecionada na seção Client Entities (Entidades de cliente). 3 Se esses dois procedimentos estiverem corretos, localize o arquivo sic_policy.conf na instalação do servidor de registros Check Point. Por exemplo, em um sistema R65 baseado em Linux, o arquivo fica localizado em /var/opt/cpshrd-r65/conf. 4 Quando você determinar o método de comunicação (método de autenticação no arquivo) que possibilita a comunicação de LEA com o servidor de registros, selecione-o na página Configurações avançadas como o Método de comunicação. Na caixa de texto Nome distinto da entidade do servidor, insira a cadeia que representa "<expected dn>" na mensagem de erro. Uma alternativa é localizar o nome distinto do servidor de registros Check Point verificando o objeto de rede desse servidor na interface do usuário do Smart Dashboard. O nome diferenciado do SMS/CMA será como o DN do aplicativo OPSEC, basta substituir a primeira entrada por CN=cp_mgmt. Por exemplo, considere um nome diferenciado do aplicativo OPSEC de CN=mcafee_OPSEC,O=r75..n55nc3. O nome diferenciado de SMS/CMA será CN=cp_mgmt,O=r75..n55nc3. O nome diferenciado do servidor de registros seria CN=CPlogserver,O=r75..n55nc3. 6 Adicione uma origem de dados filho para cada firewall, servidor de registros ou SMS/CMA secundário que seja gerenciado pela origem de dados pai que foi configurada (consulte Adicionar uma origem de dados filho). O tipo de dispositivo das origens de dados de todos os firewalls/gateways é Dispositivo de segurança. O Console de relatório pai utiliza a origem de dados pai como padrão. Conjuntos de regras da McAfee Essa tabela lista os conjuntos de regras da McAfee com os IDs de origem de dados externos. ID de origem de dados Nome de exibição RSID correspondente Intervalo da regra Firewall Firewall personalizado Assinaturas personalizadas Internas Vulnerabilidade e exploração 2 N/D McAfee Enterprise Security Manager Guia de produto 115

116 3 Configuração do ESM Configuração de dispositivos ID de origem de dados Nome de exibição RSID correspondente Intervalo da regra Conteúdo adulto 5 N/D Bate-papo 8 N/D Política 11 N/D Ponto a ponto 14 N/D Multimídia 17 N/D Alfa 25 N/D Vírus 28 N/D Perimeter Secure Application 31 N/D Gateway 33 N/D Malware 35 N/D SCADA 40 N/D MCAFEESYSLOG 41 N/D Origens de ativos do Receptor Ativo é qualquer dispositivo na rede que tenha um endereço IP. A guia Ativo do Asset Manager permite criar ativos, modificar suas marcas, criar grupos de ativos, adicionar origens de ativos e atribuir um ativo a um grupo de ativos. Também permite manipular os ativos que são aprendidos de um dos fornecedores de VA. O recurso Origens de ativos em Propriedades do Receptor possibilita a recuperação de dados no Active Directory, caso você tenha algum. Depois que esse processo estiver concluído, você poderá filtrar dados de eventos selecionando os usuários ou grupos recuperados nos campos de filtro de consulta da exibição Usuário de origem e Usuário de destino. Isso melhora a sua capacidade de fornecer dados de conformidade para requisitos como PCI. Um ESM pode ter somente uma origem de ativos. Os receptores podem ter várias origens de ativos. Se duas origens de descoberta de ativos (como Vulnerability Assessment e Descoberta de rede) encontrarem o mesmo ativo, o método de descoberta que tiver a maior prioridade adicionará o ativo à tabela. Se duas origens de descoberta tiverem a mesma prioridade, a última a descobrir o ativo terá prioridade sobre a primeira. Adicionar origem de ativos Para recuperar dados de um Active Directory, é preciso configurar um Receptor. 1 Na árvore de navegação do sistema, selecione Propriedades do Receptor e clique em Origens de ativos. 2 Clique em Adicionar e preencha as informações solicitadas. 3 Clique em OK e em Gravar na página Origens de ativos. Configurações do Enterprise Log Manager (ELM) O ELM permite armazenar e gerenciar a geração de relatórios dos dados de log, bem como acessá-la. Os dados recebidos pelo ELM são organizados em listas de armazenamento, cada qual composta por dispositivos de armazenamento. Um tempo de retenção é associado a cada lista de armazenamento, e os dados são mantidos na lista durante o período especificado. As normas governamentais, corporativas e do setor requerem o armazenamento de logs por diferentes períodos. 116 McAfee Enterprise Security Manager Guia de produto

117 Configuração do ESM Configuração de dispositivos 3 O ELM possibilita configurar trabalhos de pesquisa e de verificação de integridade. Cada um desses trabalhos acessa os logs armazenados e recupera ou verifica os dados definidos no trabalho. Em seguida, é possível exibir os resultados e optar por exportar as informações. As informações fornecidas se aplicam a todos estes modelos de dispositivo ELM: ENMELM-5205 (combo ESM/Log Manager) ELM-5750 ENMELM-5510 (combo ESM/Log Manager) ELMERC-4245 (combo Receptor/Log Manager) ENMELM-4245 (combo ESM/Log Manager) ELMERC-2250 (combo Receptor/Log Manager) ELM-5205 LMERC 2230 (combo Receptor/Log Manager) ELM-5510 Para configurar um ELM, é preciso conhecer: As origens que armazenam os registros no ELM As listas de armazenamento necessárias e os tempos de retenção de seus dados Os dispositivos de armazenamento necessários para armazenar os dados Em geral, você conhece as origens que armazenam logs no ELM e as listas de armazenamento necessárias. Entretanto, não se sabe quais são os dispositivos de armazenamento necessários para armazenar os dados. A melhor abordagem para lidar com essa incerteza é: 1 Fazer uma estimativa conservadora dos requisitos de armazenamento. Desde a versão 9.0.0, as listas de armazenamento do ELM requerem 10% do espaço alocado para espelhar a sobrecarga. Considerar esses 10% ao calcular o espaço necessário. 2 Configurar os dispositivos de armazenamento ELM para que atendam aos requisitos estimados. 3 Adquirir logs sobre o ELM por um período curto. 4 Usar informações estatísticas sobre o armazenamento ELM para alterar as configurações do dispositivo a fim de acomodar os requisitos de armazenamento de dados reais. McAfee Enterprise Security Manager Guia de produto 117

118 3 Configuração do ESM Configuração de dispositivos Preparação para o armazenamento de dados no ELM Existem vários procedimentos para a configuração de um ELM para armazenar dados. Etapa Ação 1 Definir tempo para a retenção de dados Descrição De acordo com os requisitos de instalação do ELM, defina os diferentes tempos necessários para a retenção de dados. Os tempos de retenção comuns são: SOX 7 anos PCI 1 ano GLBA 6 anos EU DR Diretiva 2 anos Basel II 7 anos HIPAA 6 ou 7 anos NERC 3 anos FISMA 3 anos 2 Definir origens de dados de log 3 Definir listas de armazenamento O objetivo aqui é definir todas as origens de registros que estão armazenadas no ELM e avaliar o tamanho médio do registro em byte e a média de registros gerados por dia para cada um. Basta ser uma estimativa. Talvez seja mais fácil estimar o tamanho médio em bytes do registro e a média de registros gerados por dia para cada tipo de origem (como firewall, roteador, Nitro IPS, ADM, DEM, ELM), e depois estimar o número de origens para cada tipo. A etapa seguinte requer a associação de cada origem a um tempo de retenção, como definido na etapa 1, para garantir que isso seja considerado na estimativa dos tipos de origem (por exemplo, SOX Firewall, PCI DEM). Com base nos requisitos de instalação do ELM, associe cada origem de registros, ou origem, a um tempo de retenção dos dados, definindo o conjunto de listas de armazenamento necessárias para a instalação do ELM. 4 Estimar os requisitos de tamanho da lista de armazenamento Para cada lista de armazenamento, estime os requisitos de armazenamento correspondentes usando uma destas equações: Usando origens individuais: IRSGB = 0.1*(DRTD*SUM(DSAB*DSALPD))/(1024*1024*1024) Onde IRSGB = Armazenamento inicial necessário em gigabytes DRTD = Tempo de armazenamento de dados em dias SUM() = O total de origens de dados DSAB = Média de bytes da origem de dados por registro DSALPD = Média de registros da origem de dados por dia Usando tipos de origens: IRSGB = 0.1*(DRTD*SUM(NDS*DSTAB*DSTALPD))/ (1024*1024*1024) Onde IRSGB = Armazenamento inicial necessário em gigabytes DRTD = Tempo de armazenamento de dados em dias NDS = Número de origem de dados de determinado tipo SUM() = O total de tipos de origens de dados DSTAB = Média de bytes do tipo da origem de dados por registro DSTALPD = Média de registros do tipo da origem de dados por dia 118 McAfee Enterprise Security Manager Guia de produto

119 Configuração do ESM Configuração de dispositivos 3 Etapa Ação 5 Criar dispositivos de armazenamento iniciais 6 Criar listas de armazenamento 7 Iniciar o registro em log de dados 8 Refinar estimativas dos requisitos de tamanho da lista de armazenamento Descrição Crie um ou mais dispositivos de armazenamento ELM com tamanho suficiente para armazenar cada IRSGB de dados (consulte Adicionar um dispositivo de armazenamento). Para cada lista de armazenamento definida na etapa 3, crie uma lista de armazenamento do ELM usando o tempo de retenção associado na etapa 1, os valores de IRSGB associados da etapa 4 e os dispositivos de armazenamento associados da etapa 5 (consulte Adicionar uma lista de armazenamento). Configure origens para enviar seus registros para o ELM, e permita que o façam por um ou dois dias. Para cada lista de armazenamento criada na etapa 6, refine sua estimativa dos requisitos de armazenamento usando a seguinte equação: RSGB = 1.1*DRTD*SPABRPD/(1024*1024*1024) Onde RSGB = Armazenamento necessário em gigabytes DRTD = Tempo de armazenamento de dados em dias SPABRPD = Valor diário de Taxas médias de bytes da lista de armazenamento em seu relatório estatístico 9 Modificar ou criar dispositivos de armazenamento 10 Modificar listas de armazenamento Para cada valor de RSGB na etapa 8, modifique ou crie dispositivos de armazenamento ELM para que tenham tamanho suficiente para armazenar RSGB em dados. Se necessário, modifique cada lista de armazenamento criada na etapa 6 adicionando os dispositivos de armazenamento criados na etapa 9, ou aumente a alocação do dispositivo de armazenamento existente. Configuração de armazenamento do ELM Para armazenar registros, o ELM deve ter acesso a pelo menos um dispositivo de armazenamento. A necessidade de armazenamento de uma instalação ELM é uma função do número de origens de dados, das características de registro e das necessidades de tempo de armazenamento de dados. A necessidade de armazenamento varia com o passar do tempo, porque tudo pode mudar durante uma instalação ELM. Para obter detalhes relativos à estimativa e ao ajuste das necessidades de armazenamento do sistema, consulte Configurações do ELM. Terminologia de armazenamento do ELM Revise estes termos para trabalhar com armazenamento do ELM: Dispositivo de armazenamento Um dispositivo de armazenamento de dados que pode ser acessado de um ELM. Alguns modelos de ELM oferecem um dispositivo de armazenamento integrado, alguns oferecem um recurso de conexão SAN e outros oferecem as duas opções. Todos os modelos ELM oferecem um recurso de conexão NAS. Alocação de armazenamento Um volume específico de armazenamento de dados em um determinado dispositivo (por exemplo, 1 TB em um dispositivo de armazenamento NAS). Tempo de armazenamento de dados O tempo durante o qual um registro é armazenado. McAfee Enterprise Security Manager Guia de produto 119

120 3 Configuração do ESM Configuração de dispositivos Lista de armazenamento Uma ou mais alocações de armazenamento, que, juntas, especificam o volume total de armazenamento, e um tempo de armazenamento de dados, que especifica o número máximo de dias em que um registro ficará armazenado. Origem do registro Qualquer origem de registros que um ELM armazena. Tipos de dispositivo de armazenamento ELM Quando você estiver adicionando um dispositivo de armazenamento a um ELM, deverá selecionar o tipo de dispositivo. Há algumas coisas que você precisa ter em mente ao adicionar ou editar o dispositivo. Tipo de dispositivo NFS CIFS Detalhes Para editar o ponto de montagem remoto do dispositivo de armazenamento que contém o Banco de dados de gerenciamento do ELM, use a opção Migrar BD para mover o banco de dados para um dispositivo de armazenamento diferente (consulte Migrar o banco de dados do ELM). Em seguida, você pode alterar com segurança o campo do ponto de montagem remoto e mover o banco de dados novamente para o dispositivo de armazenamento atualizado. O uso do tipo de compartilhamento CIFS com versões de servidor Samba posteriores a 3.2 pode resultar na perda de dados. Ao conectar-se a um compartilhamento CIFS, não use vírgulas em sua senha. Se você estiver usando um computador com Windows 7 como um compartilhamento CIFS, consulte Desativar compartilhamento de arquivo HomeGroup. iscsi Não use vírgulas em sua senha ao conectar-se a um compartilhamento iscsi. A tentativa de conectar vários dispositivos a um IQN pode causar a perda de dados e outros problemas de configuração. SAN Local virtual A opção SAN só estará disponível se houver uma placa SAN instalada no ELM e volumes SAN disponíveis. Esta opção fica disponível apenas quando um dispositivo local virtual é adicionado ao ELM virtual. Formate o dispositivo antes de usá-lo para armazenamento (consulte Configurar uma unidade local virtual para armazenar dados). Desativar compartilhamento de arquivo HomeGroup O Windows 7 requer o uso do compartilhamento de arquivo HomeGroup, que funciona com outros computadores com Windows 7 instalado, mas não com Samba. Para usar um computador com Windows 7 como um compartilhamento CIFS, é necessário desativar o compartilhamento de arquivo HomeGroup. 1 Abra o Painel de Controle do Windows 7 e selecione Central de Rede e Compartilhamento. 2 Clique em Alterar as configurações de compartilhamento avançadas. 3 Clique no perfil Residência ou Trabalho e certifique-se de que ele esteja rotulado de acordo com o seu perfil atual. 4 Ative a descoberta de rede, o compartilhamento de arquivo e de impressora e a pasta pública. 5 Vá para a pasta que deseja compartilhar usando o CIFS (tente primeiro a pasta pública) e clique nela com o botão direito do mouse. 120 McAfee Enterprise Security Manager Guia de produto

121 Configuração do ESM Configuração de dispositivos 3 6 Selecione Propriedades e clique na guia Compartilhamento. 7 Clique em Compartilhamento avançado e selecione Compartilhar esta pasta. 8 (Opcional) Altere o nome do compartilhamento e clique em Permissões. Certifique-se de que as permissões estejam definidas como você deseja (uma marca de seleção em Alterar = gravável). Se você ativou compartilhamentos protegidos por senha, deverá ajustar as configurações aqui para ter certeza de que o usuário do Ubuntu está incluído na permissão. Adicionar um dispositivo de armazenamento para vincular a uma lista de armazenamento Para adicionar um dispositivo de armazenamento à lista de locais de armazenamento, defina os respectivos parâmetros. Na edição de um dispositivo de armazenamento, você pode aumentar o tamanho, mas não pode reduzi-lo. Um dispositivo não poderá ser excluído se estiver armazenando dados. 1 Na árvore de navegação de sistemas, selecione Propriedades de ELM e clique em Listas de armazenamento. 2 Clique em Adicionar ao lado da tabela superior. 3 Na página Adicionar dispositivo de armazenamento, forneça as informações solicitadas. 4 Clique em OK para salvar as configurações. O dispositivo será adicionado à lista de dispositivos de armazenamento disponíveis do ELM. Você pode editar ou excluir dispositivos de armazenamento da tabela na página Listas de armazenamento. Adicionar ou editar uma lista de armazenamento Uma lista de armazenamento inclui uma ou mais alocações de armazenamento e um tempo de armazenamento de dados. Adicione-os ao ELM para definir onde os registros de ELM serão armazenados e por quanto tempo deverão ser retidos. 1 Na árvore de navegação de sistemas, selecione Propriedades de ELM e clique em Lista de armazenamento. 2 Clique em Adicionar ou em Editar ao lado da tabela inferior e preencha ou altere as informações solicitadas. 3 Clique em OK. Você pode editar os parâmetros depois de salvá-los e ainda excluir uma lista de armazenamento, desde que essa lista e os dispositivos alocados para ela não estejam armazenando dados. Mover uma lista de armazenamento É possível mover uma lista de armazenamento de um dispositivo para outro. Antes de iniciar Configure o dispositivo de armazenamento para o qual você deseja mover a lista de armazenamento como um espelho do dispositivo que detém a lista no momento (consulte Adicionar armazenamento de dados espelhados do ELM). McAfee Enterprise Security Manager Guia de produto 121

122 3 Configuração do ESM Configuração de dispositivos 1 Na árvore de navegação de sistemas, selecione o dispositivo ELM que detém a lista de armazenamento e clique no ícone Propriedades. 2 Clique em Listas de armazenamento. 3 Na tabela Listas de armazenamento, clique nos dispositivos espelhados que estão na lista a ser movida. 4 Clique em Editar e, na lista suspensa Dispositivos de armazenamento de dados, selecione o dispositivo que espelha a lista de armazenamento a ser movida. Agora, ele passa a ser o dispositivo de armazenamento de dados principal. 5 Para espelhar o novo dispositivo de armazenamento de dados, selecione um dispositivo na lista suspensa Dispositivo de armazenamento de dados espelhados e clique em OK. Reduzir o tamanho da alocação de armazenamento Se um dispositivo de armazenamento estiver cheio em virtude do espaço alocado para listas de armazenamento, talvez seja necessário reduzir o espaço definido para cada alocação. Poderá ser necessário alocar espaço nesse dispositivo para mais listas de armazenamento. Caso a redução do tamanho da alocação afete os dados, eles serão movidos para outras alocações na lista, se houver espaço disponível. Se não houver espaço disponível, os dados mais antigos serão excluídos. 1 Na árvore de navegação de sistemas, selecione Propriedades de ELM e clique em Lista de armazenamento. 2 Na tabela inferior, selecione a lista que será reduzida e clique em Reduzir tamanho. 3 Insira o valor desejado de redução do armazenamento e clique em OK. Espelhamento do armazenamento de dados do ELM Você pode configurar um segundo dispositivo de armazenamento do ELM para espelhar os dados coletados no dispositivo principal. Se o dispositivo principal ficar inoperante por alguma razão, o dispositivo de backup continuará armazenando os dados que chegarem. Quando o dispositivo principal voltar a ficar on-line novamente, será automaticamente sincronizado com o de backup e retomará o armazenamento dos dados que chegam. Se o dispositivo principal ficar permanentemente inoperante, você poderá reatribuir o backup para torná-lo principal no ESM e designar um outro dispositivo para espelhá-lo. Quando ambos os dispositivos ficam inoperantes, é exibido um sinalizador de status de integridade ao lado do dispositivo ELM na árvore de navegação de sistemas. Uma lista de armazenamento espelhada pode perder conexão com seu dispositivo de armazenamento. O motivo da perda pode ser: 122 McAfee Enterprise Security Manager Guia de produto

123 Configuração do ESM Configuração de dispositivos 3 Falha no servidor de arquivos ou na rede entre o ELM e o servidor de arquivos. O servidor de arquivos ou a rede foram desligados para manutenção. Um arquivo de alocação foi acidentalmente excluída. Quando há um problema no espelho, os dispositivos de armazenamento mostram um ícone de aviso na tabela Listas de armazenamento. Você pode usar depois a função Reconstruir para repará-lo. Adicionar armazenamento de dados espelhados do ELM Qualquer dispositivo de armazenamento adicionado à lista de dispositivos disponíveis que tenha o espaço necessário pode ser usado para espelhar os dados salvos em um dispositivo de armazenamento do ELM. Antes de iniciar Adicione ao ESM os dois dispositivos que você deseja usar para espelhar um ao outro. 1 Na árvore de navegação de sistemas, selecione Propriedades de ELM e clique em Listas de armazenamento. 2 Clique em Adicionar ao lado da tabela inferior 3 Na página Adicionar lista de armazenamento, insira as informações solicitadas e clique em Adicionar para selecionar o dispositivo de armazenamento e o de espelhamento. Um dispositivo pode ser atribuído a mais de uma lista por vez. 4 Clique em OK duas vezes. Reconstruir uma lista de armazenamento espelhada Se uma lista de armazenamento espelhada perder conexão com seus dispositivos de armazenamento, você poderá usar a função Reconstruir para reparar isso. 1 Na árvore de navegação de sistemas, selecione Propriedades de ELM e clique em Lista de armazenamento. 2 Passe o mouse sobre os dispositivos espelhados que exibem um ícone de aviso. Uma dica de ferramenta informa que a alocação de ELM está sendo reconstruída ou que o dispositivo espelhado precisa ser reconstruído. 3 Para reconstruir os dispositivos espelhados, clique nos dispositivos e em Reconstruir. Quando o processo for concluído, você será notificado que a reconstrução da alocação foi bem-sucedida. Desativar um dispositivo de espelhamento Para deixar de usar um dispositivo de espelhamento da lista de armazenamento, selecione um outro dispositivo para substituí-lo ou selecione Nenhum. McAfee Enterprise Security Manager Guia de produto 123

124 3 Configuração do ESM Configuração de dispositivos 1 Na árvore de navegação de sistemas, selecione o ELM que mantém a lista de armazenamento de espelhamento no momento na árvore de navegação de sistemas e clique no ícone Propriedades. 2 Clique em Listas de armazenamento, selecione os dispositivos espelhados na tabela Lista de armazenamento e clique em Editar. 3 Execute uma das seguintes ações: Se o dispositivo selecionado no campo Dispositivo de armazenamento de dados espelhados for aquele que você deseja desativar, clique na seta suspensa do campo e selecione um outro dispositivo para espelhar o dispositivo de armazenamento de dados ou selecione Nenhum. Se o dispositivo selecionado no campo Dispositivo de armazenamento de dados for aquele que você deseja desativar, clique na seta suspensa do campo e selecione um outro dispositivo que atue como o dispositivo de armazenamento de dados. 4 Clique em OK para salvar as alterações. Se o dispositivo não for mais de espelhamento, ele continuará aparecendo na tabela Dispositivo de armazenamento. Configurar o armazenamento de dados externos Existem quatro tipos de armazenamento externo que podem ser configurados para armazenar dados do ELM: iscsi, SAN, DAS e local virtual. Quando conectar esses tipos de armazenamento externo ao ELM, você poderá configurá-los para que armazenem dados do ELM. 1 Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Armazenamento de dados. O sistema retorna todos os dispositivos de armazenamento disponíveis nas guias apropriadas. 2 Clique na guia iscsi, SAN, DAS ou Local virtual e siga as etapas necessárias. 3 Clique em Aplicar ou OK. Adicionar um dispositivo iscsi Para usar um dispositivo iscsi para armazenamento no ELM, é preciso configurar conexões com o dispositivo. 1 Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Armazenamento de dados. 2 Na guia iscsi, clique em Adicionar. 124 McAfee Enterprise Security Manager Guia de produto

125 Configuração do ESM Configuração de dispositivos 3 3 Insira as informações solicitadas e clique em OK. Se a conexão for bem-sucedida, o dispositivo e seus IQNs serão adicionados à lista Configuração do iscsi, bem como à lista Tipo de dispositivo na página Adicionar dispositivo de armazenamento (consulte Adicionar um dispositivo de armazenamento). Quando um IQN começa a armazenar logs do ELM, o destino do iscsi não pode ser excluído. Devido a essa limitação, não deixe de configurar o destino do iscsi com espaço suficiente para armazenamento no ELM. 4 Antes de usar um IQN para armazenamento no ELM, selecione-o na lista e clique em Formato. 5 Para verificar seu status durante a formatação, clique em Verificar status. 6 Para descobrir ou redescobrir os IQNs, clique no dispositivo iscsi e em Descobrir. Tentativas de atribuir mais de um dispositivo a um IQN podem resultar em perda de dados. Formatar um dispositivo de armazenamento SAN para armazenar dados do ELM Se você tem uma placa SAN no sistema, pode usá-la para armazenar dados do ELM. Antes de iniciar Instale uma placa SAN no sistema (consulte Instalar os adaptadores qlogic 2460 ou 2562 SAN no Guia de instalação do McAfee ESM ou contate o suporte da McAfee). 1 Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Armazenamento de dados. 2 Clique na guia SAN e verifique o status dos volumes de SAN detectados. Formatação obrigatória O volume precisa ser formatado e não aparece na lista dos volumes disponíveis na página Adicionar dispositivo de armazenamento. Formatação O volume está no processo de ser formatado e não aparece na lista de volumes disponíveis. Pronto O volume é formatado e tem um sistema de arquivos reconhecível. Esses volumes podem ser usados para armazenar dados do ELM. 3 Se houver algum volume que não esteja formatado e você desejar armazenar dados, clique nele e em Formatar. Quando um volume é formatado, todos os dados armazenados são excluídos. 4 Para verificar se a formatação está concluída, clique em Atualizar. Se a formatação estiver concluída, o status muda para Pronto. 5 Para exibir os detalhes de um volume na parte inferior da página, clique no volume. Agora você pode configurar o volume SAN formatado como um dispositivo para armazenamento no ELM. McAfee Enterprise Security Manager Guia de produto 125

126 3 Configuração do ESM Configuração de dispositivos Atribuir um dispositivo DAS para armazenar dados Você pode atribuir dispositivos DAS disponíveis para armazenar dados no ELM. Antes de iniciar Configure dispositivos DAS. 1 Na árvore de navegação do sistema, selecione o ELM que será atribuído ao dispositivo DAS e clique no ícone Propriedades. Em um dispositivo multifuncional, é possível atribuir o DAS ao ESM selecionando o ESM e clicando no ícone Propriedades. 2 Clique em Armazenamento de dados e clique na guia DAS. A tabela DAS contém os dispositivos disponíveis para armazenamento. 3 Na tabela, clique em um dos dispositivos que não foram atribuídos para armazenar dados do ELM ou do ESM. 4 Clique em Atribuir e em Sim na página de aviso. Depois de atribuir um dispositivo, não será possível mudar. O ELM é reiniciado. Configure a unidade do local virtual para armazenar dados Detecte e formate o dispositivo de armazenamento virtual no ELM virtual. Ele pode ser usado para migração do banco de dados e listas de armazenamento. Antes de iniciar Adicione um dispositivo de armazenamento virtual ao ELM virtual a partir de seu ambiente virtual. Para adicionar o armazenamento, consulte a documentação do ambiente da máquina virtual. Ambientes virtuais compatíveis VMWare KVM Amazon Web Service Formatos de unidades compatíveis SCSI SATA O IDE não é compatível. 126 McAfee Enterprise Security Manager Guia de produto

127 Configuração do ESM Configuração de dispositivos 3 1 Na árvore de navegação do sistema, selecione o ELM virtual, clique no ícone Propriedades clique em Armazenamento de dados. e Um ícone de carregamento aparece enquanto o sistema retorna todos os dispositivos de armazenamento. Se o sistema tiver um ESM redundante, os dispositivos serão retornados na guia Redundante. As partições de raiz e inicialização não são opções viáveis de armazenamento. 2 Clique na guia Local virtual, depois selecione um dispositivo na lista de dispositivos virtuais disponíveis. A guia Local virtual fica disponível apenas quando o sistema detecta um armazenamento virtual. 3 Se a coluna Status informar Formatação obrigatória, clique em Formatar para formatar o dispositivo com o formato de arquivo ext4. O status mudará para Pronto. Você agora pode usar este dispositivo para migração de banco de dados e listas de armazenamento. Redundância de ELM Você pode fornecer redundância para o log, adicionando um ELM em espera ao ELM independente atual no seu sistema. Para ativar a redundância, configure os endereços IP e outras informações de rede em dois ELMs (consulte Configurar redundância de ELM). O ELM em espera deve ter dispositivos de armazenamento com espaço combinado suficiente para coincidir com o armazenamento no ELM ativo. Após a instalação, a configuração nos dois ELMs é sincronizada, e o ELM em espera mantém a sincronização de dados entre os dois dispositivos. Há várias ações que você pode realizar ao trabalhar com redundância de ELM: alternar, retomar serviço, suspender, remover e exibir status. Todas as ações estão disponíveis na página Propriedades do ELM Redundância de ELM. Alternar Se o ELM principal deixar de funcionar ou precisar ser substituído, selecione Alternar ELM. O ELM em espera é ativado, e o sistema associa todos os dispositivos de log a ele. As ações de log e configuração ficam bloqueadas durante o processo de alternância. Retomar serviço Se o ELM em espera deixar de funcionar, você deverá retomar seu serviço quando ele retornar. Se não for detectada nenhuma alteração nos arquivos de configuração, a redundância continuará como antes. Se o sistema detectar diferenças, a redundância continuará nas listas de armazenamento que não tiverem problemas, mas será exibido um status de erro, informando que uma ou mais listas não foram configuradas. Você deve corrigir essas listas manualmente. Se o ELM em espera tiver sido substituído ou reconfigurado, ele será detectado pelo sistema, que solicitará que você o recodifique. O ELM ativo sincronizará todos os arquivos de configuração com o ELM em espera, e a redundância continuará como antes. McAfee Enterprise Security Manager Guia de produto 127

128 3 Configuração do ESM Configuração de dispositivos Suspender Você poderá suspender a comunicação com o ELM em espera se ele tiver deixado de funcionar ou isso estiver prestes a acontecer por algum motivo. Todas as interrupções na comunicação e notificações de erro da redundância são mascaradas. Quando o ELM em espera for retomado, siga o processo de retomada do serviço. Desativar redundância no ELM Você pode desativar a redundância do ELM selecionando Remover. O ELM ativo salva uma cópia dos arquivos de configuração de redundância. Se esse arquivo de backup for localizado na ativação da redundância de ELM, você será solicitado a responder se deseja restaurar os arquivos de configuração salvos. Exibir status Você pode exibir detalhes sobre o estado da sincronização de dados entre o ELM ativo e o ELM em espera selecionando Status. Configurar redundância de ELM Se tiver um dispositivo do ELM independente no sistema, você poderá fornecer redundância para o log, adicionando um ELM em espera. Antes de iniciar Você deve ter um ELM independente instalado (consulte o Guia de instalação do McAfee Enterprise Security Manager 9.5.0) e adicionado ao console do ESM (consulte Adicionar dispositivos ao console do ESM). Você também deve ter um ELM em espera instalado, mas não adicionado ao console. Verifique se não há dados no ELM em espera. Entre em contato com o suporte da McAfee se precisar redefinir padrões de fábrica. 1 Na árvore de navegação do sistema, clique no ELM e no ícone Propriedades. 2 Na página Propriedades do ELM, clique em Redundância de ELM e em Ativar. 3 Digite o endereço IP e a senha do ELM em espera e clique em OK. 4 Na página Propriedades do ELM, clique em Listas de armazenamento e verifique se a guia Ativo está selecionada. 5 Adicione dispositivos de armazenamento ao ELM ativo (consulte Adicionar um dispositivo de armazenamento para vincular a uma lista de armazenamento). 6 Clique na guia Espera e adicione dispositivos de armazenamento que tenham espaço combinado suficiente para coincidir com o armazenamento no ELM ativo. 7 Adicione uma ou mais listas de armazenamento a cada ELM (consulte Adicionar ou editar uma lista de armazenamento). A configuração nos dois ELMs agora está sincronizada, e o ELM em espera mantém a sincronização dos dados entre os dois dispositivos. 128 McAfee Enterprise Security Manager Guia de produto

129 Configuração do ESM Configuração de dispositivos 3 Gerenciamento da compactação do ELM Compacte os dados que entram no ELM para economizar espaço em disco ou processar mais registros por segundo. As três opções são Baixa (padrão), Média e Alta. Esta tabela mostra detalhes sobre cada nível. Nível Taxa de compactação Percentual de compactação máxima Baixa 14:1 72% 100% Média 17:1 87% 75% Alta 20:1 100% 50% Percentual do máximo de registros processados por segundo As taxas reais de compactação variam de acordo com o conteúdo dos registros. Se você estiver mais preocupado em economizar espaço em disco, e menos com o número de registros que poderá processar por segundo, opte pela compactação alta. Se estiver mais preocupado com o processamento de mais registros por segundo do que em economizar espaço em disco, opte pela compactação baixa. Definir compactação do ELM Selecione o nível de compactação para os dados recebidos no ELM a fim de economizar espaço em disco ou processar mais registros. 1 Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Configuração do ELM Compactação. 2 Selecione o nível de compactação do ELM e clique em OK. Você será notificado quando o nível for atualizado. Exibir resultados de uma pesquisa ou verificação de integridade Depois que uma pesquisa ou uma verificação de integridade estiver concluída, você poderá exibir os resultados. Antes de iniciar Execute um trabalho de pesquisa ou de verificação de integridade que produza resultados. 1 Na árvore de navegação do sistema, selecione Propriedades do ELM. 2 Clique em Dados e selecione a guia Pesquisar registros e arquivos ou Verificação de integridade. 3 Realce o trabalho que deseja exibir na tabela Resultados da pesquisa e clique em Exibir. A página Resultados de pesquisa no ELM exibe os resultados do trabalho. Todas as pesquisas do ELM podem se perder se você remover mais de uma unidade VM extra do ESM de uma vez. Para evitar perder resultados, exporte os resultados da pesquisa no ELM. McAfee Enterprise Security Manager Guia de produto 129

130 3 Configuração do ESM Configuração de dispositivos Backup e restauração do ELM Se houver alguma falha do sistema ou perda de dados, é preciso fazer backup das configurações atuais nos dispositivos ELM. Todas as configurações, incluindo o banco de dados de registros do ELM, são salvas. Não é realizado backup dos verdadeiros registros que estão armazenados no ELM. É recomendável espelhar os dispositivos que armazenam os dados do registro no ELM e espelhar o banco de dados de gerenciamento do ELM. O recurso de espelhamento fornece backup dos dados do registro em tempo real. 1 Na árvore de navegação do sistema, selecione Propriedades do ELM. 2 Certifique-se de selecionar Informações do ELM e clicar em Backup e restauração. 3 Siga um destes procedimentos: Para... Fazer backup do ELM agora Fazer backup das configurações do ELM automaticamente Restaurar backup agora Faça isto... Forneça as informações solicitadas e clique em Fazer backup agora. Selecione a frequência e forneça as informações. Clique em Restaurar backup agora. O banco de dados do ELM é restaurado com as configurações de um backup anterior. Restaurar dados de registro e banco de dados de gerenciamento do ELM Para substituir um ELM, restaure os dados de registro e banco de dados de gerenciamento no novo ELM. Neste trabalho, os dados de registro e banco de dados devem ser espelhados. Para restaurar os dados de um antigo ELM em um novo ELM, não crie um novo ELM usando o assistente Adicionar dispositivo. 1 Na árvore de navegação do sistema, selecione Propriedades do ELM para o ELM que deve ser substituído. Uma página de aviso informa que o sistema não consegue localizar o ELM. 2 Feche a página de aviso e clique em Conexão. 3 Insira o endereço IP do novo ELM e clique em Gerenciamento de chaves Codificar dispositivo. Você será informado quando o novo dispositivo for codificado corretamente. 4 Insira a senha a ser associada a este dispositivo e clique em Avançar. 5 Clique em Informações do ELM Backup e restauração Restaurar ELM. 6 Ressincronize cada dispositivo conectado ao ELM clicando em Sincronizar ELM na página Propriedades Configuração de cada dispositivo. O banco de dados de gerenciamento e o armazenamento de dados do ELM são restaurados no novo ELM. Esse processo pode levar várias horas. 130 McAfee Enterprise Security Manager Guia de produto

131 Configuração do ESM Configuração de dispositivos 3 Exibir uso do armazenamento do ELM Exibir o uso do armazenamento no ELM pode ajudá-lo a tomar decisões referentes à alocação de espaço no dispositivo. 1 Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Gerenciamento do ELM. 2 Clique em Exibir uso. A página Estatísticas de uso é aberta, mostrando as estatísticas do dispositivo e das listas de armazenamento no ELM. 3 Clique em OK. Migração do banco de dados do ELM O banco de dados de gerenciamento do ELM armazena os registros que rastreiam os registros enviados ao ELM. O volume de espaço em disco disponível no dispositivo ELM para armazenar o banco de dados de gerenciamento depende do modelo. Quando você adiciona o dispositivo pela primeira vez, o sistema verifica se há espaço em disco suficiente para armazenar os registros. Se não houver, você deverá definir um local alternativo para o armazenamento do banco de dados de gerenciamento. Se o dispositivo tem espaço em disco suficiente, mas você prefere salvar o banco de dados em outro local, pode usar Migrar BD, na página Propriedades do ELM, para configurar esse local. A opção Migrar BD pode ser usada a qualquer momento. Entretanto, se você migrar o banco de dados de gerenciamento quando ele contiver registros, a sessão do ELM ficará suspensa por várias horas até a conclusão da migração, o que depende do número de registros existentes. É recomendável definir esse local alternativo quando você configurar o dispositivo ELM pela primeira vez. Definir um local de armazenamento alternativo Para armazenar registros de banco de dados de gerenciamento do ELM fora do ELM, é preciso definir o local de armazenamento alternativo. Também é possível selecionar um segundo dispositivo para espelhar o que está armazenado. 1 Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Configuração do ELM Migrar BD. 2 Selecione o dispositivo de armazenamento e um dispositivo de espelhamento. 3 Clique em OK. Substituir um banco de dados de gerenciamento espelhado do ELM Se um dispositivo de armazenamento de banco de dados de gerenciamento espelhado estiver com algum problema, convém substituí-lo. McAfee Enterprise Security Manager Guia de produto 131

132 3 Configuração do ESM Configuração de dispositivos 1 Na árvore de navegação do sistema, selecione o dispositivo ELM com o dispositivo de armazenamento de banco de dados de gerenciamento que está com problema e clique no ícone Propriedades. 2 Clique em Configuração do ELM e selecione Migrar BD. 3 No campo Dispositivos de armazenamento de dados, selecione o dispositivo que aparece na lista suspensa Dispositivo de armazenamento de dados espelhados. 4 Selecione um novo dispositivo no campo Dispositivo de armazenamento de dados espelhados ou selecione Nenhum para interromper o espelhamento. Se o dispositivo em questão não estiver na lista suspensa, adicione-o primeiramente à tabela Dispositivo de armazenamento. Recuperação de dados do ELM Para recuperar dados do ELM, é necessário criar trabalhos de pesquisa e verificação de integridade na página Dados. Um trabalho de verificação de integridade verifica se os arquivos definidos foram alterados desde que foram originalmente armazenados. Isso pode servir de alerta de modificação não autorizada de arquivos críticos de conteúdo ou do sistema. Os resultados da verificação mostram quais arquivos foram alterados. Se nenhum arquivo tiver sido alterado, você será notificado de que a verificação foi bem-sucedida. O sistema limita-se a um total de 50 pesquisas e trabalhos de verificação de integridade ao mesmo tempo. Se houver mais de 50 no sistema, você será informado de que a pesquisa não pode ser realizada. Se existirem pesquisas no sistema, será possível excluí-las para que uma nova pesquisa seja realizada. Caso não existam pesquisas, o administrador do sistema excluirá as pesquisas ou os trabalhos de verificação de integridade iniciados por outros usuários para que você possa executar a pesquisa. Depois que a pesquisa é iniciada, ela continua em execução até ser concluída ou até alcançar um dos limites estabelecidos, mesmo que você feche a página Dados. É possível retornar a essa tela para verificar o status, que é exibido na tabela Resultados da pesquisa. Criar um trabalho de pesquisa Para procurar arquivos no ELM que correspondam a seus critérios, defina um trabalho de pesquisa na página Dados. Nenhum dos campos desta tela é obrigatório. Entretanto, quanto melhor você definir a pesquisa, mais provavelmente recuperará os dados requeridos em menos tempo. 1 Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Dados. 2 Na guia Pesquisar registros e arquivos, preencha as informações solicitadas e clique em Pesquisar. Criar um trabalho de verificação de integridade Você pode verificar se os arquivos foram alterados desde que foram armazenados originalmente criando um trabalho de verificação de integridade na página Dados. Nenhum dos campos da guia Verificação de integridade é obrigatório. Entretanto, quanto melhor você definir a pesquisa, maiores as chances de verificar a integridade dos dados requeridos em menos tempo. 132 McAfee Enterprise Security Manager Guia de produto

133 Configuração do ESM Configuração de dispositivos 3 1 Na árvore de navegação do sistema, selecione Propriedades do ELM e clique em Dados. 2 Clique na guia Verificação de integridade, faça as seleções solicitadas e clique em Pesquisar. Configurações do Advanced Correlation Engine (ACE) O McAfee Advanced Correlation Engine (ACE) identifica e pontua eventos de ameaça em tempo real, usando lógica baseada em regra e em risco. Identifique o que você considera importante (usuários ou grupos, aplicativos, servidores específicos ou sub-redes) para ser alertado pelo ACE se o ativo for ameaçado. Trilhas de auditoria e reproduções históricas são importantes para o cumprimento de regras, conformidade e perícias. Configure o ACE usando modos históricos ou de tempo real: Modo de tempo real Os eventos são analisados assim que coletados para detecção imediata de riscos e ameaças. Modo histórico Reproduz dados disponíveis coletados por um dos mecanismos de correlação, ou ambos, para detecção de riscos e ameaças históricos. Quando o ACE descobre novos ataques de dia zero, ele determina se a organização foi exposta a esse ataque anteriormente para detecção de ameaças de dia subzero. Os dispositivos ACE complementam os recursos de correlação de eventos existentes do ESM fornecendo dois mecanismos de correlação dedicados. Defina cada dispositivo ACE com sua própria política, conexão, configurações de recuperação de eventos e logs, e gerenciadores de risco. Correlação de risco Gera uma pontuação de risco usando uma correlação sem regras. A correlação baseada em regra somente detecta padrões de ameaça conhecidos, exigindo atualizações e ajustes de assinatura constantes para ser eficaz. A correlação sem regras substitui assinaturas de detecção por uma configuração única: identifique o que é importante para os seus negócios (como um determinado serviço ou aplicativo, grupo de usuários ou tipos de dados específicos). A Correlação de risco então rastreia toda atividade relacionada a esses itens, criando uma pontuação de risco dinâmica que aumenta ou diminui de acordo com a atividade em tempo real. Quando uma pontuação de risco excede um determinado limite, o ACE gera um evento e emite um alerta sobre as condições de ameaça crescentes. Ou o mecanismo tradicional de correlação baseada em regra pode usar o evento como condição de um incidente maior. O ACE mantém uma trilha de auditoria completa de pontuações de risco para permitir análises e investigações completas das condições de ameaça ao longo do tempo. Correlação baseada em regra Detecta ameaças usando a correlação de eventos tradicional baseada em regra para analisar as informações coletadas em tempo real. O ACE correlaciona todos os logs, eventos e fluxos de rede com informações contextuais, como identidade, funções, vulnerabilidades etc., para detectar padrões que indiquem uma ameaça maior. Os appliances Event Receiver são compatíveis com correlação baseada em regra em toda a rede. O ACE complementa essa funcionalidade com um recurso de processamento dedicado que correlaciona volumes maiores de dados, suplementando relatórios de correlação existentes ou descarregando-os completamente. Defina cada dispositivo ACE com sua própria política, conexão, configurações de recuperação de eventos e logs, e gerenciadores de risco. Selecionar tipo de dados do ACE O ESM coleta dados de evento e de fluxo. Selecione quais dados serão enviados para o ACE. O padrão é somente dados de evento. McAfee Enterprise Security Manager Guia de produto 133

134 3 Configuração do ESM Configuração de dispositivos 1 Na árvore de navegação do sistema, selecione Propriedades de ACE e clique em Configuração do ACE. 2 Clique em Dados e selecione Dados de evento, Dados de fluxo ou ambos. 3 Clique em OK. Adicionar um gerenciador de correlação Para usar a correlação de regra ou de risco, é necessário adicionar gerenciadores de correlação de regra ou risco. Antes de iniciar Deve haver um dispositivo ACE no ESM (consulte Adicionar dispositivos ao console do ESM). 1 Na árvore de navegação do sistema, selecione Propriedades de ACE. 2 Clique em Gerenciamento de correlação, depois em Adicionar. 3 Selecione o tipo de gerenciador que deseja criar e clique em OK. Consulte Configurações do Advanced Correlation Engine (ACE) para obter informações sobre os tipos de gerenciadores. 4 Insira as informações solicitadas, depois clique em Concluir. Adicionar um gerenciador de correlação de risco Você deve adicionar gerenciadores para ajudar a calcular os níveis de risco dos campos designados. 1 Na árvore de navegação do sistema, selecione Propriedades de ACE e clique em Gerenciamento de correlação de risco. 2 Clique em Adicionar e preencha as informações solicitadas em cada guia. 3 Clique em Finalizar e em Gravar para gravar os gerenciadores no dispositivo. Adicionar pontuação de correlação de risco É necessário adicionar instruções condicionais que atribuam uma pontuação a um campo de destino. 134 McAfee Enterprise Security Manager Guia de produto

135 Configuração do ESM Configuração de dispositivos 3 1 Na árvore de navegação do sistema, selecione Propriedades de ACE e clique em Pontuação de correlação de risco. 2 Clique em Adicionar e preencha as informações necessárias. 3 Clique em OK. Uso da correlação histórica A opção de correlação histórica permite a correlação de eventos passados. Quando uma nova vulnerabilidade é descoberta, é importante verificar os registros e eventos históricos para saber se você foi explorado antes. Com o recurso de reprodução simples de rede do ACE, os eventos históricos podem ser reproduzidos através do mecanismo de correlação sem regra Correlação de risco e do mecanismo de correlação de eventos com base em regras padrão, e você pode examinar os eventos históricos em relação ao cenário de ameaça atual. Isso pode ser útil nas seguintes situações: Você não tinha a correlação configurada no momento em que determinados eventos foram disparados e percebe que a correlação poderia ter revelado informações valiosas. Você está configurando uma nova correlação com base nos eventos disparados no passado e quer testá-la para confirmar se ela fornece os resultados desejados. Ao usar a correlação histórica, esteja ciente de que: A correlação em tempo real é interrompida até a desativação da correlação histórica. A distribuição de risco é distorcida pela agregação de evento. Quando você muda o gerenciador de risco novamente para correlação de risco em tempo real, os limites devem ser ajustados. Para configurar e executar a correlação histórica, é necessário: 1 Adicionar um filtro de correlação histórica. 2 Executar uma correlação histórica. 3 Fazer download e exibir os eventos históricos correlacionados. Adicionar e executar correlação histórica Para correlacionar eventos passados, você precisa configurar um filtro de correlação histórica e executar a correlação. 1 Na árvore de navegação do sistema, selecione Propriedades de ACE e clique em Histórico. 2 Clique em Adicionar, preencha as informações solicitadas e clique em OK. 3 Selecione Ativar correlação histórica e clique em Aplicar. A correlação em tempo real é interrompida até a desativação da correlação histórica. 4 Selecione os filtros que deseja executar e clique em Executar agora. O ESM examina os eventos, aplica os filtros e empacota os eventos que se aplicam. McAfee Enterprise Security Manager Guia de produto 135

136 3 Configuração do ESM Configuração de dispositivos Fazer download e exibir os eventos de correlação histórica. Depois de executar a correlação histórica, você poderá fazer download e exibir os eventos gerados. 1 Na árvore de navegação do sistema, selecione Propriedades de ACE e clique em Eventos e registros Obter eventos. Os eventos resultantes da execução da correlação histórica são obtidos por download no ESM. 2 Feche Propriedades de ACE. 3 Para exibir os dados: a b Na árvore de navegação do sistema, selecione o dispositivo do ACE para o qual você acabou de executar os dados históricos. Na lista suspensa de períodos, na barra de ferramentas de exibição, selecione o período especificado ao configurar a execução. O painel de exibição mostra os resultados da consulta. Configurações do Application Data Monitor (ADM) O McAfee Application Data Monitor (ADM) rastreia todo o uso de dados confidenciais na rede, analisando protocolos subjacentes, a integridade das sessões e o conteúdo dos aplicativos. Ao detectar uma violação, o ADM preserva todos os detalhes da sessão do aplicativo para uso em resposta a incidentes e perícias ou para exigências de auditoria e conformidade. Ao mesmo tempo, o ADM permite a visibilidade de ameaças disfarçadas de aplicativos legítimos. O ADM pode detectar quando informações confidenciais são transmitidas em anexos de , mensagens instantâneas, transferências de arquivos, publicações em HTTP ou outros aplicativos. Personalize os recursos de detecção do ADM definindo seus próprios dicionários de informações confidenciais e pessoais. Dessa forma, o ADM poderá detectar esses tipos de dados confidenciais, alertar a equipe apropriada e registrar a transgressão em log para manter uma trilha de auditoria. O ADM monitora, decodifica e detecta anomalias nos seguintes protocolos de aplicativo: Transferência de arquivo: FTP, HTTP, SSL (configuração e certificados somente) SMTP, POP3, NNTP, MAPI Bate-papo: MSN, AIM/Oscar, Yahoo, Jabber, IRC Webmail: Hotmail, Hotmail DeltaSync, Yahoo mail, AOL Mail, Gmail P2P: Gnutella, bittorrent Shell: SSH (detecção somente), Telnet O ADM aceita expressões de regras e as testa em relação ao tráfego monitorado, inserindo registros na tabela de eventos do banco de dados para cada regra disparada. Ele armazena o pacote que disparou a regra no campo de pacote da tabela de eventos. Ele também adiciona metadados do nível do aplicativo às tabelas de consultas e dbsession do banco de dados para cada regra disparada. Ele armazena uma representação em texto da pilha do protocolo no campo de pacote da tabela de consultas. O ADM pode gerar os seguintes tipos de evento: 136 McAfee Enterprise Security Manager Guia de produto

137 Configuração do ESM Configuração de dispositivos 3 Metadados O ADM gera um evento de metadados para cada transação na rede e inclui detalhes, como endereços, protocolo, tipo de arquivo, nome de arquivo. O aplicativo insere os eventos de metadados na tabela de consulta e agrupa os eventos na tabela de sessão. Por exemplo, quando uma sessão do FTP transfere três arquivos, o ADM os agrupa. Anomalia de protocolo - As anomalias de protocolo são codificadas nos módulos de protocolo e incluem eventos, como um pacote TCP (Protocolo de controle de transmissão) é curto demais para conter um cabeçalho válido, e um servidor SMTP (Simple Mail Transfer Protocol) retorna um código de resposta inválido. Os eventos de anomalia de protocolo são raros e são colocados na tabela de eventos. Disparo de regra As expressões de regra geram eventos de disparo de regra, detectando anomalias nos metadados gerados pelo mecanismo ICE (Internet Communications Engine). Esses eventos podem incluir anomalias, como protocolos usados fora do horário normal ou uma comunicação inesperada entre um servidor SMTP e o FTP. Os eventos de disparo de regra devem ser raros e colocados na tabela de eventos. A tabela de eventos contém um registro de cada anomalia de protocolo detectada ou evento de disparo de regra. Os registros de evento são vinculados às tabelas de sessão e de consulta por meio da ID de sessão, em que estão disponíveis mais detalhes sobre as transferências na rede (eventos de metadados) que dispararam o evento. Além disso, cada evento é vinculado à tabela de pacotes em que estão disponíveis os dados brutos do pacote que disparou o evento. A tabela de sessões contém um registro para cada grupo de transferências na rede relacionadas (por exemplo, um grupo de transferências de arquivos do FTP na mesma sessão). Os registros de sessão são vinculados à tabela de consultas por meio da ID de sessão em que estão disponíveis mais detalhes sobre cada uma das transferências na rede (eventos de metadados). Além disso, se uma transferência dentro da sessão causar uma anomalia de protocolo ou disparar uma regra, haverá um vínculo à tabela de eventos. A tabela de consultas contém um registro de cada evento de metadados (transferências de conteúdo que ocorrem na rede). Os registros de consulta são vinculados à tabela de sessões com o ID de sessão. Se a transferência na rede representada pelo registro disparar uma anomalia de protocolo ou regra, haverá um vínculo à tabela de eventos. Haverá também um vínculo à tabela de pacotes usando o campo de texto no qual a representação textual do protocolo ou pilha de conteúdo completos são encontrados. Configurar o fuso horário do ADM O dispositivo ADM é definido como GMT, mas o código ADM espera que o dispositivo seja configurado com o seu fuso horário. Como resultado, as regras usam os gatilhos de hora como se você estivesse em GMT e não quando você espera que usem. Você pode configurar o ADM com o fuso horário esperado. Esse aspecto é levado em consideração na avaliação das regras. 1 Na árvore de navegação do sistema, selecione Propriedades do ADM e clique em Configuração do ADM. 2 Clique em Fuso horário e selecione o seu fuso horário. 3 Clique em OK. Exibir senha na Visualização de sessão O Visualizador de sessão permite que você veja os detalhes das últimas consultas do ADM em uma sessão. As regras de alguns eventos podem ser relacionadas à senha. Você pode selecionar se as senhas serão exibidas no Visualizador de sessão. Por padrão, as senhas não são exibidas. McAfee Enterprise Security Manager Guia de produto 137

138 3 Configuração do ESM Configuração de dispositivos 1 Na árvore de navegação do sistema, selecione Propriedades do ADM e clique em Configuração do ADM. A opção Senhas indica que o registro está Desligado. 2 Clique em Senhas, selecione Ativar registro de senhas e clique em OK. O sistema executa o comando e informa quando o processo é concluído. Agora, a opção Senhas indica que o registro está Ligado. Dicionários do Application Data Monitor (ADM) Ao gravar regras para o ADM, use dicionários que traduzam chaves capturadas na rede para um valor definido. Ou liste chaves sem um valor que assumam um booliano verdadeiro quando as chaves estiverem presentes. Os dicionários do ADM permitem especificar chaves de um arquivo rapidamente, em vez de precisar gravar uma regra individual para cada palavra. Por exemplo, configure uma regra para selecionar s que contenham palavras específicas, compile um dicionário com palavras impróprias e importe esse dicionário. Você pode criar uma regra como a seguinte para verificar a existência de s com conteúdo que inclua uma das palavras do dicionário: protocol == && naughtywords[objcontent] Ao gravar regras com o editor de regras do ADM, você pode selecionar o dicionário de referência da regra. Os dicionários aceitam até milhões de entradas. A adição de um dicionário a uma regra envolve as seguintes etapas: 1 Configurar e salvar um dicionário que lista as chaves e, se necessário, os valores. 2 Gerenciamento do dicionário no ESM. 3 Atribuição do dicionário a uma regra. Configuração de dicionário do ADM Um dicionário é um arquivo de texto sem formatação que consiste em uma entrada por linha. Existem dicionários de coluna única e de coluna dupla. As colunas duplas incluem uma chave e um valor. As chaves podem ser IPv4, MAC, número, expressão regular e cadeia. Os tipos de valor são booleano, IPv4, IPv6, MAC, número e cadeia. Um valor é opcional e assumirá booliano verdadeiro como padrão, se não houver valor presente. Os valores em um dicionário de coluna única ou dupla devem ser um dos tipos compatíveis com o ADM: cadeia, expressão regular, número, IPv4, IPv6 ou MAC. Os dicionários do ADM devem seguir estas diretrizes de formatação: 138 McAfee Enterprise Security Manager Guia de produto

139 Configuração do ESM Configuração de dispositivos 3 Tipo Regras de sintaxe Exemplos Conteúdo correspondente Cadeia As cadeias devem estar entre aspas duplas As aspas duplas de uma cadeia devem ser seguidas por caracteres de escape com barras invertidas antes de cada uma das aspas Conteúdo inválido Ele disse: \ Conteúdo inválido \ Conteúdo inválido Ele disse: Conteúdo inválido Expressão regular As expressões regulares ficam entre barras simples As barras e os caracteres de expressão regular reservados dentro da expressão regular devem ser seguidos por caracteres de escape com barras invertidas /[Aa]pple/ /apple/i / [0-9]{1,3}\.[0-9]{1,3}\. [0-9]\.[0-9]/ /1\/2 de todos/ Apple ou apple Apple ou apple Endereços IP: /2 de todos Números Valores decimais (0-9) Valores hexadecimais (0x0-9a-f) Valores octal (0-7) Valor decimal Valor hexadecimal Valor octais 123 0x12ab 0127 Boolianos Podem ser verdadeiros ou falsos Todos em minúsculas Literais boolianos verdadeiro falso IPv4 Podem ser escritos em notação quádrupla pontilhada padrão Podem ser escritos em notação CIDR / / [0 255] [0 255] Podem ser escritos em formato longo com máscaras completas As seguintes informações se aplicam aos dicionários: Listas (vários valores separados por vírgula dentro de colchetes) não são permitidas nos dicionários. Uma coluna pode ser composta somente por um único tipo de ADM compatível. Isso significa que tipos diferentes (cadeia, expressão regular, IPv4) não podem ser misturados e correspondidos dentro de um único arquivo de dicionário do ADM. Eles podem conter comentários. Todas as linhas que começam com o caractere sustenido (#) são consideradas um comentário dentro de um dicionário do ADM. Os nomes podem conter somente caracteres alfanuméricos e sublinhados, com tamanho máximo de 20 caracteres. McAfee Enterprise Security Manager Guia de produto 139

140 3 Configuração do ESM Configuração de dispositivos Não há suporte para as listas dentro deles. Em versões anteriores ao ADM 8.5.0, eles precisam ser editados ou criados fora do ESM com um editor de texto de sua escolha. Eles podem ser importados ou exportados do ESM para facilitar a modificação ou a criação de novos dicionários do ADM. Exemplos de dicionário do ADM O mecanismo do ADM pode corresponder o conteúdo do objeto ou qualquer outra métrica ou propriedade a um dicionário de coluna única para verdadeiro ou falso (existe ou não existe no dicionário). Tabela 3-25 Exemplos de dicionário de coluna única Tipo de dicionário Dicionário de cadeia com palavras de spam comuns Dicionário de expressão regular para palavras-chave de autorização Dicionário de cadeia contendo valores do hash para executáveis inválidos conhecidos Exemplo Cialis cialis Viagra viagra site adulto Site adulto compre já! não perca tempo! /(password passwd pwd)[^a-z0-9]{1,3}(admin login password user)/i /(customer client)[^a-z0-9]{1,3}account[^a-z0-9]{1,3}number/i /fund[^a-z0-9]{1,3}transaction/i /fund[^a-z0-9]{1,3}transfer[^a-z0-9]{1,3}[0-9,.]+/i "fec72ceae15b6f60cbf269f99b9888e9" "fed472c13c1db095c4cb0fc54ed28485" "feddedb f9428a59eb5ee22a" "ff3cb87742f9b56dfdb9a49b31c1743c" "ff45e471aa68c9e2b6d62a82bbb6a82a" "ff669082faf0b5b976cec c" "ff7025e261bd bc9efdfc6c7c" Endereços IP de ativos críticos / / / / McAfee Enterprise Security Manager Guia de produto

141 Configuração do ESM Configuração de dispositivos 3 Tabela 3-26 Exemplos de dicionário de coluna dupla Tipo de dicionário Dicionário de cadeia com palavras de spam comuns e categorias Dicionário de expressão regular para palavras-chave de autorização e categorias Dicionário de cadeia contendo valores do hash para executáveis inválidos conhecidos e categorias Endereços IP de ativos críticos e grupos Exemplo Cialis medicamento cialis medicamento Viagra medicamento viagra medicamento site adulto adulto Site adulto adulto compre já! não perca tempo! fraude /(password passwd pwd)[^a-z0-9]{1,3}(admin login password user)/i credentials /(customer client)[^a-z0-9]{1,3}account[^a-z0-9]{1,3}number/i pii /fund[^a-z0-9]{1,3}transaction/i sox /fund[^a-z0-9]{1,3}transfer[^a-z0-9]{1,3}[0-9,.]+/i sox "fec72ceae15b6f60cbf269f99b9888e9" cavalo de Troia "fed472c13c1db095c4cb0fc54ed28485" Malware "feddedb f9428a59eb5ee22a" Virus "ff3cb87742f9b56dfdb9a49b31c1743c" Malware "ff45e471aa68c9e2b6d62a82bbb6a82a" Adware "ff669082faf0b5b976cec c" cavalo de Troia "ff7025e261bd bc9efdfc6c7c" Virus Ativos críticos /24 LAN / LAN /27 DMZ / Ativos críticos Gerenciar Dicionários de ADM Depois de configurar e salvar um novo dicionário, é necessário importá-lo para o ESM. Você pode também exportar, editar ou excluir o dicionário. 1 No Editor de políticas, clique em Ferramentas e selecione Gerenciador de dicionários do ADM. A tela Gerenciar Dicionários de ADM lista os quatro dicionários padrão (rede de bots, foullanguage, icd9_desc, e spamlist) e todos os dicionários que foram importados para o sistema. 2 Execute uma das ações disponíveis e clique em Fechar. McAfee Enterprise Security Manager Guia de produto 141

142 3 Configuração do ESM Configuração de dispositivos Consulta a um dicionário de ADM Quando um dicionário é importado para o ESM, você pode consultá-lo ao gravar regras. Antes de iniciar Importe o dicionário para o ESM. 1 No painel Tipos de regras do Editor de políticas, clique em Novo Regra de ADM. 2 Adicione as informações solicitadas e arraste e solte um elemento lógico para a área Lógica da expressão. 3 Arraste e solte o ícone Componente da expressão no elemento lógico. 4 Na página Componente da expressão, selecione o dicionário no campo Dicionário. 5 Preencha os campos restantes e clique em OK. Material de referência das regras do ADM Este apêndice inclui material que pode ajudar você a adicionar as regras do ADM ao Editor de políticas. Sintaxe de regras de ADM As regras de ADM são muito semelhantes às expressões C. A principal diferença é um conjunto mais extenso de literais (números, cadeias, expressões regulares, endereços IP, endereços MAC e boolianos). Os termos de cadeia podem ser comparados com literais de cadeia e Regex para testar seu conteúdo, mas eles podem também ser comparados com números para testar o tamanho. Os termos numéricos, endereço IP e endereço MAC só podem ser comparados com o mesmo tipo de valor de literal. A única exceção é que tudo pode ser tratado como booliano para testar sua existência. Alguns termos podem ter vários valores, por exemplo, a regra a seguir seria disparada nos arquivos PDF dentro de arquivos.zip : type = = application/zip && type = = application/pdf. Tabela 3-27 Operadores Operador Descrição Exemplo && Elemento lógico AND protocol = = http && type = = image/gif Elemento lógico OR time.hour < 8 time.hour > 18 ^ ^ Elemento lógico XOR .from = = "a@b.com" ^^ .to = = "a@b.com"! NOT unário! (protocol = = http protocol = = ftp) = = Igual a type = = application/pdf! = Diferente de srcip! = /16 > Maior que objectsize > 100M > = Maior ou igual a time.weekday > = 1 < Menor que objectsize < 10 K < = Menor ou igual a time.hour < = McAfee Enterprise Security Manager Guia de produto

143 Configuração do ESM Configuração de dispositivos 3 Tabela 3-28 Literais Literal Número Cadeia Regex Exemplo 1234, 0x1234, 0777, 16K, 10M, 2G "uma cadeia" /[A-Z] [a-z]+/ IPv , /16, / MAC Bool aa:bb:cc:dd:ee:ff verdadeiro, falso Tabela 3-29 Compatibilidade do tipo de operador Tipo Operadores Notas Número = =,! =, >, > =, <, < = Cadeia = =,! = Comparar conteúdo de cadeia com Cadeia/Expressão regular Cadeia >, > =, <, <= Comparar tamanho da cadeia IPv4 = =,! = MAC = =,! = Bool = =,! = A comparação com verdadeiro/falso também é compatível com a comparação implícita com verdadeiro, por exemplo, a comparação a seguir testa se o termo .bcc ocorre: .bcc Tabela 3-30 Gramática de expressão regular de ADM Operadores básicos Alternação (ou) * Zero ou mais + Um ou mais? Zero ou um ( ) Agrupamento (a b) { } Intervalo de repetição {x} ou {,x} ou {x,} ou {x,y} [ ] Intervalo [0-9a-z] [abc] [^ ] Intervalo exclusivo [^abc] [^0-9]. Qualquer caractere \ Caractere de escape Caracteres de escape \d Dígito [0-9] \D Não dígito [^0-9] \e Caracteres de escape (0x1B) \f Avanço de página (0x0C) McAfee Enterprise Security Manager Guia de produto 143

144 3 Configuração do ESM Configuração de dispositivos Caracteres de escape \n Avanço de linha (0x0A) \r Retorno de carro (0x0D) \s Espaço em branco \S Não é espaço em branco \t Tabulação (0x09) \v Tabulação vertical (0x0B) \w Palavra [A-Za-z0-9_] \W Não é palavra \x00 Representação hexadecimal \0000 Representação octal ^ S Início de linha Fim de linha As âncoras de início e fim de linha (^ e $) não funcionam em objcontent. Classes de caractere POSIX [:alunum:] Dígitos e letras [:alpha:] [:ascii:] [:blank:] [:cntrl:] [:digit:] [:graph:] [:lower:] [:print:] [:punct:] [:space:] [:upper:] [:word:] [:xdigit:] Todas as letras Caracteres ASCII Espaço e tabulação Caracteres de controle Dígitos Caracteres visíveis Letras minúsculas Caracteres e espaços visíveis Pontuação e símbolos Todos os caracteres com espaço em branco Caracteres em maiúsculas Caracteres de palavra Dígito hexadecimal 144 McAfee Enterprise Security Manager Guia de produto

145 Configuração do ESM Configuração de dispositivos 3 Tipos de termo de regra do ADM Todos os termos de uma regra do ADM têm um tipo específico. Cada termo é um endereço IP, um endereço MAC, um número, uma cadeia ou um booliano. Além disso, há dois tipos extras de literal: expressões regulares e listas. Um termo de tipo específico somente pode ser comparado, em geral, com um literal do mesmo tipo ou uma lista de literais do mesmo tipo (ou uma lista de listas de...). Existem três exceções a essa regra: 1 Um termo de cadeia pode ser comparado com um literal numérico para testar seu tamanho. A seguinte regra será disparada se uma senha contiver menos de oito caracteres (a senha é um termo de cadeia): senha < 8 2 Um termo de cadeia pode ser comparado com uma expressão regular. A seguinte regra será disparada se uma senha contiver somente letras minúsculas: senha == /^[a-z]+$/ 3 Todos os termos podem ser testados com literais boolianos para testar se eles ocorrem. A seguinte regra será disparada se um contiver um endereço CC ( .cc é um termo de cadeia): .cc == verdadeiro Tipo Endereços IP Descrição de formato Os literais de endereço IP são gravados em notação quádrupla pontilhada padrão e não ficam entre aspas: Os endereços IP podem ter uma máscara gravada em notação CIDR padrão. Não deve haver nenhum espaço em branco entre o endereço e a máscara: /24 Os endereços IP podem também ter máscaras gravadas na forma longa: / Endereços MAC Números Os literais de endereço MAC são gravados usando notação padrão, como os endereços IP, eles não ficam entre aspas: aa:bb:cc:dd:ee:ff Todos os números nas regras do ADM são números inteiros de 32 bits. Eles podem ser gravados em decimal: 1234 Eles podem ser gravados em hexadecimal: 0xabcd Eles podem ser gravados em octal: 0777 Eles podem ter um multiplicador anexado para multiplicar por 1024 (K), (M) ou (G): 10 M Cadeias As cadeias ficam entre aspas duplas: "esta é uma cadeia" As cadeias podem usar sequências de caracteres de escape C padrão: "\testa é uma \"cadeia\" que contém\x20sequências de caracteres de escape\n" Na comparação de um termo com uma cadeia, o termo inteiro deve corresponder à cadeia. Se uma mensagem de tiver um endereço de origem de alguém@algumlugar.com, a seguinte regra não será disparada: .de Para corresponder somente uma parte do termo, deverá ser usado um literal de expressão regular. Os literais de cadeia devem ser usados quando possível, porque são mais eficazes. Todos os termos de URL e endereço de são normalizados antes da correspondência, por isso, não é necessário considerar itens com comentários dentro dos endereços de . Boolianos Os literais boolianos são verdadeiros e falsos. McAfee Enterprise Security Manager Guia de produto 145

146 3 Configuração do ESM Configuração de dispositivos Tipo Expressões regulares Descrição de formato Os literais de expressão regular usam a mesma notação como linguagens, como Javascript e Perl, colocando a expressão regular entre barras: /[a-z]+/ As expressões regulares podem ser seguidas de sinalizadores modificadores padrão, embora "i" seja o único reconhecido no momento (não faz distinção de maiúsculas e minúsculas): /[a-z]+/i Os literais de expressão regular devem usar a sintaxe POSIX Extended. Atualmente, as extensões Perl funcionam para todos os termos, exceto para o termo de conteúdo, mas isso poderá mudar em versões futuras. Na comparação de um termo com uma expressão regular, a expressão regular corresponde a qualquer subcadeia dentro do termo, a menos que operadores âncora sejam aplicados dentro da expressão regular. A seguinte regra é disparada quando um é visto com um endereço alguem@algumlugar.com : .de == Listas Os literais de lista consistem em um ou mais literais entre colchetes e separados por vírgula: [1, 2, 3, 4, 5] As listas podem conter qualquer tipo de literal, inclusive outras listas: [ , [ /8, /24]] As listas devem conter somente um tipo de literal. Não é válido misturar cadeias e números, cadeias e expressões regulares, endereços IP e endereços MAC. Quando uma lista é usada com qualquer operador relacional que não seja diferente de (!=), a expressão será verdadeira se o termo corresponder a algum literal da lista. A seguinte regra será disparada se o endereço IP de origem corresponder a algum endereço IP da lista: srcip == [ , , ] Isso equivale a: srcip == srcip == srcip == Quando usada com o operador diferente de (!=), a expressão será verdadeira se o termo não corresponder a todos os literais da lista. A seguinte regra será disparada se o endereço IP de origem não for ou : srcip!= [ , ] Isso equivale a: srcip!= && srcip!= As listas podem também ser usadas com outros operadores relacionais, embora isso não faça muito sentido. A seguinte regra será disparada se o tamanho do objeto for superior a 100 ou se for superior a 200: objectsize > [100, 200] Isso equivale a: objectsize > 100 objectsize > 200 Referências de métrica de regra do ADM Seguem abaixo as listas de referências de métrica para expressões de regra do ADM, que estão disponíveis na página Componente da expressão quando você adiciona uma regra de ADM. Para as propriedades comuns e anomalias comuns, o valor de tipo parâmetro que você pode inserir para cada um está mostrado entre parênteses após a referência de métrica. Propriedades comuns Propriedade ou termo Protocolo (número) Conteúdo do objeto (cadeias) Descrição O protocolo do aplicativo (HTTP, FTP, SMTP) O conteúdo de um objeto (texto dentro de um documento, mensagem de , mensagem de bate-papo). A correspondência de conteúdo não está disponível para dados binários. Os objetos binários podem, entretanto, ser detectados usando o Tipo de objeto (objtype) 146 McAfee Enterprise Security Manager Guia de produto

147 Configuração do ESM Configuração de dispositivos 3 Propriedade ou termo Tipo de objeto (número) Tamanho do objeto (número) Objeto do Hash (cadeia) Endereço IP de origem do objeto (número) Endereço IP de destino do objeto (número) Porta de origem do objeto (número) Porta de destino do objeto (número) Endereço IP v6 de origem do objeto (número) Endereço IPv6 de destino do objeto (número) Endereço MAC de origem do objeto (nome Mac) Endereço MAC de destino do objeto (nome Mac) Endereço IP de origem do fluxo (IPv4) Endereço IP de destino do fluxo (IPv4) Porta de origem do fluxo (número) Porta de destino do fluxo (número) Endereço IPv6 de origem do fluxo (número) Endereço IPv6 de destino do fluxo (número) Endereço MAC de origem do fluxo (nome Mac) Endereço MAC de destino do fluxo (nome Mac) VLAN (número) Dia da semana (número) Descrição Especifica o tipo de conteúdo conforme determinado pelo ADM (Documentos do Office, Mensagens, Vídeos, Áudio, Imagens, Arquivos, Executáveis) Tamanho do objeto. Os multiplicadores numéricos K, M e G podem ser adicionados após o número (10 K, 10 M, 10 G) O hash do conteúdo (atualmente MD5) O endereço IP de origem do conteúdo. O endereço IP pode ser especificado como , /24, / O endereço IP de destino do conteúdo. O endereço IP pode ser especificado como , /24, / A porta TCP/UDP de origem do conteúdo A porta TCP/UDP de destino do conteúdo O endereço IP v6 de origem do conteúdo O endereço IPv6 de destino do conteúdo O endereço MAC de origem do conteúdo (aa:bb:cc:dd:ee:ff) O endereço MAC de destino do conteúdo (aa:bb:cc:dd:ee:ff) Endereço IP de origem do fluxo. O endereço IP pode ser especificado como , /24, / Endereço IP de destino do fluxo. O endereço IP pode ser especificado como , /24, / Porta TCP/UDP de origem do fluxo Porta TCP/UDP de destino do fluxo Endereço IPv6 de origem do fluxo Endereço IPv6 de destino do fluxo Endereço MAC de origem do fluxo Endereço MAC de destino do fluxo ID da LAN virtual O dia da semana. Os valores válidos são de 1 a 7; em que 1 é segunda-feira. Hora do dia (número) A hora do dia definida como GMT. Os valores válidos são 0 a 23. McAfee Enterprise Security Manager Guia de produto 147

148 3 Configuração do ESM Configuração de dispositivos Propriedade ou termo Tipo de conteúdo declarado (cadeia) Senha (cadeia) URL (cadeia) Nome do arquivo (cadeia) Nome de exibição (cadeia) Nome do host (cadeia) Descrição Tipo do conteúdo conforme especificado pelo servidor. Na teoria, Tipo de objeto (objtype) é sempre o tipo real e o Tipo de conteúdo declarado (content-type) não é confiável, porque ele pode ser falsificado pelo servidor/aplicativo. Senha usada pelo aplicativo na autenticação. URL do site. Aplica-se somente ao protocolo HTTP. Nome do arquivo que está sendo transferido. Nome do host especificado na pesquisa de DNS. Anomalias comuns Usuário desconectado (Booliano) Erro de autorização (Booliano) Êxito na autorização (Booliano) Falha na autorização (Booliano) Propriedades específicas de protocolo Além de fornecer propriedades que são comuns na maioria dos protocolos, o ADM fornece propriedades específicas de protocolo que podem ser usadas com regras de ADM. Todas as propriedades específicas de protocolo estão disponíveis também na página Componente de expressão ao adicionar uma regra de ADM. Exemplos de propriedades específicas de protocolo Essas propriedades se aplicam a estas tabelas: * Somente detecção ** Sem descriptografia, captura certificados X.509 e dados criptografados *** Via módulo RFC822 Tabela 3-31 Módulos de protocolo de transferência de arquivo FTP HTTP SMB* SSL** Nome de exibição Nome do arquivo Nome do host URL Nome de exibição Nome do arquivo Nome do host Referer Nome de exibição Nome do arquivo Nome do host Nome de exibição Nome do arquivo Nome do host URL Todos os cabeçalhos HTTP 148 McAfee Enterprise Security Manager Guia de produto

149 Configuração do ESM Configuração de dispositivos 3 Tabela 3-32 Módulos de protocolo de DeltaSync MAPI NNTP POP3 SMTP Cópia oculta*** Cópia oculta Cópia oculta*** Cópia oculta*** Cópia oculta*** Com cópia*** Com cópia Com cópia*** Com cópia*** Com cópia*** Nome de exibição Nome de exibição Nome de exibição Nome de exibição Nome de exibição De*** De De*** De*** De*** Nome do host Nome do host Nome do host Nome do host Nome do host Assunto*** Assunto Assunto*** Assunto*** Para*** Para*** Para Para*** Para*** Assunto*** Nome do usuário Nome do usuário Tabela 3-33 Módulos de protocolo de Webmail AOL Gmail Hotmail Yahoo Nome do anexo Nome do anexo Nome do anexo Nome do anexo Cópia oculta*** Cópia oculta*** Cópia oculta*** Cópia oculta*** Com cópia*** Com cópia*** Com cópia*** Com cópia*** Nome de exibição Nome de exibição Nome de exibição Nome de exibição Nome do arquivo Nome do arquivo Nome do arquivo Nome do arquivo Nome do host Nome do host Nome do host Nome do host De*** De*** De*** De*** Assunto*** Assunto*** Assunto*** Assunto*** Para*** Para*** Para*** Para*** Anomalias de protocolo Além das propriedades comuns e propriedades específicas de protocolo, o ADM detecta também centenas de anomalias em protocolos de transporte, de aplicativos e de nível inferior. Todas as propriedades de anomalia de protocolo são de tipo Booliano e estarão disponíveis na página Componente de expressão quando você estiver adicionando uma regra de ADM. Tabela 3-34 IP Termo ip.too-small ip.bad-offset ip.fragmented ip.bad-checksum ip.bad-length Descrição O pacote IP é pequeno demais para conter um cabeçalho válido. O deslocamento de dados IP ultrapassa o final do pacote. O pacote IP está fragmentado. A soma de verificação do pacote IP não corresponde aos dados. O campo de totlen do pacote IP ultrapassa o final do pacote. Tabela 3-35 TCP Termo tcp.too-small tcp.bad-offset Descrição O pacote TCP é pequeno demais para conter um cabeçalho válido. O deslocamento de dados do pacote TCP ultrapassa o final do pacote. McAfee Enterprise Security Manager Guia de produto 149

150 3 Configuração do ESM Configuração de dispositivos Tabela 3-35 TCP (continuação) Termo tcp.unexpected-fin tcp.unexpected-syn tcp.duplicate-ack tcp.segment-outsidewindow Descrição Sinalizador FIN de TCP definido em estado não estabelecido. Sinalizador SYN de TCP definido em estado estabelecido. Dados de ACKs do pacote TCP que já foram confirmados. O pacote TCP está fora da janela (janela menor do módulo TCP, não a janela real). tcp.urgent-nonzero-withouturg- flag O campo de urgência TCP é diferente de zero, mas o sinalizador URG não foi definido. Tabela 3-36 DNS Termo dns.too-small dns.question-name-past-end dns.answer-name-past-end dns.ipv4-address-length-wrong dns.answer-circular-reference Descrição O pacote DNS é pequeno demais para conter um cabeçalho válido. O nome da pergunta DNS ultrapassa o final do pacote. O nome da resposta DNS ultrapassa o final do pacote. Endereço IPv4 da resposta DNS não tem 4 bytes de comprimento. A resposta DNS contém referência circular. Configurações do Database Event Monitor (DEM) O McAfee Database Event Monitor (DEM) consolida a atividade de banco de dados em um repositório de auditoria central e fornece normalização, correlação, análise e geração de relatórios dessa atividade. Se a atividade do servidor de banco de dados ou rede coincidir com padrões conhecidos que indiquem acesso de dados maliciosos, o DEM gerará um alerta. Além disso, todas as transações serão registradas em log para serem usadas na conformidade. O DEM permite gerenciar, editar e ajustar regras de monitoramento de banco de dados na mesma interface que fornece análise e geração de relatórios. Você pode ajustar perfis de monitoramento de banco de dados específicos facilmente (as regras que serão impostas, as transações que serão registradas em log), reduzindo os falsos positivos e melhorando a segurança como um todo. O DEM faz auditoria de forma não invasiva das interações dos seus usuários e aplicativos com os seus bancos de dados, monitorando pacotes de rede semelhantes a sistemas de detecção de intrusão. Para que você possa monitorar toda a atividade de servidor de banco de dados na rede, coordene a distribuição inicial do DEM com as suas equipes de rede, segurança, conformidade e bancos de dados. Suas equipes de rede usam portas de expansão em switches, taps (derivações) de rede ou hubs para replicar tráfego de banco de dados. Esse processo permite que você escute ou monitore o tráfego em seus servidores de banco de dados e crie um log de auditoria. Visite o site da McAfee para obter informações sobre versões e plataformas de servidor de banco de dados compatíveis. Sistema operacional Banco de dados Appliance do DEM Windows (todas as versões) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008, 2012 Windows, UNIX/Linux (todas as versões) Oracle² Oracle 8.x, 9.x, 10 g, 11 g (c), 11 g R2³ 150 McAfee Enterprise Security Manager Guia de produto

151 Configuração do ESM Configuração de dispositivos 3 Sistema operacional Banco de dados Appliance do DEM Windows, UNIX/Linux (todas as versões) Sybase 11.x, 12.x, 15.x DB2 8.x, 9.x, 10.x Informix (disponível na versão e versões posteriores) 11.5 MySQL Sim, 4.x, 5.x, 6.x PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x Teradata 12.x, 13.x, 14.x Cache do InterSystems x UNIX/Linux (todas as versões) Greenplum Vertica Mainframe DB2/zOS Todas as versões AS400 DB2 Todas as versões 1 A compatibilidade da descriptografia de pacote com o Microsoft SQL Server está disponível na versão e versões posteriores. 2 A compatibilidade com a descriptografia de pacote com a Oracle está disponível na versão e versões posteriores. 3 O Oracle 11 g está disponível na versão e versões posteriores. As informações a seguir se aplicam a esses servidores e versões: Há compatibilidade com versões de 32 bits e 64 bits de sistemas operacionais e plataformas de banco de dados. O MySQL é compatível somente com plataformas Windows de 32 bits. A descriptografia de pacote é compatível com MSSQL e Oracle. Atualizar licença do DEM O DEM é enviado com uma licença padrão. Se você alterar os recursos do DEM, a McAfee enviará uma nova licença em uma mensagem de e você precisa atualizá-la. 1 Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Configuração do DEM. 2 Clique em Licença Atualizar licença, cole as informações enviadas para você pela McAfee no campo. 3 Clique em OK. O sistema atualiza a licença e informa quando está concluído. 4 Distribuir a política para o DEM. Sincronizar arquivos de configuração DEM Quando os arquivos de configuração DEM estão fora de sincronia com o dispositivo DEM, você precisa gravar os arquivos de configuração no DEM. McAfee Enterprise Security Manager Guia de produto 151

152 3 Configuração do ESM Configuração de dispositivos 1 Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Configuração do DEM. 2 Clique em Arquivos de sincronização. Uma mensagem exibe o status da sincronização. Definir configurações avançadas do DEM Essas configurações avançadas alteram ou aumentam o desempenho do DEM. 1 Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Configuração do DEM. 2 Clique em Avançada e defina as configurações ou desmarque as opções se começar a experimentar uma carga pesada no DEM. 3 Clique em OK. Aplique as configurações do DEM As alterações feitas nas configurações do DEM precisam ser aplicadas ao DEM. Se você não aplicar alguma alteração de configurações, a opção Aplicar na Configuração do DEM permite que você faça isso em todas as configurações do DEM. 1 Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Configuração do DEM. 2 Clique em Aplicar. Uma mensagem informa quando as configurações forem gravadas no DEM. Definição de ações para eventos do DEM As configurações do Gerenciamento de ações no DEM definem ações e operações para eventos, que são usadas nas regras de filtragem e na política de acesso a dados do DEM. Você pode adicionar regras personalizadas e definir Operação nas ações padrão e personalizada. O DEM vem com ações padrão, que você pode ver clicando em Editar global na página Gerenciamento de ações e com estas operações padrão: nenhuma scripts ignorar redefinir descartar Se você selecionar Script como a operação, um nome de alias (SCRIPT ALIAS) será necessário, apontando para o script (SCRIPT NAME) que precisa ser executado quando o evento crítico acontecer. O script passa por duas variáveis de ambiente, ALERT_EVENT e ALERT_REASON. ALERT_EVENT contém uma lista de métricas separada por dois pontos. O DEM oferece um script bash de amostra / home/auditprobe/conf/sample/process_alerts.bash para demonstrar como a ação crítica pode ser capturada em um script. 152 McAfee Enterprise Security Manager Guia de produto

153 Configuração do ESM Configuração de dispositivos 3 Ao trabalhar com ações e operações, tenha isso em mente: Ações são listadas em ordem de prioridade. Um evento não age enviando uma interceptação ou página SNMP a não ser que você especifique isso como a ação de alerta. Quando uma regra se qualifica para mais de um nível de alerta, somente o nível mais alto de alerta é acionável. Eventos são gravados em um arquivo de eventos, independentemente da ação. A única exceção é uma operação de Descarte. Adicionar uma ação do DEM Se você adicionar uma ação ao gerenciamento de ações do DEM, ela aparecerá na lista de ações disponíveis de uma regra do DEM no Editor de políticas. Você poderá selecioná-la como a ação de uma regra. 1 Na árvore de navegação do sistema, clique no ícone Editor de políticas e clique em Ferramentas Gerenciador de ações do DEM. A página Gerenciamento de ações do DEM lista as ações existentes na ordem de prioridade. Não é possível alterar a ordem de prioridade das ações padrão. 2 Clique em Adicionar e insira um nome e uma descrição para a ação. Não é possível excluir uma ação personalizada depois que ela é adicionada. 3 Clique em OK. A nova ação será adicionada à lista de Gerenciamento de ações do DEM. A operação padrão de uma ação personalizada é Nenhum. Para alterar essa configuração, consulte Definir a operação de uma ação do DEM. Editar uma ação personalizada do DEM Depois de ter adicionado uma ação à lista de gerenciamento de ações do DEM, poderá ser necessário editar o nome ou alterar a prioridade dela. 1 Na árvore de navegação do sistema, clique no ícone Editor de políticas e clique em Ferramentas Gerenciador de ações do DEM. 2 Clique na ação personalizada que você precisa alterar e siga um destes procedimentos: Para alterar a ordem de prioridade, clique nas setas para cima ou para baixo até que esteja na posição correta. Para alterar o nome ou a descrição, clique em Editar. 3 Clique em OK para salvar suas configurações. McAfee Enterprise Security Manager Guia de produto 153

154 3 Configuração do ESM Configuração de dispositivos Definir a operação para uma ação DEM Todas as ações de regra tem uma operação padrão. Quando você adiciona uma ação DEM personalizada, a operação padrão é Nenhuma. Você pode alterar a operação de qualquer ação para Ignorar, Descartar, Script ou Redefinir. 1 Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Gerenciamento de ação. 2 Destaque a ação que deseja editar e clique em Editar. 3 Selecione uma operação e clique em OK. Trabalhar com máscaras de dados confidenciais As máscaras de dados confidenciais impedem a exibição não autorizada de dados confidenciais que possam estar presentes no registro do evento, substituindo esses dados por uma cadeia genérica, chamada de máscara. Três máscaras de dados confidenciais padrão são adicionadas ao banco de dados do ESM quando você adiciona um dispositivo DEM ao sistema, mas você pode adicionar novos e editar ou remover existentes. Há três máscaras padrão: Nome da máscara confidencial: máscara de número de cartão de crédito Expressão: ((4\d{3}) (5[1-5]\d{2}) (6011))-?\d{4}-?\d{4}-?\d{4} 3[4,7]\d{13} Índice de subcadeia: \0 Padrão de máscara: ####-####-####-#### Nome de máscara confidencial: mascarar os 5 primeiros caracteres do número do seguro social Expressão: (\d\d\d-\d\d)-\d\d\d\d Índice de subcadeia: \1 Padrão de máscara: ###-## Nome de máscara confidencial: mascarar a senha de usuário na instrução SQL Expressão: create\s+user\s+(\w+)\s+identified\s+by\s+(\w+) Índice de subcadeia: \2 Padrão de máscara: ******** Gerenciar máscaras de dados confidenciais Para proteger as informações confidenciais inseridas no sistema, você pode adicionar máscaras de dados confidenciais e editar ou remover as existentes. 1 Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Máscaras de dados confidenciais. 2 Selecione uma opção e insira as informações necessárias. 3 Clique em OK e clique em Gravar para adicionar as configurações no DEM. 154 McAfee Enterprise Security Manager Guia de produto

155 Configuração do ESM Configuração de dispositivos 3 Gerenciamento da identificação do usuário Grande parte da segurança está baseada em um princípio simples de que os usuários precisam ser identificados e diferenciados uns dos outros. Ainda assim, nomes de usuário genéricos frequentemente são usados para acessar o banco de dados. O gerenciamento do identificador oferece uma forma de capturar o nome do usuário real, se ele existe em qualquer lugar da consulta, usando padrões REGEX. Os aplicativos podem ser manipulados de forma relativamente fácil para se aproveitarem desse recurso de segurança. Duas regras de identificador definidas são adicionadas ao banco de dados do ESM quando você adiciona um dispositivo DEM ao sistema. Nome da regra do identificador: obter o nome do usuário na instrução SQL Expressão: select\s+username=(\w+) Aplicativo: Oracle Índice de subcadeia: \1 Nome da regra do identificador: obter o nome do usuário no procedimento armazenado Expressão: Aplicativo: MSSQL Índice de subcadeia: \2 A correlação de usuário avançado é possível pela correlação do DEM, do aplicativo, do servidor Web, do sistema e dos registros de identidade de gerenciamento de acesso no ESM. Adicionar uma regra do identificador de usuário Para associar as consultas do banco de dados aos indivíduos, você pode usar as regras do identificador do usuário existentes ou adicionar uma nova regra. 1 Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Gerenciamento de identificador. 2 Clique em Adicionar e insira as informações solicitadas. 3 Clique em OK e clique em Gravar para gravar as configurações no DEM. Sobre servidores de banco de dados Os servidores de banco de dados monitoram a atividade do banco de dados. Se a atividade em um servidor de banco de dados corresponder a um padrão conhecido que indique o acesso de dados maliciosos, um alerta será gerado. Cada DEM pode monitorar um máximo de 255 servidores de banco de dados. No momento, o DEM é compatível com os seguintes servidores e versões de banco de dados. Sistema operacional Banco de dados Appliance do DEM Windows (todas as versões) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008, 2012 Windows, UNIX/Linux (todas as versões) Oracle² Oracle 8.x, 9.x, 10g, 11g³, 11g R2 Sybase 11.x, 12.x, 15.x McAfee Enterprise Security Manager Guia de produto 155

156 3 Configuração do ESM Configuração de dispositivos Sistema operacional Banco de dados Appliance do DEM DB2 8.x, 9.x, 10.x Informix (consulte a nota 4) 11.5 MySQL Sim, 4.x, 5.x, 6.x PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x Teradata 12.x, 13.x, 14.x Cache do InterSystem x UNIX/Linux (todas as versões) Greenplum Vertica Mainframe DB2/zOS Todas as versões AS 400 DB2 Todas as versões 1 A compatibilidade da descriptografia de pacote com o Microsoft SQL Server está disponível nas versões e versões posteriores. 2 A compatibilidade com a descriptografia de pacote com a Oracle está disponível nas versões e versões posteriores. 3 O Oracle 11g está disponível na versão e versões posteriores. 4 A compatibilidade com Informix está disponível na versão e versões posteriores. Há compatibilidade com versões de 32 bits e 64 bits de sistemas operacionais e plataformas de banco de dados. O MySQL é compatível somente com plataformas Windows de 32 bits. A descriptografia de pacote é compatível com MSSQL e Oracle. Gerenciar servidores de banco de dados A página Servidor de banco de dados é o ponto inicial para o gerenciamento das configurações de todos os servidores de bancos de dados de seu dispositivo DEM. 1 Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Servidores de banco de dados. 2 Selecione uma das opções disponíveis. 3 Clique em OK. Gerenciar notificações de descoberta do banco de dados O DEM tem um recurso de detecção de banco de dados que oferece uma lista de exceção de servidores de banco de dados que não estão sendo monitorados. Isso permite que um administrador de segurança descubra novos servidores de bancos de dados adicionados ao ambiente e portas de ouvinte ilegais abertas para acessar dados dos bancos de dados. Quando essa opção está ativada, você recebe uma notificação de alerta que aparece na exibição Análise de evento. Você então pode escolher se quer adicionar o servidor aos que estão sendo monitorados em seu sistema. 156 McAfee Enterprise Security Manager Guia de produto

157 Configuração do ESM Configuração de dispositivos 3 1 Na árvore de navegação do sistema, selecione Propriedades do DEM e clique em Servidores de banco de dados Ativar. Você será notificado quando estiver ativado. 2 Clique em OK para fechar as Propriedades do DEM. 3 Para exibir as notificações, clique no dispositivo DEM na árvore de navegação do sistema e selecione Exibições de eventos Análise de eventos. 4 Para adicionar o servidor a seu sistema, selecione a exibição Análise de eventos e clique no ícone Menu e selecione Adicionar servidor. Configurações do DESM (ESM distribuído) O DESM (ESM distribuído) fornece uma arquitetura distribuída que permite a um ESM pai se conectar e reunir dados de até 100 dispositivos. O pai efetua pull de dados do dispositivo com base em filtros definidos por você. Além disso, você pode fazer uma busca detalhada dos dados que se originaram e permanecem no ESM do dispositivo. O DESM deve aprovar o ESM pai para permitir que ele efetue pull de eventos. O pai pode definir filtros, sincronizar origens de dados e enviar seus tipos personalizados por push. Ele somente pode obter regras ou eventos do DESM quando for aprovado. Se você entrar com direitos de administrador no DESM, será exibida esta notificação: Este ESM foi adicionado como um ESM distribuído em outro servidor. Aguardando aprovação para se conectar." Ao clicar em Aprovar ESMs hierárquicos, você pode selecionar o tipo de comunicação que o ESM pai pode ter com o DESM. O ESM pai não gerencia dispositivos que pertencem ao ESM do dispositivo. O ESM pai mostra a Árvore de sistemas do ESM do dispositivo com a qual está diretamente conectado. Ele não efetua pull de eventos do ESM filho dos dispositivos nem os exibe. Barras de ferramentas estão desativadas para todos os filhos do DESM. O pai não gerencia dados que residem no ESM do dispositivo. Em vez disso, um subconjunto do dispositivo dos dados do ESM é transferido e armazenado no ESM pai, com base nos filtros que você definir. Adicionar filtros DESM Os dados transferidos do ESM do dispositivo para o DESM pai dependem de filtros definidos pelo usuário. Salvar esses filtros equivale a aplicar o filtro no ESM do dispositivo para que os hashes ou conjuntos de bits possam ser gerados. Como o objetivo do recurso DESM é permitir a reunião de dados específicos do ESM do dispositivo (e não TODOS os dados), você deve definir filtros para os dados que serão recuperados pelo ESM do dispositivo. 1 Na árvore de navegação do sistema, selecione Propriedades do DESM e clique em Filtros. 2 Insira os dados solicitados e clique em OK. McAfee Enterprise Security Manager Guia de produto 157

158 3 Configuração do ESM Configuração de dispositivos Configurações do epolicy Orchestrator É possível adicionar um dispositivo do epolicy Orchestrator ao ESM, com seus aplicativos listados como filhos na árvore de navegação do sistema. Depois de ter se autenticado, você poderá acessar algumas funções do ESM e atribuir marcas do epolicy Orchestrator a endereços IP de origem ou destino diretamente e a eventos gerados por alarmes. É necessário associar o epolicy Orchestrator a um Receiver porque o pull dos eventos é efetuado a partir do Receiver, não do epolicy Orchestrator. Você deve ter privilégios de leitura no banco de dados mestre e no banco de dados do epolicy Orchestrator para usar o epolicy Orchestrator. Se o dispositivo do McAfee epo tiver um servidor McAfee Threat Intelligence Exchange (TIE), ele será adicionado automaticamente quando você adicionar o dispositivo McAfee epo ao ESM (consulte Integração do Threat Intelligence Exchange). Iniciar o epolicy Orchestrator Se você tiver um dispositivo ou uma origem de dados do epolicy Orchestrator no ESM e o endereço IP do epolicy Orchestrator na Rede local, poderá iniciar a interface do epolicy Orchestrator no ESM. Antes de iniciar Adicione um dispositivo ou uma origem de dados do epolicy Orchestrator ao ESM. Esse recurso está disponível no epolicy Orchestrator 4.6 e versões posteriores. 1 Selecione uma exibição na árvore de navegação de sistemas. 2 Selecione um resultado de um componente do gráfico de barra, lista, pizza ou tabela que retorna dados de IPs de origem e de destino. 3 No menu do componente, clique em Ação Iniciar o epo. Se você tiver somente um dispositivo ou uma origem de dados do epolicy Orchestrator no sistema e tiver selecionado um IP de origem ou um IP de destino na etapa 1, o epolicy Orchestrator será iniciado. Se você tiver mais de um dispositivo ou uma origem de dados do epolicy Orchestrator no sistema, selecione o dispositivo que deseja acessar, e o epolicy Orchestrator será iniciado. Se você selecionou um evento ou fluxo em um componente de tabela na etapa 1, escolha se deseja acessar o endereço IP de origem ou de destino, e o epolicy Orchestrator será iniciado. Autenticação do dispositivo McAfee epo A autenticação é necessária para usar a marcação ou as ações do McAfee epo ou do McAfee Real Time for McAfee epo. Há dois tipos de autenticação: 158 McAfee Enterprise Security Manager Guia de produto

159 Configuração do ESM Configuração de dispositivos 3 Conta global individual Se você pertencer a um grupo com acesso ao dispositivo do McAfee epo, poderá usar esses recursos depois de inserir as credenciais globais. Separar conta para cada dispositivo por usuário Você precisa de privilégios para exibir o dispositivo na árvore de dispositivos. Quando você usar ações, marcas ou o McAfee Real Time for McAfee epo, use o método selecionado de autenticação. Se as credenciais não forem encontradas ou forem inválidas, você será solicitado a inserir credenciais válidas, que deverão ser salvas para futura comunicação com o dispositivo. Relatórios em execução, enriquecimento de dados e listas de observação dinâmicas em segundo plano por meio do McAfee Real Time for McAfee epo usam as credenciais do McAfee epo originalmente fornecidas. Configuração de autenticação de conta separada A autenticação de conta global é a configuração padrão. Há duas etapas a serem realizadas para configurar a autenticação de conta separada. 1 Verifique se a opção Requer autenticação do usuário está selecionada ao adicionar o dispositivo do McAfee epo ao ESM ou ao definir suas configurações de conexão (consulte Adicionar dispositivos ao console do ESM ou Alterar a conexão com o ESM). 2 Insira suas credenciais na página Opções (consulte Adicionar credenciais de autenticação do McAfee epo). Adicionar credenciais de autenticação do McAfee epo Antes de usar as marcações ou ações do McAfee epo ou o McAfee Real Time for McAfee epo, é necessário adicionar as credenciais de autenticação ao ESM. Antes de iniciar Instale o dispositivo do McAfee epo no ESM (consulte Adicionar dispositivos ao console do ESM). Contate o administrador do sistema se não tiver o nome do usuário e a senha para acessar o dispositivo. 1 Na barra de navegação do sistema do console do ESM, clique em opções e em Credenciais do epo. 2 Clique no dispositivo e em Editar. 3 Fornece o nome do usuário e a senha, e clique em Testar conexão. 4 Clique em OK. Atribuir marcas do epolicy Orchestrator ao endereço IP A guia Marcação do epo lista as marcas disponíveis. Você poderá atribuir marcas a eventos gerados por um alarme e exibi-las, se um alarme tiver marcas do epolicy Orchestrator. Além disso, poderá selecionar uma ou mais marcas na página e aplicá-las a um endereço IP. Para acessar a funcionalidade de marcação, é necessário ter as permissões Aplicar, excluir e limpar marcas e Agentes de ativação; exibir Log de atividades do agente no epolicy Orchestrator. McAfee Enterprise Security Manager Guia de produto 159

160 3 Configuração do ESM Configuração de dispositivos 1 Na árvore de navegação de sistemas, selecione Propriedades de epo e clique em Marcação. 2 Forneça as informações solicitadas e clique em Atribuir. As marcas selecionadas são aplicadas ao endereço IP. Aquisição de dados do McAfee Risk Advisor É possível especificar vários servidores epolicy Orchestrator dos quais serão obtidos os dados do McAfee Risk Advisor. Os dados são obtidos por meio de uma consulta no banco de dados do SQL Server do epolicy Orchestrator. A consulta do banco de dados gera uma lista de pontuação comparativa entre IP e reputação e fornece valores constantes para a reputação baixa e valores de reputação alta. Todas as listas de epolicy Orchestrator e McAfee Risk Advisor são mescladas, e os IPs duplicados obtêm a pontuação mais alta. Essa lista mesclada é enviada, com valores baixos e altos, para quaisquer dispositivos do ACE usados para pontuar os campos SrcIP e DstIP. Quando você adiciona o epolicy Orchestrator, o sistema perguntará se deseja configurar os dados do McAfee Risk Advisor. Se você clicar em Sim, a origem de enriquecimento de dados e duas regras de pontuação ACE (se aplicável) serão criadas e implementadas. Para exibi-las, vá para as páginas Enriquecimento de dados e Pontuação de correlação de risco. Para usar as regras de pontuação, é necessário criar um gerenciador de correlação de risco. Ativar a aquisição de dados do McAfee Risk Advisor Quando você ativa a aquisição de dados do McAfee Risk Advisor no epolicy Orchestrator, é gerada uma lista de pontuação e enviada a qualquer dispositivo do ACE que seja usado para pontuar os campos SrcIP e DstIP. 1 Na árvore de navegação do sistema, selecione Propriedades de epo Gerenciamento de dispositivose clique em Ativar. Você será informado quando a aquisição for ativada. 2 Clique em OK. Realizar ações do McAfee Real Time for McAfee epo Execute ações do McAfee Real Time for McAfee epo nos resultados de uma pergunta do ESM e do componente que contêm um endereço IP na exibição. Antes de iniciar Crie e execute uma pergunta do McAfee Real Time for McAfee epo (consulte Dashboard de consulta do McAfee epo para McAfee Real Time for McAfee epo). 160 McAfee Enterprise Security Manager Guia de produto

161 Configuração do ESM Configuração de dispositivos 3 1 No console do ESM, clique no ícone de menu em um componente de exibição que mostre os resultados de uma pergunta do McAfee Real Time for McAfee epo. 2 Destaque Ações e clique em Ações do Real Time for epo. 3 Na guia Dispositivos, selecione os dispositivos do McAfee epo nos quais realizará a ação. 4 Na guia Ações, clique em uma ação na lista de ações disponíveis para os dispositivos selecionados. 5 Na guia Filtros, especifique um conjunto de filtros para aplicar à pergunta e clique em Finalizar. Os filtros não estão disponíveis nos componentes ou no dashboard do McAfee epo. Integração do Threat Intelligence Exchange O Threat Intelligence Exchange verifica a reputação de programas executáveis em terminais conectados a esses arquivos. Quando o dispositivo McAfee epo é adicionado ao ESM, o sistema detecta automaticamente se um servidor Threat Intelligence Exchange está conectado ao dispositivo. Se estiver, o ESM começa a escutar os eventos de log e DXL. Quando o servidor Threat Intelligence Exchange é detectado, as listas de observação do Threat Intelligence Exchange, enriquecimento de dados e regras de correlação são adicionadas automaticamente, e os alarmes do Threat Intelligence Exchange são ativados. Você receberá uma notificação visual, que inclui um link para o resumo de alterações feitas. Você também receberá notificação se o servidor Threat Intelligence Exchange for adicionado ao servidor McAfee epo depois que o dispositivo tiver sido adicionado ao ESM. Quando os eventos do Threat Intelligence Exchange forem gerados, você poderá exibir seu histórico de execução (consulte Exibir histórico de execução do Threat Intelligence Exchange e ações de configuração) e selecione as ações que você deseja realizar para os dados maliciosos. Regras de correlação Seis regras de correlação são otimizadas para dados do Threat Intelligence Exchange. Elas geram eventos que você pode pesquisar e classificar. TIE Reputação do GTI alterada de boa para má TIE Arquivo malicioso (SHA-1) encontrado em um número cada vez maior de hosts TIE Nome do arquivo malicioso encontrado em um número cada vez maior de hosts TIE Vários arquivos maliciosos encontrados em um único host TIE Reputação do TIE alterada de boa para má TIE Aumento de arquivos maliciosos encontrados em todos os hosts McAfee Enterprise Security Manager Guia de produto 161

162 3 Configuração do ESM Configuração de dispositivos Alarmes O ESM tem dois alarmes que podem ser disparados quando eventos importantes do Threat Intelligence Exchange são detectados. Limite de arquivos incorretos do TIE excedido é disparado a partir da regra de correlação TIE Arquivo malicioso (SHA-1) encontrado em um número cada vez maior de hosts. Arquivo desconhecido do TIE executado é disparado a partir de um evento do TIE específico e adiciona informações à lista de observação IPs de origem de dados do TIE. Lista de observação A lista de observação IPs de origem de dados do TIE mantém uma lista de sistemas que dispararam o alarme Arquivo desconhecido do TIE executado. É uma lista de observação estática sem expiração. Histórico de execução do Threat Intelligence Exchange Você pode exibir o histórico de execução de qualquer evento do Threat Intelligence Exchange (consulte Exibir histórico de execução do Threat Intelligence Exchange e ações de configuração), como uma lista dos endereços IP que tentaram executar o arquivo. Nessa página, você pode selecionar um item e realizar uma destas ações: Criar uma nova lista de observação. Adicionar as informações a uma lista negra. Anexar as informações a uma lista de observação. Exportar as informações para um arquivo.csv. Criar um novo alarme. Exibir histórico de execução do Threat Intelligence Exchange e ações de configuração A página do histórico de execução do Threat Intelligence Exchange exibe uma lista de sistemas que executaram o arquivo associado ao evento selecionado por você. Antes de iniciar Deve haver um dispositivo do epolicy Orchestrator com um servidor Threat Intelligence Exchange no ESM. 1 Na árvore de navegação do sistema do console do ESM, clique no dispositivo do epolicy Orchestrator. 2 Na lista de suspensa de exibições, selecione Exibições de eventos Análise de evento e clique no evento. 3 Clique no ícone do menu e selecione Ações Histórico de execução do TIE. 4 Na página Histórico de execução do TIE, exiba os sistemas que executaram o arquivo do Threat Intelligence Exchange. 5 Para adicionar esses dados ao seu fluxo de trabalho, clique em um sistema e no menu suspenso Ações e selecione uma opção para abrir sua página do ESM. 6 Configure a ação que tiver selecionado (consulte a Ajuda online para obter instruções). 162 McAfee Enterprise Security Manager Guia de produto

163 Configuração do ESM Configuração de dispositivos 3 Consultar dispositivos do McAfee epo sobre um relatório ou uma exibição Você pode consultar vários dispositivos do McAfee epo sobre um relatório ou uma exibição se eles estiverem integrados ao McAfee Real Time for McAfee epo. Antes de iniciar Verifique se os dispositivos do McAfee epo a serem consultados estão integrados ao McAfee Real Time for McAfee epo. 1 Na árvore de navegação do sistema, clique no sistema, clique no ícone Propriedades seguida clique em Relatórios. e, em 2 Clique em Adicionar, preencha as seções 1 a 4 e clique em Adicionar na seção 5. 3 No editor de Layout de relatório, arraste e solte um componente da Tabela, do Gráfico de barras ou do Gráfico de pizza. 4 No Assistente de consulta, selecione Real Time for McAfee epo na lista suspensa e selecione o elemento ou a pergunta para a consulta. 5 Clique em Avançar, clique em Dispositivos e selecione os dispositivos do McAfee epo para consulta. 6 (Opcional) Clique em Filtros, adicione valores de filtros para a consulta e clique em OK. 7 Se você tiver selecionado Pergunta personalizada do epo na lista suspensa, clique em Campos, selecione os elementos que deseja incluir na pergunta e clique em OK. 8 Clique em Finalizar para fechar o Assistente de consulta, defina as propriedades no painel Propriedades e salve o relatório. Consultar os dispositivo do McAfee epo sobre enriquecimento de dados Você pode consultar vários dispositivos do McAfee epo sobre enriquecimento de dados se eles estiverem integrados ao McAfee Real Time for McAfee epo. Antes de iniciar Verifique se os dispositivos do McAfee epo a serem consultados estão integrados ao McAfee Real Time for McAfee epo. 1 Na árvore de navegação do sistema, selecione o sistema, clique no ícone Propriedades em Enriquecimento de dados. e clique 2 Clique em Adicionar, digite um nome e selecione as opções desejadas na guia Principal. 3 Na guia Origem, selecione o McAfee Real Time for McAfee epo no campo Tipo e selecione os dispositivos no campo Dispositivo. 4 Defina as configurações restantes nas guias Consulta, Pontuação e Destino, e clique em Finalizar. McAfee Enterprise Security Manager Guia de produto 163

164 3 Configuração do ESM Configuração de dispositivos Consultar dispositivos McAfee epo no dashboard do McAfee Real Time for McAfee epo Você pode realizar uma consulta de vários dispositivos McAfee epo na exibição do dashboard do McAfee Real Time for McAfee epo. Antes de iniciar Verifique se os dispositivos McAfee epo a serem consultados estão integrados com o McAfee Real Time for McAfee epo. 1 Na árvore de navegação do sistema, clique nos dispositivos McAfee epo a serem consultados. 2 No console do ESM, clique na lista de exibições e selecione McAfee Real Time for McAfee epo. 3 Selecione os filtros no painel Filtros: a Na seção Elementos, clique no campo aberto e selecione os elementos para a consulta. b c Na seção Filtros, selecione o tipo de filtro e digite o filtro no campo aberto. Selecione a ação do filtro e digite o valor. 4 Clique no ícone Executar consulta. Configurações do Nitro Intrusion Prevention System (Nitro IPS) O dispositivo McAfee Nitro Intrusion Prevention System (Nitro IPS) detecta tentativas sofisticadas de intrusão na rede, registrando e impedindo-as ativamente. O dispositivo Nitro IPS inclui um gerenciador de dados incorporado (usado para administração, análise e aquisição de dados) e análise avançada de intrusões, como a detecção de anomalias. O dispositivo aprova, descarta e registra em log pacotes de forma seletiva e conforme eles chegam, com base em um conjunto de regras definidas pelo usuário que são especificadas pela linguagem de regras padrão do setor. Cada dispositivo Nitro IPS também contém um componente de firewall totalmente funcional controlado por regras de firewall padrão no setor, o que oferece recursos de inspeção de pacotes de baixo nível e um log do sistema padrão no setor. Assistente de detecção de anomalias A detecção de anomalias está acessível a qualquer IPS do Nitro ou dispositivo virtual, mas é útil somente para aqueles que coletam dados de fluxo. O Assistente de detecção de anomalias com base em taxa mostra uma lista com a descrição de todas as variáveis disponíveis no dispositivo selecionado. Algumas regras de firewall são baseadas em taxa. Uma regra com base em taxa é uma regra que dispara um alerta somente se o tráfego da rede exceder os limites definidos pelas variáveis de categoria de firewall no Editor de políticas. Os valores padrão para essas variáveis podem não fazer sentido para o tráfego da rede, por isso o Assistente de detecção de anomalias com base em taxa oferece a capacidade de analisar os gráficos dos dados de fluxo da rede, por ter relação com esses parâmetros. Então, você pode selecionar os valores padrão, especificar seu próprio valor ou preferir que o ESM analise os dados e tente fazer a estimativa mais próxima de quais devem ser esses valores com base no histórico do tráfego da rede. Cada rede é diferente, portanto recomendamos que você esteja familiarizado com o histórico de seu tráfego. Para isso, reveja os relatórios de análise visual e escolha os valores mais adequados às suas necessidades. 164 McAfee Enterprise Security Manager Guia de produto

165 Configuração do ESM Configuração de dispositivos 3 O assistente realiza muitos cálculos complexos a fim de chegar aos valores sugeridos para os parâmetros de anomalia com base em taxa e fornecer uma análise visual dos padrões de tráfego de sua rede. Caso seu IPS do Nitro, dispositivo virtual, seu Receptor e sua origem de dados tenham grande quantidade de dados de fluxo, o ideal é que você limite o intervalo de tempo usado nesses cálculos. Use a atividade de rede normal por alguns dias ou por uma semana como base para o cálculo desses valores. Usar um período mais longo pode fazer com que os cálculos demorem mais do que o desejado. Veja abaixo uma lista com as regras de firewall para anomalias com base em taxa e as variáveis que afetam sua operação: Regra Large inbound byte rate Large inbound bytes Large inbound network connections rate Large inbound packet rate Pacote de entrada grande Large outbound byte rate Variáveis LARGE_INBOUND_BYTE_RATE_LIMIT, LARGE_INBOUND_BYTE_RATE_SECONDS LARGE_INBOUND_BYTES_LIMIT LARGE_IB_CONN_RATE_BURST, LARGE_IB_CONN_RATE_LIMIT LARGE_INBOUND_PACKET_RATE_LIMIT, LARGE_INBOUND_PACKET_RATE_SECS LARGE_INBOUND_PACKETS_LIMIT LARGE_OUTBOUND_BYTE_RATE_LIMIT, LARGE_OUTBOUND_BYTE_RATE_SECONDS Large outbound network connection rate LARGE_OB_CONN_RATE_BURST, LARGE_OB_CONN_RATE_LIMIT Large outbound packet rate Large outbound packets Long connection duration Editar as variáveis de detecção de anomalias LARGE_OUTBOUND_PACKET_RATE_LIMIT, LARGE_OUTBOUND_PACKET_RATE_SECS LARGE_OUTBOUND_PACKETS_LIMIT LONG_DURATION_SECONDS O Assistente de detecção de anomalias com base em taxa lista as variáveis de detecção de anomalias e oferece diversas opções para você analisar os dados de detecção de anomalias com base em taxa. 1 Na árvore de navegação do sistema, selecione um IPS do Nitro ou um dispositivo virtual que colete dados de fluxo e clique no ícone Propriedades. 2 Clique em Editar no campo Assistente de detecção de anomalias. 3 Execute uma das funções disponíveis e clique em OK. Gerar um Relatório de análise O Relatório de análise fornece uma análise visual de diversos aspectos do tráfego de sua rede. Este relatório é útil para se ter uma ideia dos padrões do tráfego de sua rede, por meio de uma inspeção visual. Os dados coletados podem ajudá-lo a tomar decisões ao escolher os valores dos parâmetros de regras de anomalia com base em taxa. Para gerar um relatório, o dispositivo deve ter pelo menos fluxos gerados. McAfee Enterprise Security Manager Guia de produto 165

166 3 Configuração do ESM Configuração de dispositivos 1 Na árvore de navegação do sistema, selecione um IPS do Nitro que esteja coletando dados de fluxo e clique no ícone Propriedades. 2 Clique em Editar no campo Assistente de detecção de anomalias. 3 Clique em Análise Relatório de análisee selecione o intervalo de tempo e a variável para o relatório. 4 Clique em OK. O relatório será gerado. As escalas vertical e horizontal podem ser ampliadas ou reduzidas. Basta clicar e arrastar os ícones circulares nos eixos do gráfico, se houver. Acessar regras padrão e de firewall As regras são adicionadas e mantidas no Editor de políticas. No entanto, é possível ler, gravar, exibir, exportar e importar regras padrão e de firewall a partir do IPS ou dos dispositivos virtuais do IPS. As regras não devem ser mantidas regularmente a partir dessa página. Alterar as regras desse modo faz com que as configurações de políticas de dispositivos fiquem dessincronizadas com as configurações do Editor de políticas. 1 Na árvore de navegação do sistema, selecione Propriedades de IPS e clique em Regras de firewall ou em Regras padrão. 2 Selecione uma das opções e clique em OK. Lista negra do IPS ou dispositivo virtual A lista negra bloqueia o fluxo de tráfego no dispositivo antes que ele seja analisado pelo mecanismo de inspeção profunda de pacote. Com o Editor de lista negra, é possível gerenciar manualmente as configurações de origens bloqueadas, destinos bloqueados e configurações de exclusão do dispositivo. Também é possível selecionar se o dispositivo ficará ou não sujeito às configurações da Lista negra global. A caixa de seleção Incluir lista negra global na parte superior do editor deve estar selecionada caso você deseje que o dispositivo inclua essas configurações. A página Editor de lista negra inclui três guias: Origens bloqueadas Corresponde ao endereço IP de origem do tráfego que passa pelo dispositivo. Destinos bloqueados Corresponde ao endereço IP de destino do tráfego que passa pelo dispositivo. Exclusões Fornece imunidade contra adição automática em qualquer uma das listas negras. Endereços IP críticos (por exemplo, servidor DNS e outros, ou estações de trabalho do administrador do sistema) podem ser adicionados às exclusões para garantir que nunca sejam colocados automaticamente na lista negra, independente de quais eventos possam gerar. As entradas nas guias Origens bloqueadas e Destinos bloqueados podem ser configuradas para restringir o efeito da lista negra em uma porta de destino específica. 166 McAfee Enterprise Security Manager Guia de produto

167 Configuração do ESM Configuração de dispositivos 3 Os hosts também podem ser adicionados ou removidos manualmente da lista negra. Quando uma das guias do Editor de lista negra está selecionada, é possível adicionar ou modificar uma entrada. Entre os campos que requerem a inclusão de uma entrada, estão: Endereço IP, Porta (versão 6.2.x e versões posteriores) e Duração (permanente ou temporária). Há também o campo opcional Descrição. Ao adicionar entradas, lembre-se de que: As opções Adicionar e Modificar são ativadas com base nas informações que você altera. Quando você altera um endereço IP ou porta, a opção Adicionar é ativada. Se você alterar a duração ou a descrição, a opção Modificar será ativada. As entradas nas listas Origens bloqueadas e Destinos bloqueados podem ser configuradas para incluir na lista negra em todas as portas ou uma porta específica. As entradas que usam um intervalo de endereços IP com máscara devem ser configuradas com a porta definida para qualquer (0) e a duração deve ser permanente. As entradas devem ser adicionadas de modo temporário (especificado em minutos, horas ou dias) ou permanente. No entanto, as entradas adicionadas em Exclusões devem ser permanentes. Embora essas listas requeiram um formato de endereço IP, há uma ferramenta incluída que ajuda a dar significado a esses endereços. Após a inserção de um endereço IP ou nome de host no campo Endereço IP, o botão ao lado do controle terá as opções Resolver ou Pesquisar, com base no valor inserido. Selecionar Resolver resolverá o nome de host inserido e preencherá o campo Endereço IP com essas informações, além de mover o nome de host para o campo Descrição. Selecionar Pesquisar fará uma pesquisa no endereço IP e preencherá o campo Descrição com os resultados da pesquisa. Alguns sites têm mais de um endereço IP, ou têm endereços IP que nem sempre são os mesmos; portanto, não confie na ferramenta para garantir o bloqueio de alguns sites. Você pode selecionar o endereço IP na lista e exibir os eventos gerados por eles em um relatório de resumo. Isso permite que você veja os eventos disparados por infratores, eventos adicionados à lista negra, ou outros ataques que os infratores possam ter provocado antes de serem colocados na lista negra. O Editor de lista negra também permite aplicar, recarregar e remover eventos. Gerenciar a lista negra do IPS Você poderá gerenciar a lista negra do IPS no Editor de lista negra. É possível adicionar, modificar ou excluir itens, gravar alterações na lista negra, ler informações novas e atualizadas a partir do dispositivo, exibir eventos gerados pelos endereços IP infratores e pesquisar ou resolver um nome do host ou endereço IP. 1 Na árvore de navegação do sistema, selecione Propriedades de IPS e clique em Lista negra Editor. 2 Selecione a guia Origens bloqueadas, Destinos bloqueados ou Exclusões. 3 Execute as ações necessárias e clique em Fechar. Configurar inclusão automática na lista negra A página Configurações de inclusão automática na lista negra permite gerenciar as configurações de inclusão automática na lista negra para esse dispositivo. As configurações de inclusão automática na lista negra são executadas com base no dispositivo. McAfee Enterprise Security Manager Guia de produto 167

168 3 Configuração do ESM Configuração de dispositivos 1 Na árvore de navegação do sistema, selecione Propriedades de IPS e clique em Lista negra Configurações. 2 Defina as configurações conforme o necessário e clique em OK. Configurações do McAfee Vulnerability Manager O McAfee Vulnerability Manager pode ser adicionado ao ESM como um dispositivo, permitindo que você inicie uma varredura no McAfee Vulnerability Manager a partir do ESM. Isso pode ser útil caso você tenha comprado um dispositivo McAfee Vulnerability Manager e queira executá-lo a partir do ESM. O McAfee Vulnerability Manager deve estar associado a um Receptor, pois o pull de eventos é efetuado a partir do Receptor e não do McAfee Vulnerability Manager. Obter certificado e senha do McAfee Vulnerability Manager Você deve obter o certificado e a senha do McAfee Vulnerability Manager antes de configurar as conexões de McAfee Vulnerability Manager. Essa tarefa não é executada no ESM. 1 No servidor que está executando o Foundstone Certificate Manager, execute o Foundstone Certificate Manager.exe. 2 Clique na guia Criar certificados SSL. 3 No campo Endereço de host, digite o nome do host ou o endereço IP do sistema que hospeda a interface da Web para o McAfee Vulnerability Manager e clique em Resolver. 4 Clique em Criar certificado usando Nome Comum para gerar a senha e um arquivo zip. 5 Faça upload do arquivo zip e copie a senha gerada. Executar varreduras do McAfee Vulnerability Manager A página Varreduras exibe todas as varreduras de vulnerabilidade que estão sendo executadas ou foram executadas a partir do McAfee Vulnerability Manager, bem como seus status. Quando você abrir essa página, um API verificará se há credenciais padrão de login da Web. Se houver, a lista de varreduras é preenchida com base nas credenciais e atualizada a cada 60 segundos. Você também pode iniciar uma nova varredura a partir dessa página. 1 Na árvore de navegação do sistema, selecione Propriedades do MVM e clique em Varreduras. 2 Clique em Nova varredura e insira as informações solicitadas. 3 Clique em OK. Quando a varredura estiver finalizada, ela será adicionada à lista de varreduras. 168 McAfee Enterprise Security Manager Guia de produto

169 Configuração do ESM Configuração de dispositivos 3 Configurar a conexão do McAfee Vulnerability Manager Você deve configurar as conexões do McAfee Vulnerability Manager com o banco de dados para efetuar pull dos dados de avaliação de vulnerabilidade a partir do McAfee Vulnerability Manager, e com a interface de usuário da Web para executar varreduras no McAfee Vulnerability Manager. Antes de iniciar Você deve obter o certificado e a senha do McAfee Vulnerability Manager A alteração dessas configurações não afeta o dispositivo. Afeta somente o modo como o dispositivo se comunica com o ESM. 1 Na árvore de navegação do sistema, selecione Propriedades do MVM e clique em Conexão. 2 Preencha as informações solicitadas e clique em OK. Configurações do McAfee Network Security Manager O McAfee Network Security Manager pode ser adicionado ao ESM como um dispositivo, permitindo que você acesse as funções a partir do ESM. Esse recurso é útil se você tiver comprado um dispositivo e desejar acessá-lo a partir do ESM. Ao adicionar um dispositivo do McAfee Network Security Manager ao ESM, os sensores do dispositivo serão listados como filhos do dispositivo na árvore de navegação do sistema. O dispositivo deve estar associado a um Receptor, pois o pull de eventos é efetuado a partir do Receptor, e não do McAfee Network Security Manager. Adicionar uma entrada à lista negra O McAfee Network Security Manager aplica a lista negra por meio de sensores. A página Lista negra exibe as entradas da lista negra que foram definidas para o sensor selecionado. Nessa página, é possível adicionar, editar e excluir itens da lista negra. Você deve ser superusuário para utilizar a função de lista negra. 1 Na árvore de navegação do sistema, selecione Propriedades de NSM, clique em Lista negra e selecione um sensor. 2 Para aplicar as entradas da lista negra global ao sensor, selecione Incluir lista negra global. O item de lista negra global será adicionado à lista. Caso haja endereços IP duplicados, o endereço da lista negra global sobrescreverá o endereço do McAfee Network Security Manager. Se você selecionar essa opção, não poderá desfazer a ação automaticamente. Os itens deverão ser excluídos manualmente. 3 Clique em Adicionar, preencha as informações solicitadas e clique em OK. A entrada ficará visível na lista negra até que sua duração expire. McAfee Enterprise Security Manager Guia de produto 169

170 3 Configuração do ESM Configuração de serviços auxiliares Adicionar ou excluir uma entrada da lista negra removida Qualquer entrada iniciada no ESM com duração ainda válida, mas que não é retornada na lista de entradas da lista negra quando o McAfee Network Security Manager (Manager) é consultado, é exibida com o status Removida e o ícone do sinalizador. Essa condição ocorre se a entrada foi removida, mas a remoção não foi iniciada no ESM. Você pode readicionar essa entrada ou excluí-la da lista negra. 1 Na árvore de navegação do sistema, selecione Propriedades de NSM e clique em Lista negra. 2 Selecione a entrada removida na lista de entradas da lista negra e clique em Adicionar ou Excluir. 3 Clique em Aplicar ou OK. Coleta da Camada 7 em um dispositivo NSM Os dados da Camada 7 são preenchidos no banco de dados do NSM depois que o evento do NSM é gravado em seu banco de dados. Ele não vem no sistema como parte do evento. Para efetuar pull das informações da Camada 7 pelo NSM, você pode atrasar o pull do evento para que os dados da Camada 7 sejam incluídos. Esse atraso se aplica a todos os eventos do NSM, não apenas os associados aos dados da Camada 7. Você pode definir esse atraso ao realizar três ações no NSM: Adicionar um dispositivo NSM da McAfee ao console Configurar um dispositivo NSM Adicionar uma origem de dados do NSM Adicionar um dispositivo NSM da McAfee Ao adicionar um dispositivo NSM ao ESM (consulte Adicionar dispositivos ao console do ESM), selecione Ativar coleta da Camada 7 e defina o atraso na quarta página do Assistente para adicionar dispositivo. Configurar um dispositivo NSM Depois de adicionar um dispositivo NSM ao console do ESM, você pode configurar as definições de conexão do dispositivo (consulte Alterar conexão com o ESM). Você pode selecionar Ativar coleta da Camada 7 e definir o atraso na página Conexão. Adicionar uma origem de dados do NSM Para adicionar uma origem de dados do NSM a um Receptor (consulte Adicionar uma origem de dados), selecione McAfee no campo Fornecedor de origem de dados e Network Security Manager - SQL Pull (ASP) no campo Modelo de origem de dados. Você pode selecionar Ativar coleta da Camada 7 e definir o atraso na página Adicionar origem de dados. Configuração de serviços auxiliares Os serviços auxiliares incluem servidores Remedy, servidores do protocolo NTP e servidores DNS. Configure esses servidores para se comunicar com o ESM. Conteúdo Informações gerais do sistema 170 McAfee Enterprise Security Manager Guia de produto

171 Configuração do ESM Configuração de serviços auxiliares 3 Definir configurações do servidor Remedy Parar atualização automática da árvore de sistemas do ESM Definição de configurações de mensagem Configurar NTP em um dispositivo Definir configurações de rede Sincronização da hora do sistema Instalar um novo certificado Configurar perfis Configuração de SNMP Informações gerais do sistema Na página Propriedades do sistema Informações do sistema você pode ver informações gerais sobre o sistema e o status de várias funções. Na página Registro do sistema, você pode ver eventos que ocorreram no sistema ou nos dispositivos. Você pode consultar essas informações ao falar com o suporte da McAfee sobre o seu sistema, ao configurar recursos como agregação de eventos ou fluxos, ou para verificar o status de uma atualização de regras ou backup do sistema. Sistema, ID de cliente, Hardware e Número de série fornecem informações sobre o sistema e seu atual status operacional. O Status do banco de dados é exibido quando o banco de dados está executando outras funções (por exemplo, uma reconstrução de banco de dados ou em segundo plano), assim como o status dessas funções. Um status OK significa que o banco de dados está operando normalmente. O Relógio do sistema mostra a data e hora em que as Propriedades do sistema foram abertas ou atualizadas pela última vez. Atualização de regras, Eventos, fluxos e logs e Backup e restauração mostram a última vez que as regras foram atualizadas; eventos, fluxos e logs foram recuperados; e um backup e restauração foi executado. Quando no modo FIPS, Autoteste FIPS e Status mostram a última vez que um autoteste FIPS foi executado e o seu status. Exibir relatórios exibe os relatórios Contagem de tipos de dispositivo do ESM e Hora do evento. Definir configurações do servidor Remedy Se tiver um sistema Remedy configurado, mas é necessário definir as configurações de reparação para que o ESM possa se comunicar com ele. Antes de iniciar Configuração de seu sistema Remedy. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Configurações personalizadas Remedy. 2 Na página Configuração do Remedy, digite as informações de seu sistema Remedy e clique em OK. Quando você seleciona Enviar evento ao Remedy as informações que você inseriu nesta página. na exibição Análise de evento, o é preenchido com McAfee Enterprise Security Manager Guia de produto 171

172 3 Configuração do ESM Configuração de serviços auxiliares Parar atualização automática da árvore de sistemas do ESM A árvore de sistemas do ESM é atualizada automaticamente a cada cinco minutos. Você pode parar a atualização automática, se necessário. Antes de iniciar Para alterar esta configuração, é necessário ter direitos de Gerenciamento de sistemas. Durante a atualização, não é possível selecionar dispositivos na árvore. Caso você tenha muitos dispositivos no ESM, isso poderá interferir no acesso à página Propriedades dos dispositivos. 1 Na árvore de sistemas, selecione o ESM e clique no ícone Propriedades. 2 Clique em Configurações personalizadas, depois desmarque a opção Atualização automática na árvore de sistemas. Você pode atualizar manualmente a árvore de sistemas clicando no ícone Atualizar dispositivos barra de ferramentas de ações da árvore de sistema. na Definição de configurações de mensagem Ao definir ações de um alarme ou configurar o método de entrega de um relatório, você pode optar por enviar mensagens. Primeiro, conecte o ESM ao servidor de e identifique os destinatários da mensagem por , SMS, SNMP ou syslog. O ESM envia notificações de alarme usando o protocolo SNMP v1. O SNMP usa o User Datagram Protocol (UDP) como o protocolo de transporte para passar dados entre os gerenciadores e agentes. Em uma configuração típica de SNMP, agentes como o ESM podem enviar eventos a servidores SNMP (normalmente chamados de Estação de Gerenciamento de Rede [NMS]) utilizando pacotes de dados conhecidos como interceptações. Outros agentes na rede podem receber relatórios de eventos da mesma maneira como recebem notificações. Devido às limitações de tamanho dos pacotes de interceptação do SNMP, o ESM envia cada linha do relatório em uma interceptação separada. O syslog também pode enviar relatórios de CSV de consultas gerados pelo ESM. O syslog envia esses relatórios de CSV de consultas em uma linha por mensagem de syslog, com os dados de cada linha dos resultados da consulta organizados em campos separados por vírgula. Conecte seu servidor de Defina as configurações para conectar-se a seu servidor de , para poder enviar alarmes e mensagens de relatório. Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de usuários. 172 McAfee Enterprise Security Manager Guia de produto

173 Configuração do ESM Configuração de serviços auxiliares 3 1 Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Clique em Configurações de e insira as informações solicitadas para conectar seu servidor de . Opção Host e Porta Usar TLS Nome do usuário e senha Título De Configurar destinatários Descrição Insira o host e a porta do seu servidor de . Selecione se você desejar usar o protocolo de criptografia TLS. Digite o nome do usuário e a senha para acessar o servidor de . Digite um título genérico para todas as mensagens de enviadas do seu servidor de , por exemplo, o endereço IP do ESM para identificar qual ESM gerou a mensagem. Digite o seu nome. Adicionar, editar ou remover destinatários (consulte Gerenciar destinatários de alarme na página 229). 3 Envie um de teste para verificar as configurações. 4 Adicionar, editar ou remover destinatários (consulte Gerenciar destinatários de alarme na página 229). 5 Clique em Aplicar ou OK para salvar as configurações. Consulte também Gerenciar destinatários na página 173 Gerenciar destinatários As mensagens de alarmes ou relatórios podem ser enviadas em diversos formatos. Cada formato tem uma lista de destinatários que você pode gerenciar. Os endereços de podem ser agrupados para que você possa enviar uma mensagem a vários destinatários de uma vez só. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Configurações de . 2 Clique em Configurar destinatários e selecione a guia na qual deseja adicioná-los. 3 Clique em Adicionar e adicione as informações solicitadas. 4 Clique em OK. O destinatário será adicionado ao ESM e você poderá selecioná-lo em qualquer lugar do ESM onde destinatários são utilizados. Adicionar grupos de destinatários de Agrupe os destinatários de para poder enviar uma mensagem a diversos destinatários de uma só vez. Antes de iniciar Os destinatários e seus endereços de devem estar no sistema (consulte Adicionar um usuário). McAfee Enterprise Security Manager Guia de produto 173

174 3 Configuração do ESM Configuração de serviços auxiliares 1 Na árvore de navegação do sistema, clique no sistema e no ícone Propriedades. 2 Clique em Configurações de , clique em Configurar destinatários, depois em Grupos de Adicionar. 3 Digite um nome para o grupo, selecione os usuários que farão parte desse grupo e clique em OK. O grupo é adicionado à seção Grupos de destinatários de da página Grupos de . Configurar NTP em um dispositivo Sincronize a hora do dispositivo com o ESM usando um servidor NTP (Network Time Protocol). 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Configuração NTP. 3 Preencha as informações solicitadas e clique em OK. s Exibir o status dos servidores NTP na página 174 Exiba o status de todos os servidores NTP no ESM. Exibir o status dos servidores NTP Exiba o status de todos os servidores NTP no ESM. Antes de iniciar Adicione servidores NTP ao ESM ou a dispositivos (consulte Sincronização da hora do sistema ou Configurar NTP em um dispositivo). 1 Na árvore de navegação do sistema, execute uma das seguintes ações: Selecione Propriedades do sistema Informações do sistema e clique em Relógio do sistema. Na árvore de navegação do sistema, selecione um dispositivo, clique no ícone Propriedades e selecione Configuração NTP. 2 Clique em Status, exiba os dados do servidor NTP e clique em Fechar. Consulte também Sincronização da hora do sistema na página 181 Configurar NTP em um dispositivo na página McAfee Enterprise Security Manager Guia de produto

175 Configuração do ESM Configuração de serviços auxiliares 3 Definir configurações de rede Configure o modo como o ESM se conecta à sua rede, adicionando o gateway do servidor e os endereços IP do servidor DNS do ESM, definindo as configurações do servidor proxy, configurando o SSH e adicionando rotas estáticas. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Configurações de rede. 2 Preencha as informações para configurar a conexão com a sua rede. 3 Clique em Aplicar ou OK. s Configurar a porta IPMI no ESM ou em dispositivos na página 178 Configure a rede da porta IPMI para configurar o IPMI no ESM ou em seus dispositivos. Definir controle de tráfego de rede no ESM na página 178 Defina um valor de saída máximo para o ESM. Configurar DHCP na página 180 O protocolo DHCP é usado em redes IP para a distribuição dinâmica de parâmetros de configuração de rede, como endereços IP para interfaces e serviços. Configurar o DHCP na VLAN na página 181 O protocolo DHCP é usado em redes IP para a distribuição dinâmica de parâmetros de configuração de rede, como endereços IP para interfaces e serviços. Gerenciamento de interfaces de rede A comunicação com um dispositivo pode ocorrer utilizando-se interfaces públicas e privadas dos caminhos de tráfego. Isso significa que o dispositivo estará invisível na rede, já que não requer um endereço IP. Interface de gerenciamento Alternadamente, administradores de rede podem configurar uma interface de gerenciamento com um endereço IP para comunicação entre o ESM e o dispositivo. Estes recursos de dispositivo requerem o uso de uma interface de gerenciamento: Controle total de cartões de rede de desvio Uso de sincronização de hora NTP Syslog gerado pelo dispositivo Notificações SNMP Os dispositivos são equipados com pelo menos uma interface de gerenciamento, o que fornece ao dispositivo um endereço IP. Com um endereço IP, o dispositivo pode ser acessado diretamente pelo ESM sem o direcionamento da comunicação para outro nome do host ou endereço IP de destino. Não conecte a interface de rede de gerenciamento a uma rede pública, já que ela estará visível para a rede pública e sua segurança pode ser comprometida. Para um dispositivo em execução no modo Nitro IPS, deve haver duas interfaces para cada caminho de tráfego de rede. Para o modo de detecção de intrusão, deve haver um mínimo de duas interfaces de rede no dispositivo. Você pode configurar mais de uma interface de rede de gerenciamento no dispositivo. McAfee Enterprise Security Manager Guia de produto 175

176 3 Configuração do ESM Configuração de serviços auxiliares Placa de rede de desvio Um dispositivo no modo de desvio permite a passagem de todo o tráfego, inclusive tráfego malicioso. Em circunstâncias normais, você pode sofrer uma perda de conexão de um a três segundos quando o dispositivo alterna para o modo de desvio e de 18 segundos quando ele sai. Estar conectado a certos switches, como alguns modelos do Cisco Catalyst, pode alterar esses números. Nesse caso, você pode sofrer uma perda de conexão de 33 segundos quando o dispositivo alterna para o modo de desvio e quando sai. Se esse for o seu caso, você pode ativar o port fast na porta do switch e configurar manualmente a velocidade e o duplex para que as horas voltem ao normal. Certifique-se de definir todas as quatro portas (switch, duas no Nitro IPS e em outro dispositivo) com as mesmas configurações; do contrário, você poderá ter um problema de negociação no modo de desvio (consulte Configurar placas de rede de desvio). As opções de desvio disponíveis dependem do tipo de placa de rede de desvio no dispositivo, Tipo 2 ou Tipo 3. Configurar interfaces de rede Configurações de interface determinam como o ESM se conecta com o dispositivo. Você deve defini-las para cada dispositivo. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique na opção Configuração do dispositivo e depois em Interfaces. 3 Insira os dados conforme solicitado e clique em Aplicar. Todas as alterações são enviadas por push para o dispositivo e têm efeito imediatamente. Depois que as alterações são aplicadas, o dispositivo é reinicializado, o que causa a perda de todas as sessões. Adicionar VLANs e aliases Adicione redes virtuais de área local (VLANs) e aliases a uma interface ACE ou ELM. Os aliases são endereços IP e pares de máscaras de rede atribuídos que você adiciona quando tem um dispositivo de rede que possui mais de um endereço IP. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades seguida clique na Configuração do dispositivo., em 2 Na seção Interfaces da guia Rede, clique em Configuração, depois em Avançado. 3 Clique em Adicionar VLAN, insira as informações solicitadas e clique em OK. 4 Selecione a VLAN onde deseja adicionar o alias e clique em Adicionar alias. 5 Insira as informações solicitadas e clique em OK. Adicionar rotas estáticas Uma rota estática é um conjunto de instruções sobre como acessar um host ou uma rede que não esteja disponível pelo gateway padrão. 176 McAfee Enterprise Security Manager Guia de produto

177 Configuração do ESM Configuração de serviços auxiliares 3 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Configuração Interfaces. 3 Ao lado da tabela Rotas estáticas, clique em Adicionar. 4 Insira as informações e clique em OK. Placa de rede de desvio Em circunstâncias normais, você pode sofrer uma perda de conexão de um a três segundos quando o dispositivo alterna para o modo de desvio e de 18 segundos quando ele sai. Estar conectado a certos switches, como alguns modelos do Cisco Catalyst, pode alterar esses números. Nesse caso, você pode sofrer uma perda de conexão de 33 segundos quando o dispositivo alterna para o modo de desvio e quando sai. Se esse for o seu caso, você pode ativar o port fast na porta do switch e configurar manualmente a velocidade e o duplex para que as horas voltem ao normal. Certifique-se de definir todas as quatro portas (switch, no IPS Nitro e outro dispositivo) para as mesmas configurações; do contrário, você pode ter um problema de negociação no modo de desvio. As opções de desvio disponíveis dependem do tipo de placa de rede de desvio no dispositivo, Tipo 2 ou Tipo 3. Configurar placas de rede de desvio Nos dispositivos IPS, é possível definir as configurações de placa de rede de desvio para permitir a passagem de todo o tráfego. Os dispositivos ADM e DEM estão sempre no modo IDS. É possível exibir o tipo e o status da placa de rede de desvio, mas não é possível alterar suas configurações. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Configuração Interfaces. 3 Na página Configurações da interface de rede, vá para a seção Configuração de placa de rede de desvio, na parte inferior. 4 Exiba o tipo e o status ou, em um IPS, altere as configurações. 5 Clique em OK. Configuração de porta IPMI no ESM ou em dispositivos É possível configurar a porta IPMI no ESM ou em qualquer um dos seus dispositivos. Isso permite executar várias ações: Conecte o NIC (Network interface controller) do IPMI em um switch para que ele fique disponível para o software IPMI. Acesse uma KVM (Kernel-based Virtual Machine) baseada em IPMI. McAfee Enterprise Security Manager Guia de produto 177

178 3 Configuração do ESM Configuração de serviços auxiliares Defina a senha de IPMI para o usuário padrão após o upgrade para o ESM Acesse os comandos IPMI como ligar e status de energia. Redefina a placa IPMI. Realize uma redefinição a quente e a frio. Configurar a porta IPMI no ESM ou em dispositivos Configure a rede da porta IPMI para configurar o IPMI no ESM ou em seus dispositivos. 1 Na árvore de navegação do sistema, selecione o sistema ou qualquer dispositivo e clique no ícone Propriedades. 2 Acesse a guia Configurações de rede Avançado. No ESM, clique em Configurações de rede Avançado. Em um dispositivo, clique na opção Configuração e em Interfaces Avançado 3 Selecione Ativar configurações de IPMI e digite a VLAN, o endereço IP, a máscara de rede e o gateway do IPMI. Se Ativar configurações de IPMI estiver esmaecido no BIOS do dispositivo, será necessário atualizar o BIOS do sistema. Instale o SSH no dispositivo e abra o arquivo /etc/areca/system_bios_update/ Contents README.txt. 4 Clique em Aplicar ou em OK. Se estiver fazendo upgrade do seu dispositivo, você pode receber uma mensagem orientando a alterar a senha ou recodificar o dispositivo. Se essa mensagem for exibida, altere a senha do sistema ou recodifique o dispositivo para definir uma nova senha para configurar a IPMI. Definir controle de tráfego de rede no ESM Defina um valor de saída máximo para o ESM. Esse recurso é útil quando há restrições de banda larga e você precisa controlar a quantidade de dados que pode ser enviada por cada ESM. As opções são Kb (quilobits), Mb (megabits) e Gb (gigabits) por segundo. Tenha cuidado ao configurar esse recurso porque a limitação de tráfego pode resultar em perda de dados. 1 Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Clique em Configurações de rede e na guia Tráfego. A tabela listará os controles existentes. 178 McAfee Enterprise Security Manager Guia de produto

179 Configuração do ESM Configuração de serviços auxiliares 3 3 Para adicionar controles para um dispositivo, clique em Adicionar, insira o endereço de rede e máscara, defina a taxa e clique em OK. Se você definir a máscara como zero (0), todos os dados enviados serão controlados. 4 Clique em Aplicar. A velocidade do tráfego de saída do endereço de rede especificado é controlada. Trabalhar com nomes de host O nome do host de um dispositivo é, normalmente, mais útil do que o endereço IP. É possível gerenciar os nomes de host para associá-los a seus respectivos endereços IP. Na página Hosts, pode-se adicionar, editar, remover, pesquisar, atualizar e importar nomes de host, além de definir em quanto tempo o nome do host aprendido automaticamente expira. Ao exibir os dados de um evento, você pode mostrar os nomes de host associados aos endereços IP do evento clicando no ícone Mostrar nomes de host, localizado ao final da exibição de componentes. Se os eventos existentes não estiverem marcados com um nome do host, o sistema fará uma busca na tabela de hosts do ESM e marcará os endereços IP com seus respectivos nomes do host. Se os endereços IP não estiverem listados na tabela de hosts, o sistema realizará uma pesquisa de Sistema de Nomes de Domínio (DNS) para localizá-los. Os resultados da pesquisa são mostrados na exibição e adicionados à tabela de hosts. Na tabela de hosts, esses dados são marcados como Aprendidos automaticamente e expiram depois do período designado no campo As entradas expiram após, localizado abaixo da tabela de hosts, na páginapropriedades do sistema Hosts. Se os dados já tiverem expirado, outra pesquisa de DNS será realizada na próxima vez que você selecionar a opção Mostrar nomes de host em uma exibição. A tabela de hosts lista os nomes de host adicionados e aprendidos automaticamente e seus endereços IP. É possível adicionar informações à tabela de hosts manualmente, digitando um nome do host e seu endereço IP individualmente ou importando uma lista delimitada por tabulação de nomes do host e endereços IP (consulte Importar uma lista de nomes de host). Quanto mais dados forem adicionados dessa maneira, menos tempo será gasto em pesquisas de DNS. Se você adicionar um nome do host manualmente, ele não expirará, mas poderá ser editado ou removido. Gerenciar nomes de host Realizar todas as ações necessárias para gerenciar os nomes de host na página Hosts, como adicionar, editar, importar, remover ou pesquisar. Também é possível definir o tempo de expiração para hosts aprendidos automaticamente. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Hosts. 2 Selecione uma opção e digite a informação solicitada. 3 Clique em Aplicar ou OK. Importar uma lista de nomes de host Importar um arquivo de texto que contenha endereços IP e os respectivos nomes de host para a tabela de hosts. Antes de iniciar Crie o arquivo delimitado por tabulação de nomes de host e endereços IP. McAfee Enterprise Security Manager Guia de produto 179

180 3 Configuração do ESM Configuração de serviços auxiliares Cada registro do arquivo deve ser listado em uma linha independente, com o endereço IP primeiro em anotação IPv4 ou IPv6. Por exemplo: rhino.acme.com 08c8:e6ff:0100::02ff x.acme.com 1 Na árvore de navegação do sistema, selecione Propriedades do sistema, depois clique em Hosts Importar. 2 Navegue até o arquivo de texto e clique em Fazer upload. Se o arquivo contiver endereços IP já incluídos na tabela de hosts com um nome do host diferente, a página Duplicados listará os registros que estão duplicados. Para alterar o nome do host da tabela para o nome que consta no arquivo de texto, selecione-o na coluna Usar e clique em OK. Para manter os dados de host existentes, não marque a caixa de seleção, depois clique em OK. Os novos dados do host são adicionados à tabela. A coluna Aprendidos automaticamente apresenta a opção Não, pois os dados foram inseridos manualmente, logo, não expirarão. Configurar DHCP O protocolo DHCP é usado em redes IP para a distribuição dinâmica de parâmetros de configuração de rede, como endereços IP para interfaces e serviços. Quando você configura o ESM para distribuição no ambiente de nuvem, o DHCP é ativado automaticamente e atribui um endereço IP. Quando não estiver no ambiente de nuvem, você poderá ativar e desativar serviços do DHCP no [ESM], Receiver sem ser de HA, ACE e ELM se você tiver direitos de Gerenciamento de dispositivos. Isso é útil se você precisar redefinir os endereços IP da sua rede. Os aliases são desativados quando o DHCP é ativado. 1 Na árvore de navegação do sistema, selecione o sistema ou um dispositivo e clique no ícone Propriedades. 2 Execute uma das seguintes ações: Para o ESM, clique em Configurações de rede e na guia Principal. Para um dispositivo, selecione a opção Configuração do dispositivo, clique em Interfaces e na guia Rede. 3 Clique em Instalação no campo Interface 1 e selecione DHCP. Para dispositivos que não sejam Receivers, você é informado de que as alterações requerem uma reinicialização do servidor ESM. 4 Clique em OK. 180 McAfee Enterprise Security Manager Guia de produto

181 Configuração do ESM Configuração de serviços auxiliares 3 Configurar o DHCP na VLAN O protocolo DHCP é usado em redes IP para a distribuição dinâmica de parâmetros de configuração de rede, como endereços IP para interfaces e serviços. Quando você configura o ESM para distribuição no ambiente de nuvem, o DHCP é ativado automaticamente e atribui um endereço IP. Quando não estiver no ambiente de nuvem, você poderá ativar e desativar serviços do DHCP nas VLANs, ESM, Receiver sem ser de HA, ACE e ELM se você tiver direitos de Gerenciamento de dispositivos. Isso é útil se você precisar redefinir os endereços IP da sua rede. 1 Na árvore de navegação do sistema, selecione o sistema ou um dispositivo e clique no ícone Propriedades. 2 Execute uma das seguintes ações: Para o ESM, clique em Configurações de rede e na guia Principal. Para um dispositivo, selecione a opção Configuração do dispositivo, clique em Interfaces e na guia Rede. 3 Clique em Instalação no campo Interface 1 e em Avançada. 4 Clique em Adicionar VLAN, digite a VLAN e selecione DHCP. 5 Clique em OK para voltar à página Configurações de rede e em Aplicar. Para dispositivos que não sejam Receivers, você é informado de que as alterações requerem uma reinicialização do servidor ESM. Sincronização da hora do sistema Como as atividades geradas pelo ESM e seus dispositivos possuem marca de hora, é importante que o ESM e os dispositivos sejam sincronizados para manter um período de referência constante para os dados reunidos. Você pode configurar a hora do sistema do ESM ou selecionar que o ESM e os dispositivos sejam sincronizados com um servidor NTP. Configurar hora do sistema Antes de iniciar Se você deseja adicionar servidores NTP ao ESM, configure os servidores NTP e obtenha suas chaves de autorização e IDs chave. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e verifique se Informações do sistema está selecionado. 2 Clique em Relógio do sistema (GMT), defina as configurações e clique em OK. Os endereços de servidor NTP nos dispositivos de classe IPS devem ser endereços IP. As informações do servidor são salvas no arquivo de configuração. Depois disso, você pode acessar a lista de servidores NTP novamente e verificar seus status. McAfee Enterprise Security Manager Guia de produto 181

182 3 Configuração do ESM Configuração de serviços auxiliares Sincronizar relógios do dispositivo Você pode sincronizar os relógios do dispositivo com o relógio do ESM para que os dados gerados pelos múltiplos sistemas reflitam a mesma configuração de hora. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema ou Propriedades do dispositivo e clique em Sincronizar no campo Sincronizar relógio do dispositivo. Você será informado quando a sincronização for concluída ou se houver um problema. 2 Clique em Atualizar para atualizar os dados na página Informações do sistema ou Informações do dispositivo. Instalar um novo certificado O ESM é fornecido com um certificado de segurança autoassinado padrão para esm.mcafee.local. A maioria dos navegadores da Web exibe um aviso de que não foi possível confirmar a autenticidade do certificado. Quando você obtém o par de certificados de chave SSL que deseja usar com o ESM, deve instalá-lo. 1 Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Gerenciamento de ESM. 2 Na guia Gerenciamento de chaves, clique em Certificado. 3 Faça as seleções e clique em Fechar. Configurar perfis Defina perfis do tráfego baseado em syslog para poder executar configurações que compartilham informações comuns sem precisar inserir os detalhes sempre. Também é possível adicionar um perfil de comando remoto (URL ou script) e usá-lo em uma exibição e um alarme. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Gerenciamento de perfil. 2 Para adicionar um perfil, clique em Adicionar na guia Perfis do sistema e forneça os dados do perfil. 3 Para adicionar um comando remoto, clique na guia Comando remoto e forneça as informações solicitadas. 4 Clique em OK. Configuração de SNMP Defina as configurações usadas pelo ESM para enviar o link ativado e desativado e as interceptações de partida a frio/quente, ambas a partir do ESM e de cada dispositivo; recupere tabelas de interface e de sistema II da MIB (Base de informações de gerenciamento) e permita a descoberta do ESM com o comando snmpwalk. O SNMPv3 é compatível com as opções NoAuthNoPriv, AuthNoPriv e AuthPriv, usando MD5 ou SHA (Secure Hash Algorithm) para autenticação e DES (Data Encryption Standard) ou AES (Advanced Encryption Standard) para criptografia (MD5 e DES não estão disponíveis no modo de conformidade FIPS). 182 McAfee Enterprise Security Manager Guia de produto

183 Configuração do ESM Configuração de serviços auxiliares 3 As solicitações do SNMP podem ser feitas a um ESM para ESM, Receiver e informação de integridade do Nitro IPS, e as interceptações SNMPv3 podem ser enviadas para um ESM para serem adicionadas a uma lista negra com um ou mais de seus dispositivos Nitro IPS gerenciados. Todos os appliances da McAfee podem ser configurados para enviar links ativados e desativados das interceptações e enviar interceptações de inicialização a quente e frio para um ou mais destinos de sua escolha (consulte SNMP e a MIB da McAfee). Defina as configurações de SNMP Defina as configurações usadas pelo ESM para o tráfego de entrada e saída de SNMP. As consultas do SNMP podem ser realizadas somente por usuários cujos nomes não incluam espaços. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Configuração de SNMP. 2 Insira as informações necessárias nas guias Solicitações do SNMP e Interceptações de SNMP. 3 Clique em OK. Definir interceptação SNMP para notificação de queda de energia Selecione uma interceptação de SNMP para ser notificado de falhas gerais em hardware e quedas de energia no DAS para impedir que o sistema desligue devido a uma queda de energia. Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de alarme. Prepare o Receptor de interceptação de SNMP (somente necessário se você não tiver um Receptor de interceptação de SNMP). 1 Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Clique em Configuração do SNMP, depois clique na guia Interceptações de SNMP. 3 Em Porta de interceptação, digite 162, depois selecione Falha geral de hardware, e clique em Editar perfis. 4 Clique em Adicionar e insira as informações solicitadas, como estas: Tipo de perfil Selecione Interceptação de SNMP. Endereço IP Digite o endereço para onde deseja enviar a interceptação. Porta Digite 162. Nome da comunidade Digite Público. Lembre-se do que você digitar nos campos Porta e Nome da comunidade. 5 Clique em OK, depois clique em Fechar na página Gerenciador de perfis. O perfil é adicionado à tabela Destinos. 6 Selecione o perfil na coluna Usar, depois clique em OK. McAfee Enterprise Security Manager Guia de produto 183

184 3 Configuração do ESM Configuração de serviços auxiliares Quando houver falha no fornecimento de energia, uma interceptação de SNMP será enviada e um sinalizador de status de integridade aparecerá ao lado do dispositivo na árvore de navegação do sistema. Criar interceptações de SNMP e ações de alarmes Envie interceptações de SNMP como ação em um alarme. Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de alarme. Prepare o Receptor de interceptação de SNMP (somente necessário se você não tiver um Receptor de interceptação de SNMP). 1 Crie um perfil de SNMP para informar ao ESM para onde enviar as interceptações de SNMP. a Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. b c Clique em Gerenciamento de perfil e selecione Interceptação SNMP no campo Tipo de perfil. Preencha os campos restantes e clique em Aplicar. 2 Configure o SNMP no ESM. a Em Propriedades do sistema, clique em Configuração de SNMP e clique na guia Interceptações SNMP. b Selecione a porta, os tipos de interceptações a serem enviadas e o perfil adicionado na Etapa 1. c Clique em Aplicar. 3 Defina um alarme com Interceptação de SNMP como ação. a Em Propriedades do sistema, clique em Alarmes e em Adicionar. b c d e Preencha as informações solicitadas nas guias Resumo, Condição e Dispositivos, selecionando Correspondência de evento interna como o tipo de condição, e clique na guia Ações. Selecione Enviar mensagem e clique em Configurar para selecionar ou criar um modelo de mensagens SNMP. Selecione Modelos básicos de SNMP no campo SNMP ou clique em Modelos e selecione um modelo existente, ou então clique em Adicionar para definir um novo modelo. Retorne para a página Configurações de alarme e prossiga com a configuração do alarme. Adicionar um alarme de notificação de queda de energia Adicione um alarme para ser notificado quando uma das fontes de alimentação do ESM falhar. Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de alarme. Definir interceptação SNMP para notificação de queda de energia na página McAfee Enterprise Security Manager Guia de produto

185 Configuração do ESM Configuração de serviços auxiliares 3 1 Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Clique em Alarmes. 3 Clique em Adicionar, insira os dados solicitados na guia Resumo, depois clique na guia Condição. 4 No campo Tipo, selecione Correspondência de evento interna. 5 No campo Campo, selecione ID de assinatura e digite no campo Valore(s). 6 Preencha as informações restantes em cada guia conforme necessário e clique em Concluir. Um alarme é disparado quando há falha em uma fonte de energia. s Resumo personalizado para casos e alarmes disparados na página 259 Selecione os dados a serem incluídos no resumo do alarme e resumo de caso dos alarmes da Correspondência de campos e Correspondência de evento interna. O SNMP e a MIB da McAfee Vários aspectos da linha de produtos McAfee podem ser acessados através do SNMP. A MIB da McAfee define os OIDs (identificadores de objeto) para cada objeto ou característica de interesse. A MIB define grupos de objeto para: Alertas Um ESM pode gerar e enviar interceptações de alerta usando o Encaminhamento de evento. Um Receptor pode receber interceptações de alerta configurando uma origem de dados SNMP da McAfee. Fluxos Um Receptor pode receber interceptações de fluxo ao configurar uma origem de dados SNMP da McAfee. Solicitações de integridade do ESM Um ESM pode receber e responder às solicitações de integridade referentes ao si próprio e aos dispositivos que ele gerencia. Lista negra Um ESM pode receber entradas de definição de interceptações para listas negras e listas de quarentena, que ele então aplica aos dispositivos IPS do Nitro gerenciado pelo ESM. A MIB da McAfee também define convenções textuais (tipos enumerados) para valores, tais como: A ação executada quando um alerta foi recebido Estado e direção do fluxo Tipos de origem de dados Ações da lista negra A MIB da McAfee está sintaticamente em conformidade com a SMI (Structure of Management Information) do SNMPv2. Os produtos da McAfeeque usam o SNMP podem ser configurados para funcionar com SNMPv1, SNMPv2c e SNMPv3, incluindo autenticação e controle de acesso. As solicitações de integridade são feitas com a operação GET de SNMP. A operação GET de SNMP é usada por aplicativos de gerenciador de SNMP para recuperar valores dos objetos gerenciados mantidos pelo agente SNMP (nesse caso, o ESM). Os aplicativos geralmente executam uma solicitação GET do SNMP fornecendo o nome do host do ESM, e OIDs, juntamente com a instância específica do OID. O ESM volta com um valor retornado ou um erro. Por exemplo, uma solicitação de integridade e resposta para a integridade de IPS do Nitro com o ID 2 de IPS do Nitro pode ficar assim: McAfee Enterprise Security Manager Guia de produto 185

186 3 Configuração do ESM Configuração de serviços auxiliares OID de solicitação e resposta Unidades Valor da resposta Significado Interno Nome do IPS do Nitro Identificador único do ESM do IPS do Nitro A comunicação com o IPS do Nitro está disponível (1) ou indisponível (0)" OK Status do IPS do Nitro desligado Status de NICs de desvio do IPS do Nitro IPS do Nitro Modo IPS do Nitro (IDS ou IPS do Nitro) percentual 2 Carregamento de CPU instantâneo de percentual combinado MB 1010 RAM do IPS do Nitro total MB 62 RAM disponível MB Espaço HDD total particionado para banco de dados do IPS do Nitro MB Espaço HDD livre disponível para banco de dados do IPS do Nitro segundos desde :00:00.0 (GMT) Hora do sistema atual no IPS do Nitro a Informações de versão do IPS do Nitro e buildstamp ABCD:1234 ID de máquina do IPS do Nitro IPS do Nitro Número do modelo do IPS do Nitro alertas por minuto fluxos por minuto 140 Taxa de alertas (por minuto) nos últimos 10 minutos 165 Velocidade de fluxos (por minuto) nos últimos 10 minutos Usando o exemplo acima, o gerenciador de SNMP faz uma solicitação ao agente de SNMP, o ESM. Os números significam: 186 McAfee Enterprise Security Manager Guia de produto

187 Configuração do ESM Configuração de serviços auxiliares O número comercial da McAfee atribuído pela IANA (Internet Assigned Numbers Authority) Uma solicitação de integridade do IPS do Nitro O segundo ao último número (1-17 no exemplo acima) Para solicitar os vários aspectos de integridade do IPS do Nitro O último número (2) A instância específica do OID, o ID do IPS do Nitro O ESM responde preenchendo as associações do OID com os resultados da solicitação de integridade. As tabelas a seguir mostram o significado dos OIDs do ESM e do Receptor. Tabela 3-37 Integridade do ESM OID de solicitação e resposta Unidades Valor da resposta Significado percentual 4 Carregamento de CPU instantâneo de percentual combinado MB 3518 RAM total MB 25 RAM disponível MB Espaço HDD total particionado para banco de dados do ESM MB Espaço HDD livre disponível para banco de dados do ESM segundos desde :00:0.0 (GMT) Hora atual do sistema no ESM Versão e carimbo de compilação do ESM EEE:6669 ID de máquina do ESM ESM Número do modelo do ESM Tabela 3-38 Integridade do Receptor OID de solicitação e resposta Unidades Valor da resposta Significado x Receptor Nome do Receptor x Identificador único do ESM do Receptor x 1 Indica que a comunicação com o Receptor está disponível (1) ou indisponível (0) x OK Indica o status do Receptor McAfee Enterprise Security Manager Guia de produto 187

188 3 Configuração do ESM Configuração de serviços auxiliares Tabela 3-38 Integridade do Receptor (continuação) OID de solicitação e resposta Unidades Valor da resposta Significado x percentual 2 Carregamento de CPU instantâneo de percentual combinado x MB 7155 RAM total x MB 5619 RAM disponível x MB Espaço HDD total particionado para banco de dados do Receptor x MB Espaço HDD livre disponível para banco de dados do Receptor x segundos desde :00:0.0 (GMT) Hora do sistema atual no Receptor x a Versão e buildstamp do Receptor x 5EEE:CCC6 ID da máquina do Receptor x Receptor Número do modelo do Receptor x x alertas por minuto fluxos por minuto 1 Taxa de alertas (por minuto) nos últimos 10 minutos 2 Velocidade de fluxos (por minuto) nos últimos 10 minutos x = ID de dispositivo. Para acessar uma lista de IDs de dispositivo, acesse Propriedades do sistema Configuração do SNMP, depois clique em Exibir IDs de dispositivos. Os eventos, os fluxos e as entradas de lista negra são enviados usando solicitações de informe ou interceptações de SNMP. Uma interceptação de alerta enviada por um ESM configurado para fazer Encaminhamento de evento pode ficar assim: OID Valor Significado ID de alerta do ESM ID de alerta de dispositivo IPS do Nitro interno Nome do dispositivo ID de dispositivo IP de origem Porta de origem 188 McAfee Enterprise Security Manager Guia de produto

189 Configuração do ESM Configuração de serviços auxiliares 3 OID Valor Significado AB:CD:EF:01:23:45 MAC de origem IP de destino Porta de destino :23:45:AB:CD:EF MAC de destino Protocolo VLAN Direção Contagem de eventos Primeira vez Última vez Última vez (microssegundos) ID de assinatura ANOMALY Inbound High to High Descrição da assinatura Ação realizada Gravidade Tipo de origem de dados ou resultado ID de assinatura normalizado :0:0:0:0:0:0:0 IP de origem IPv :0:0:0:0:0:0:0 IP de destino IPv Aplicativo Domínio Host Usuário (origem) Usuário (destino) Comando Objeto Número de sequência Indica se foi gerado em ambiente confiável ou não confiável ID da sessão que gerou o alerta Os números significam: McAfee Enterprise Security Manager Guia de produto 189

190 3 Configuração do ESM Gerenciamento do banco de dados O número empresarial da McAfee atribuído pela IANA 1.1 Uma solicitação de integridade do IPS do Nitro O número final (1-35) Para relatar as várias características do alerta Para obter todos os detalhes da definição MIB da McAfee, consulte NITROSECURITY-BASE-MIB.txt, onde x.x.x.x é o endereço IP de seu ESM. Efetuar pull da MIB do ESM Exiba os objetos e as notificações de interface com o ESM. Os objetos e as notificações definidos nesta MIB são usados para enviar solicitações: Para que um ESM gerencie as listas negras e as listas em quarentena de um ou mais dispositivos IPS Para um ESM solicitar informações de status de integridade do próprio ESM ou para dispositivos IPS e Receptor Para um dispositivo solicitar suas informações de status de integridade. 1 Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Clique em Configuração do SNMP, depois em Exibir MIB. É aberta uma lista de definições básicas da MIB. Gerenciamento do banco de dados Gerenciar o banco de dados do ESM para fornecer informações e configurações conforme você configura recursos em seu sistema. Você pode gerenciar as configurações de indexação do banco de dados, exibir e imprimir informações sobre a utilização da memória do banco de dados de eventos e fluxos, configurar locais de armazenamento de partições inativa, configure a política de retenção de dados de eventos e fluxos e configure como o banco de dados aloca o espaço para dados de fluxo e de eventos. Se tiver mais do que quatro CPUs em uma VM, você pode usar o espaço de armazenamento adicional para armazenamento do sistema, armazenamento de dados e armazenamento de alto desempenho. Se você remover mais de uma unidade do da VM ESM de uma vez, todas as buscas ELM podem ser perdidas. Para evitar isso, exporte os resultados da pesquisa ELM antes de executar este processo. Consulte também Gerenciar a indexação do acumulador na página 193 Gerenciar configurações de indexação de banco de dados na página 193 Configurar limites de retenção de dados na página 192 Exibir utilização de memória do banco de dados na página 194 Configurar o armazenamento de dados do ESM Há três tipos de armazenamento externo que podem ser configurados para armazenar os dados do ESM: Internet Small Computer System Interface (iscsi), Storage Area Network (SAN) e 190 McAfee Enterprise Security Manager Guia de produto

191 Configuração do ESM Gerenciamento do banco de dados 3 Direct-attached storage (DAS). Depois que eles forem conectados ao ESM, você poderá configurá-los para armazenar dados do ESM. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados Armazenamento de dados. 2 Clique nas guias, selecione uma ação e preencha as informações solicitadas. 3 Clique em Cancelar para fechar a página. Consulte também Configurar limites de retenção de dados na página 192 Configurar o armazenamento de dados da VM do ESM Se a sua VM do ESM tem mais de quatro CPUs, a opção Dados de VM fica disponível na página Banco de dados, permitindo que você use o armazenamento adicional que tem disponível no armazenamento do sistema, no armazenamento de dados e no armazenamento de alto desempenho da VM. Cada lista suspensa na página Alocação de dados inclui as unidades de armazenamento disponíveis montadas na VM. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados Dados de VM. 2 Em cada campo, selecione a unidade na qual deseja que os dados sejam armazenados. Cada unidade poderá ser solucionada somente uma vez. 3 Clique em OK. Aumentar o número de índices de acumulador disponíveis Em função do número de índices de padrão ativados no ESM, somente é possível adicionar cinco índices a um campo de acumulador. Se mais de cinco forem necessários, é possível desativar os índices que não estão em uso no momento, como sessionid, src/dst mac, src/dst port, src/dst zone, src/dst geolocation, até no máximo 42. O ESM usa índices padrão ao gerar consultas, relatórios, alarmes e exibições. Se você desativar algum deles e tentar gerar uma consulta, relatório, alarme ou exibição que o use,você será notificado de que não é possível processar, pois o índice está desativado. Não é informado qual índice está afetando o processo. Em função dessa limitação, não desative os índices padrão a menos que considere absolutamente necessário. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados. 2 Clique em Configurações e clique na guia Indexação do acumulador. McAfee Enterprise Security Manager Guia de produto 191

192 3 Configuração do ESM Gerenciamento do banco de dados 3 Na lista suspensa, clique em Índices padrão e selecione Mostrar índices padrão. Os índices padrão são listados na área Ativado. 4 Clique nos índices padrão a serem desativados e clique na seta para movê-los para a área Disponível. O número que consta na instrução restantes no canto superior direito da página aumenta a cada índice padrão desativado. Agora é possível ativar mais de cinco índices de acumulador para o campo de acumulador selecionado (consulte Gerenciar a indexação do acumulador). Configurar o arquivo de partições inativas O ESM divide os dados em partições. Quando uma partição atinge seu tamanho máximo, ela se torna inativa e é excluída. Você pode configurar um local de armazenamento para partições inativas de modo que elas não sejam excluídas. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados Arquivamento. 2 Preencha os campos, que podem variar dependendo do tipo que você selecionar. 3 Clique em OK para salvar as configurações. Conforme as partições se tornam inativas, elas são copiadas para este local e são listadas nas guias Partições de evento e Partições de fluxo. Configurar limites de retenção de dados Se tiver uma configuração que está enviando dados históricos para o sistema, você pode selecionar o tempo pelo qual deseja que os eventos e os fluxos sejam mantidos, assim como limitar a quantidade de dados históricos inseridos. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados Retenção de dados. 2 Selecione por quanto tempo deseja que os eventos e fluxos sejam retidos e se deseja restringir os dados históricos. 3 Clique em OK. Consulte também Configurar o armazenamento de dados do ESM na página 190 Definir limites de alocação de dados O número máximo de registros de eventos e fluxos que são mantidos pelo sistema é um valor fixo. A alocação de dados permite que você defina a quantidade de espaço a ser alocado para cada um e quantos registros serão pesquisados para otimizar a consulta. 192 McAfee Enterprise Security Manager Guia de produto

193 Configuração do ESM Gerenciamento do banco de dados 3 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados Alocação de dados. 2 Clique nos marcadores nas linhas numeradas e arraste-os até os números desejados ou clique nas setas nos campos Eventos e Fluxos. 3 Clique em OK. Gerenciar configurações de indexação de banco de dados Configure opções para a indexação de campos de dados específicos no banco de dados. Se os dados não forem indexados, eles serão armazenados, mas não serão exibidos nos resultados de consulta. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados Configurações. 2 Para alterar as configurações atuais nas colunas Eventos e Fluxos, clique no item que deseja alterar e selecionar uma nova configuração na lista suspensa. 3 Se você selecionar Personalizado nas colunas Porta, a tela Valores da porta abre para que você possa selecionar ou adicionar um novo valor de porta. 4 Clique em OK. Gerenciar a indexação do acumulador Se tiver campos personalizados que efetuam pull de dados numéricos de uma origem, a indexação do acumulador poderá executar somas ou fazer médias desses dados ao longo do tempo. Você pode acumular vários eventos e fazer a média do valor deles ou gerar um valor de tendência. Antes de iniciar Configure um tipo personalizado de indexação de acumulador (consulte Criar tipos personalizados). 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados. 2 Clique em Configurações e clique na guia Indexação do acumulador. 3 Selecione os indexes e clique em OK. Você agora pode configurar uma consulta de acumulador para exibir os resultados. Consulte também Gerenciar consultas na página 298 Criar tipos personalizados na página 311 McAfee Enterprise Security Manager Guia de produto 193

194 3 Configuração do ESM Trabalhar com usuários e grupos Exibir utilização de memória do banco de dados Exibir e imprimir tabelas que detalham como a memória de banco de dados está sendo usada. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Banco de dados Uso de memória. As tabelas Eventos e Fluxos listam a utilização da memória do banco de dados. 2 Para imprimir os relatórios, clique no ícone Imprimir. Trabalhar com usuários e grupos Usuários e grupos devem ser adicionados ao sistema para terem acesso ao ESM, seus dispositivos, políticas e privilégios associados. Quando está no modo FIPS, o ESM tem quatro funções de usuário possíveis: Usuário, Usuário avançado, Administrador de chave e certificado e Administrador de auditoria. Quanto está no modo FIPS, há dois tipos de conta de usuário: Administrador do sistema e Usuário geral. A página Usuários e grupos tem duas seções: Usuários Nomes de usuários, o número de sessões abertas no momento para cada usuário e os grupos aos quais pertencem. Grupos Nomes de grupos e uma descrição dos privilégios atribuídos a cada um. Você pode classificar as tabelas clicando em Nome do usuário, Sessões ou Nome do grupo. Privilégios de grupo Ao configurar um grupo, você define os privilégios dos membros do grupo. Se você selecionar Limitar acesso deste grupo na página Privilégios de Adicionar grupo (Propriedades do sistema Adicionar grupo), o acesso a estes recursos será limitado. Alarmes Os usuários do grupo não têm acesso a destinatários, arquivos ou modelos de gerenciamento de alarme. Eles não podem criar, editar, remover, ativar ou desativar alarmes. Gerenciamento de casos Os usuários podem acessar todos os recursos, exceto Organização. ELM Os usuários podem realizar pesquisas aprimoradas do ELM, mas não podem salvá-las nem acessar as propriedades do dispositivo ELM. Relatórios Os usuários somente podem executar um relatório que envia o resultado por para eles. Listas de observação Os usuários não podem adicionar uma lista de observação dinâmica. Asset Managere Editor de políticas Os usuários não podem acessar nenhum desses recursos. Zonas Os usuários somente podem exibir zonas às quais eles têm acesso em sua lista de zonas. Propriedades do sistema Os usuários podem acessar somente Relatórios e Listas de observação. 194 McAfee Enterprise Security Manager Guia de produto

195 Configuração do ESM Trabalhar com usuários e grupos 3 Filtros Os usuários não podem acessar as guias de filtro Normalização de cadeia, Active Directory, Ativos, Grupos de ativos ou Marcas. Barra de ferramentas de ações Os usuários não podem acessar o gerenciamento de dispositivos, o gerenciamento de vários dispositivos ou o Visualizador de streaming de eventos. Adicionar um usuário Se você tem privilégios de administrador do sistema, pode adicionar usuários ao sistema para que eles tenham acesso ao ESM e seus dispositivos, políticas e privilégios associados. Depois de adicionados, as configurações do usuário podem ser editadas ou removidas. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema Usuários e Grupos. 2 Digite a senha de administrador do sistema e clique em OK. 3 Na seção Usuários, clique em Adicionar e preencha as informações necessárias. 4 Clique em OK. Os usuários serão adicionados ao sistema com os privilégios atribuídos aos grupos aos quais pertencem. Os nomes de usuário aparecem na seção Usuários da página Usuários e Grupos. Um ícone aparece ao lado de cada nome do usuário, indicando se a conta está ativada ou não. Se um usuário tiver privilégios de administrador, um ícone de rei aparece ao lado do nome. Selecione configurações do usuário A página Configurações do usuário possibilita a alteração de várias configurações padrão. Você pode alterar o fuso horário, o formato de data, a senha, a exibição padrão e o idioma do console. Você também pode escolher se deseja ou não mostrar origens de dados desativadas, a guia Alarmes e a guia Casos. 1 Na barra de navegação do sistema do console ESM, clique em opções. 2 Verifique se a opção Configurações do usuário foi selecionada. 3 Altere as configurações conforme o necessário e clique em OK. A aparência do console é alterada com base nas suas configurações. Configuração de segurança Use a segurança de login para definir as configurações de login padrão, configurar a lista de controle de acesso (ACL) e definir as configurações de CAC (Common Access Card). Você também pode ativar a autenticação para o RADIUS (Remote Authentication Dial In User Service), o Active Directory e o McAfee Enterprise Security Manager Guia de produto 195

196 3 Configuração do ESM Trabalhar com usuários e grupos LDAP (Lightweight Directory Access Protocol), disponíveis somente com privilégios de administrador do sistema. Recursos de segurança do ESM A família de soluções do IPS do Nitro da McAfee foi projetada para ser difícil de ser encontrada em uma rede e mais difícil ainda de ser atacada. Por padrão, os dispositivos IPS do Nitro não têm pilha de IP, por isso, os pacotes não podem ser destinados diretamente ao IPS do Nitro. A comunicação com um IPS do Nitro é obtida por meio da tecnologia McAfee Secure Encrypted Management (SEM). SEM é um canal criptografado AES (Advanced Encryption Standard) em banda que reduz o risco de ataques de reprodução ou a intermediários. Um dispositivo PS do Nitro se comunica somente quando é endereçado por um ESM autorizado através do canal SEM. Ele não inicia comunicações sozinho. A comunicação entre um ESM e o console do ESM também é enviada por uma conexão criptografada, compatível com FIPS. O ESM recupera atualizações de software e assinatura criptografadas e autenticadas do servidor central da McAfee a partir de um mecanismo de comunicação criptografada. Os mecanismos, baseados em hardware e software, servem para ter certeza de que os dispositivos são gerenciados somente por um ESM devidamente autorizado. Definir as configurações de login padrão Ajuste as configurações para os procedimentos de login padrão estabelecendo quantas tentativas de login podem ser feitas em um período específico, por quanto tempo o sistema pode ficar inativo, as definições de senha e se deseja mostrar ou não o último ID de usuário no momento do login. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Segurança de login. 2 Configure as opções na guia Padrão. 3 Clique em OK ou Aplicar. Definir configurações de senha de logon É possível definir várias configurações para a senha de logon no sistema. Antes de iniciar É necessário ter direitos de administrador do sistema. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Segurança de login. 2 Clique na guia Senhas, selecione as opções desejadas e clique em Aplicar ou em OK. Definir as configurações de autenticação RADIUS Configure o ESM para autenticar usuários em um servidor RADIUS. 196 McAfee Enterprise Security Manager Guia de produto

197 Configuração do ESM Trabalhar com usuários e grupos 3 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Segurança de login. 2 Selecione a guia RADIUS e preencha os campos referentes ao servidor primário. Ter um servidor secundário é opcional. 3 Clique em OK ou Aplicar. Quando o servidor estiver ativado, todos os usuários, exceto o administrador do sistema, farão a autenticação com o servidor RADIUS. Se a autenticação estiver desativada, os usuários que estão configurados para autenticação com o RADIUS não poderão acessar o ESM. Configurar a lista de controle de acesso Configurar uma lista de endereços IP com permissão para acessar o ESM ou que estão bloqueados para acesso. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Segurança de login. 2 Clique em Configurações de ACL e adicione os endereços IP à lista. 3 Clique em OK para salvar as configurações e feche a Lista de controle de acesso. É possível editar ou remover endereços IP da lista de ACL. Configurações do CAC Você pode fazer a autenticação no ESM fornecendo suas credenciais do CAC por meio do navegador, em vez de inserir um nome do usuário e senha. Os CACs contêm um certificado de cliente que identifica o usuário, semelhante ao modo como um certificado de servidor identifica um site. Caso ative o recurso CAC, pressupomos que esteja familiarizado com a autenticação com base em CAC. Você sabe quais navegadores são compatíveis com essa funcionalidade e conhece o EDI-PI (Electronic Data Interchange Personal Identifier) associado aos CACs. Ocasionalmente, os certificados serão revogados. As listas de revogação de certificados (CRL) possibilitam aos sistemas reconhecer essas revogações. Você pode fazer upload manual de um arquivo.zip contendo arquivos CRL. O ActivClient é o único middleware CAC compatível com Windows. Para usar a autenticação CAC no ESM a partir do Windows usando o Internet Explorer, o ActivClient deve estar instalado no computador cliente. Quando o ActivClient estiver instalado, ele será usado para gerenciar as credenciais do CAC em vez do gerenciador de cartão inteligente no Windows. É provável que o software ActivClient já esteja instalado se o cliente costuma acessar outros sites compatíveis com CAC. Instruções sobre como configurar o ActivClient e onde fazer download do software podem ser obtidas em militarycac.com/activclient.htm ou na intranet de sua organização. Ao usar a validação do CAC para autenticidade de aplicativos, a segurança do sistema fica dependente da segurança da Autoridade de Certificação (CA). Caso a CA esteja comprometida, os logins compatíveis com CAC também ficarão comprometidos. Configurar o login do CAC Para configurar a entrada do CAC, você deve fazer upload dos certificados raiz da CA, ativar o recurso de entrada do CAC e ativar um usuário do CAC definindo o nome do usuário para o EDI-PI de dez McAfee Enterprise Security Manager Guia de produto 197

198 3 Configuração do ESM Trabalhar com usuários e grupos dígitos do proprietário do cartão. Feito isso, os proprietários dos cartões podem acessar o ESM em um navegador compatível com CAC sem que seja solicitado um nome de usuário e senha. O ESM aceita os leitores de cartão Gemalto e Oberthur ID One. Ligue para o Suporte da McAfee se precisar de assistência com o leitor de cartões. 1 Upload do certificado raiz de CA. a No painel de controle do computador, clique em Opções da Internet Conteúdo Certificados Autoridades de certificação raiz confiáveis. b c d e f Selecione sua CA raiz, depois clique em Exportar. No Assistente para exportar certificado, clique em Próximo, depois selecione X.509 codificado com base 64 e clique em Próximo. Insira o local e o nome do arquivo que você está exportando, clique em Próximo, depois clique em Concluir. Na árvore de navegação do sistema do console do ESM, acesse Propriedades do sistema, clique em Segurança de entrada e selecione a guia CAC. Clique em Upload, depois procure o arquivo que você exportou e faça o upload dele no ESM. 2 Na guia CAC, insira as informações, selecione as opções solicitadas e clique em OK. 3 Ative cada um dos usuários CAC. a Em Propriedades do sistema, clique em Usuários e grupos e insira a senha do sistema. b c d Na tabela Usuários, destaque o nome do usuário e clique em Editar. Substitua o nome no campo Nome de usuário pelo EDI-PI de dez dígitos. (Opcional) Insira o nome do usuário no campo Alias do usuário e clique em OK. Definir as configurações de autenticação do Active Directory Você pode configurar o ESM para autenticar usuários para um Active Directory. Quando essa opção estiver ativada, todos os usuários, exceto o administrador do sistema, farão a autenticação com o Active Directory. Se a autenticação estiver desativada, os usuários que estão configurados para autenticação com o Active Directory não poderão acessar o sistema. Antes de iniciar Configure um Active Directory que possa ser acessado a partir do ESM. Crie um grupo (consulte Configurar grupos de usuários) com o mesmo nome do grupo do Active Directory que tem acesso ao ESM. Por exemplo, se o nome do grupo for "Usuários da McAfee", você deverá acessar Propriedades do sistema Usuários e grupos e adicionar um grupo chamado "Usuários da McAfee". 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Segurança de login. 2 Clique na guia Active Directory e selecione Ativar autenticação do Active Directory. 198 McAfee Enterprise Security Manager Guia de produto

199 Configuração do ESM Trabalhar com usuários e grupos 3 3 Clique em Adicionar e adicione as informações solicitadas para configurar a conexão. 4 Clique em OK na página Conexão do Active Directory. Configurar credenciais de usuário para o McAfee epo É possível limitar o acesso a um dispositivo McAfee epo configurando credenciais de usuário. Antes de iniciar O dispositivo McAfee epo não deve ser configurado para requerer autenticação de usuário global (consulte Configurar autenticação de usuário global). 1 Na barra de navegação de sistemas do console do ESM, clique em opções e selecione Credenciais do epo. 2 Clique no dispositivo e em Editar. Se na coluna de status do dispositivo constar Não obrigatório, o dispositivo será definido para autenticação de usuário global. É possível alterar o status do dispositivo na página Conexão (consulte Alterar a conexão com o ESM). 3 Digite o nome do usuário e a senha, teste a conexão e clique em OK. Para acessar o dispositivo, os usuários precisam do nome do usuário e da senha que foram adicionados. Desativar ou reativar um usuário Se um usuário exceder o número de tentativas de login permitidas dentro do período definido em Segurança de login, use esse recurso para reativar a conta. Você também pode usar esse recurso se precisar bloquear o acesso de usuários temporariamente ou permanentemente sem excluí-los do sistema. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema Usuários e Grupos. 2 Na tabela Usuários, destaque o nome do usuário e clique em Editar. 3 Selecione ou desmarque Desativar conta e clique em OK. O ícone ao lado do nome do usuário em Usuários e Grupos reflete o status da conta. Autenticar usuários para um servidor LDAP Você pode configurar o ESM para autenticar usuários para um servidor LDAP. McAfee Enterprise Security Manager Guia de produto 199

200 3 Configuração do ESM Trabalhar com usuários e grupos 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Segurança de login. 2 Clique na guia LDAP. 3 Preencha os campos e clique em Aplicar ou OK. Quando essa opção estiver ativada, todos os usuários, exceto o administrador do sistema, deverão fazer a autenticação com o servidor LDAP. Se a autenticação for desativada, os usuários que estão configurados para autenticação LDAP não poderão acessar o sistema. Configurar grupos de usuários Grupos são compostos por usuários que herdam as configurações do grupo. Quando um grupo é adicionado, os dispositivos, as políticas e os privilégios devem ser atribuídos. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Usuários e Grupos Adicionar. 2 Preencha as informações solicitadas em cada guia e clique em OK. O grupo será adicionado à tabela Grupos na página Usuários e Grupos. Adicionar um grupo com acesso limitado Para restringir o acesso de usuários específicos a recursos do ESM, crie um grupo que inclua esses usuários. Essa opção limita o acesso a alarmes, gerenciamento de casos, ELM, relatórios, listas de observação, gerenciamento de ativos, editor de políticas, zonas, propriedades do sistema, filtros e a barra de ferramenta de ações (consulte Trabalhar com usuários e grupos). Todos os outros recursos são desativados. 1 Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Clique em Usuários e grupos e digite a senha do sistema. 3 Siga um destes procedimentos: Se o grupo já estiver configurado, selecione-o na tabela Grupo e clique em Editar. Se você estiver adicionando um grupo, clique em Adicionar ao lado da tabela Grupos, preencha o nome e a descrição, e selecione os usuários. 4 Clique em Privilégios e selecione Limitar acesso deste grupo. A maioria dos privilégios é desativada. 5 Na lista de privilégios restantes, selecione os privilégios que você deseja atribuir ao grupo. 6 Clique em cada guia e defina o resto das configurações do grupo. 200 McAfee Enterprise Security Manager Guia de produto

201 Configuração do ESM Backup e restauração das configurações do sistema 3 Backup e restauração das configurações do sistema Salve as configurações atuais do sistema de forma automática ou manual para que elas possam ser restauradas em caso de falha do sistema ou perda de dados. Você também pode configurar e salvar as configurações atuais em um ESM redundante. Um backup padrão salva todas as configurações, incluindo as de política e de arquivos SNMP, de rede e SSH. Ao adicionar um novo dispositivo ESM, Backup e restauração é ativado para fazer backup a cada 7 dias. Você pode fazer backup de eventos, fluxos e logs recebidos pelo sistema. O primeiro backup de dados de evento, fluxo ou log salva somente os dados do início do dia atual. Os backups seguintes salvam dados a partir do horário do último backup. Se você fizer backup de eventos, fluxos ou logs no ESM, o espaço em disco do ESM será reduzido. Recomendamos que você periodicamente faça download ou exclua arquivos de backup do ESM local. Para restaurar o sistema, você pode selecionar um ou mais arquivos de backup do ESM, um computador local ou um local remoto para reverter todas as suas configurações e seus dados a um estado anterior. Ao executar essa função, todas as alterações realizadas nas configurações após a criação do backup são perdidas. Por exemplo, se você estiver executando um backup diário e desejar restaurar os dados dos últimos três dias, selecione os três últimos arquivos de backup. Os eventos, fluxos e registros dos três últimos arquivos de backup são adicionados aos que estão atualmente no ESM. Todas as configurações são então substituídas pelas contidas no backup mais recente. Fazer backup das configurações do ESM e dos dados do sistema Existem várias maneiras de fazer backup dos dados do ESM. Quando um novo ESM é adicionado, a opção Backup e restauração é ativada para fazer backup a cada sete dias. É possível desativá-la ou alterar as configurações padrão. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Informações do sistema Backup e restauração. 2 Defina as configurações de qualquer um destes itens: Backup automático Backup manual ESM redundante Restaurar o sistema para um backup anterior 3 Clique em OK para fechar a página Backup e restauração. Consulte também Restaurar configurações do ESM na página 201 Trabalhar com arquivos de backup no ESM na página 202 Restaurar configurações do ESM Em caso de falha do sistema ou perda de dados, você pode restaurar o sistema para um estado anterior selecionando um arquivo de backup. McAfee Enterprise Security Manager Guia de produto 201

202 3 Configuração do ESM Backup e restauração das configurações do sistema Se o banco de dados contiver o máximo de registros permitidos e os registros sendo restaurados estiverem fora da faixa dos dados atuais no ESM, os registros não serão restaurados. Para salvar e acessar dados fora dessa faixa, você deve ter o arquivamento de partições inativas configurado (consulte Configurar limites de retenção de dados). 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Informações do sistema Backup e restauração Restaurar o backup. 2 Selecione o tipo de restauração que você precisa executar. 3 Selecione o arquivo que deseja restaurar ou insira as informações para o local remoto e clique em OK. A restauração de um backup pode levar muito tempo, com base no tamanho do arquivo de restauração. O ESM permanecerá off-line até que toda a restauração seja concluída. Durante esse tempo, o sistema tentará reconectar a cada 5 minutos. Quando o processo for concluído, a página Login aparecerá. Consulte também Configurar limites de retenção de dados na página 192 Restaurar arquivos de configuração com backup Você pode restaurar o SSH, Rede, SNMP e outros arquivos de configuração cujo backup foi feito no ESM para cada dispositivo. Antes de iniciar Faça backup dos arquivos de configuração no ESM (consulte Fazer backup das configurações do ESM e dados do sistema). 1 Na árvore de navegação do sistema, clique no dispositivo e no ícone Propriedades. 2 Clique na opção Configuração do dispositivo, em Restaurar configuração e em Sim, na página de confirmação. Trabalhar com arquivos de backup no ESM Os arquivos de backup que foram salvos no ESM podem ser obtidos por download, excluídos ou exibidos. Você pode também fazer upload de arquivos e adicioná-los à lista de arquivos de backup. 1 Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Manutenção do arquivo. 2 Na lista suspensa Selecionar tipo, selecione Arquivos de backup. 202 McAfee Enterprise Security Manager Guia de produto

203 Configuração do ESM ESM redundante 3 3 Selecione uma ação que deseja executar. 4 Clique em OK. Consulte também Fazer backup das configurações do ESM e dos dados do sistema na página 201 Gerenciar a manutenção do arquivo O ESM armazena arquivos de backup, atualização de software, registro de alarme e registro de relatório. Você pode fazer download, upload e remover arquivos de cada uma dessas listas. 1 Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Manutenção do arquivo. 2 No campo Selecionar tipo de arquivo, selecione Arquivos de backup, Arquivos de atualização do software, Arquivos de registro do alarme ou Arquivos de relatório. 3 Selecione os arquivos e clique em uma das opções. 4 Clique em Aplicar ou OK. Consulte também Fazer backup das configurações do ESM e dos dados do sistema na página 201 ESM redundante O recurso de ESM redundante permite salvar as configurações atuais do ESM em ESM redundantes, que podem ser convertidos no ESM primário caso haja uma falha no sistema ou perda de dados. Esse recurso só está disponível para usuários com privilégios de administrador do sistema. Quando um ESM redundante é configurado, as configurações e os dados de política do ESM primário são automaticamente sincronizados a cada cinco minutos com o ESM redundante. Para configurar um ESM redundante, é necessário definir as configurações do dispositivo redundante, que recebe as configurações e os dados do dispositivo primário, e definir as configurações do dispositivo primário, que envia as configurações e os dados de backup para o dispositivo redundante. O ESM redundante deve ser configurado para que o ESM primário possa conectar-se a ele. O recurso de redundância do ESM não está disponível em um dispositivo combinado ESMREC. Configurar um ESM redundante Para salvar suas configurações de sistema em um ESM redundante, você deve configurar cada ESM para que eles se comuniquem entre si. 1 Ative SSH no primário e em cada ESM redundante. a Na árvore de navegação do sistema, acesse Propriedades do sistema e clique em Configurações de rede. b Verifique se Ativar SSH está selecionado e clique em OK. McAfee Enterprise Security Manager Guia de produto 203

204 3 Configuração do ESM ESM redundante 2 Configure os ESMs redundantes. a Entre, acesse Propriedades do sistema na árvore de navegação do sistema, depois clique em Informações do sistema Backup e recuperação Redundância. b c No campo Tipo de ESM, selecione Redundante, depois digite o endereço IP e a porta SSH do ESM primário, depois clique em OK. Você será avisado de que é necessário reiniciar o serviço, fazendo com que todos os usuários percam a conexão com o ESM. Clique em Sim. O console do ESM redundante é desligado. 3 Entre no ESM primário. 4 Na árvore de navegação do sistema, acesse Propriedades do sistema, depois clique em Informações do sistema Backup e recuperação Redundância. 5 No campo de tipo ESM, selecione Primário, selecione a porta SSH para o ESM primário, adicione um endereço de , depois selecione ou adicione o ESM redundante na tabela. É possível adicionar no máximo cinco ESMs redundantes. 6 Clique em OK. Você será avisado de que é necessário reiniciar o serviço, fazendo com que todos os usuários percam a conexão com o ESM. 7 Clique em Sim para prosseguir com a sincronização. Se você tiver especificado um endereço de para notificações, receberá um assim que o ESM estiver pronto para finalização. Se não receber nenhum , efetue um novo login e verifique o status. 8 Finalize a configuração. a Acesse a página Configuração de redundância mais uma vez (Etapa 2a). b Clique em Finalizar. Os ESMs primário e redundante vão para a sincronização final. O sistema volta a funcionar assim que o processo é concluído. Substituir um ESM redundante Se um ESM redundante parar de funcionar, você pode substituí-lo por um novo. Antes de iniciar Adicione o novo ESM redundante ao sistema. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e verifique se a opção Informações do sistema está selecionada. 2 Clique em Backup e restauração Redundância, selecione Primário e digite o novo endereço IP redundante no campo Endereço IP do ESM redundante. 3 Selecione Redundante e certifique-se de que o endereço IP do ESM IP primário esteja correto. 204 McAfee Enterprise Security Manager Guia de produto

205 Configuração do ESM Gerenciamento do ESM 3 4 Selecione Primário e clique em Conectar para verificar se os dois dispositivos estão se comunicando. 5 Selecione Sincronizar todo o ESM e clique em OK. Gerenciamento do ESM É possível executar várias operações para gerenciar o software, os logs, o certificado, os arquivos de recurso e chaves de comunicação do ESM. Guia Opção Definição Configuração Gerenciar logs Configure os tipos de eventos que são registrados no log de eventos. Gerenciamento de chaves Hierarquia do ESM Ocultação Registro em log Localidade do sistema Mapa de nomes Certificado Gerar SSH novamente Exportar todas as chaves Restaurar todas as chaves Configure as opções de dados ao trabalhar com dispositivos ESM hierárquicos. Defina configurações globais para mascarar dados selecionados em qualquer registro de alerta enviado no encaminhamento de evento ou enviado para um ESM pai. Envie eventos internos ao ELM para armazenamento. Esses dados podem ser usados para auditoria. Selecione o idioma do sistema a ser usado nos registros em log de eventos, como monitor de integridade e log de dispositivo. Desmarque as portas e protocolos para que eles exibam números brutos em vez de nomes. Por exemplo, se você desmarcar Porta de origem ou Porta de destino, será exibido como 80. Se você selecionar Protocolos, o número bruto 17 será exibido como udp. Instale um novo certificado SSL (Secure Socket Layer). Gere novamente o par de chaves SSH públicas ou privadas para se comunicar com todos os dispositivos. Exporte as chaves de comunicação de todos os dispositivos do sistema, em vez de exportar uma de cada vez. Restaure as chaves de comunicação de todos os dispositivos ou dos dispositivos selecionados, que foram exportadas com a função Exportar todas as chaves. Manutenção Atualizar ESM Atualize o software ESM a partir de um servidor de regras e atualizações da McAfee ou um engenheiro de segurança da McAfee. Dados do ESM Gerenciador de tarefas Encerrar Reinicializar Faça download de um arquivo.tgz que contenha as informações relacionadas ao status do ESM. Esse status pode auxiliar o Suporte da McAfee a solucionar problemas. Exiba as consultas em execução no ESM e as interrompa, se necessário. Encerre o ESM. Você é avisado de que essa ação faz com que todos os usuários percam a comunicação com o ESM. Interrompa e reinicie o ESM. Você é avisado de que essa ação faz com que todos os usuários percam a comunicação com o ESM. McAfee Enterprise Security Manager Guia de produto 205

206 3 Configuração do ESM Gerenciamento do ESM Guia Opção Definição Terminal Esse recurso se destina somente a usuários avançados. Insira comandos do Linux no ESM. O terminal é somente um emulador de modo de lote parcial e nem todos os comandos estão disponíveis. O terminal não mantém um diretório de trabalho atual. Não é possível usar o comando cd para ir para outro diretório. Devem ser usados nomes de caminho completo. Os operadores > ou >> não funcionam; todos os resultados são retornados para a tela. Obter recursos Configurar recursos Conectar Se você comprou recursos adicionais, ative-os no ESM fazendo download de um arquivo criptografado que contém informações sobre os recursos que são atualmente compatíveis com o ESM. Instale o arquivo obtido por download com a opção Obter recursos. Ao ligar para obter suporte, conceda acesso ao suporte da McAfee ao seu sistema. Essa opção não está em conformidade com o FIPS e não fica disponível em operações no modo FIPS. Exibir estatísticas Acesse as informações a seguir para qualquer dispositivo ESM: Estatísticas de utilização do espaço de troca e da memória. Utilização de CPU. Atividade de alternância de sistemas. Estatísticas de taxa de transferência e entrada/saída. Médias de carga e tamanho da fila. Consulte também Acessar um dispositivo remoto na página 210 Gerar chave SSH novamente na página 208 Gerenciar destinatários na página 173 Tipos de eventos na página 207 Gerenciar registros na página 206 Instalar um novo certificado na página 182 Configurar o registro do ESM na página 208 Mascarar endereços IP na página 207 Exportar e restaurar chaves de comunicação na página 208 Comandos do Linux disponíveis na página 211 Usar comandos do Linux na página 211 Gerenciar registros São vários os tipos de eventos gerados no ESM. Você pode selecionar aqueles que deseja salvar no registro de eventos. 206 McAfee Enterprise Security Manager Guia de produto

207 Configuração do ESM Gerenciamento do ESM 3 1 Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Gerenciamento de ESM. 2 Clique em Gerenciar registros e selecione os tipos de evento que deseja registrar. 3 Clique em OK. Tipos de eventos Estes são os tipos de registro de eventos gerados no ESM. Tipo de evento Autenticação Eventos registrados Login, logout e alterações na conta de usuário. Para estar em conformidade com as normas FIPS, o Modo de autenticação está sempre definido como Nenhum. Backup Lista negra Dispositivo Encaminhamento de evento Monitor de integridade Notificações Política Servidor de regras Processo de backup de banco de dados. As entradas da lista negra enviadas ao dispositivo. Quaisquer alterações no dispositivo ou comunicações dele, como obter eventos, fluxos e registros. Alterações ou erros no encaminhamento de evento. Eventos de status do dispositivo. Alterações ou erros de notificação. Gerenciamento e aplicação de políticas. Download e validação de regras obtidas por download do servidor de regras. No modo FIPS, as regras não devem ser atualizadas através do servidor de regras. Sistema Exibições Alterações na configuração do sistema e registro de sobreposição de tabela. Alterações nas exibições e consultas. Mascarar endereços IP Você pode optar por mascarar dados específicos em registros de eventos enviados no encaminhamento de evento ou a um ESM pai. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Gerenciamento de ESM Hierarquia do ESM. 2 Selecione Ocultar nos ESMs cujos dados você deseja mascarar. A página Seleção de campos de ocultação é aberta. 3 Selecione os campos que deseja mascarar. 4 Clique em OK. Após essa configuração, se um ESM pai solicitar um pacote de um ESM filho, os dados selecionados serão mascarados. McAfee Enterprise Security Manager Guia de produto 207

208 3 Configuração do ESM Gerenciamento do ESM Configurar o registro do ESM Se houver um dispositivo ELM no sistema, você poderá configurar o ESM de forma que os dados do evento interno que ele gera sejam enviados ao dispositivo ELM. Para isso, é necessário configurar a lista de registro padrão. Antes de iniciar Adicione um dispositivo ELM ao sistema. 1 Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Gerenciamento de ESM. 2 Na guia Configuração, clique em Registro. 3 Faça as seleções solicitadas e clique em OK. Alterar o idioma dos registros de eventos Quando você efetuou logon no ESM pela primeira vez, selecionou o idioma a ser usado nos registros de eventos de registro, por exemplo, registro do monitor de integridade e registro de dispositivos. Você pode alterar essa configuração de idioma. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema Gerenciamento de ESM. 2 Clique em Localidade do sistema, selecione um idioma na lista suspensa e clique em OK. Exportar e restaurar chaves de comunicação Exporte as chaves de comunicação de todos os dispositivos do sistema para um único arquivo. Uma vez exportadas as chaves de comunicação, você poderá restaurá-las quando precisar. Na árvore de navegação do sistema, selecione Propriedades do sistema Gerenciamento de ESMe clique na guia Gerenciamento de chaves. Para... Exportar todas as chaves de comunicação Faça isto... 1 Clique em Exportar todas as chaves. 2 Defina a senha para o arquivo de chaves e clique em OK. 3 Selecione o local de salvamento do arquivo e clique em Salvar. Restaurar todas as chaves de comunicação 1 Clique em Restaurar todas as chaves. 2 Localize o arquivo que você configurou quando exportou as chaves e clique em Abrir. 3 Clique em Fazer upload e digite a senha definida. 4 Selecione os dispositivos que precisam ser restaurados e clique em OK. Gerar chave SSH novamente Gere novamente o par de chaves SSH pública ou privada para se comunicar com todos os dispositivos. 208 McAfee Enterprise Security Manager Guia de produto

209 Configuração do ESM Gerenciamento do ESM 3 1 Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Gerenciamento de ESM. 2 Na guia Gerenciamento de chaves, clique em Gerar SSH novamente. Você é avisado que a nova chave substitui a antiga. 3 Clique em Sim. Quando a chave é gerada novamente, ela substitui o par de chaves antigo em todos os dispositivos gerenciados pelo ESM. Gerenciador de tarefas de consulta Se você tiver direitos de administrador ou de mestre, poderá acessar o Gerenciador de tarefas, que exibe a lista de consultas em execução no ESM. A partir dali, você poderá fechar consultas específicas se elas afetarem o desempenho do sistema. Consultas de longa data têm maior possibilidade de afetar o desempenho. A tentativa desse recurso é solucionar problemas de tempo de execução do ESM, e não fechar consultas. Use esse recurso com assistência do suporte da McAfee. As características do gerenciador de tarefas são: É possível fechar relatório, exibir, adicionar à lista de observação, executar e exportar, executar alarme e consultas de API externas no sistema. Não é possível fechar consultas do sistema. Quando você clica em uma consulta, os detalhes são exibidos na área Detalhes da consulta. Por padrão, a lista é atualizada automaticamente a cada cinco segundos. Se você selecionar uma consulta e a lista for atualizada automaticamente, ela permanecerá selecionada e os detalhes serão atualizados. Se a consulta estiver concluída, ela não aparecerá mais na lista. Caso não deseje que a lista seja atualizada automaticamente, cancele a seleção de Atualizar lista automaticamente. Para exibir as tarefas do sistema, que são tarefas ainda não identificadas, cancele a seleção de Ocultar tarefas do sistema. É possível classificar as colunas da tabela. É possível selecionar e copiar os dados na área Detalhes da consulta. Se for possível fechar uma consulta, ela terá um ícone de exclusão na última coluna. Quando você clica nele, uma caixa de seleção solicita confirmação. Gerenciar consultas em execução no ESM O Gerenciador de tarefas exibe uma lista de consultas que estão em execução no ESM. É possível exibir seu status e excluir qualquer uma que afete o desempenho do sistema. McAfee Enterprise Security Manager Guia de produto 209

210 3 Configuração do ESM Gerenciamento do ESM 1 Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Clique em Gerenciamento de ESM, clique na guia Manutenção e, em seguida, clique em Gerenciador de tarefas. 3 Revise e tome medidas em relação à lista de consultas em execução. Atualizar ESM primário ou redundante Se você estiver atualizando um ESM primário ou redundante, siga estas etapas específicas para evitar a perda do evento, do fluxo e dos dados de log. 1 Desative a coleta de alertas, fluxos e logs. a Na árvore de navegação de sistemas, selecione Informações do sistema e clique em Eventos, fluxos e registros. b Desmarque a opção Verificação automática a cada. 2 Atualize o ESM primário. 3 Atualize o ESM redundante. Isso levará mais tempo se houver arquivos de redundância para processar. 4 Ative a coleta de alertas, fluxos e logs selecionando a opção Verificação automática a cada mais uma vez. Se houver falha na atualização, consulte Atualizar para a versão 9.3. Acessar um dispositivo remoto Se um dispositivo for configurado em um local remoto, use a opção Terminal e execute comandos do Linux para ver o dispositivo. Esse recurso é destinado a usuários avançados e deve ser usado sob a supervisão do pessoal do suporte da McAfee em situações de emergência. Essa opção não está em conformidade com o FIPS e fica desativada no modo FIPS. 1 Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Gerenciamento de ESM. 2 Na guia Manutenção, clique em Terminal. 3 Insira a senha do sistema e clique em OK. 4 Insira os comandos do Linux, conforme o necessário, e exporte para salvar o conteúdo em um arquivo. A exportação não inclui resultados que foram limpos da página Terminal durante a sessão de terminal atual. 5 Clique em Fechar. 210 McAfee Enterprise Security Manager Guia de produto

211 Configuração do ESM Gerenciamento do ESM 3 Consulte também Comandos do Linux disponíveis na página 211 Usar comandos do Linux Você pode usar a opção Terminal para inserir comandos do Linux no ESM. Esse recurso se destina a usuários avançados. Use-o somente sob orientação do suporte da McAfee em caso de emergência. Essa opção não está em conformidade com o FIPS e fica desativada no modo FIPS. 1 Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Gerenciamento de ESM. 2 Clique na guia Manutenção, clique em Terminal, digite a senha do sistema e clique em OK. 3 Digite os comandos do Linux (consulte Comandos do Linux disponíveis). 4 Clique em Limpar para excluir o conteúdo da página, se necessário. 5 (Opcional) Clique em Exportar para salvar o conteúdo em um arquivo. A exportação não inclui resultados que foram limpos da página de terminal durante a sessão de terminal atual. Comandos do Linux disponíveis Estes são os comandos disponíveis na página Terminal: Comandos da página Terminal getstatsdata echo ps date grep ethtool ifconfig df kill tar sensors netstat service sar cat tail rm locate iptables tcpdump -c -w updatedb ip6tables cp Estes são os comandos disponíveis que são modificados antes da execução: Esse comando... Alterado para... II ll--classify ping ping -c 1 McAfee Enterprise Security Manager Guia de produto 211

212 3 Configuração do ESM Uso de uma lista negra global Esse comando... ls Alterado para... ls--classify top top -b -n 1 ping6 ping6 -c 1 Para obter informações sobre o comando getstatsdata, consulte Reunir dados estatísticos para solucionar problemas no Apêndice D. Para obter informações sobre todos os outros comandos, consulte Uso de uma lista negra global Uma lista negra é um meio de bloquear o tráfego quando flui por um IPS do Nitro ou dispositivo virtual antes de ser analisado pelo mecanismo de inspeção de pacote detalhada. Você pode usar a opção Lista negra do IPS do Nitro para configurar uma lista negra de dispositivos individuais do IPS do Nitro no ESM. Com a Lista negra global, você pode configurar uma lista negra que se aplique a todos os dispositivos IPS do Nitro gerenciados pelo ESM. Esse recurso permite somente entradas permanentes de lista negra. Para configurar entradas temporárias, use a opção Lista negra do IPS do Nitro. Cada dispositivo IPS do Nitro e virtual pode usar a lista negra global. O recurso fica desativado em todos os dispositivos até você ativá-lo. A página Editor de lista negra global inclui três guias: Origens bloqueadas Corresponde ao endereço IP de origem do tráfego que passa pelo dispositivo. Destinos bloqueados Corresponde ao endereço IP de destino do tráfego que passa pelo dispositivo. Exclusões Fornece imunidade de ser automaticamente adicionado a qualquer uma das listas negras. Os endereços IP críticos (por exemplo, DNS e outros servidores ou estações de trabalho dos administradores de sistema) podem ser adicionados às exclusões para garantir que nunca sejam colocados automaticamente na lista negra, independentemente dos eventos que eles possam gerar. As entradas em Origens bloqueadas e Destinos bloqueados podem ser configuradas para restringir o efeito da lista negra em uma porta de destino específica. Ao adicionar entradas: Adicionar é ativada quando você altera o endereço IP ou a porta. As entradas nas listas Origens bloqueadas e Destinos bloqueados podem ser configuradas para incluir na lista negra todas as portas ou uma porta específica. 212 McAfee Enterprise Security Manager Guia de produto

213 Configuração do ESM O que é enriquecimento de dados 3 As entradas que usam um intervalo mascarado de endereços IP devem ser configuradas com a porta definida como qualquer (0) e a duração deve ser permanente. Embora essas listas requeiram o formato de endereço IP, existem algumas ferramentas incluídas que ajudam a aumentar o significado desses endereços. Depois de digitar um endereço IP ou o nome do host no campo Endereço IP, o botão ao lado desse controle terá as opções Resolver ou Pesquisar com base no valor inserido. Se ele informar Resolver, clique nele para resolver o nome do host inserido, preencher o campo Endereço IP com essas informações e mover o nome do host para o campo Descrição. Caso contrário, se você clicar em Pesquisar, será realizada uma pesquisa do endereço IP e o campo Descrição será preenchido com os resultados dessa pesquisa. Alguns sites têm mais de um endereço IP ou têm endereços IP que nem sempre são iguais. Não dependa desta ferramenta para garantir o bloqueio de alguns sites. Configurar uma lista negra global Configure uma lista negra global que seja comum a todos os dispositivos selecionados, para não precisar inserir as mesmas informações em vários dispositivos. 1 Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Lista negra global. 2 Selecione a guia Origens bloqueadas, Destinos bloqueados ou Exclusões e gerencie as entradas da lista negra. 3 Selecione os dispositivos que devem usar a lista negra global. 4 Clique em Aplicar ou OK. O que é enriquecimento de dados Você pode enriquecer eventos enviados pela origem de dados upstream com contexto que não seja o do evento original (como um endereço de , número de telefone ou informações de localização do host). Esses dados enriquecidos se tornam parte do evento analisado e são armazenados com o evento exatamente como ocorre com os campos originais. Defina origens de enriquecimento de dados definindo como se conectar ao seu banco de dados e acessar uma ou duas colunas de tabela no banco de dados. Defina os dispositivos que receberão os dados e como enriquecer esses dados, tanto de eventos como de fluxos. Você também pode editar ou remover origens de enriquecimento de dados, assim como executar uma consulta na página Enriquecimento de dados. Para fazer isso, selecione a origem e clique em Editar, Remover ou em Executar agora. Eventos disparados no ESM não são enriquecidos. A aquisição de dados acontece no ESM, não nos dispositivos. Há um conector para a origem de dados relacionais em Hadoop HBase que usa os pares de chave-valor da origem para enriquecimento. É possível efetuar pull do mapeamento de identidade no HBase para um Receiver regularmente para enriquecer eventos. Adicionar origens de enriquecimento de dados Adicione uma origem de enriquecimento de dados e defina os dispositivos que receberão os dados. McAfee Enterprise Security Manager Guia de produto 213

214 3 Configuração do ESM O que é enriquecimento de dados 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Enriquecimento de dados Adicionar. Guias e campos no Assistente de enriquecimento de dados variam com base no tipo de enriquecimento selecionado. 2 Em cada uma das guias, preencha os campos e clique em Avançar. 3 Clique em Finalizar e clique em Gravar. 4 Selecione os dispositivos nos quais deseja gravar as regras de enriquecimento de dados e clique em OK. Configurar enriquecimento de dados no McAfee Real Time for McAfee epo Ao selecionar a origem do McAfee Real Time for McAfee epo no Assistente de enriquecimento de dados, você pode testar sua consulta e escolher as colunas para Pesquisa e Enriquecimento 1 Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Clique em Enriquecimento de dados, depois clique em Adicionar e preencha as informações na guia Principal. 3 Na guia Origem, selecione Real Time for epo no campo Tipo, selecione o dispositivo e clique na guia Consulta. 4 Adicione as informações solicitadas e clique em Testar. Se a consulta não gerar as informações necessários, faça ajustes nas configurações. Adicione uma origem de enriquecimento de dados Hadoop HBase Efetue pull do mapeamento da identidade de HBase por meio de um Receptor para enriquecer eventos adicionando Hadoop HBase como origem de enriquecimento de dados. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Enriquecimento de dados. 2 No Assistente de enriquecimento de dados, preencha os campos na guia Principal e clique na guia Origem. 3 No campo Tipo, selecione Hadoop HBase (REST) e digite o nome de host, a porta e o nome da tabela. 214 McAfee Enterprise Security Manager Guia de produto

215 Configuração do ESM O que é enriquecimento de dados 3 4 Na guia Consulta, preencha a coluna de pesquisa e as informações de consulta: a Formate a Coluna de pesquisa como columnfamily:columnname b Preencha a consulta com um filtro de mecanismo de varredura, onde os valores são codificados por Base64. Por exemplo: <Scanner batch="1024"> <filter> { "type": "SingleColumnValueFilter", "op": "EQUAL", "family": " ZW1wbG95ZWVJbmZv", "qualifier": "dxnlcm5hbwu=", "latestversion": true, "comparator": { "type": "BinaryComparator", "value": "c2nhcgvnb2f0" } } </filter> </Scanner> 5 Preencha as informações nas guias Pontuação e Destino. Adicionar origem de enriquecimento de dados Hadoop Pig Você pode aproveitar os resultados da consulta do Apache Pig para enriquecer eventos do Hadoop Pig. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema. 2 Clique em Enriquecimento de dados e em Adicionar. 3 Na guia Principal, preencha os campos e clique na guia Origem. No campo Tipo, selecione Hadoop Pig e preencha com o Host do Namenode, Porta do Namenode, Host do Jobtracker e Porta do Jobtracker. As informações do Jobtracker não são obrigatórias. Se as informações do Jobtracker estiverem em branco, a porta e host do NodeName serão usados como padrão. 4 Na guia Consulta, selecione o modo Básico e preencha com estas informações: a Em Tipo, selecione arquivo de texto e insira o caminho do arquivo no campo Origem (por exemplo, / usuário/padrão/arquivo.csv). Ou selecione Banco de dados de hive e insira uma tabela do HCatalog (por exemplo, amostra_07). b Em Colunas, indique como enriquecer os dados da coluna. Por exemplo, se o arquivo de texto contiver informações sobre funcionários com colunas como CPF, nome, sexo, endereço e número de telefone, insira o texto a seguir no campo Colunas: func_nome:2, func_telefone:5. Para o banco de dados de Hive, use os nomes de coluna na tabela do HCatalog. c d Em Filtrar, você pode usar qualquer expressão incorporada do Apache Pig para filtrar dados. Consulte a documentação do Apache Pig. Se tiver definido os valores de coluna acima, você poderá agrupar e agregar os dados dessa coluna. As informações de origem e coluna são obrigatórias. Outros campos podem ficar em branco. O uso de funções de agregação requer a especificação de grupos. McAfee Enterprise Security Manager Guia de produto 215

216 3 Configuração do ESM O que é enriquecimento de dados 5 Na tabela Consulta, selecione o modo Avançado e insira um script do Apache Pig. 6 Na guia Pontuação, defina a pontuação de cada valor retornado da consulta de uma única coluna. 7 Na tabela Destino, selecione os dispositivos a que você deseja aplicar o enriquecimento. Adicionar enriquecimento de dados do Active Directory para nomes do usuário Você pode aproveitar o Microsoft Active Directory para preencher eventos do Windows com os nomes de exibição de usuário completos. Antes de iniciar Verifique se você tem o privilégio de Gerenciamento de sistemas. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema. 2 Clique em Enriquecimento de dados e em Adicionar. 3 Na guia Principal, insira um Nome para enriquecimento descritivo no formato Nome_Completo_Da_ID de_usuário. 4 Defina Tipo de pesquisa e Tipo de enriquecimento como Cadeia. 5 Defina Frequência de pull como diariamente, a não ser que o Active Directory seja atualizado com mais frequência. 6 Clique em Avançar ou na guia Origem. a No campo Tipo, selecione LDAP. b Preencha o endereço IP, nome do usuário e senha. 7 Clique em Avançar ou na guia Consulta. a No campo Atributo de pesquisa, insira samaccountname. b c d No campo Atributo de enriquecimento, insira displayname. Em Consulta, insira (objectclass=person) para retornar uma lista com todos os objetos classificados como pessoa no Active Directory. Teste a consulta, que retorna no máximo cinco valores, independentemente do número real de entradas. 8 Clique em Avançar ou na guia Destino. a Clique em Adicionar. b c Selecione a origem de dados do Microsoft Windows. Em Campo de pesquisa, selecione o campo Usuário de origem. Esse campo é o valor que existe no evento, que é usado como índice da pesquisa. d Selecione o Campo de enriquecimento, em que o valor do enriquecimento é gravado no formato Apelido_do_Usuário ou Nome_do_Contato. 216 McAfee Enterprise Security Manager Guia de produto

217 Configuração do ESM O que é enriquecimento de dados 3 9 Clique em Concluir para salvar. 10 Após gravar as configurações de enriquecimento nos dispositivos, clique em Executar agora para recuperar os valores de enriquecimento da origem de dados até que o valor Hora de gatilho diário ocorra. O Nome completo é gravado no campo Contact_name (Nome do contato). McAfee Enterprise Security Manager Guia de produto 217

218 3 Configuração do ESM O que é enriquecimento de dados 218 McAfee Enterprise Security Manager Guia de produto

219 4 Gerenciamento de "ciberameaças" O McAfee ESM permite que você recupere indicadores de comprometimento (IOC) de origens remotas e acesse rapidamente atividades de IOC relacionadas no seu ambiente. O gerenciamento de "ciberameaças" permite que você instale feeds automáticos que geram listas de observação, alarmes e relatórios, e, dessa forma, veja dados acionáveis. Por exemplo, você pode instalar um feed que adicione automaticamente endereços IP suspeitos a listas de observação para monitorar o tráfego futuro. Esse feed pode gerar e enviar relatórios que indiquem atividades anteriores. Use as exibições Exibições de fluxo de trabalho de evento > Indicadores de Cyber Threat para fazer busca detalhada de eventos específicos e atividades no seu ambiente rapidamente. Conteúdo Configurar gerenciamento de ciberameaça Exibir resultados de feeds de ciberameaças Configurar gerenciamento de ciberameaça Configurar feeds para recuperar indicadores de comprometimento (IOC) de origens remotas. Você pode usar esses feeds para gerar listas de observação, alarmes e relatórios que permitem aos usuários acessar atividades de IOC relacionadas no seu ambiente. Antes de iniciar Verifique se você tem as seguintes permissões: Gerenciamento de Cyber Threat Permite ao usuário configurar um feed de ciberameaça". Usuário de Cyber Threat Permite ao usuário exibir os dados gerados pelo feed. 1 Na árvore de navegação do sistema, clique em Propriedades do sistema. 2 Clique em Feeds de Cyber Threat e em Adicionar. 3 Na guia Principal, insira o nome do feed. 4 Na guia Origem, selecione o tipo de dados da origem e suas credenciais de conexão. Clique em Conectar para testar a conexão. As origens compatíveis são o McAfee Advanced Threat Defense e o Threat Information Exchange (TAXII) da MITRE. McAfee Enterprise Security Manager Guia de produto 219

220 4 Gerenciamento de "ciberameaças" Exibir resultados de feeds de ciberameaças 5 Na guia Frequência, identifique com que frequência o feed efetua pull nos arquivos IOC (frequência do pull). As frequências de pull disponíveis são: a cada x minutos, diariamente, a cada hora, semanalmente ou mensalmente. Especifique a hora de gatilho diário. 6 Na guia Lista de observação, selecione qual propriedade ou campo em um arquivo IOC será anexado a uma lista de observação existente. Você pode adicionar listas de observação para qualquer propriedade ou campo compatível. Se a lista de observação de que você precisa ainda não existir, clique em Criar nova lista de observação. 7 Na guia Backtrace, identifique quais eventos (padrão) e fluxos serão analisados, relacionando dados para analisar, e a partir de quando os dados serão analisados neste feed. a b c d Escolha analisar eventos, fluxos ou os dois. Indique a partir de quando (em dias) os eventos e fluxos serão analisados. Especifique qual ação você deseja que o ESM realize se o backtrace encontrar uma correspondência de dados. Para alarmes, selecione um responsável e gravidade. 8 Retorne à guia Principal e selecione Ativado para ativar esse feed. 9 Clique em Concluir. Consulte também Exibir resultados de feeds de ciberameaças na página 220 Exibir resultados de feeds de ciberameaças Exiba indicadores de comprometimento (IOC) de origens de dados externas, identificados pelos feeds de ciberameaças da sua organização. Faça uma busca rapidamente nos detalhes da ameaça, descrições de arquivos e eventos correspondentes para cada origem de indicador. Antes de iniciar Verifique se você tem a permissão de Usuário de Cyber Threat, que permite exibir os resultados de feeds de ameaça virtual da sua organização. 1 No console do ESM, Resumo padrão, selecione Exibições de fluxo de trabalho de evento Indicadores de Cyber Threat. 2 Escolha o período da exibição. 3 Filtre por nome de feed ou tipos de dados IOC compatíveis. 4 Realize qualquer ação de exibição padrão, como: Criar ou anexar a uma lista de observação. Criar um alarme. Executar um comando remoto. Criar um caso. 220 McAfee Enterprise Security Manager Guia de produto

221 Gerenciamento de "ciberameaças" Exibir resultados de feeds de ciberameaças 4 Verificar ou fazer última verificação. Exportar o indicador para um arquivo CSV ou HTML. 5 Faça uma busca detalhada usando as guias Descrição, Detalhes, Eventos de origem e Fluxos de origem. Consulte também Configurar gerenciamento de ciberameaça na página 219 McAfee Enterprise Security Manager Guia de produto 221

222 4 Gerenciamento de "ciberameaças" Exibir resultados de feeds de ciberameaças 222 McAfee Enterprise Security Manager Guia de produto

223 5 Trabalho 5 com pacotes de conteúdo Quando ocorrer uma situação de ameaça específica, responda imediatamente importando e instalando o pacote de conteúdo relevante do servidor de regras. Os pacotes de conteúdo contêm regras de correlação orientadas por caso de uso, alarmes, exibições, relatórios, variáveis e listas de observação para enfrentar atividade específica de ameaça ou malware. Os pacotes de conteúdo permitem responder às ameaças sem perder tempo criando ferramentas do zero. Importar pacotes de conteúdo A McAfee cria pacotes de conteúdo orientado por caso de uso, completos com listas de observação, variáveis, relatórios, exibições, alarmes ou regras de correlação para enfrentar atividade de malware específica. Antes de iniciar Verifique se você tem as seguintes permissões: Gerenciamento de sistemas Administração de usuários 1 Verificar atualizações de regras na página 30 Usuários online recebem pacotes de conteúdo disponíveis automaticamente como parte das atualizações de regras. Os usuários offline devem fazer download e importar pacotes de conteúdo individuais manualmente no site de hospedagem de regras. 2 Na árvore de navegação do sistema, clique em Propriedades do sistema. 3 Clique em Pacotes de conteúdo. 4 Para importar e instalar um novo pacote de conteúdo, clique em Procurar. A verificação de atualizações de regras faz download automaticamente de todos os pacotes de conteúdo novos ou atualizados. a b Clique em Importar e navegue até o arquivo do pacote de conteúdo que você deseja importar. Clique em Fazer upload. Uma mensagem indicará o status da importação. McAfee Enterprise Security Manager Guia de produto 223

224 5 Trabalho com pacotes de conteúdo Importar pacotes de conteúdo c d Clique no pacote de conteúdo para revisar os detalhes do que está incluído no pacote. Selecione o pacote desejado e a opção de instalar esse pacote de conteúdo. 5 Para atualizar ou desinstalar um pacote de contato existente, marque o pacote desejado e clique em Atualizar ou Desinstalar. Tenha cuidado ao atualizar pacotes de conteúdo existentes. Se você tiver personalizado anteriormente alguns elementos de pacote de conteúdo, a atualização poderá sobrescrever esses elementos personalizados. 6 Para desinstalar um pacote de conteúdo existente, marque o pacote desejado e clique em Desinstalar. 224 McAfee Enterprise Security Manager Guia de produto

225 6 Fluxo 6 de trabalho de alarmes Familiarize-se com o fluxo de trabalho de alarmes. Clique no link da tarefa relevante para ver informações passo a passo. 1 Preparar para criar alarmes Antes de criar ou usar alarmes, verifique se seu ambiente está preparado. Conecte o servidor de s, crie modelos de mensagens e identifique grupos de destinatários de mensagens. Faça upload de arquivos de áudio. Exiba o painel de registros de Alarmes no dashboard (também conhecido como console). Gere relatórios. 2 Criar alarmes Quando você cria um alarme, pode identificar uma ou mais condições de segurança que podem disparar o alarme. Você ainda pode identificar quais ações ocorrem como resposta aos alarmes disparados. Para criar alarmes, você pode ativar os alarmes predefinidos, alterar os alarmes existentes ou criar alarmes exclusivos ao ambiente de sua organização. 3 Monitorar e responder a alarmes Responda aos alarmes disparados nestes locais do ESM: Exibição de alarmes disparados no dashboard Alertas pop-up visuais que abrem quando um alarme dispara Painel de registros de Alarmes que lista o total de alarmes por gravidade: alta ; média e baixa Ajustar alarmes Sua necessidade quanto a alarmes pode mudar com o tempo. Refine e ajuste seus alarmes conforme for identificando o que funciona melhor para sua organização. Conteúdo Preparar para criar alarmes Criar alarmes Monitorar e responder a alarmes Ajustar alarmes Preparar para criar alarmes Antes de criar e responder a alarmes, verifique se seu ambiente ESM contém os seguintes blocos de construção: modelos de mensagem de alarme, grupos de destinatários de mensagem, conexão com o McAfee Enterprise Security Manager Guia de produto 225

226 6 Fluxo de trabalho de alarmes Preparar para criar alarmes servidor de , arquivos de áudio de alarme, fila de relatórios de alarmes e guia de alarmes visíveis no dashboard. Antes de iniciar Para exibir alarmes disparados no dashboard, consulte Selecione configurações do usuário na página 36. Leia as tarefas a seguir para aprender a preparar seu ambiente de alarmes. s Configurar mensagens de alarme na página 226 Configure o ESM para enviar mensagens de alarmes disparados, usando , Short Message Services (SMS), Simple Network Management Protocol (SNMP) ou syslog. Gerenciar arquivos de áudio de alarme na página 231 Faça upload e download de arquivos de áudio para usá-los nos alertas de alarme. Gerenciar fila de relatórios de alarme na página 232 Se uma ação de alarme gerar relatórios, você poderá exibir a file de relatórios gerados e cancelar um ou mais deles. Configurar mensagens de alarme Configure o ESM para enviar mensagens de alarmes disparados, usando , Short Message Services (SMS), Simple Network Management Protocol (SNMP) ou syslog. Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de alarme. s Criar modelos de mensagem de alarme na página 227 Crie modelos de mensagem de alarme para s, Short Message Services (SMS), Simple Network Management Protocol (SNMP) ou syslog. Você pode associar os modelos a ações de alarme específicas e destinatários das mensagens. Configurar alarmes de correlação para incluir eventos de origem na página 228 Para incluir as informações de eventos de origem nos resultados de um alarme, configure uma Correspondência de eventos interna ou Correspondência de campos que usa um evento de correlação como correspondência. Gerenciar destinatários de alarme na página 229 Identifique destinatários de mensagens de alarme e configure como enviá-las usando , Short Message Services (SMS), Simple Network Management Protocol (SNMP) ou syslog. Conecte seu servidor de na página 172 Defina as configurações para conectar-se a seu servidor de , para poder enviar alarmes e mensagens de relatório. Definição de configurações de mensagem Ao definir ações de um alarme ou configurar o método de entrega de um relatório, você pode optar por enviar mensagens. Primeiro, conecte o ESM ao servidor de e identifique os destinatários da mensagem por , SMS, SNMP ou syslog. O ESM envia notificações de alarme usando o protocolo SNMP v1. O SNMP usa o User Datagram Protocol (UDP) como o protocolo de transporte para passar dados entre os gerenciadores e agentes. Em uma configuração típica de SNMP, agentes como o ESM podem enviar eventos a servidores SNMP (normalmente chamados de Estação de Gerenciamento de Rede [NMS]) utilizando pacotes de dados 226 McAfee Enterprise Security Manager Guia de produto

227 Fluxo de trabalho de alarmes Preparar para criar alarmes 6 conhecidos como interceptações. Outros agentes na rede podem receber relatórios de eventos da mesma maneira como recebem notificações. Devido às limitações de tamanho dos pacotes de interceptação do SNMP, o ESM envia cada linha do relatório em uma interceptação separada. O syslog também pode enviar relatórios de CSV de consultas gerados pelo ESM. O syslog envia esses relatórios de CSV de consultas em uma linha por mensagem de syslog, com os dados de cada linha dos resultados da consulta organizados em campos separados por vírgula. Criar modelos de mensagem de alarme Crie modelos de mensagem de alarme para s, Short Message Services (SMS), Simple Network Management Protocol (SNMP) ou syslog. Você pode associar os modelos a ações de alarme específicas e destinatários das mensagens. Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de alarme. 1 Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Clique em Alarmes. 3 Clique na guia Configurações e, em seguida, clique em Modelos. Para criar modelos personalizados, clique em Adicionar. Para alterar um modelo personalizado, selecione-o e clique em Editar. Você não pode editar modelos predefinidos. Para excluir um modelo personalizado, selecione-o e clique em Remover. Não é possível excluir modelos predefinidos. Para copiar um modelo existente, selecione-o e clique em Copiar. Salve o modelo copiado com um novo nome. Para definir um padrão para todas as mensagens de alarme, selecione-o e clique em Tornar padrão. 4 Adicione ou altere as seguintes informações de modelo. Opção Tipo Descrição Selecione se o modelo é para uma mensagem de ou SMS. As mensagens SMS são enviadas ao telefone como s e convertidas em SMS pela operadora. As mensagens SMS têm um limite de 140 caracteres. Nome Descrição Tornar padrão Digite o nome para este modelo. Digite uma descrição do que o modelo incluirá. Use o modelo atual como padrão ao enviar mensagens. McAfee Enterprise Security Manager Guia de produto 227

228 6 Fluxo de trabalho de alarmes Preparar para criar alarmes Opção Assunto Corpo da mensagem Descrição Para um modelo de , selecione o assunto da mensagem. Clique no ícone Inserir campo e selecione as informações que você deseja incluir na linha de assunto da mensagem. Selecione os campos que você deseja incluir no corpo da mensagem. Para incluir dados do pacote no , ative Copiar pacote para a regra. O ESM limita os dados do pacote no a caracteres. (Consulte Ativar Copiar pacote na página 366). Para modelos de mensagens syslog, limite o corpo da mensagem a 950 bytes. O ESM não consegue enviar mensagens de syslog superiores a 950 bytes. Exclua qualquer um dos campos incluídos por padrão se você não quiser que eles sejam incluídos na mensagem. Posicione o cursor no corpo, no local onde deseja inserir um campo de dados. Clique no ícone Inserir campo acima do campo Assunto. Depois selecione o tipo de informação que este campo deve exibir. Se você selecionar Bloco de repetição, o ESM adicionará a sintaxe necessária para a repetição dos registros. Insira os campos que você deseja incluir para cada registro entre os marcadores [$REPEAT_START] e [$REPEAT_END]. O ESM inclui essas informações na mensagem para até 10 registros. Configurar alarmes de correlação para incluir eventos de origem na página 228 Para incluir eventos de origem em alarmes que usam um evento de correlação como correspondência ( ), clique no ícone Inserir campo e selecione Bloqueio de eventos de origem. Quando você seleciona Correspondência de eventos interna ou Correspondência de campos como tipo de alarme, o ESM inclui dados do campo de evento no . Selecione Correspondência de campos para alarmes conduzidos por origem de dados, que são executados no receptor, não no ESM. Selecione alarmes de Correspondência de eventos interna, que são executados no ESM e forçam a execução de uma consulta sempre que a frequência do alarme expira. Configurar alarmes de correlação para incluir eventos de origem Para incluir as informações de eventos de origem nos resultados de um alarme, configure uma Correspondência de eventos interna ou Correspondência de campos que usa um evento de correlação como correspondência. Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de alarme. 1 Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Clique em Alarmes. 3 Clique na guia Configurações e, em seguida, clique em Modelos. 4 Na página Gerenciamento de modelos, clique em Adicionar e preencha as informações necessárias. 228 McAfee Enterprise Security Manager Guia de produto

229 Fluxo de trabalho de alarmes Preparar para criar alarmes 6 5 Na seção Corpo da mensagem, coloque o cursor onde deseja incluir as marcas e clique no ícone Inserir campo, e selecione Bloco de eventos de origem. 6 Coloque o cursor dentro das marcas, clique no ícone Inserir campo novamente e selecione as informações que deseja incluir quando o alarme de correlação for disparado. O exemplo a seguir ilustra como fica um modelo de mensagem de alarme quando você insere campos para endereço IP de origem, endereço IP de destino e gravidade de um evento: Alarme: [$Nome do alarme] Responsável: [$Responsável pelo alarme] Data do disparo: [$Data do disparo] Resumo: [$Resumo do alarme] [$SOURCE_EVENTS_START] IP de origem: [$IP de origem] IP de destino: [$IP de destino] Gravidade: [$Gravidade média] [$SOURCE_EVENTS_END] Se um evento correlacionado não disparar o alarme, a mensagem não incluirá os dados. Gerenciar destinatários de alarme Identifique destinatários de mensagens de alarme e configure como enviá-las usando , Short Message Services (SMS), Simple Network Management Protocol (SNMP) ou syslog. Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de alarme. Verifique se os perfis que você deseja usar existem. Consulte Configuração de SNMP na página 182 e Configurar perfis na página Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Clique em Alarmes. 3 Clique na guia Configurações e, em seguida, em Destinatários. Clique em para exibir ou atualizar endereços de de destinatários individuais. Clique em Usuários para exibir nomes de usuário e endereços de . Clique em SMS para exibir ou atualizar destinatários de SMS e seus endereços. Clique em SNMP para exibir ou atualizar as seguintes informações de SNMP: Opção Perfil Tipo de interceptação específica Descrição Selecione um perfil de destinatário de SNMP existente na lista suspensa. Para adicionar um perfil, clique em Perfil. Selecione o tipo de interceptação específica. O tipo de interceptação geral é sempre definido para 6, Específico do Enterprise. McAfee Enterprise Security Manager Guia de produto 229

230 6 Fluxo de trabalho de alarmes Preparar para criar alarmes Opção OID empresarial Conteúdo Formatação Lista de OID de vínculo Descrição Insira o identificador de objeto empresarial (OID) completo para enviar a interceptação. Inclua desde o primeiro 1 até o número empresarial, incluindo todas as subárvores dentro da empresa. Incluir vínculos de dados informativos A interceptação contém informações de vínculos variáveis, incluindo o número de linhas do relatório processado, uma cadeia que identifica a origem da interceptação, o nome da notificação que está gerando a interceptação e a ID do ESM que está enviando a interceptação. Incluir somente dados de relatório Os vínculos variáveis extras não são incluídos na interceptação. Cada interceptação de SNMP gerada a partir de um relatório contém uma linha de dados desse relatório. Enviar cada linha do relatório como está Os dados da linha do relatório são enviados como estão em um único vínculo variável. O sistema constrói os OIDs de vínculo de dados ao concatenar o Enterprise OID, o tipo de interceptação específico e um número de autoincrementação que começa com 1. Analisar resultados e usar estes OIDs O sistema analisa a linha do relatório e envia cada campo em um vínculo de dados separado. Analisar resultados e usar esses OIDs de vínculo Especifique os OIDs de vínculo de dados personalizados. Se você selecionar essa opção, clique em Adicionar e digite o valor do OID vinculado. Se você não especificar OIDs variáveis para todos os campos de dados no relatório, o ESM começará a incrementar a partir do último OID especificado na lista. 4 Clique em Syslog para exibir ou atualizar as seguintes informações de syslog: Opção IP do host e Porta Recurso e Gravidade Descrição Insira o endereço IP do host e a porta de cada destinatário. Selecione o recurso e a gravidade da mensagem. Conecte seu servidor de Defina as configurações para conectar-se a seu servidor de , para poder enviar alarmes e mensagens de relatório. Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de usuários. 230 McAfee Enterprise Security Manager Guia de produto

231 Fluxo de trabalho de alarmes Preparar para criar alarmes 6 1 Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Clique em Configurações de e insira as informações solicitadas para conectar seu servidor de . Opção Host e Porta Usar TLS Nome do usuário e senha Título De Configurar destinatários Descrição Insira o host e a porta do seu servidor de . Selecione se você desejar usar o protocolo de criptografia TLS. Digite o nome do usuário e a senha para acessar o servidor de . Digite um título genérico para todas as mensagens de enviadas do seu servidor de , por exemplo, o endereço IP do ESM para identificar qual ESM gerou a mensagem. Digite o seu nome. Adicionar, editar ou remover destinatários (consulte Gerenciar destinatários de alarme na página 229). 3 Envie um de teste para verificar as configurações. 4 Adicionar, editar ou remover destinatários (consulte Gerenciar destinatários de alarme na página 229). 5 Clique em Aplicar ou OK para salvar as configurações. Consulte também Gerenciar destinatários na página 173 Gerenciar arquivos de áudio de alarme Faça upload e download de arquivos de áudio para usá-los nos alertas de alarme. Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de alarme. 1 Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Clique na guia Configurações e, em seguida, clique em Áudio. 3 Faça download, upload, remova ou reproduza arquivos de áudio e clique em Fechar. O ESM inclui três arquivos de som pré-instalados. Você pode fazer upload de arquivos de áudio personalizados. McAfee Enterprise Security Manager Guia de produto 231

232 6 Fluxo de trabalho de alarmes Criar alarmes Gerenciar fila de relatórios de alarme Se uma ação de alarme gerar relatórios, você poderá exibir a file de relatórios gerados e cancelar um ou mais deles. Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de alarme. 1 Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Clique em Alarmes. 3 Clique na guia Configurações. 4 Para exibir os relatórios de alarmes que aguardam execução, clique em Exibir. O ESM executa até cinco relatórios simultaneamente. Exiba os relatórios gerados por alarmes. Para interromper a execução de determinado relatório, selecione-o e clique em Cancelar. Os relatórios restantes movem para cima na fila. Se você for administrador ou usuário principal, essa lista incluirá todos os relatórios aguardando execução no ESM, permitindo que você cancele qualquer um deles. 5 Clique em Arquivos e selecione fazer download, fazer upload, remover ou atualizar relatórios da lista. 6 Clique em Fechar. Criar alarmes Os alarmes geram ações como resposta a eventos específicos de ameaças. Criar muitos ou poucos alarmes que disparam com frequência pode gerar distração em razão do ruído. A melhor abordagem é criar alarmes que escalonem eventos que sejam críticos para sua organização. Com o McAfee ESM, você cria alarmes: ativando alarmes pré-criados, copiando alarmes existentes e alterando-os ou criando alarmes específicos à sua organização. Leia as tarefas a seguir para conhecer melhor como criar alarmes. s Ativar ou desativar o monitoramento de alarmes na página 233 Alterne entre ligar e desligar o monitoramento de alarme no sistema todo ou em alarmes individuais. O monitoramento de alarmes do ESM é ligado (ativado) por padrão. Copiar um alarme na página 233 Para usar um alarme existente como modelo para um novo alarme, copie e salve o alarme com um nome diferente. Criar alarmes na página 234 Crie um alarme para que dispare quando suas condições definidas forem atendidas. 232 McAfee Enterprise Security Manager Guia de produto

233 Fluxo de trabalho de alarmes Criar alarmes 6 Ativar ou desativar o monitoramento de alarmes Alterne entre ligar e desligar o monitoramento de alarme no sistema todo ou em alarmes individuais. O monitoramento de alarmes do ESM é ligado (ativado) por padrão. Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de alarme. Se você desativar o monitoramento de alarmes para o sistema, o ESM não gerará alarmes. 1 Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Clique em Alarmes. 3 Para desativar ou ativar o monitoramento de alarmes em todo o sistema, clique na guia Configurações, depois clique em Desativar ou Ativar. 4 Para desativar ou ativar alarmes individuais, clique na guia Alarmes. A coluna Status indica se os alarmes estão ativados ou desativados. Para ativar (ligar) um alarme específico, realce-o e selecione Ativado. Para desativar (desligar) um alarme específico, realce-o e selecione Ativado. O ESM deixa de gerar este alarme. 5 Clique em OK. Copiar um alarme Para usar um alarme existente como modelo para um novo alarme, copie e salve o alarme com um nome diferente. Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de alarme. 1 Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Clique em Alarmes. 3 Selecione um alarme ativado, depois clique em Copiar. A página Nome do alarme exibe o nome do alarme atual seguido de _copy. Você pode copiar somente alarmes ativados. Não é possível copiar alarmes desativados. 4 Altere o nome e clique em OK. McAfee Enterprise Security Manager Guia de produto 233

234 6 Fluxo de trabalho de alarmes Criar alarmes 5 Para alterar as configurações do alarme, selecione o alarme copiado e clique em Editar. 6 Altere as configurações conforme o necessário. Consulte também Criar alarmes na página 234 Criar alarmes Crie um alarme para que dispare quando suas condições definidas forem atendidas. Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de alarme. 1 Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Clique em Alarmes, depois em Adicionar. 3 Clique na guia Resumo para definir as configurações gerais do alarme. Insira um nome para o alarme. Na lista Responsável, selecione a pessoa ou grupo a quem atribuir este alarme. Esta lista inclui todos os usuários e grupos com o privilégio de Gerenciamento de alarmes. Em Gravidade, selecione a prioridade do alarme no registro de alarmes (alta é , média é 33 65, baixa é 1 32). Selecione Ativado para ligar este alarme e desmarque a caixa para desligar o alarme. 4 Na guia Condição, identifique quais condições fazem o alarme disparar. Condição Taxa de verificação Desvio Descrição Selecione a frequência com que o sistema verificar esse tipo de condição. Especifique um limite percentual para verificação acima da linha de base e um percentual diferente abaixo da linha de base. Consulta Selecione o tipo de dados para consulta. Ícone Filtros Selecione os valores para filtrar os dados deste alarme. Período Selecione se você deseja que o último período ou o período anterior que você selecionou no campo número seja consultado. Disparar quando o valor for Selecione o quão acima ou abaixo da linha de base você deseja que o desvio esteja antes de o ESM disparar o alarme. 234 McAfee Enterprise Security Manager Guia de produto

235 Fluxo de trabalho de alarmes Criar alarmes 6 Condição Taxa de eventos Correspondência de campos Descrição Contagem de eventos Insira o número de eventos que devem ocorrer antes de o ESM disparar o alarme. Ícone Filtros Selecione os valores para filtrar os dados. Período Selecione em que intervalo o número de eventos selecionados deve ocorrer antes de o ESM disparar o alarme. Compensação Selecione por quanto tempo compensar para que o alarme não inclua o aumento expressivo no final causado pela agregação. Por exemplo, se o seu ESM efetua pull de eventos a cada cinco minutos, o último minuto dos eventos recuperados contém os eventos agregados. Compense o período por essa quantidade para que o último minuto não seja incluído na medição dos dados. Caso contrário, o ESM incluirá os valores nos dados agregados na contagem de eventos, causando um falso positivo. 1 Arraste e solte os ícones AND ou OR (consulte Elementos lógicos na página 256) para configurar a lógica da condição do alarme. 2 Arraste e solte o ícone Corresponder ao componente sobre um elemento lógico, em seguida, preencha a página Adicionar campo de filtro. 3 Limite o número de notificações recebidas configurando a Frequência máxima de disparo da condição. Cada disparo contém somente o primeiro evento de origem correspondente à condição do disparo, não os eventos que ocorreram dentro do período de frequência de disparo. Novos eventos que correspondem à condição de disparo não fazem com que o alarme dispare novamente até depois do período máximo de frequência de disparo. Por exemplo, se você definir a frequência como 10 minutos e um alarme disparar cinco vezes em 10 minutos, o ESM enviará um único aviso contendo cinco alarmes. Se você definir o intervalo como zero, todos os eventos que coincidirem com uma condição dispararão um alarme. Para alarmes de alta frequência, um intervalo zero pode gerar diversos alarmes. Status do monitor de integridade Correspondência de eventos interna Selecione os tipos de alteração de status do dispositivo. Por exemplo, se você selecionar somente Crítico, você não será notificado se houver uma alteração no status do monitor de integridade no nível Aviso (consulte IDs de assinatura do monitor de integridade na página 246). Disparar quando o valor não for correspondente Selecione para disparar o alarme quando o valor não corresponder à sua configuração. Usar lista de observação Selecione se uma lista de observação contiver os valores deste alarme. Valores que contêm vírgulas devem estar em uma lista de observação ou entre aspas. Campo Selecione o tipo de dados que este alarme monitorará. Para alarmes que disparam quando um evento do monitor de integridade é gerado, consulte Adicionar alarmes de evento do monitor de integridade na página 246. Valor(es) Digite os valores específicos do tipo que você selecionou em Campo (limitado a caracteres). Por exemplo, para IP de origem, insira os endereços IP de origem que fazem este alarme disparar. McAfee Enterprise Security Manager Guia de produto 235

236 6 Fluxo de trabalho de alarmes Criar alarmes Condição Frequência máxima do disparo de condição Limite Tipo Descrição Selecione a quantidade de tempo permitida entre cada condição para evitar o excesso de notificações. Somente tipo de condição de evento Delta Selecione o delta máximo permitido para os eventos analisados antes de o alarme disparar. Selecione o tipo de alarme, que determina os campos que você deve preencher. 5 Na guia Dispositivos, selecione quais dispositivos este alarme monitora. 6 Na guia Ações, identifique o que acontece quando o alarme dispara. Ação Registrar evento Reconhecimento automático do alarme Alerta visual Criar caso Descrição Registre o alarme no padrão do ESM. Reconheça o alarme automaticamente, logo após ele ser disparado. Como resultado, o alarme não aparece no painel Alarmes, mas o sistema o adiciona à exibição Alarmes disparados. Gere uma notificação de alarme na parte inferior direita do console. Para incluir uma notificação de áudio, clique em Configurar --> Reproduzir som e selecione um arquivo de áudio. Crie um caso para uma pessoa ou grupo selecionado. Clique em Configurar para identificar o proprietário do caso e selecionar quais campos incluir no resumo do caso. Se você pretende escalonar alarmes, não crie casos. Atualizar lista de observação Modifique as listas de observação, adicionando ou removendo valores com base nas informações contidas em até 10 eventos de disparo do alarme. Clique em Configurar e selecione qual campo do evento de disparo será adicionado ou removido na lista de observação selecionada. Quando essas configurações alteram uma lista de observação, a guia Ações, na exibição Alarme disparado, mostra a alteração. Esta ação exige Correspondência de eventos interna como tipo de condição. Enviar mensagem Envie um ou mensagem SMS para os destinatários selecionados. Clique em Adicionar destinatário e selecione os destinatários da mensagem. Clique em Configurar para selecionar o modelo (de mensagens de , SMS, SNMP ou syslog), o fuso horário e o formato de data para usar na mensagem. Usar os seguintes caracteres em nomes de alarmes pode causar problemas no momento de enviar mensagens de SMS: vírgula (,), aspas ("), parênteses ( ), barra normal ou invertida (/ \), ponto-e-vírgula (;), ponto de interrogação (?), símbolo de arroba (@), colchetes ([ ]), sinais de maior do que e menor do que (< >) e sinal de igual (=). Gerar relatórios Gere um relatório, exibição ou consulta. Clique em Configurar e selecione um relatório na página Configuração de relatório, ou clique em Adicionar para criar um novo relatório. Se você pretende enviar um relatório por como anexo, converse com seu administrador para determinar o tamanho máximo dos anexos. Anexos de grandes podem impedir o envio de um relatório. 236 McAfee Enterprise Security Manager Guia de produto

237 Fluxo de trabalho de alarmes Criar alarmes 6 Ação Executar comando remoto Descrição Execute um comando remoto em qualquer dispositivo que aceite conexões SSH, com exceção dos dispositivos do McAfee no ESM. Clique em Configurar para selecionar o tipo de comando e o perfil; fuso horário e formato de data; e host, porta, senha do nome de usuário e cadeia de comandos para a conexão SSH. Se a condição de alarme for Correspondência de eventos interna, será possível rastrear eventos específicos. Clique no ícone Inserir variável e selecione as variáveis. Enviar para Remedy Atribuir marca com epo Envie até 10 eventos para o Remedy por alarme disparado. Clique em Configurar para configurar as informações necessárias de comunicação com o Remedy: de e para dados, prefixo, palavra-chave e ID de usuário (EUID). Quando os eventos são enviados para o Remedy, o ESM adiciona Eventos enviados para o Remedy à guia Ações na exibição Alarme disparado. Esta ação exige Correspondência de eventos interna como tipo de condição. Aplique marcas do McAfee epolicy Orchestrator aos endereços IP que disparam este alarme. Clique em Configurar e selecione as seguintes informações: Selecionar dispositivo epo Dispositivo a ser usado para marcação Nome Marcas que você deseja aplicar (somente marcas disponíveis no dispositivo selecionado aparecem na lista). Selecionar o campo Campo no qual basear a marcação. Cliente de ativação Aplique as marcas imediatamente. Esta ação exige Correspondência de eventos interna como tipo de condição. Ações do Real Time for epo Realize ações a partir do McAfee Real Time for McAfee epo no dispositivo do McAfee epo selecionado. Essa opção requer que o plug-in do McAfee Real Time for McAfee epo (versão ou versões posteriores) seja instalado e que o servidor McAfee epo reconheça o dispositivo como um de seus terminais. Lista negra Selecione quais endereços IP devem ir para a lista negra quando o alarme disparar. Clique em Configurar e selecione as seguintes informações: Campo Selecione o tipo de endereço IP que você deseja incluir na lista negra. Endereço IP inclui na lista negra os endereços IP de origem e destino. Dispositivo Selecione o dispositivo em que você deseja que o endereço seja incluído na lista negra. Global adiciona o dispositivo à Lista negra global. Duração Selecione por quanto tempo incluir endereços IP na lista negra. Esta ação exige Correspondência de eventos interna como tipo de condição. Resumo de alarme personalizado Personalize os campos incluídos no resumo de um alarme Correspondência de campos ou Correspondência de eventos interna. 7 Na guia Escalonamento, identifique como escalonar o alarme quando ele não é reconhecido em certo tempo. Escalonamento Escalonar após Responsável escalonado Gravidade escalonada Registrar evento Descrição Insira o tempo após o qual você deseja que o alarme seja escalonado. Selecione uma pessoa ou um grupo para receber a notificação escalonada. Selecione a gravidade para o alarme depois que ele for escalonado. Selecione se deseja registrar este escalonamento como evento. McAfee Enterprise Security Manager Guia de produto 237

238 6 Fluxo de trabalho de alarmes Monitorar e responder a alarmes Escalonamento Alerta visual Enviar mensagem Gerar relatórios Executar comando remoto Descrição Selecione se a notificação é um alerta visual. Clique em Reproduzir som e selecione um arquivo se você deseja que um som acompanhe a notificação visual. Selecione se deseja enviar uma mensagem ao responsável. Clique em Adicionar destinatário, selecione o tipo de mensagem e selecione o destinatário. Selecione se deseja gerar um relatório. Clique em Configurar para selecionar o relatório. Selecione para executar um script em qualquer dispositivo que aceite conexões SSH. Clique em Configurar e preencha host, porta, nome do usuário, senha e cadeia de comandos. Monitorar e responder a alarmes Exiba, confirme e exclua alarmes disparados usando exibições do dashboard, detalhes de alarmes, filtros e relatórios. Leia as tarefas a seguir para aprender a monitorar e responder a alarmes disparados. Exibir alarmes disparados O painel de registro Alarmes no dashboard lista o total de alarmes por gravidade. Símbolo Gravidade Intervalo Alta 66 a 100 Média 33 a 65 Baixa 1 a 32 Confirmar alarmes disparados O sistema o remove do painel Alarmes. Os alarmes confirmados permanecem na exibição Alarmes disparados. Excluir alarmes disparados O sistema o remove do painel Alarmes e da exibição Alarmes disparados. Se você usar alertas visuais e não fechar, confirmar ou excluir um alarme disparado, o alerta visual fechará depois de 30 segundos. O alerta de áudio é reproduzido até que você feche, confirme ou exclua o alarme disparado ou clique no ícone de áudio para interromper o alerta. s Exibir e gerenciar alarmes disparados na página 239 Exiba e responda a alarmes disparados que ainda não foram excluídos. Exibir resultados de feeds de ciberameaças na página 220 Exiba indicadores de comprometimento (IOC) de origens de dados externas, identificados pelos feeds de ciberameaças da sua organização. Faça uma busca rapidamente nos detalhes da ameaça, descrições de arquivos e eventos correspondentes para cada origem de indicador. Gerenciar fila de relatórios de alarme na página 232 Se uma ação de alarme gerar relatórios, você poderá exibir a file de relatórios gerados e cancelar um ou mais deles. 238 McAfee Enterprise Security Manager Guia de produto

239 Fluxo de trabalho de alarmes Monitorar e responder a alarmes 6 Exibir e gerenciar alarmes disparados Exiba e responda a alarmes disparados que ainda não foram excluídos. Antes de iniciar Verifique com o seu administrador se você pertence a um grupo de acesso com privilégios de usuário de alarme. Verifique com seu administrador se seu console está configurado para exibir o painel de registros de Alarmes (Consulte Selecione configurações do usuário na página 36). 1 Acesse os alarmes disparados por um destes locais do ESM: Painel de registros de Alarme Localizado no canto inferior esquerdo do dashboard, abaixo da árvore de navegação do sistema Alerta pop-up visual É aberto quando um alarme dispara Página Detalhes É aberta quando você clica no ícone Detalhes no painel de registros de Alarmes. 2 Realize uma das seguintes ações: Para... Confirmar um alarme Faça isto... Para reconhecer um alarme, clique na caixa de seleção na primeira coluna do alarme disparado que deseja reconhecer. Para reconhecer vários, realce os itens e clique no ícone Reconhecer alarme na parte inferior da exibição. Os alarmes confirmados são removidos do painel Alarmes, mas permanecem na exibição Alarmes disparados. Excluir um alarme do sistema Filtrar os alarmes Selecione o alarme disparado que deseja excluir e clique no ícone Excluir alarme. Insira as informações que você deseja usar como filtro no painel Filtros e clique no ícone Atualizar. Alterar o responsável por alarmes 1 Clique no ícone Exibir detalhes dos dados parte inferior do dashboard. para exibir detalhes do alarme na 2 Selecione os alarmes, clique em Responsável e selecione o novo responsável. Criar um caso para alarmes 1 Clique no ícone Exibir detalhes dos dados parte inferior do dashboard. para exibir detalhes do alarme na 2 Selecione os alarmes, clique em Criar caso e faça as seleções necessárias. McAfee Enterprise Security Manager Guia de produto 239

240 6 Fluxo de trabalho de alarmes Monitorar e responder a alarmes Para... Exibir detalhes sobre um alarme Faça isto... 1 Clique no ícone Exibir detalhes dos dados parte inferior do dashboard. para exibir detalhes do alarme na 2 Selecione o alarme e siga um destes procedimentos: Clique na guia Evento de gatilho para exibir o evento que disparou o alarme selecionado. Clique duas vezes no evento para exibir uma descrição. Se um evento individual não atender às condições do alarme, a guia Evento de disparo poderá não aparecer. Clique na guia Condição para ver a condição que disparou o evento. Clique na guia Ação para ver as ações que ocorreram como resultado do alarme e as marcas epolicy Orchestrator atribuídas ao evento. Editar configurações de alarme disparado 1 Clique no alarme disparado e depois no ícone Menu alarme. e selecione Editar 2 Na página Configurações de alarme, faça as alterações, depois clique em Concluir. Consulte também Adicionar um caso na página 319 Exibir resultados de feeds de ciberameaças Exiba indicadores de comprometimento (IOC) de origens de dados externas, identificados pelos feeds de ciberameaças da sua organização. Faça uma busca rapidamente nos detalhes da ameaça, descrições de arquivos e eventos correspondentes para cada origem de indicador. Antes de iniciar Verifique se você tem a permissão de Usuário de Cyber Threat, que permite exibir os resultados de feeds de ameaça virtual da sua organização. 1 No console do ESM, Resumo padrão, selecione Exibições de fluxo de trabalho de evento Indicadores de Cyber Threat. 2 Escolha o período da exibição. 3 Filtre por nome de feed ou tipos de dados IOC compatíveis. 4 Realize qualquer ação de exibição padrão, como: Criar ou anexar a uma lista de observação. Criar um alarme. Executar um comando remoto. Criar um caso. 240 McAfee Enterprise Security Manager Guia de produto

241 Fluxo de trabalho de alarmes Monitorar e responder a alarmes 6 Verificar ou fazer última verificação. Exportar o indicador para um arquivo CSV ou HTML. 5 Faça uma busca detalhada usando as guias Descrição, Detalhes, Eventos de origem e Fluxos de origem. Consulte também Configurar gerenciamento de ciberameaça na página 219 Integração do Threat Intelligence Exchange O Threat Intelligence Exchange verifica a reputação de programas executáveis em terminais conectados a esses arquivos. Quando o dispositivo McAfee epo é adicionado ao ESM, o sistema detecta automaticamente se um servidor Threat Intelligence Exchange está conectado ao dispositivo. Se estiver, o ESM começa a escutar os eventos de log e DXL. Quando o servidor Threat Intelligence Exchange é detectado, as listas de observação do Threat Intelligence Exchange, enriquecimento de dados e regras de correlação são adicionadas automaticamente, e os alarmes do Threat Intelligence Exchange são ativados. Você receberá uma notificação visual, que inclui um link para o resumo de alterações feitas. Você também receberá notificação se o servidor Threat Intelligence Exchange for adicionado ao servidor McAfee epo depois que o dispositivo tiver sido adicionado ao ESM. Quando os eventos do Threat Intelligence Exchange forem gerados, você poderá exibir seu histórico de execução (consulte Exibir histórico de execução do Threat Intelligence Exchange e ações de configuração) e selecione as ações que você deseja realizar para os dados maliciosos. Regras de correlação Seis regras de correlação são otimizadas para dados do Threat Intelligence Exchange. Elas geram eventos que você pode pesquisar e classificar. TIE Reputação do GTI alterada de boa para má TIE Arquivo malicioso (SHA-1) encontrado em um número cada vez maior de hosts TIE Nome do arquivo malicioso encontrado em um número cada vez maior de hosts TIE Vários arquivos maliciosos encontrados em um único host TIE Reputação do TIE alterada de boa para má TIE Aumento de arquivos maliciosos encontrados em todos os hosts Alarmes O ESM tem dois alarmes que podem ser disparados quando eventos importantes do Threat Intelligence Exchange são detectados. Limite de arquivos incorretos do TIE excedido é disparado a partir da regra de correlação TIE Arquivo malicioso (SHA-1) encontrado em um número cada vez maior de hosts. Arquivo desconhecido do TIE executado é disparado a partir de um evento do TIE específico e adiciona informações à lista de observação IPs de origem de dados do TIE. Lista de observação A lista de observação IPs de origem de dados do TIE mantém uma lista de sistemas que dispararam o alarme Arquivo desconhecido do TIE executado. É uma lista de observação estática sem expiração. McAfee Enterprise Security Manager Guia de produto 241

242 6 Fluxo de trabalho de alarmes Ajustar alarmes Histórico de execução do Threat Intelligence Exchange Você pode exibir o histórico de execução de qualquer evento do Threat Intelligence Exchange (consulte Exibir histórico de execução do Threat Intelligence Exchange e ações de configuração), como uma lista dos endereços IP que tentaram executar o arquivo. Nessa página, você pode selecionar um item e realizar uma destas ações: Criar uma nova lista de observação. Adicionar as informações a uma lista negra. Anexar as informações a uma lista de observação. Exportar as informações para um arquivo.csv. Criar um novo alarme. Gerenciar fila de relatórios de alarme Se uma ação de alarme gerar relatórios, você poderá exibir a file de relatórios gerados e cancelar um ou mais deles. Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de alarme. 1 Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Clique em Alarmes. 3 Clique na guia Configurações. 4 Para exibir os relatórios de alarmes que aguardam execução, clique em Exibir. O ESM executa até cinco relatórios simultaneamente. Exiba os relatórios gerados por alarmes. Para interromper a execução de determinado relatório, selecione-o e clique em Cancelar. Os relatórios restantes movem para cima na fila. Se você for administrador ou usuário principal, essa lista incluirá todos os relatórios aguardando execução no ESM, permitindo que você cancele qualquer um deles. 5 Clique em Arquivos e selecione fazer download, fazer upload, remover ou atualizar relatórios da lista. 6 Clique em Fechar. Ajustar alarmes Refine e ajuste seus alarmes conforme for identificando o que funciona melhor para sua organização. Leia as tarefas a seguir para conhecer melhor como ajustar seus alarmes. Essas tarefas descrevem como criar tipos de alarmes específicos. 242 McAfee Enterprise Security Manager Guia de produto

243 Fluxo de trabalho de alarmes Ajustar alarmes 6 s Criar alarmes UCAPL na página 243 Crie alarmes que atendam aos requisitos da UCAPL (Unified Capabilities Approved Products List). Adicionar alarmes de evento do monitor de integridade na página 246 Crie alarmes com base em eventos do monitor de integridade capazes de gerar um relatório de Resumo do evento do monitor de integridade. Adicionar um alarme de Correspondência de campos na página 255 Um alarme de Correspondência de campos faz a correspondência com vários campos de um evento e dispara assim que o dispositivo recebe e analisa o evento. Adicionar um alarme às regras na página 257 Para ser notificado quando os eventos forem gerados por regras específicas, você poderá adicionar um alarme a essas regras. Definir interceptação SNMP para notificação de queda de energia na página 183 Selecione uma interceptação de SNMP para ser notificado de falhas gerais em hardware e quedas de energia no DAS para impedir que o sistema desligue devido a uma queda de energia. Criar interceptações de SNMP e ações de alarmes na página 184 Envie interceptações de SNMP como ação em um alarme. Adicionar um alarme de notificação de queda de energia na página 184 Adicione um alarme para ser notificado quando uma das fontes de alimentação do ESM falhar. Gerenciar origens de dados fora de sincronização na página 81 Configure um alarme para alertá-lo quando as origens de dados fora de sincronização gerarão eventos, de maneira que você possa exibir uma lista de origens de dados, editar suas configurações e exportar a lista. Criar alarmes UCAPL Crie alarmes que atendam aos requisitos da UCAPL (Unified Capabilities Approved Products List). Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de alarme. Confira as etapas para Criar alarmes na página 234 Configure os tipos de alarmes aplicáveis: McAfee Enterprise Security Manager Guia de produto 243

244 6 Fluxo de trabalho de alarmes Ajustar alarmes Tipo de alarme Limite ajustável de falha de entrada atingido Descrição Dispare alarme quando diversas falhas de entrada do mesmo usuário atingirem um limite ajustável. 1 Crie um alarme de Correspondência de eventos interna que coincida com ID de assinatura. 2 Insira um valor de Limite de inatividade atingido Dispare um alarme quando uma conta de usuário estiver bloqueada por ter atingido o limite de inatividade. 1 Crie um alarme de Correspondência de eventos interna que coincida com ID de assinatura. 2 Insira um valor de Sessões simultâneas permitidas atingidas Dispare um alarme se o usuário tentar entrar no sistema depois de o número permitido de sessões simultâneas ser atingido. 1 Crie um alarme de Correspondência de eventos interna que coincida com ID de assinatura. 2 Insira um valor de Falha na verificação de integridade do arquivo do sistema Dispare um alarme quando a verificação de integridade do arquivo do sistema falhar. 1 Crie um alarme de Correspondência de eventos interna que coincida com ID de assinatura. 2 Insira um valor de Os certificados estão prestes a expirar Dispare um alarme quando o Common Access Card (CAC) ou servidor Web estiverem prestes a expirar. 1 Crie um alarme de Correspondência de eventos interna que coincida com ID de assinatura. 2 Insira um valor de , , , O alarme dispara 60 dias antes de o certificado expirar, depois a cada semana. Não é possível mudar o número de dias. Interceptação de SNMP enviada quando o estado do sistema não aprovou Configure uma interceptação de SNMP para que o alarme envie uma interceptação ao NMS quando detectar que o sistema não está mais operando em estado aprovado ou seguro. 1 Crie uma correspondência de alarme em qualquer condição, vá para a guia Ações e selecione Enviar mensagem. 2 Clique em Adicionar destinatários SNMP, selecione o destinatário, depois clique em OK. 3 No campo Enviar mensagem, clique em Configurar, clique em Modelos e em Adicionar. 4 Selecione Modelo SNMP no campo Tipo, insira o texto da mensagem e clique em OK. 5 Na página Gerenciamento de modelos, selecione o novo modelo e clique em OK. 6 Conclua o restante das configurações de alarme. 244 McAfee Enterprise Security Manager Guia de produto

245 Fluxo de trabalho de alarmes Ajustar alarmes 6 Tipo de alarme Mensagem de Syslog enviada quando o estado do sistema não aprovou Descrição Configure uma mensagem do syslog para que o alarme envie uma mensagem do syslog ao NMS quando detectar que o sistema não está mais operando em estado aprovado ou seguro. 1 Crie uma correspondência de alarme em qualquer condição, vá para a guia Ações e selecione Enviar mensagem. 2 Clique em Adicionar destinatários Syslog, selecione o destinatário, depois clique em OK. 3 No campo Enviar mensagem, clique em Configurar, clique em Modelos e em Adicionar. 4 Selecione Modelo de syslog no campo Tipo, insira o texto da mensagem e clique em OK. 5 Na página Gerenciamento de modelos, selecione o novo modelo e clique em OK. 6 Conclua o restante das configurações de alarme. Falha do registro de segurança ao registrar os eventos necessários Configure uma interceptação de SNMP para que o alarme notifique a Central de operações de rede (NOC) apropriada em 30 segundos caso haja falha do registro de segurança ao registrar eventos necessários. 1 Acesse Propriedades do sistema Configuração do SNMP Interceptações de SNMP ou Propriedades do dispositivo Configuração do dispositivo SNMP. 2 Selecione a interceptação da falha de registro de segurança, configure um ou mais perfis para o envio das interceptações e clique em Aplicar. O ESM envia interceptações de SNMP para o destinatário do perfil SNMP com a mensagem Falha ao gravar no registro de segurança. Início ou encerramento de funções de auditoria Existe uma sessão para cada função administrativa Configure uma interceptação de SNMP para que o alarme notifique quando as funções de auditoria (como banco de dados, cpservice, IPSDBServer) forem iniciadas ou encerradas, acesse Interceptações de SNMP ou Configurações de SNMP e selecione Interceptações de banco de dados ativadas/desativadas. Configure um ou mais perfis para as interceptações serem enviadas e clique em Aplicar. Dispare um alarme quando uma sessão administrativa existir para cada função administrativa definida. 1 Crie um alarme de Correspondência de eventos interna que coincida com ID de assinatura. 2 Insira os valores para Administrador de auditoria, para Administrador de criptografia e para Usuário avançado. Além disso, é possível configurar alarmes separados. Consulte também Criar alarmes na página 234 McAfee Enterprise Security Manager Guia de produto 245

246 6 Fluxo de trabalho de alarmes Ajustar alarmes Adicionar alarmes de evento do monitor de integridade Crie alarmes com base em eventos do monitor de integridade capazes de gerar um relatório de Resumo do evento do monitor de integridade. Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de alarme. Analise os IDs de assinatura do monitor de integridade na página 246 disponíveis. Confira as etapas para Criar alarmes na página Para configurar um alarme antes de gerar um evento do monitor de integridade: a Configure um alarme Condição com o tipo Correspondência de eventos interna. b c d Na linha Campo, selecione ID de assinatura. No campo Valores, digite o ID de assinatura para as regras do monitor de integridade. Preencha as configurações restantes do alarme. 2 Para configurar um alarme caso um evento de monitor de integridade exista: a Na árvore de navegação do sistema, clique no dispositivo de base do sistema, selecione uma exibição que mostra o evento do monitor de integridade (Análise de evento ou Resumo padrão). b c d Clique no evento e no ícone Menu. Selecione Ações Criar novo alarme a partir e clique em ID de assinatura. Preencha as configurações restantes do alarme. Consulte também Criar alarmes na página 234 IDs de assinatura do monitor de integridade Essa lista descreve as regras do monitor de integridade e sua gravidade, dispositivo, tipo e IDs de assinatura. Use essas regras para criar um alarme que notifique quando um evento de regra do monitor de integridade for gerado. Nome da regra Uma conexão física de interface de rede foi feita ou removida ID de assinatura Descrição Tipo Dispositivo Gravidade Configurações da interface de rede modificadas por uma sessão SSH. Erro de RAID Erros de RAID encontrados. Conta desativada devido à inatividade Conta de usuário desativada devido à inatividade. Monitor de software Monitor de hardware Monitor de software ESM Todos ESM Média Alta Média 246 McAfee Enterprise Security Manager Guia de produto

247 Fluxo de trabalho de alarmes Ajustar alarmes 6 Nome da regra Conta desativada devido a número máx. de falhas na entrada Adicionar/editar comando remoto Alerta de alteração de estado do coletor do Analisador avançado de syslog Processo do destilador do APM Incompatibilidade de configuração aprovada Alteração na configuração de arquivo Alerta de alteração de estado do processo de arquivamento Ativo vulnerável a evento Entrada de usuário administrador de auditoria Alteração na configuração de backup ID de assinatura Descrição Tipo Dispositivo Gravidade Conta de usuário desativada devido a número máx. de falhas de entrada Comando remoto de alarme adicionado ou excluído O analisador de ASP foi interrompido ou inicializado O mecanismo de extração de texto ADM PDF/DOC foi interrompido ou inicializado Alteração no dispositivo de descoberta de rede aprovada Configurações de arquivamento do ESM alteradas O processo de arquivamento do Receptor foi interrompido ou inicializado , Evento de vulnerabilidade criado Entrada do administrador de auditoria, evento da UCAPL Definições da configuração de backup do ESM modificadas. Backup realizado Backup realizado no sistema. Alerta do analisador de Blue Martini Ignorar alerta de estado NIC Certificado CAC expirou O certificado CAC expira em breve O analisador de Blue Martini foi interrompido ou inicializado O NIC entrou ou saiu do status de desvio O certificado CAC do ESM expirou O certificado CAC do ESM expira em breve. Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Caso alterado Caso alterado. Monitor de software ESM ESM Receiver APM ESM ESM APM/REC/ IPS/ DBM ESM ESM ESM ESM Receiver Alta Baixa Média Média Baixa Baixa Média Baixa Baixa Baixa Baixa Média IPA/ADM/IPS Média ESM ESM ESM Alta Média Baixa McAfee Enterprise Security Manager Guia de produto 247

248 6 Fluxo de trabalho de alarmes Ajustar alarmes Nome da regra Status de caso adicionado/ modificado/excluído Alerta de alteração de estado do canal de comunicação Falha na captura da configuração (erro de dispositivo) Falha na captura da configuração (dispositivo inacessível) Configuração capturada Falha na política de configuração Aprovação da política de configuração Alteração das configurações da alocação de dados Alerta de espaço livre em disco das partições de dados Alteração das configurações de retenção de dados Alerta de estado dos serviços de detecção do banco de dados Alerta de alteração do estado de inspeção profunda de pacote Excluir comando remoto ID de assinatura Descrição Tipo Dispositivo Gravidade Status de caso alterado O canal de controle foi interrompido ou inicializado Erro de dispositivo de descoberta de rede Dispositivo de descoberta de rede inacessível Configuração de descoberta de rede verificada com êxito. Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Não usada no sistema. Monitor de software Não usada no sistema. Monitor de software Configurações da alocação de dados do ESM alteradas Há pouco espaço livre em cada partição (por exemplo, hada_hd tem 10% de espaço livre) Configuração de retenção de dados do ESM alterada O serviço de detecção automática de DBM foi interrompido ou inicializado O mecanismo de inspeção profunda de pacote no IPS ou ADM foi interrompido ou inicializado Comando remoto de alarme removido. Eventos excluídos Usuário excluiu eventos do ESM. Fluxos excluídos Usuário excluiu fluxos do ESM. Adição de dispositivo Novo dispositivo adicionado ao sistema. Exclusão de dispositivo Dispositivo existente excluído do sistema. Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software ESM Todos ESM ESM ESM ESM ESM ESM Todos ESM Todos Todos ESM ESM ESM ESM ESM Baixa Média Baixa Baixa Baixa Baixa Baixa Alta Média Alta Média Média Baixa Baixa Baixa Baixa Baixa 248 McAfee Enterprise Security Manager Guia de produto

249 Fluxo de trabalho de alarmes Ajustar alarmes 6 Nome da regra Dispositivo possivelmente inoperante ID de assinatura Descrição Tipo Dispositivo Gravidade Evento de descoberta de rede informando que um dispositivo pode estar inoperante. Dispositivo inacessível Dispositivo de descoberta de rede inacessível adicionado ao ESM está inacessível. Alerta de falha da unidade de disco Alerta de alteração de estado do processo de arquivamento do ELM Verifica e confirma a integridade de todos os discos rígidos (interna ou DAS) O mecanismo de compactação do ELM foi interrompido ou inicializado. ELM EDS FTP O programa ELM SFTP foi interrompido ou inicializado. Processamento de arquivo do ELM O mecanismo de reinserção do ELM foi interrompido ou inicializado. Se houver falha de log por qualquer motivo, ele tentará a inserção novamente. Se houver falha no processo de reinserção, essa regra será disparada. Monitor de software Monitor de software Monitor de hardware Monitor de software Monitor de software Monitor de software ESM ESM Todos APM/REC/ IPS/DBM ELM ELM Baixa Baixa Alta Média Média Média Alerta de alteração de estado do ponto de montagem do ELM O armazenamento remoto do ELM (CIFS, NFS, ISCSI, SAN) foi interrompido ou inicializado. Monitor de software ELM Média Alerta de alteração de estado do mecanismo de consulta do ELM Processo de trabalhos do ELM Trabalhos do ELM, como consultas e inserções, interrompidos ou inicializados. Monitor de software ELM Média Armazenamento redundante no ELM O espelho do ELM foi interrompido ou inicializado. Monitor de software ELM Média Erro no banco de dados do sistema do ELM O banco de dados do ELM foi interrompido ou inicializado. Monitor de software ELM Alta Alerta de alteração de estado do coletor de s O coletor do Cisco MARS foi interrompido ou inicializado. Monitor de software Receiver Média Marcas do EPO aplicadas Marcas do McAfee epo aplicadas. Monitor de software ESM Baixa McAfee Enterprise Security Manager Guia de produto 249

250 6 Fluxo de trabalho de alarmes Ajustar alarmes Nome da regra Erro na comunicação com o ELM ID de assinatura Descrição Tipo Dispositivo Gravidade Falha na comunicação com o ELM. Monitor de software APM/REC/ IPS/DBM Alta Erro na comunicação com o SSH Problemas no dispositivo como diferenças de versão, alteração da chave. Monitor de software Reinicialização do ESM ESM reinicializado. Monitor de software Encerramento do ESM Encerramento do ESM. Monitor de software Alerta do coletor estreamer Alerta de alteração de estado do coletor estreamer Desanexação de partição de evento Executar comando remoto Falha na entrada devido a número máximo de sessões simultâneas atingido Falha ao formatar o dispositivo SAN Falha de entrada do usuário Alerta de alteração de estado do coletor de arquivo O coletor estreamer foi interrompido ou inicializado O coletor estreamer foi interrompido ou inicializado Partição de evento desanexada Comando remoto de alarme executado Falha ao entrar porque o número máximo de sessões simultâneas foi atingido Falha na formatação do SAN no ELM; usuário deve tentar novamente Houve falha na entrada do usuário O programa coletor de montagem foi interrompido ou inicializado. Arquivo excluído Qualquer arquivo que pode ser adicionado ou removido, como arquivo de som ou log do ESM removido. Alerta de alteração de estado do processo de filtragem Alerta de alteração de estado do agregador de alerta do firewall Desanexação de partição de fluxo O programa de filtragem no dispositivo foi interrompido ou inicializado (regras de filtragem) O agregador de firewall no IPS ou ADM foi interrompido ou inicializado Desanexação de partição de fluxo. Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de hardware Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Todos Alta ESM Média ESM Média Receptor Média Receptor Média ESM Baixa ESM Baixa ESM Alta ESM Alta ESM Média Receiver Média ESM Baixa Receiver Média IPS/ADM/IPS Média ESM Baixa 250 McAfee Enterprise Security Manager Guia de produto

251 Fluxo de trabalho de alarmes Ajustar alarmes 6 Nome da regra Falha na obtenção de dados VA Êxito na obtenção de dados VA Alerta interno do monitor de integridade Alerta de alteração de estado do coletor HTTP Alteração na configuração de indexação ID de assinatura Descrição Tipo Dispositivo Gravidade Falha na obtenção de dados VA pelo ESM. Monitor de software ESM obteve dados VA. Monitor de software O processo do monitor de integridade foi interrompido ou inicializado O coletor HTTP foi interrompido ou inicializado Configurações de indexação do ESM alteradas. Chave SSH inválida Problemas na comunicação do dispositivo com o ELM, como diferenças de versão, alteração da chave. Alerta de alteração de estado do coletor IPFIX Entrada do usuário administrador da chave e do certificado Partição de log revolvida Alerta de espaço livre em disco das partições de log Alerta de alteração de estado do servidor do banco de dados McAfee EDB Alerta do coletor do McAfee epo Alerta de alteração de estado do McAfee Event Format Falha de comunicação do dispositivo McAfee SIEM Alerta do Microsoft Forefront Threat Management Gateway O coletor de IPFIX (fluxo) foi interrompido ou inicializado Entrada do administrador de criptografia, evento UCAPL As antigas partições da tabela de logs de bancos de dados foram revolvidas Há pouco espaço livre na partição de log (/ var) O banco de dados foi interrompido ou inicializado O coletor do McAfee epo foi interrompido ou inicializado O coletor do McAfee Event Format foi interrompido ou inicializado O ESM não pode se comunicar com outro dispositivo O coletor do Forefront Threat Management Gateway foi interrompido ou inicializado. Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software ESM ESM Todos Receiver ESM Todos Receiver ESM ESM Todos Todos Receptor Receiver ESM Receiver Média Baixa Média Média Média Alta Média Baixa Baixa Média Média Média Média Alta Média McAfee Enterprise Security Manager Guia de produto 251

252 6 Fluxo de trabalho de alarmes Ajustar alarmes Nome da regra Alerta de alteração de estado de recuperação do MS-SQL Alerta de log de vários eventos Varredura do MVM iniciada Alerta de alteração de estado do coletor NetFlow ID de assinatura Descrição Tipo Dispositivo Gravidade O coletor do MS SQL foi interrompido ou inicializado (qualquer origem de dados para MSSQL) O coletor do j foi interrompido ou inicializado Varredura do MVM iniciada O coletor NetFlow (fluxo) foi interrompido ou inicializado. Nova conta de usuário Novo usuário adicionado ao sistema. Alerta de alteração de estado do coletor do NFS/CIFS Alerta de alteração de estado do coletor NitroFlow Nenhuma chave SSH encontrada Adicionar/editar na lista negra do NSM Excluir da lista negra do NSM Alerta de alteração de estado do recuperador de OPSEC Alerta de alteração de estado do recuperador de OPSEC Alerta do Coletor do Oracle IDM Alerta de excesso de assinaturas Alerta do Coletor de plug-in/analisador A montagem remota referente a NFS ou CIFS foi interrompida ou inicializada O NitroFlow (fluxos do dispositivo) foi interrompido ou inicializado Problemas na comunicação do dispositivo com o ELM, como diferenças de versão, alteração da chave Entrada na lista negra do NSM adicionada ou editada Entrada na lista negra do NSM excluída O coletor de OPSEC (Check Point) foi interrompido ou inicializado O coletor de OPSEC (Check Point) foi interrompido ou inicializado O Coletor do Oracle IDM foi interrompido ou inicializado O ADM ou IPS entraram ou saíram do modo de excesso de assinaturas O Coletor de plug-in/ Analisador foi interrompido ou inicializado. Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Receptor Receiver ESM Receiver ESM Receiver Receiver Todos ESM ESM Receiver Receiver Receiver Média Média Baixa Média Baixa Média Média Alta Baixa Baixa Média Média Média IPS/ADM/IPS Média Receiver Média 252 McAfee Enterprise Security Manager Guia de produto

253 Fluxo de trabalho de alarmes Ajustar alarmes 6 Nome da regra ID de assinatura Adição de política Política adicionada ao sistema. Exclusão de política Política excluída do sistema. Alteração de política Política alterada no sistema. Incompatibilidade de configuração anterior Descrição Tipo Dispositivo Gravidade Configuração de dispositivo de descoberta de rede alterada. Receiver de HA Algum processo de HA foi interrompido ou inicializado (Script de controle de HA, Corosync). Configuração do Receiver de HA Opsec ESM redundante fora de sincronização Alerta de alteração de estado do ponto de montagem do NFS remoto Alerta de espaço livre em disco no ponto de montagem/ compartilhamento remoto Alerta de alteração de estado de compartilhamento do SMB/CIFS remoto Alerta de alteração de estado da Correlação de risco Alerta de espaço livre em disco das partições de raiz Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Não está em uso. Monitor de software ESM redundante fora de sincronização A montagem NFS do ELM foi interrompida ou inicializada Há pouco espaço livre no ponto de montagem remoto O ponto de montagem remoto de SMB/CIFS foi interrompido ou inicializado O mecanismo de Correlação de risco foi interrompido ou inicializado Há pouco espaço livre nas partições de raiz. Adição de regra Regra adicionada ao sistema, como ASP, filtro ou correlação. Exclusão de regra Regra excluída do sistema. Alteração de regra Regra alterada no sistema. Falha na atualização de regra Alerta de alteração de estado de recuperação de SDEE Falha na atualização de regra do ESM O coletor do SDEE foi interrompido ou inicializado. Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software ESM ESM ESM ESM Receiver Receiver ESM ELM ESM Receiver ACE Todos ESM ESM ESM ESM Receiver Baixa Baixa Baixa Baixa Média Baixa Alta Média Média Média Média Média Baixa Baixa Baixa Média Média McAfee Enterprise Security Manager Guia de produto 253

254 6 Fluxo de trabalho de alarmes Ajustar alarmes Nome da regra Alerta de alteração de estado do coletor sflow Alerta de alteração de estado do coletor SNMP Alerta de alteração de estado do coletor SQL Alerta de alteração de estado do coletor Symantec AV Alerta de alteração de estado do Coletor de syslog Entrada de usuário administrador do sistema Falha na verificação de integridade do sistema Alerta de alteração de estado do registrador do sistema (consulta) fechada Alerta de espaço livre em disco nas partições temporárias Alerta de alteração de estado do analisador de log de texto Alteração de conta de usuário Falha de entrada no dispositivo do usuário Entrada no dispositivo do usuário Saída do dispositivo do usuário ID de assinatura Descrição Tipo Dispositivo Gravidade O coletor sflow (fluxo) foi interrompido ou inicializado O coletor SNMP foi interrompido ou inicializado O coletor SQL (antigo NFX) foi interrompido ou inicializado O coletor Symantec AV foi interrompido ou inicializado O coletor de Syslog foi interrompido ou inicializado Administrador do sistema entrou no sistema Não é sinalizado nenhum programa ou processo estrangeiro não ISO em execução no sistema O processo de registro em log do sistema foi interrompido ou inicializado do gerenciador de tarefas fechada A partição temporária (/tmp) com pouco espaço em disco O processo do analisador de texto foi interrompido ou inicializado Conta de usuário alterada Houve falha na entrada do usuário do SSH. Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Não usada no sistema. Monitor de software Saída do usuário do SSH. Logon do usuário Usuário entrou no sistema. Saída do usuário Usuário saiu do sistema. Monitor de software Monitor de software Monitor de software Receiver Receiver Receiver Receiver Receiver ESM Todos Todos ESM Todos Receptor ESM ESM ESM ESM ESM ESM Média Média Média Média Média Baixa Alta Média Baixa Média Média Baixa Baixa Baixa Baixa Baixa Baixa 254 McAfee Enterprise Security Manager Guia de produto

255 Fluxo de trabalho de alarmes Ajustar alarmes 6 Nome da regra Alerta de status do mecanismo de dados de VA ID de assinatura Descrição Tipo Dispositivo Gravidade O mecanismo de VA (vaded.pl) foi interrompido ou inicializado. Adição de variável Variável de política adicionada. Exclusão de variável Variável de política excluída. Alteração de variável Variável de política alterada. Certificado de servidor Web expirado O certificado de servidor Web expirará em breve Alerta do coletor Websense Alerta de alteração de estado do coletor de Log de eventos WMI O certificado de servidor Web do ESM expirou O certificado de servidor Web do ESM expira em breve O coletor Websense foi interrompido ou inicializado O coletor WMI foi interrompido ou inicializado. Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Monitor de software Receiver ESM ESM ESM ESM ESM Receptor Receiver Média Baixa Baixa Baixa Alta Média Média Média Adicionar um alarme de Correspondência de campos Um alarme de Correspondência de campos faz a correspondência com vários campos de um evento e dispara assim que o dispositivo recebe e analisa o evento. Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de alarme. Verifique como usar os Elementos lógicos na página Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Clique em Alarmes. 3 Clique em Adicionar, digite o nome do alarme e selecione o responsável. Depois, clique na guia Condição. McAfee Enterprise Security Manager Guia de produto 255

256 6 Fluxo de trabalho de alarmes Ajustar alarmes 4 No campo Tipo, selecione Correspondência de campos e configure as condições do alarme. a Arraste e solte o AND ou o OR para configurar a lógica da condição do alarme. b c Arraste e solte o ícone Corresponder ao componente sobre um elemento lógico, em seguida, preencha a página Adicionar campo de filtro. No campo Frequência máxima do disparo de condição, selecione a quantidade de tempo permitida entre cada condição para evitar o excesso de notificações. Cada disparo somente contém o primeiro evento de origem correspondente à condição do disparo, não os eventos que ocorreram dentro do período de frequência de disparo. Novos eventos que correspondem à condição de disparo não fazem com que o alarme dispare novamente até depois do período máximo de frequência de disparo. Se você definir o intervalo como zero, todos os eventos que coincidirem com uma condição dispararão um alarme. Para alarmes de alta frequência, um intervalo zero pode gerar diversos alarmes. 5 Clique em Avançar e selecione os dispositivos a serem monitorados para o alarme. Esse tipo de alarme oferece suporte a Receptores, ELMs (Enterprise Log Managers) de Receptores locais, combinações de Receptor/ELM, ACEs e ADMs (Application Data Monitors). 6 Clique nas guias Ações e Escalonamento e defina as configurações. 7 Clique em Concluir. O alarme grava no dispositivo. Se o alarme não gravar no dispositivo, será exibido um sinalizador indicando falta de sincronização ao lado do dispositivo na árvore de navegação do sistema. Clique no sinalizador e em Sincronizar alarmes. Elementos lógicos Quando você adicionar um banco de dados do Application Data Monitor (ADM) e uma regra de correlação ou componente, use Lógica de expressão ou Lógica de correlação para criar a estrutura da regra. Elemento Descrição AND Funciona da mesma forma que um operador lógico em uma linguagem de computador. Tudo o que está agrupado nesse elemento lógico deve ser verdadeiro para que a condição seja verdadeira. Use essa opção caso queira que todas as condições desse elemento lógico sejam atendidas antes que uma regra seja disparada. OR SET Funciona da mesma forma que um operador lógico em uma linguagem de computador. Somente uma condição agrupada nesse elemento deve ser verdadeira para que essa condição seja verdadeira. Use esse elemento caso queira que somente uma condição seja atendida antes do disparo da regra. Para regras ou componentes de correlação, SET permite definir as condições e selecionar como muitas condições devem ser verdadeiras para disparar a regra. Por exemplo, se você tiver três condições no conjunto e duas delas precisarem ser atendidas para a regra ser disparada, a leitura do conjunto será "2 de 3". Cada um desses elementos tem um menu com pelo menos duas das opções a seguir: 256 McAfee Enterprise Security Manager Guia de produto

257 Fluxo de trabalho de alarmes Ajustar alarmes 6 Editar Você pode editar as configurações padrão (consulte Editar configurações padrão de elementos lógicos). Remover elemento lógico Você pode excluir o elemento lógico selecionado. Se ele tiver filhos, eles não serão excluídos e moverão para cima na hierarquia. Isso não se aplica ao elemento raiz (o primeiro na hierarquia). Se você remover o elemento raiz, todos os filhos também serão removidos. Remover elemento lógico e todos os seus filhos Você pode excluir o elemento selecionado e todos os filhos da hierarquia. Quando você configura a lógica da regra, deve adicionar componentes para definir as condições da regra. Para as regras de correlação, você pode também adicionar parâmetros para controlar o comportamento da regra ou componente na execução. Adicionar um alarme às regras Para ser notificado quando os eventos forem gerados por regras específicas, você poderá adicionar um alarme a essas regras. Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de alarme. 1 Na árvore de navegação do sistema, clique no ícone Editor de políticas ações. na barra de ferramentas de 2 Selecione o tipo de regra no painel Tipos de regras. 3 Selecione uma ou mais regras na área de exibição de regras. 4 Clique no ícone Alarmes. 5 Crie o alarme. Consulte também Criar alarmes na página 234 Definir interceptação SNMP para notificação de queda de energia Selecione uma interceptação de SNMP para ser notificado de falhas gerais em hardware e quedas de energia no DAS para impedir que o sistema desligue devido a uma queda de energia. Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de alarme. Prepare o Receptor de interceptação de SNMP (somente necessário se você não tiver um Receptor de interceptação de SNMP). McAfee Enterprise Security Manager Guia de produto 257

258 6 Fluxo de trabalho de alarmes Ajustar alarmes 1 Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Clique em Configuração do SNMP, depois clique na guia Interceptações de SNMP. 3 Em Porta de interceptação, digite 162, depois selecione Falha geral de hardware, e clique em Editar perfis. 4 Clique em Adicionar e insira as informações solicitadas, como estas: Tipo de perfil Selecione Interceptação de SNMP. Endereço IP Digite o endereço para onde deseja enviar a interceptação. Porta Digite 162. Nome da comunidade Digite Público. Lembre-se do que você digitar nos campos Porta e Nome da comunidade. 5 Clique em OK, depois clique em Fechar na página Gerenciador de perfis. O perfil é adicionado à tabela Destinos. 6 Selecione o perfil na coluna Usar, depois clique em OK. Quando houver falha no fornecimento de energia, uma interceptação de SNMP será enviada e um sinalizador de status de integridade aparecerá ao lado do dispositivo na árvore de navegação do sistema. Criar interceptações de SNMP e ações de alarmes Envie interceptações de SNMP como ação em um alarme. Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de alarme. Prepare o Receptor de interceptação de SNMP (somente necessário se você não tiver um Receptor de interceptação de SNMP). 1 Crie um perfil de SNMP para informar ao ESM para onde enviar as interceptações de SNMP. a Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. b c Clique em Gerenciamento de perfil e selecione Interceptação SNMP no campo Tipo de perfil. Preencha os campos restantes e clique em Aplicar. 2 Configure o SNMP no ESM. a Em Propriedades do sistema, clique em Configuração de SNMP e clique na guia Interceptações SNMP. b Selecione a porta, os tipos de interceptações a serem enviadas e o perfil adicionado na Etapa 1. c Clique em Aplicar. 258 McAfee Enterprise Security Manager Guia de produto

259 Fluxo de trabalho de alarmes Ajustar alarmes 6 3 Defina um alarme com Interceptação de SNMP como ação. a Em Propriedades do sistema, clique em Alarmes e em Adicionar. b c d e Preencha as informações solicitadas nas guias Resumo, Condição e Dispositivos, selecionando Correspondência de evento interna como o tipo de condição, e clique na guia Ações. Selecione Enviar mensagem e clique em Configurar para selecionar ou criar um modelo de mensagens SNMP. Selecione Modelos básicos de SNMP no campo SNMP ou clique em Modelos e selecione um modelo existente, ou então clique em Adicionar para definir um novo modelo. Retorne para a página Configurações de alarme e prossiga com a configuração do alarme. Adicionar um alarme de notificação de queda de energia Adicione um alarme para ser notificado quando uma das fontes de alimentação do ESM falhar. Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de alarme. Definir interceptação SNMP para notificação de queda de energia na página Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Clique em Alarmes. 3 Clique em Adicionar, insira os dados solicitados na guia Resumo, depois clique na guia Condição. 4 No campo Tipo, selecione Correspondência de evento interna. 5 No campo Campo, selecione ID de assinatura e digite no campo Valore(s). 6 Preencha as informações restantes em cada guia conforme necessário e clique em Concluir. Um alarme é disparado quando há falha em uma fonte de energia. s Resumo personalizado para casos e alarmes disparados na página 259 Selecione os dados a serem incluídos no resumo do alarme e resumo de caso dos alarmes da Correspondência de campos e Correspondência de evento interna. Resumo personalizado para casos e alarmes disparados Selecione os dados a serem incluídos no resumo do alarme e resumo de caso dos alarmes da Correspondência de campos e Correspondência de evento interna. Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de alarme. McAfee Enterprise Security Manager Guia de produto 259

260 6 Fluxo de trabalho de alarmes Ajustar alarmes 1 Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Clique em Alarmes, depois em Adicionar. 3 Na guia Condição, selecione o tipo Correspondência de campos ou Correspondência de evento interna. 4 Clique na guia Ações, em Criar um caso para, no ícone de variáveis no resumo de caso. e selecione os campos a incluir 5 Clique em Personalizar resumo de alarme disparado e no ícone de variáveis serem incluídos no resumo do alarme disparado., e selecione os campos a 6 Digite as informações solicitadas para criar alarmes, depois clique em Concluir. Gerenciar origens de dados fora de sincronização Configure um alarme para alertá-lo quando as origens de dados fora de sincronização gerarão eventos, de maneira que você possa exibir uma lista de origens de dados, editar suas configurações e exportar a lista. Antes de iniciar Você precisa ter direitos de administrador ou pertencer a um grupo de acesso com privilégios de gerenciamento de alarme. Essa ferramenta de diagnóstico identifica quando uma origem de dados está coletando eventos antigos ou futuros, o que pode gerar um sinalizador vermelho no Receptor. 1 Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Defina um alarme para receber notificação quando o Receptor receber um evento, gerado por uma origem de dados fora de sincronização com o ESM. a Clique em Alarmes Adicionar, digite as informações solicitadas na guia Resumo e clique na guia Condição. b c Selecione Delta de evento no campo Tipo, a frequência com que o ESM deve verificar origens de dados fora de sincronização e a diferença de horário que deve haver para que o alarme dispare. Preencha as informações das guias restantes. 3 Exiba, edite ou exporte as origens de dados que estiverem fora de sincronização. a Na árvore de navegação do sistema, clique no Receiver e no ícone Propriedades. b Clique em Gerenciamento do Receiver e em Delta de tempo. 260 McAfee Enterprise Security Manager Guia de produto

261 Fluxo de trabalho de alarmes Ajustar alarmes 6 Origens de dados fora de sincronização Como resultado de várias configurações possíveis, o horário em uma origem de dados pode ficar fora de sincronização com o ESM. Quando uma origem de dados fora de sincronização gera um evento, um sinalizador vermelho aparece ao lado do Receiver na árvore de navegação do sistema. Você pode configurar um alarme para ser notificado quando isso acontecer. Você poderá gerenciar as origens de dados que estiverem fora de sincronização acessando a página Delta de tempo (consulte Gerenciar origens de dados fora de sincronização). Eventos fora de sincronização podem ser eventos antigos ou futuros. Há vários motivos que levam as origens de dados a ficar fora de sincronização com o ESM. 1 Configuração de fuso horário incorreta no ESM (consulte Selecionar configurações do usuário). 2 Você pode ter definido o horário no fuso errado ao adicionar a origem de dados (consulte Adicionar uma origem de dados). 3 O sistema está ativo há muito tempo e alguma falha o levou a ficar fora de sincronização. 4 Você configurou o sistema dessa forma de propósito. 5 O sistema não está conectado à Internet. 6 O evento chega ao Receiver fora de sincronização. Consulte também Adicionar uma origem de dados na página 74 Gerenciar origens de dados fora de sincronização na página 81 Selecione configurações do usuário na página 36 McAfee Enterprise Security Manager Guia de produto 261

262 6 Fluxo de trabalho de alarmes Ajustar alarmes 262 McAfee Enterprise Security Manager Guia de produto

263 7 Trabalho 7 com eventos O ESM permite identificar, coletar, processar, correlacionar e armazenar bilhões de eventos e fluxos, mantendo todas as informações disponíveis para consultas, perícias, validação de regras e conformidade. Conteúdo Eventos, fluxos e registros Gerenciamento de relatórios Descrição dos filtros contains e regex Trabalhar com exibições do ESM Tipo de filtros personalizados Exibir hora do evento Eventos, fluxos e registros Eventos, fluxos e logs registram diferentes tipos de atividades que ocorrem em um dispositivo. Um evento é uma atividade registrada por um dispositivo como resultado de uma regra no sistema. Um fluxo é o registro de uma conexão feita entre IPs, dos quais pelo menos um está na HOME_NET. Um log é o registro de um evento que ocorreu em um dispositivo no sistema. Eventos e fluxos possuem endereços IP de origem e destino, portas, endereços MAC (Media Access Control), um protocolo e um primeiro e último horário (indicando a duração entre o início da conexão e seu término). Entretanto, existem várias diferenças entre eventos e fluxos: Como os fluxos não são uma indicação de tráfego anômalo nem malicioso, eles são mais comuns que os eventos. Diferentemente de um evento, um fluxo não está associado a uma assinatura de regra (SigID). Fluxos não estão associados a ações de eventos como alerta, descarte e rejeição. Alguns dados são específicos para fluxos, incluindo bytes de origem e destino e pacotes de origem e destino. Bytes e pacotes de origem são o número de bytes e pacotes transmitidos pela origem do fluxo, enquanto os bytes e pacotes de destino são o número de bytes e pacotes transmitidos pelo destino do fluxo. Os fluxos têm direção: o fluxo de entrada é definido como um fluxo que se origina dentro da HOME_NET. Um fluxo de saída se origina dentro da HOME_NET. Essa variável é definida em uma política para um Nitro IPS. Eventos e fluxos gerados pelo sistema podem ser vistos em exibições, que você pode selecionar na lista suspensa de exibições. Registros são listados no Registro do sistema ou no Registro do dispositivo, que podem ser acessados na página Propriedades do sistema ou de cada dispositivo. McAfee Enterprise Security Manager Guia de produto 263

264 7 Trabalho com eventos Eventos, fluxos e registros Configurar downloads de eventos, fluxos e registros Verifique eventos, fluxos e registros manualmente ou defina o dispositivo para verificá-los automaticamente. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Eventos, fluxos e logs, Eventos e logs ou Logs. 3 Configure os downloads e clique em Aplicar. Limitar horário da coleta de dados Você pode agendar um intervalo de tempo para limitar quando o ESM efetuará pull de dados de cada dispositivo e quando os dados serão enviados para o ELM de cada dispositivo. Antes de iniciar Desative Agregação dinâmica e defina Agregação de nível 1 entre 240 e 360 minutos (consulte Alterar as configurações de agregação ou evento de alteração). Você pode usar esse recurso para evitar usar a rede em horários de pico, deixando a largura de banda disponível para outros aplicativos. Isso atrasa a entrega de dados para o ESM e ELM, portanto, você precisa determinar se esse atraso é aceitável no seu ambiente. Tenha cuidado ao configurar esse recurso porque o agendamento de evento, fluxo e coleta de logs pode causar perda de dados. 1 Na árvore de navegação do sistema, selecione o dispositivo e clique no ícone Propriedades. 2 Selecione uma das seguintes opções: Eventos, fluxos e logs Eventos e logs Logs 3 Selecione Definir intervalo de tempo de pull de dados diário e defina os horários de início e de término para o intervalo de tempo. O ESM coleta dados do dispositivo, e o dispositivo envia dados para o ELM para registro durante o intervalo de tempo definido por você. Quando você configura isso no ELM, ele define quando o ESM coleta dados do ELM e quando o ESM envia dados para o ELM para registro. Definir as configurações de limite de inatividade Ao definir um limite de inatividade para um dispositivo, você será notificado quando nenhum evento ou fluxo for gerado no período especificado. Se o limite for atingido, um sinalizador de status de integridade amarelo aparecerá ao lado do nó do dispositivo na árvore de navegação do sistema. 264 McAfee Enterprise Security Manager Guia de produto

265 Trabalho com eventos Eventos, fluxos e registros 7 1 Na árvore de navegação do sistema, selecione Propriedades do sistema, verifique se Informações do sistema está selecionado e clique em Eventos, fluxos e registros. 2 Clique em Configurações de inatividade. 3 Destaque o dispositivo e clique em Editar. 4 Altere as configurações e clique em OK. Obter eventos e fluxos Recupere eventos e fluxos para os dispositivos selecionados na árvore de navegação de sistemas. 1 Na árvore de navegação do sistema, selecione o sistema, um grupo ou dispositivo e clique no ícone Obter eventos e fluxos na barra de ferramentas de ações. 2 Na tabela superior, selecione os eventos e fluxos a serem recuperados, depois clique em Iniciar. O status da recuperação é refletido na coluna Status. A tabela inferior mostra outros detalhes dos dispositivos que você realça na tabela superior. 3 Após a conclusão do download, selecione uma exibição para ver esses eventos e fluxos, em seguida, clique no ícone Atualizar exibição atual na barra de ferramentas de exibições. Verificar eventos, fluxos e registros Você pode configurar o ESM para verificar eventos, fluxos e registros automaticamente ou verificá-los manualmente. A taxa em que você deve fazer a verificação depende do nível de atividade do seu sistema e da frequência com que deseja receber atualizações de status. Você também deve especificar quais dispositivos devem verificar cada tipo de informação e definir o limite de inatividade para os dispositivos gerenciados pelo ESM. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Eventos, fluxos e registros. 2 Faça as seleções e alterações para a recuperação de eventos, fluxos e registros. 3 Clique em OK. Consulte também Definir as configurações de limite de inatividade na página 264 McAfee Enterprise Security Manager Guia de produto 265

266 7 Trabalho com eventos Eventos, fluxos e registros Definir configurações de localização geográfica e ASN A Localização geográfica informa a localização física dos computadores conectados à Internet. ASN (Autonomous System Number - Número de sistema autônomo) é um número atribuído a um sistema autônomo, que identifica cada rede exclusivamente na Internet. Os dois tipos de dados podem ajudar a identificar a localização física de uma ameaça. Os dados da localização geográfica de origem e de destino podem ser coletados para os eventos. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Eventos, fluxos e registros ou Eventos e registros em Localização geográfica. 3 Faça as seleções para gerar as informações necessárias e clique em OK. Você pode filtrar dados do evento usando essas informações. Obter eventos e fluxos Recupere eventos e fluxos para os dispositivos selecionados na árvore de navegação de sistemas. 1 Na árvore de navegação do sistema, selecione o sistema, um grupo ou dispositivo e clique no ícone Obter eventos e fluxos na barra de ferramentas de ações. 2 Na tabela superior, selecione os eventos e fluxos a serem recuperados, depois clique em Iniciar. O status da recuperação é refletido na coluna Status. A tabela inferior mostra outros detalhes dos dispositivos que você realça na tabela superior. 3 Após a conclusão do download, selecione uma exibição para ver esses eventos e fluxos, em seguida, clique no ícone Atualizar exibição atual na barra de ferramentas de exibições. Agregação de eventos ou fluxos Um evento ou fluxo pode ser gerado milhares de vezes. Em vez de ser forçado a verificar milhares de eventos idênticos, com a agregação você pode exibi-los como um evento ou fluxo único, junto com a contagem que indica o número de vezes que ele ocorreu. O uso da agregação permite usar o espaço em disco, tanto no dispositivo quanto no ESM, de forma mais eficiente, pois elimina a necessidade de armazenar cada pacote. Esse recurso aplica-se somente a regras para as quais a agregação está ativada no Editor de políticas. Endereço IP de destino e IP de origem Os valores "não definidos" ou agregados de endereço IP de destino e IP de origem são exibidos como "::", e não como " " em todos os conjuntos de resultados. Por exemplo: 266 McAfee Enterprise Security Manager Guia de produto

267 Trabalho com eventos Eventos, fluxos e registros 7 ::ffff: é inserido como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 é ). ::0000: seria Eventos e fluxos agregados Os eventos e fluxos agregados usam o primeiro, o último e o campo de totais, para indicar a duração e o volume de agregação. Por exemplo, se o mesmo evento ocorreu 30 vezes nos primeiros 10 minutos após o meio-dia, o campo Primeira vez contém a hora 12:00 (a hora da primeira instância do evento), o campo Última vez contém a hora 12:10 (a hora da última instância do evento) e o campo Total contém o valor 30. É possível alterar as configurações de agregação de evento ou de fluxo padrão do dispositivo com um todo e, no caso dos eventos, é possível adicionar exceções às configurações do dispositivo para regras individuais (consulte Gerenciar exceções de agregação de evento). A agregação dinâmica também é ativada por padrão. Quando selecionada, ela substitui as configurações da agregação de Nível 1 e aumenta as configurações do Nível 2 e Nível 3. Ela recupera registros com base na configuração de eventos, fluxos e registros. Se configurado para recuperação automática, o dispositivo compacta um registro somente até a primeira vez que ele for obtido pelo ESM. Se estiver configurado para recuperação manual, o registro compacta até 24 horas ou até que um novo registro seja obtido manualmente, o que ocorrer primeiro. Se o tempo de compactação alcançar o limite de 24 horas, um novo registro é obtido e a compactação começará no novo registro. Alterar as configurações de agregação de eventos e fluxos A agregação de eventos e fluxos é ativada por padrão e definida como Alta. Você pode alterar as configurações conforme o necessário. O desempenho de cada configuração está descrito na página Agregação. Antes de iniciar Você deve ter privilégios de Administrador de políticas e Gerenciamento de dispositivos ou Administrador de políticas e Regras personalizadas para alterar essas configurações. A agregação de eventos está disponível somente para dispositivos ADM, IPS e Receiver. E a agregação de fluxo para dispositivos IPS e Receivers. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Agregação do evento ou Agregação do fluxo. 3 Defina as configurações e clique em OK. Adicionar exceções às configurações de agregação de evento Configurações de agregação aplicam-se a todos os eventos gerados por um dispositivo. Você pode criar exceções para regras individuais se as configurações gerais não se aplicarem aos eventos gerados pela regra. McAfee Enterprise Security Manager Guia de produto 267

268 7 Trabalho com eventos Eventos, fluxos e registros 1 No painel de exibições, selecione um evento gerado pela regra para a qual deseja adicionar uma exceção. 2 Clique no ícone Menu e selecione Modificar configurações de agregação. 3 Selecione os tipos de campo que deseja agregar nas listas suspensas Campo 2 e Campo 3. Os campos que você selecionar em Campo 2 e Campo 3 devem ser de tipos diferentes; caso contrário, um erro ocorrerá. Ao selecionar esses tipos de campo, a descrição para cada nível de agregação mudará para refletir as seleções feitas. Os limites de tempo para cada nível dependem da configuração de agregação do evento definida para o dispositivo. 4 Clique em OK para salvar as configurações e clique em Sim para continuar. 5 Desmarque os dispositivos para os quais não quiser distribuir as alterações. 6 Clique em OK para distribuir as alterações para os dispositivos selecionados. A coluna Status exibe o status da atualização quando as alterações foram distribuídas. Gerenciar exceções de agregação de evento Você pode exibir uma lista das exceções de agregação de evento que foram adicionadas ao sistema. É possível também editar ou remover uma exceção. 1 Na árvore de navegação do sistema, selecione um dispositivo e clique no ícone Propriedades. 2 Clique em Agregação do evento e em Exibir na parte inferior da tela. 3 Efetue as alterações necessárias e clique em Fechar. Configuração do encaminhamento de evento O encaminhamento de evento permite enviar eventos do ESM para um outro dispositivo ou recurso pelo Syslog ou SNMP (se ativado). Você deve definir o destino e pode selecionar se deseja incluir o pacote e ocultar os dados de IP. É possível adicionar filtros para que os dados do evento sejam filtrados antes de serem encaminhados. Isso não substitui o gerenciamento de logs, pois não se trata de um conjunto completo de logs assinados digitalmente de cada dispositivo do seu ambiente. Configurar o encaminhamento de evento Você pode configurar um destino de encaminhamento de evento para encaminhar dados de evento a um syslog ou servidor SNMP. O número de destinos de encaminhamento de evento usado, combinado com a taxa e o número de eventos que estão sendo recuperados pelo ESM, podem afetar o desempenho geral do ESM. 268 McAfee Enterprise Security Manager Guia de produto

269 Trabalho com eventos Eventos, fluxos e registros 7 1 Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Encaminhamento de evento. 2 Na página Destinos de encaminhamento de evento, selecione Adicionar, Editar ou Remover. 3 Se você optou por adicionar ou editar um destino, defina as configurações. 4 Clique em Aplicar ou OK. Adicionar destinos de encaminhamento de evento Adicione um destino de encaminhamento de evento ao ESM para encaminhar dados de evento a um syslog ou servidor SNMP. 1 Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Encaminhamento de evento. 2 Clique em Adicionar e preencha as informações necessárias. 3 Clique em OK. Consulte também Agentes de encaminhamento de evento na página 270 McAfee Enterprise Security Manager Guia de produto 269

270 7 Trabalho com eventos Eventos, fluxos e registros Agentes de encaminhamento de evento Veja, a seguir, os agentes de encaminhamento de evento e as informações contidas nos pacotes que são encaminhados. Selecione o agente no campo Formato da página Adicionar destino de encaminhamento do evento. Agente Syslog (McAfee 9.2) Syslog (McAfee 8.2) syslog (Nitro) Conteúdo IP do ESM McAfee ESM (parte do cabeçalho de syslog), ID da assinatura (SigID), Mensagem da assinatura (SigMessage), IP de origem (SrcIP), IP de destino (DstIP), Porta de origem (SrcPort), Porta de destino (DstPort), MAC de origem (SrcMac), MAC de destino (DstMac), Protocolo, LAN virtual (VLan), Fluxo (se o evento é gerado pelo iniciador da conexão ou pelo destinatário da conexão), Contagem de eventos, Primeira vez (no formato de hora UNIX), Última vez (no formato de hora UNIX), Última hora_segundo de usuário (LastTime_usec), Subtipo de evento, Gravidade, ID interno (ID do evento no ESM), ID do evento, ID do IPS (IPSID), Nome do IPS (IPSName) (nome da origem de dados: endereço IP), ID da origem de dados (DSID), IPv6 de origem, IPv6 de destino (Dest IPv6), ID da sessão, Sequência, Sinalizador confiável, ID normalizado, Origem de GUID, Destino de GUID (GUID Dest), Nome de agregação 1 (Agg 1 Name), Valor de agregação 1 (Agg 1 Value), Nome de agregação 2 (Agg 2 Name), Valor de agregação 2 (Agg 2 Value), Nome de agregação 3 (Agg 3 Name), Valor de agregação 3 (Agg 3 Value). Os seguintes campos de cadeia também estão entre aspas, porque eles podem conter ponto e vírgula: Aplicativo, Comando, Domínio, Host, Objeto, Usuário de destino, Usuário de origem, Tipo definido pelo usuário 8, Tipo definido pelo usuário 9, Tipo definido pelo usuário 10, Tipo definido pelo usuário 21, Tipo definido pelo usuário 22, Tipo definido pelo usuário 23, Tipo definido pelo usuário 24, Tipo definido pelo usuário 25, Tipo definido pelo usuário 26, Tipo definido pelo usuário 27. Pacote (o conteúdo do pacote seguirá a codificação de Base 64 somente se a opção "copiar pacote" estiver "ativada" para as regras no editor de políticas e a opção for verificada durante a configuração do encaminhamento de evento no ESM). IP do ESM McAfee ESM (parte do cabeçalho de syslog), ID da assinatura (SigID), Mensagem da assinatura (SigMessage), IP de origem (SrcIP), IP de destino (DstIP), Porta de origem (SrcPort), Porta de destino (DstPort), MAC de origem (SrcMac), MAC de destino (DstMac), Protocolo, LAN virtual (VLan), Fluxo (se o evento é gerado pelo iniciador da conexão ou pelo destinatário da conexão), Contagem de eventos, Primeira vez (no formato de hora UNIX), Última vez (no formato de hora UNIX), Última vez_segundo do usuário (LastTime_usec), Subtipo de evento, Gravidade, ID interno (ID do evento no ESM), ID do evento, ID do IPS (IPSID), Nome do IPS (IPSName) (nome da origem de dados: endereço IP), ID da origem de dados (DSID), IPv6 de origem, IPv6 de destino (Dest IPv6), ID da sessão, Sequência, Sinalizador confiável, ID normalizado. Os seguintes campos de cadeia também estão entre aspas, porque eles podem conter ponto e vírgula: Aplicativo, Comando, Domínio, Host, Objeto, Usuário de destino, Usuário de origem, Tipo definido pelo usuário 8, Tipo definido pelo usuário 9, Tipo definido pelo usuário 10. Pacote (o conteúdo do pacote seguirá a codificação de Base 64 somente se a opção "copiar pacote" estiver "ativada" para as regras no editor de políticas e a opção for verificada durante a configuração do encaminhamento de evento no ESM). IP do ESM, "McAfee ESM", ID da assinatura (SigID), Mensagem da assinatura (SigMessage), IP de origem (SrcIP), IP de destino (DstIP), Porta de origem (SrcPort), Porta de destino (DstPort), MAC de origem (SrcMac), MAC de destino (DstMac), Protocolo, LAN virtual (VLan), Fluxo (se o evento é gerado pelo iniciador da conexão ou pelo destinatário da conexão), Contagem de eventos, Primeira vez (no formato de hora UNIX), Última vez (no formato de hora UNIX), Última vez_segundo do usuário (LastTime_usec), Subtipo de evento, Gravidade, ID interno (ID do evento no ESM), ID do evento, ID do IPS (IPSID), Nome do IPS (IPSName), ID da origem de dados (DSID), Pacote (o conteúdo do pacote segue a codificação de Base 64). 270 McAfee Enterprise Security Manager Guia de produto

271 Trabalho com eventos Eventos, fluxos e registros 7 Agente syslog (ArcSight) syslog (Snort) Syslog (Logs de auditoria) Syslog (Formato de evento comum) Syslog (Formato de evento padrão) Conteúdo "McAfee", ID da máquina (MachineID), "Notificação de ArcSite", "Linha 1", Nome do grupo, Nome do IPS, Última vez mm/dd/aaaa HH:nn:ss.zzz, Última vez_segundo do usuário (LastTime_usec), Primeira vez mm/dd/aaaa HH:nn:ss.zzz), ID da assinatura (SigID), Nome da classe, Contagem de eventos, IP de origem (Src IP), Porta de origem (Src Port), IP de destino (Dst IP), Porta de destino (Dst Port), Protocolo, Subtipo de evento, ID de dispositivo do evento (ID interno do dispositivo do evento), ID do ESM do evento (ID interno do evento do ESM), Mensagem de regra, Fluxo (se o evento é gerado pelo iniciador da conexão ou pelo destinatário da conexão), LAN virtual (VLAN), MAC de origem (Src MAC), MAC de destino (Dst MAC), Pacote (o conteúdo do pacote segue a codificação de Base 64). snort:, [sigid:smallsigid:0], Mensagem ou "Alerta" da assinatura, [Classificação: Nome da classe], [Prioridade: Prioridade da classe], {Protocolo}, IP de origem:porta de origem -> IP de destino:porta de destino, IP de origem -> IP de destino, Pacote (o conteúdo do pacote segue a codificação de Base 64). tempo (segundos desde a época), sinalizador de status, nome do usuário, nome da categoria de log (em branco para 8.2.0, preenchido para ), nome do grupo de dispositivos, nome do dispositivo, mensagem de log. Data e hora atuais, IP do ESM, CEF versão 0, fornecedor = McAfee, produto = modelo do ESM de /etc/mcafee modelo Nitro/ips, versão = versão doesm de /etc./carimbo de data e hora da compilação, id da assinatura, mensagem de assinatura, gravidade (de 0 a 10), pares de nome/valor, Endereço traduzido do dispositivo <#>AAAA-MM-DDTHH:MM:SS.S [Endereço IP] McAfee_SIEM: { "source": { "id": , "name": "McAfee Gateway (ASP)", "subnet": "::ffff: /128" }, "fields": { "packet": { "encoding": "BASE64" } }, "data": { "unique_id": 1, "alert_id": 1, "thirdpartytype": 49, "sig": { "id": , "name": "Random String Custom Type" }, "norm_sig": { "id": , "name": "Misc Application Event" }, "action": "5", "src_ip": " ", "dst_ip": " ", "src_port": 38129, "dst_port": 0, "protocol": "n/a", "src_mac": "00:00:00:00:00:00", "dst_mac": "00:00:00:00:00:00", "src_asn_geo": , "firsttime": " T20:43:30Z", "lasttime": " T20:43:30Z", "writetime": " T20:44:01Z", "src_guid": "", "dst_guid": "", "total_severity": 25, "severity": 25, "eventcount": 1, "flow": "0", "vlan": "0", "sequence": 0, "trusted": 2, "session_id": 0, "compression_level": 10, "reviewed": 0, "a1_ran_string_cf1": "This is data for custom field 1", "packet": "PDE0PjA5MDUyMDE0IDIwOjE4OjQ0fDIxfDY1LjI1NC40OC4yMDAtMzgxMjl8MXwxMDJ8U3 BhbSBNZXNzYWdlIHR5cGU6IFRydXN0ZWRTb3VyY2UgU2lnbmF0dXJlIENvbmZpZGVuY2 UgPSBISUdILiBDb25uZWN0aW9uOiA2NS4yNTQuNDguMjAwLTM4MTI5KElQLVBvcnQpfF RoaXMgaXMgZGF0YSBm b3igy3vzdg9tigzpzwxkidf8w10a" Ativar ou desativar o encaminhamento de evento Ative ou desative o encaminhamento de evento no ESM. 1 Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Encaminhamento de evento. 2 Clique em Configurações e marque ou desmarque a opção Encaminhamento de evento ativado. 3 Clique em OK. Modificar configurações de todos os destinos de encaminhamento do evento Altere algumas configurações de todos os destinos de encaminhamento do evento de uma vez. McAfee Enterprise Security Manager Guia de produto 271

272 7 Trabalho com eventos Eventos, fluxos e registros 1 Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Encaminhamento de evento. 2 Clique em Configurações e defina as opções. 3 Clique em OK. Adicionar filtros de encaminhamento de evento Configure filtros para limitar os dados de evento encaminhados para um syslog ou servidor SNMP no ESM. 1 Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Encaminhamento de evento. 2 Clique em Adicionar e depois em Filtros de evento. 3 Preencha os campos de filtro e clique em OK. Editar configurações do encaminhamento de evento Altere as configurações de filtro para encaminhamento de evento depois de terem sido salvas. Antes de iniciar Ao editar um filtro de dispositivo, você deverá ter acesso a todos os dispositivos no filtro. Para ativar o acesso aos dispositivos, consulte Configurar grupos de usuários. 1 Na árvore de navegação de sistemas, selecione Propriedades do sistema e clique em Encaminhamento de evento. 2 Clique em Editar e depois em Filtros de evento. 3 Faça as alterações e clique em OK. Consulte também Configurar grupos de usuários na página 200 Envio e encaminhamento de eventos com Standard Event Format O SEF (Standard Event Format) é um formato de evento baseado em JSON (Java Script Object Notation) que representa eventos de dados genéricos. O formato SEF encaminha eventos do ESM para um Receptor em um ESM diferente, bem como do ESM para um terceiro. Também é possível usá-lo para enviar eventos de um terceiro para um Receptor selecionando SEF como o formato de dados ao criar a origem de dados. Ao configurar o encaminhamento de um evento com SEF do ESM para o ESM, é necessário executar quatro etapas: 272 McAfee Enterprise Security Manager Guia de produto

273 Trabalho com eventos Gerenciamento de relatórios 7 1 Exportar origens de dados, tipos personalizados e regras personalizadas do ESM que encaminha os eventos. Para exportar as origens de dados, siga as instruções em Mover origens de dados para outro sistema. Para exportar os tipos personalizados, abra Propriedades do sistema, clique em Tipos personalizados e em Exportar. Para exportar as regras personalizadas, siga as instruções em Exportar regras. 2 No ESM, com o Receptor que você está encaminhando, importe as origens de dados, os tipos personalizados e as regras personalizadas que acabou de exportar. Para importar as origens de dados, siga as instruções em Mover origens de dados para outro sistema. Para importar os tipos personalizados, abra Propriedades do sistema, clique em Tipos personalizados e em Importar. Para importar as regras personalizadas, siga as instruções em Exportar regras. 3 No ESM que recebe os eventos de outro ESM, adicione uma origem de dados de ESM. Na árvore de navegação do sistema, clique no dispositivo do Receptor ao qual deseja adicionar a origem de dados e clique no ícone Adicionar origem de dados. Na página Adicionar origem de dados, selecione McAfee no campo Fornecedor da origem de dados e selecione Enterprise Security Manager (SEF) no campo Modelo da origem de dados. Preencha as informações solicitadas e clique em OK. 4 Adicione o destino de encaminhamento do evento ao ESM de envio. Clique na árvore de navegação do sistema e no ícone Propriedades. Clique em Encaminhamento de evento e em Adicionar. Na página Adicionar destino de encaminhamento do evento, selecione syslog (Standard Event Format) no campo Formato, preencha os campos restantes com as informações do ESM para o qual você está encaminhando e clique em OK. Gerenciamento de relatórios Os relatórios mostram dados de eventos e fluxos gerenciados no ESM. Você pode criar seu próprio relatório ou executar um dos relatórios predefinidos e enviá-lo em formato PDF, HTML ou CSV. Relatórios predefinidos Os relatórios predefinidos dividem-se nestas categorias: Conformidade McAfee Database Activity Monitoring (DAM) Executivo McAfee DEM McAfee ADM McAfee Event Reporter McAfee Enterprise Security Manager Guia de produto 273

274 7 Trabalho com eventos Gerenciamento de relatórios Eles geram dados baseados em eventos. Relatórios definidos pelo usuário Ao gerar um relatório, você cria o layout no editor de Layout de relatório selecionando a orientação, o tamanho, a fonte, as margens, o cabeçalho e o rodapé. Você também pode incluir componentes, configurando-os para que exibam os dados conforme quiser. Todos os layouts serão salvos e poderão ser usados em vários relatórios. Ao adicionar um relatório, você tem a opção de criar um novo layout, usar um já existente como está ou usar um já existente como modelo e editar suas características. Também é possível remover um layout de relatório quando ele não for mais necessário. Consulte também Adicionar uma condição de relatório na página 275 Definir o mês inicial para os relatórios trimestrais na página 274 Adicionar layout de relatório na página 274 Definir o mês inicial para os relatórios trimestrais Caso esteja executando relatórios em uma base trimestral, será necessário definir o primeiro mês do Trimestre 1. Depois que isso estiver definido e armazenado na tabela do sistema, os relatórios serão executados trimestralmente com base nessa data de início. 1 No console do ESM, selecione Propriedades do sistema e clique em Configurações personalizadas. 2 No campo Especifique o mês a ser usado, selecione o mês. 3 Clique em Aplicar para salvar a configuração. Adicionar relatório Adicione relatórios ao ESM e configure-os para que sejam executados regularmente, em intervalos definidos, ou selecione-os para execução manual. Você pode selecionar um layout de relatório ou criar um novo usando o editor de Layout do relatório. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Relatórios. 2 Clique em Adicionar e defina as configurações na página Adicionar relatório. 3 Clique em Salvar. O relatório é adicionado à tabela na página Relatórios e é executado conforme definido no campo Condição. Adicionar layout de relatório Crie o layout para um relatório se os layouts predefinidos não atenderem às suas necessidades. 274 McAfee Enterprise Security Manager Guia de produto

275 Trabalho com eventos Gerenciamento de relatórios 7 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Relatórios. 2 Clique em Adicionar para abrir a página Adicionar relatório e conclua as seções 1, 2 e 3. 3 Na seção 4, selecione PDF de relatório ou HTML de relatório. 4 Na seção 5, clique em Adicionar para abrir o editor de Layout de relatório. 5 Configure o layout para exibir os dados gerados pelo relatório. O layout será salvo e poderá ser usado como está para outros relatórios ou como um modelo a ser editado. Incluir uma imagem em PDFs e relatórios Você pode configurar o ESM para que os PDFs exportados e os relatórios impressos incluam as imagens mostradas na tela de Login. Antes de iniciar Adicione a imagem à página Configurações personalizadas (consulte Personalizar a página de login). 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Configurações personalizadas. 2 Selecione Incluir imagem em PDF exportado de Exibições ou relatórios impressos. 3 Clique em OK. Consulte também Personalizar a página de entrada na página 28 Adicionar uma condição de relatório Adicione condições para que elas estejam disponíveis durante a configuração de relatórios. 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Relatórios. 2 Clique em Condições e insira as informações solicitadas. 3 Clique em OK para salvar as configurações. Esta opção aparece na lista de condições disponíveis quando você seleciona a condição de um relatório. McAfee Enterprise Security Manager Guia de produto 275

276 7 Trabalho com eventos Descrição dos filtros contains e regex Exibir nomes de host em um relatório É possível configurar relatórios para usar a resolução DNS para endereços IP de origem e de destino nos relatórios. 1 Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Clique em Relatórios, Adicionar e preencha as informações solicitadas nas seções 1 a 4. 3 Na seção 5, clique em Adicionar, arraste e solte um componente de Tabela, Gráfico de barras ou Gráfico de pizza e conclua o Assistente de consulta. 4 Na seção Consulta do painel Propriedades no editor Layout de relatório, selecione Resolver IPs para nomes de host. Além de os resultados da pesquisa de DNS aparecerem no relatório, é possível exibi-los na tabela Hosts (Propriedades do sistema Hosts). Descrição dos filtros contains e regex Os filtros contains e regex fornecem as capacidades de caractere curinga nos dados da cadeia de índice e nos dados de cadeia não indexados. Esses filtros têm requisitos de sintaxe. Os comandos podem ser usados em qualquer campo que permita dados de texto ou cadeia. A maioria dos campos de texto é denotada pelo ícone não diferenciar maiúsculas de minúsculas ao lado do nome do campo do filtro. Outros campos que permitem contains não têm o ícone. Para obter uma lista completa de campos, consulte a seção Campos com suporte ao recurso contains. Sintaxe e exemplos A sintaxe básica de contains é contains(algumvalor) e para regex é regex(algumaexpressãoregular). Para que ele não diferencie maiúsculas de minúsculas, clique no ícone não diferenciar maiúsculas de minúsculas ou inclua a notação de expressão regular /i, como em regex(/algumvalor/i). A pesquisa retorna qualquer valor que contenha algumvalor, seja qual for o caso. Os ícones NOT e OR se aplicam ao regex e contêm valores. Se desejar que os resultados mostrem os valores que não contêm algum valor, insira o valor e clique no ícone NOT. Se desejar que os resultados mostrem os valores que contêm um valor ou outro, insira os valores e clique no ícone OR. Exemplo nº 1 Uma pesquisa simples Campos indexados: contains(stra), regex(stra) Campos não indexados: stra Resultado: retorna qualquer cadeia com stra, como administrador, gmestrad ou straub. Exemplo nº 2 Uma pesquisa OR 276 McAfee Enterprise Security Manager Guia de produto

277 Trabalho com eventos Descrição dos filtros contains e regex 7 Campos indexados: contains(admin,ngcp), regex((admin NGCP)) Campos não indexados: admin,ngcp Resultados: retorna qualquer cadeia do campo que contenha admin ou NGCP. O conjunto extra de parênteses é necessário para que o regex OR funcione. Exemplo nº 3 Uma pesquisa de caracteres especiais, como em contas de serviço Um símbolo do dólar: Campos indexados: contains($), regex(\x24) ou regex(\$) Campos não indexados: $ Resultados: qualquer uma das pesquisas retorna qualquer cadeia no campo que contenha $. Vá para para obter uma lista de valores HEX para os caracteres. Com o regex, se você tentar usar o $ sem escalá-lo, o conjunto de resultados retornará vazio. A sequência de escape PCRE é um método de pesquisa melhor a ser usado. Um símbolo de percentual: Campos indexados: contains(%), regex(\x25) ou regex(\%) Campos não indexados: % Uma barra invertida: Campos indexados: contains(\), regex(\x5c) ou regex(\\) Campos não indexados: \ Barras invertidas duplas Campos indexados: contains(\\), regex(\x5c\x5c) ou regex(\\\) Campos não indexados: \\ Em alguns casos, se o valor HEX ou a barra com regex não forem usados, poderá ocorrer um erro de Expressão regular inválida (ER5-0015). Exemplo nº 4 Pesquisa com o * caractere curinga Campos indexados: contains (ad*) Campos não indexados: ad* Resultados: retorna qualquer cadeia que comece com ad, como administrador e endereço. Exemplo nº 5 Pesquisa como Expressão regular regex(nitroguard/x28[3-4]/x29[com info}+) (3)www(10)nitroguard(3)com(0) (3)www(10)nitroguard(4)info(0) (3)www(10)nitroguard(3)gov(0) (3)www(10)nitroguard(3)edu(0) McAfee Enterprise Security Manager Guia de produto 277

278 7 Trabalho com eventos Descrição dos filtros contains e regex (3)www(10)nitroguard(7)oddball(0) Esses são domínios de eventos de DNS da Microsoft. Resultados: essa expressão regular seleciona uma cadeia específica. Nesse caso, é nitroguard, um domínio primário com 3 ou 4 dígitos, e com ou info. Esse regex faz a correspondências das duas primeiras expressões, mas não das outras. Esses são exemplos para mostrar como é possível usar o regex com o recurso. Suas expressões serão muito diferentes. Avisos Usar regex com valores com menos de três caracteres aumenta a sobrecarga e torna o desempenho de consulta mais lento. Sugerimos que todas as consultas tenham mais de três caracteres. Não é possível usar esse filtro em regras de correlação ou alarmes. A única exceção é que ele pode ser usado em regras de correlação com tipos personalizados de nome/valor. Usar contains ou regex com NOT pode aumentar a sobrecarga e tornar o desempenho de consulta mais lento. Descrição do filtro de bloom Para obter mais informações sobre o filtro de bloom, consulte Bloom_filter Campos com suporte aos recursos contains e regex Access_Resource File_Operation_Succeeded Referer Aplicativo File_Path Registry_Key Application_Protocol File_Type Registry_Value Área Nome do arquivo Request_Type Authoritative_Answer Forwarding_Status Response_Code Cco De Return_Code Caller_Process From_Address RTMP_Application Catalog_Name FTP_Command Sensor_Name Categoria Host Sensor_Type Cc HTTP_Req_Cookie Sensor_UUID Client_Version HTTP_Req_Host Session_Status Comando HTTP_Req_Method ID de assinatura Contact_Name HTTP_Req_Referer Signature_Name Contact_Nickname HTTP_Req_URL SNMP_Error_Code Cookie HTTP_User_Agent SNMP_Item Creator_Name Incomtin_ID SNMP_Item_Type Database_ID Interface SNMP_Operation Database_Name Interface_Dest SNMP_Version Datacenter_ID Job_Name Usuário de origem Datacenter_Name Job_Type Source_Context DB2_Plan_Name Idioma Source_Logon_ID 278 McAfee Enterprise Security Manager Guia de produto

279 Trabalho com eventos Trabalhar com exibições do ESM 7 Delivery_ID Local_User_Name Source_Network Descrição Logical_Unit_Name Source_UserID Usuário de destino Logon_Type Source_Zone Destination_Directory LPAR_DB2_Subsystem SQL_Command Destination_Filename Mail_ID SQL_Statement Destination_Hostname Caixa de correio Step_Count Destination_Logo_ID Mainframe_Job_Name Step_Name Destination_Network Malware_Insp_Action Assunto Destination_UserID Malware_Insp_Result SWF_URL Destination_Zone Management_Server Table_Name Detection_Method Message_ID Target_Class Device_Action Message_Text Target_Context Direção Método Target_Process_Name Diretório NTP_Client_Mode TC_URL DNS_Class NTP_Opcode Threat_Category DNS_Name NTP_Request Threat_Handled DNS_Type NTP_Server_Mode Threat_Name Domínio Objeto To Event_Class Object_Type To_Address External_Application Operating_System URL External_DB2_Server Policy_Name URL_Category External_Hostname Privileged_User User_Agent External_SessionID Process_Name User_Nickname Recurso Query_Response Versão File_Operation Motivo Virtual_Machine_ID Virtual_Machine_Name Estes tipos personalizados podem usar contains e regex: Exibições Cadeia Cadeia aleatória Nome/valor Gerenciamento de casos Notas Resumo Histórico Cadeias com hash Trabalhar com exibições do ESM O ESM recupera informações sobre eventos, fluxos, ativos e vulnerabilidades registradas em log por um dispositivo. As informações são correlacionadas e inseridas no mecanismo McAfee Security Event Aggregation and Correlation (MSEAC). Conteúdo Uso de exibições do ESM Exibir detalhes da sessão McAfee Enterprise Security Manager Guia de produto 279

280 7 Trabalho com eventos Trabalhar com exibições do ESM Barra de ferramentas de exibição Exibições predefinidas Adicionar uma exibição personalizada Exibir componentes Trabalhar com o Assistente de consulta Gerenciar exibições Verificar um evento Exibir os detalhes do endereço IP de um evento Alterar a exibição padrão Filtragem de exibições Listas de observação Normalização de cadeia Uso de exibições do ESM Com o uso do mecanismo MSEAC, os dados recuperados pelo ESM podem ser analisados e revisados por meio de um visualizador de relatórios flexível e altamente eficaz. Esse visualizador é a parte central do console do ESM. A exibição mostra os dados para os dispositivos que você selecionou na árvore de navegação do sistema. Quando o console do ESM é iniciado, a exibição padrão aparece (consulte Alterar a exibição padrão). Você pode usar os recursos de exibição para selecionar outra exibição predefinida (consulte Exibições predefinidas) ou criar uma nova exibição (consulte Adicionar uma exibição personalizada) para executar uma consulta e ver o que está acontecendo em sua rede (consulte Barra de ferramentas de exibição do ESM). Você também pode usar as diversas opções na barra de ferramentas de exibição, no menu de componentes e na barra de ferramentas de componentes para interagir com as exibições e seus dados. Uma barra de progresso pode ser vista em cada componente do painel de exibições quando uma consulta é executada. Se você passar o cursor sobre ela, o período e o percentual de tempo decorrido na execução da consulta de cada componente são exibidos. Para cancelar uma consulta e liberar recursos do ESM, clique no ícone excluir à direita da barra de progresso. Em uma exibição, os valores não definidos ou agregados de endereço IP de destino e IP de origem são exibidos como "::", e não como " " em todos os conjuntos de resultados. Por exemplo, ::ffff: é inserido como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 é ); ::0000: seria Exibir detalhes da sessão Você pode exibir os detalhes de um evento com um ID de sessão e salvá-los em um arquivo csv na Visualização de sessão. Para ter um ID de sessão, um evento deve residir em uma sessão. Uma sessão é o resultado da conexão entre uma origem e o destino. Eventos internos do dispositivo ou ESM não têm IDs de sessão. 1 Na lista suspensa de exibição, selecione a exibição que tem a sessão que você precisa exibir. 2 Selecione o evento, clique no ícone do menu na barra de títulos do componente e selecione Busca detalhada do evento Eventos. 3 Clique no evento, na guia Detalhes avançados e no ícone Exibir dados da sessão ao lado do campo ID de sessão. 280 McAfee Enterprise Security Manager Guia de produto

281 Trabalho com eventos Trabalhar com exibições do ESM 7 A Visualização de sessão será aberta, exibindo os detalhes da sessão. Barra de ferramentas de exibição A barra de ferramentas de exibição, localizada na parte superior do painel de exibições, possui várias opções a serem usadas ao configurar as exibições. Tabela 7-1 Opção Descrição 1 Ocultar árvore de dispositivos Clique para expandir a exibição atual ocultando o painel árvore de dispositivos. 2 Navegação de exibições Navegue para frente e para trás entre exibições anteriores. 3 Lista de exibições Selecione uma exibição na lista suspensa que contém todas as exibições predefinidas e personalizadas selecionadas. 4 Gerenciar exibições Gerencie todas as exibições (consulte Gerenciar as exibições). Você pode selecionar quais exibições deseja incluir na lista de exibições, adicionar pastas e renomear, excluir, copiar, importar e exportar exibições. 5 Atualizar exibição atual Atualize todos os dados exibidos atualmente no painel de exibição. 6 Exibição padrão Volte para a exibição padrão. 7 Imprimir exibição atual Imprima uma cópia da exibição atual. As opções de impressão são: Dimensionar para ajustar todos os componentes em uma página Os componentes que fazem parte da exibição são redimensionados para que a exibição caiba em uma página. Imprimir cada componente em uma página separada Cada componente da exibição é impresso em uma página separada. Se você clicar em Dimensionar componente para ajustá-lo à página, cada componente será redimensionado para preencher a página. Imprimir somente área visível Somente a parte da exibição visível na tela é impressa. Exportar para PDF A exibição é salva como um arquivo PDF. 8 Editar exibição atual Modifique a exibição atual, se ela for uma exibição personalizada. Ao clicar nesta opção, a Barra de ferramentas Exibir edição é aberta (consulte Criar uma exibição personalizada). 9 Criar uma nova exibição Crie uma nova exibição personalizada (consulte Criar uma exibição personalizada). McAfee Enterprise Security Manager Guia de produto 281

282 7 Trabalho com eventos Trabalhar com exibições do ESM Tabela 7-1 (continuação) Opção Descrição 10 Período Especifique o período para as informações que você deseja que apareçam na exibição. 11 Ocultar filtros Clique para expandir a exibição atual ocultando o painel de filtros. Exibições predefinidas A lista suspensa na barra de ferramentas de exibições permite acesso às exibições fornecidas com o sistema, assim como às exibições personalizadas que você adiciona. Estes são os diferentes tipos de exibições predefinidas. As exibições Ativo, ameaça e risco resumem os dados de ativos, ameaças e riscos e seus possíveis efeitos no sistema. Exibições de conformidade ajudam a simplificar as atividades de conformidade com a norma. Exibições de dashboard fornecem uma visão geral de aspectos específicos do sistema. A exibição Status do dispositivo mostra o status dos dispositivos selecionados na árvore de navegação do sistema. Se você clicar em um dispositivo na exibição, as informações de integridade relacionadas ao dispositivo selecionado serão exibidas na metade inferior da exibição. Pesquisa do ELM aprimorada fornece rastreamento em tempo real do andamento e dos resultados da pesquisa. Essa exibição fica disponível somente quando há um ELM no sistema (consulte Exibição da pesquisa do ELM aprimorada). Exibições de eventos detalham as informações geradas pelos eventos associados ao dispositivo selecionado na árvore de navegação do sistema. Exibições executivas fornecem uma visão geral dos aspectos do sistema mais interessantes para funcionários que não são de TI. Exibições de fluxo detalham informações registradas sobre cada fluxo (ou conexão) realizado por meio do IPS do Nitro (consulte Exibições de fluxo). O McAfee Event Reporter inclui exibições específicas de vários produtos da McAfee. Exibições de risco são usadas com o gerenciador padrão de ACE. Para exibir corretamente os dados de gerenciadores personalizados, é necessário criar exibições personalizadas. As Exibições de fluxo de trabalho de evento incluem estas exibições: Alarmes disparados Exiba e gerencie os alarmes que são disparados quando as condições de alarme são atendidas (consulte a exibição Alarmes disparados). Gerenciamento de casos Exiba e gerencie os casos no sistema (consulte Exibir todos os casos). 282 McAfee Enterprise Security Manager Guia de produto

283 Trabalho com eventos Trabalhar com exibições do ESM 7 Exibições de fluxo Um fluxo é um registro de uma conexão feita através do dispositivo. Quando a análise de fluxo é ativada no IPS do Nitro, são registrados os dados sobre cada fluxo, ou conexão, ocorrida através do IPS do Nitro. Os fluxos têm endereços IP de origem e destino, portas, endereços MAC, um protocolo e um primeiro e último nome (indicando a duração entre o início da conexão e seu término). Como os fluxos não são uma indicação de tráfego anômalo nem malicioso, há mais fluxos do que eventos. Um fluxo não está associado a uma assinatura de regra (SigID) como um evento. Fluxos não estão associados a ações de eventos como alerta, descarte e rejeição. Alguns dados são específicos para fluxos, incluindo bytes de origem e destino e pacotes de origem e destino. Bytes de origem e pacotes indicam o número de bytes e pacotes transmitidos pela origem do fluxo. Os bytes de destino e pacotes indicam o número de bytes e pacotes transmitidos pelo destino do fluxo. Os fluxos têm direção: o fluxo de entrada é definido como um fluxo que se origina fora da HOME_NET. Um fluxo de saída se origina dentro da HOME_NET. Essa variável é definida em uma política para um Nitro IPS. Para exibir dados de fluxo, é necessário ativar o sistema para que registre dados de fluxo. Você pode exibir fluxos na exibição Análise de fluxo. Ativar o registro de fluxo Para exibir os dados da análise de fluxo de um IPS do Nitro, é necessário ativar duas variáveis do firewall. 1 Selecione um dispositivo na árvore de navegação de sistemas. 2 Clique no ícone Editor de políticas e selecione Variável no painel Tipos de regras. 3 Expanda a categoria Firewall no painel de exibição de regras. 4 Na linha INBOUND_CONNECTION_STATISTICS, desmarque Herdar para decompor o valor herdado, digite Sim e clique em OK. 5 Para OUTBOUND_CONNECTION_STATISTICS, desmarque Herdar para decompor o valor herdado, digite Sim e clique em OK. Exibição da pesquisa do ELM aprimorada A exibição da Pesquisa do ELM aprimorada fica disponível quando há pelo menos um dispositivo do ELM no sistema. Isso permite executar pesquisas mais detalhadas e fornece rastreamento em tempo real do progresso e dos resultados da pesquisa quando você executa uma pesquisa de logs em um ou mais ELMs. Essa exibição é beneficiada com os recursos de geração de relatórios estatísticos do ELM para fornecer informações em tempo real sobre o volume de dados que precisa ser pesquisado, permitindo que você limite a consulta para reduzir o número de arquivos a serem pesquisados. Enquanto a pesquisa é processada, os gráficos mostram os resultados estimados: McAfee Enterprise Security Manager Guia de produto 283

284 7 Trabalho com eventos Trabalhar com exibições do ESM Gráfico de Distribuição dos resultados por tempo Exibe as estimativas e os resultados com base na distribuição por tempo. O eixo inferior muda de acordo com o que está selecionado na lista suspensa de período. Gráfico de Resultados de origem de dados Exibe as estimativas e os resultados por origem de dados com base nas origens de dados dos dispositivos selecionados na árvore de navegação de sistemas. Gráfico de Resultados de tipo de dispositivo Exibe as estimativas e os resultados por tipo de dispositivo com base nos dispositivos selecionados na árvore de navegação de sistemas. Esses gráficos são preenchidos antes do início da pesquisa e são atualizados conforme os resultados são encontrados. Você pode selecionar uma ou mais barras nos gráficos de Resultados de origem de dados ou Resultados de tipo de dispositivo ou realçar uma seção do gráfico de Distribuição dos resultados por tempo. Clique em Aplicar filtros para restringir a pesquisa quando os resultados começam a chegar. Isso permite fazer uma busca detalhada dos resultados da pesquisa e limitar o volume de dados que precisa ser pesquisado. Quando a pesquisa termina, esses gráficos exibem os resultados reais. Realizar uma pesquisa do ELM aprimorada Pesquise nos logs de um ou mais dispositivos do ELM as informações definidas por você. 1 No painel de exibição, selecione Pesquisa do ELM aprimorada na lista suspensa. 2 Se houver mais de um dispositivo do ELM no sistema, selecione os dispositivos para pesquisa na lista suspensa ao lado do campo de texto. 3 Digite uma pesquisa de texto normal ou expressão regular no campo de texto. 4 Se desejar pesquisar um período diferente de Dia atual, selecione-o na lista suspensa. 5 Na árvore de navegação de sistemas, selecione os dispositivos que deseja pesquisar. 6 Se for necessário, selecione uma ou mais destas opções: Não diferencia maiúsculas de minúsculas A pesquisa passa a não diferenciar maiúsculas de minúsculas. Expressão regular Trata o termo no campo de pesquisa como uma expressão regular. NÃO contém termo de pesquisa Retorna correspondências que não contenham o termo do campo de pesquisa. 284 McAfee Enterprise Security Manager Guia de produto

285 Trabalho com eventos Trabalhar com exibições do ESM 7 7 Clique em Pesquisar. Os resultados são exibidos na seção Resultados da pesquisa da exibição. 8 Siga um dos procedimentos a seguir durante ou após a conclusão da pesquisa. Opção Salvar pesquisa Fazer download do arquivo de resultados da pesquisa Copiar itens selecionados para a área de transferência Exibir detalhes de dados Definição Salve os resultados dessa pesquisa, mesmo que você saia da exibição. As pesquisas salvas são exibidas na página Propriedades do ELM Dados. Faça download dos resultados para o local que você indicou. Copie os itens selecionados na área de transferência para que você possa colá-los em um documento. Mostre detalhes de quaisquer registros selecionados na tabela Resultados da pesquisa. Exibir e gerenciar alarmes disparados Exiba e responda a alarmes disparados que ainda não foram excluídos. Antes de iniciar Verifique com o seu administrador se você pertence a um grupo de acesso com privilégios de usuário de alarme. Verifique com seu administrador se seu console está configurado para exibir o painel de registros de Alarmes (Consulte Selecione configurações do usuário na página 36). 1 Acesse os alarmes disparados por um destes locais do ESM: Painel de registros de Alarme Localizado no canto inferior esquerdo do dashboard, abaixo da árvore de navegação do sistema Alerta pop-up visual É aberto quando um alarme dispara Página Detalhes É aberta quando você clica no ícone Detalhes no painel de registros de Alarmes. 2 Realize uma das seguintes ações: McAfee Enterprise Security Manager Guia de produto 285

286 7 Trabalho com eventos Trabalhar com exibições do ESM Para... Confirmar um alarme Faça isto... Para reconhecer um alarme, clique na caixa de seleção na primeira coluna do alarme disparado que deseja reconhecer. Para reconhecer vários, realce os itens e clique no ícone Reconhecer alarme na parte inferior da exibição. Os alarmes confirmados são removidos do painel Alarmes, mas permanecem na exibição Alarmes disparados. Excluir um alarme do sistema Filtrar os alarmes Selecione o alarme disparado que deseja excluir e clique no ícone Excluir alarme. Insira as informações que você deseja usar como filtro no painel Filtros e clique no ícone Atualizar. Alterar o responsável por alarmes 1 Clique no ícone Exibir detalhes dos dados parte inferior do dashboard. para exibir detalhes do alarme na 2 Selecione os alarmes, clique em Responsável e selecione o novo responsável. Criar um caso para alarmes 1 Clique no ícone Exibir detalhes dos dados parte inferior do dashboard. para exibir detalhes do alarme na 2 Selecione os alarmes, clique em Criar caso e faça as seleções necessárias. Exibir detalhes sobre um alarme 1 Clique no ícone Exibir detalhes dos dados parte inferior do dashboard. para exibir detalhes do alarme na 2 Selecione o alarme e siga um destes procedimentos: Clique na guia Evento de gatilho para exibir o evento que disparou o alarme selecionado. Clique duas vezes no evento para exibir uma descrição. Se um evento individual não atender às condições do alarme, a guia Evento de disparo poderá não aparecer. Clique na guia Condição para ver a condição que disparou o evento. Clique na guia Ação para ver as ações que ocorreram como resultado do alarme e as marcas epolicy Orchestrator atribuídas ao evento. Editar configurações de alarme disparado 1 Clique no alarme disparado e depois no ícone Menu alarme. e selecione Editar 2 Na página Configurações de alarme, faça as alterações, depois clique em Concluir. Consulte também Adicionar um caso na página 319 Adicionar uma exibição personalizada As exibições personalizadas incluem componentes que permitem a exibição das informações desejadas. 286 McAfee Enterprise Security Manager Guia de produto

287 Trabalho com eventos Trabalhar com exibições do ESM 7 1 Na barra de ferramentas de exibição, clique no ícone Criar nova exibição e, em seguida, clique e arraste um componente da Barra de ferramentas Exibir edição (consulte Exibir componentes). 2 No Assistente de consulta, selecione as opções desejadas para que a exibição gere os dados que você deseja exibir (consulte Trabalhar com o Assistente de consulta) e clique em Finalizar. Os dados são exibidos no componente adicionado. 3 Siga um destes procedimentos: Para... Mover o componente Exibir nomes de host em vez de endereços IP, por padrão Personalizar o componente Adicionar mais componentes à exibição Salvar a exibição Faça isto... Clique na barra de título do componente, arraste e solte. Clique no ícone Mostrar nomes de host na barra de ferramentas de um componente que exibe endereços IP (consulte Gerenciamento de nomes de host). Clique no componente e faça as alterações nas configurações no painel Propriedades (consulte Personalização de componentes). 1 Clique e arraste um componente. 2 No Assistente de consulta, selecione as opções desejadas para que a exibição gere os dados que você deseja exibir e, em seguida, clique em Finalizar. 1 Clique em Salvar ou Salvar como e digite um nome para a exibição. 2 Clique em OK. Para salvá-la em uma pasta existente, selecione a pasta. Copiar e colar um componente Excluir um componente Sair do editor de exibição sem salvar a exibição 1 Clique no componente que deseja copiar. 2 Clique em Copiar e em Colar. Selecione o componente e clique em Excluir. Exclua todos os componentes e feche a barra de ferramentas Exibir edição. Exibir componentes Crie exibições personalizadas para exibir dados de eventos, fluxos, ativos e vulnerabilidades da forma que for mais útil para você. Cada exibição consiste em componentes selecionados na Barra de ferramentas Exibir edição e configurados para exibir os dados. Quando um componente é selecionado, o Assistente de consulta é aberto, permitindo que você defina os detalhes a respeito dos dados exibidos no componente. McAfee Enterprise Security Manager Guia de produto 287

288 7 Trabalho com eventos Trabalhar com exibições do ESM Descrição dos componentes de exibição Há 13 componentes diferentes que podem ser adicionados a uma exibição personalizada. É possível usá-los para configurar a exibição para mostrar dados no melhor formato. Componente Discagem controlada Descrição Mostra os dados de forma simples. É dinâmico e pode ser vinculado a outros componentes no console. Atualiza conforme você interagem com o console ESM. Gráfico de origem e destino Cada discagem inclui um indicador de linha de base ( ). Os gradientes na borda de fora do discador ficam vermelhos acima do indicador da linha de base. Como alternativa, todo o discador pode mudar de cor para representar um comportamento incomum: ficar amarelo quando dentro de um determinado limite de uma linha de base ou vermelho quando o limite for excedido. A opção Taxa permite que você ajuste a taxa dos dados que está exibindo. Por exemplo, se estiver observando Dia atual e Total de eventos e alterar a taxa para hora, você verá o número de eventos por hora do dia determinado. Essa opção fica desativada se a consulta que você está exibindo já tiver entrado em uma média, como Gravidade média ou Média de bytes. Exibe a visão geral de atividades para o evento ou para os endereços IP de fluxo. A opção de evento permite que você especifique endereços IP e exiba todos os ataques executados em determinados endereços IP, assim como exibir todos os ataques que os endereços IP especificados executaram nos outros. A opção de fluxo permite que você especifique endereços IP e exiba os endereços IP conectados a eles, assim como que exiba as conexões que os endereços IP realizaram. Este gráfico inclui um campo aberto na parte inferior do componente que permite que você exiba os eventos de origem e de destino ou os fluxos de um endereço IP específico. Digite o endereço no campo ou selecione um que você usou anteriormente e clique no ícone Atualizar. Gráfico de pizza Tabela Gráfico de barras Lista Distribuição Área de notas Contagem Exibe as informações consultadas em um gráfico de pizza. É útil quando você tem menos categorias a exibir (por exemplo, uma consulta de ação ou de protocolo). Exibe as informações de consulta em várias colunas. Este componente é útil para mostrar eventos e dados de fluxo com a melhor granularidade. Exibe as informações consultadas em um gráfico de barras, permitindo que você compare o tamanho de cada resultado em um determinado intervalo de tempo. Exibe os dados de consulta selecionados em um formato de lista. Este componente é útil quando você deseja exibir uma lista mais detalhada de itens em um espaço menor. Mostra uma distribuição de eventos e fluxos ao longo de determinado período. Você pode definir intervalos para observar períodos específicos para formar os dados. Um componente em branco que é usado para notas de texto. Permite que você escreva notas relacionadas à exibição atual. Exibe o total de eventos, ativos, vulnerabilidades ou fluxos consultados em uma exibição específica. 288 McAfee Enterprise Security Manager Guia de produto

289 Trabalho com eventos Trabalhar com exibições do ESM 7 Componente Título Descrição Permite que você crie um título ou um cabeçalho para sua exibição. É possível posicioná-lo em qualquer lugar na exibição. Topologia de rede Mapa da localização geográfica Lista de filtros Permite exibir os dados representados em toda a rede. Também é possível construir uma exibição personalizada que pode ser usada lado a lado com os dados de descoberta de rede (consulte Adicionar dispositivos ao componente de topologia de rede). Mostra o destino e o local da origem dos alertas e dos fluxos em um mapa da localização geográfica. As opções desse componente permitem que você alterne entre marcar a cidade, o estado, o país e as áreas mundiais, aumente ou reduza o zoom e selecione locais usando as teclas Ctrl e Shift. Exibe uma lista de usuários e grupos em seu Active Directory. Depois que o componente Lista de filtros for adicionado, outros componentes poderão ser vinculados a ele, basta clicar na seta para baixo nos campos de filtro Usuário de origem ou Usuário de destino no Assistente de consulta e selecionar Ligar à lista do Active Directory. Você também pode exibir os dados de evento e de fluxo associados ao Active Directory clicando no ícone de menu. Personalização de componentes Ao adicionar ou editar um componente, diversas opções estão disponíveis no painel Propriedades que podem ser usadas para personalizá-lo. As opções disponíveis dependem do componente selecionado. Opção Título Largura e altura X e Y Editar consulta Mostrar barra de controles Tamanho da página Mostrar valor de outros Mostrar legenda Mostrar valores Mostrar rótulos Definição Altere o título de um componente. Defina as dimensões do componente. Você também pode clicar e arrastar a linha de limite. Defina a localização do componente na exibição. Você também pode clicar na barra de título do componente e arrastá-la e soltá-la. Faça alterações na consulta atual. Quando você clica nesse botão, o Assistente de consulta é aberto (consulte Trabalhar com o Assistente de consulta). Defina se a barra de controles na parte inferior do componente será exibida. Defina quantos recursos serão exibidos por página se houver mais dados do que pode ser exibido de uma vez só. Se essa opção for selecionada, um valor Outros será exibido na parte inferior de um gráfico ou de um componente de lista. Ele fornece o total de registros que não foram exibidos na página atual. Por exemplo, se você estiver olhando a página dois de um conjunto de registros, a categoria Outros é a soma dos valores da página um e de todas as páginas depois da página dois. Exiba uma legenda abaixo ou à direita de um gráfico de pizza. Inclua o valor de cada item em um gráfico de barras. Inclua um rótulo em cada barra em um gráfico de barras. Você pode definir o número máximo de caracteres que podem ser exibidos em um rótulo. Se estiver definido como 0, não haverá limite máximo do rótulo. McAfee Enterprise Security Manager Guia de produto 289

290 7 Trabalho com eventos Trabalhar com exibições do ESM Opção Mostrar médias de linha de base Definição Selecione se os dados atuais deverão ser comparados com dados históricos em um gráfico de barras ou de distribuição, ou em um controle de discagem. Há duas opções diferentes a serem usadas ao exibir dos dados de linha de base: Intervalo de tempo automático Se essa opção estiver selecionada, os dados de linha de base serão correlacionados pelo uso do mesmo período usado na consulta atual dos últimos cinco intervalos. Por exemplo, se estiver consultando o dia atual em uma segunda-feira, os dados da linha de base serão calculados para o mesmo tempo nas últimas cinco segundas-feiras. Intervalos menores serão usados se não houver dados em um determinado intervalo. Será calculada então uma média dos valores reunidos de cada intervalo para calcular o valor de linha de base atual. Usar intervalo de tempo específico A seleção desse intervalo de tempo permite que você especifique um horário de início e de fim que deverão ser usados para calcular uma média. Quando essa opção é usada, ela é calculada como um período único. Nos relatórios de distribuição, isso produz uma média de linha reta. Os dados da linha de base são exibidos em gráficos de distribuição com uma linha azul. A linha ficará reta se a opção Usar intervalo de tempo específico tiver sido selecionada ou se não houver dados suficientes para calcular um calor correlacionado. A linha ficará curvada (presumindo que valores diferentes para cada período sejam exibidos) se um valor correlacionado for calculado. O gráfico de barras exibe um indicador de será no ponto de linha de base para cada barra. Se o valor atual for maior do que o valor da linha de base, a barra ficará vermelha acima do marcador da linha de base. Se o gráfico de barras estiver exibindo a gravidade da regra, a cor da barra não muda para o valor de linha de base. Uma opção adicional permite que você defina um valor de margem a ser exibido com os dados de linha de base. O valor da margem é calculado pelo valor da linha de base. Por exemplo, se o valor da linha de base for 100 e a margem acima for de 20%, o valor da margem será calculado como 120. Quando esse recurso é ligado, a área da margem de cada barra é exibida em um gráfico de barras. Um gráfico de distribuição calcula o valor médio da linha de base e exibe uma área sombreada acima e abaixo da linha de base que indica a área da margem. Lista de dispositivos Agrupamentos de dispositivos lógicos Segundo plano Arraste e solte dispositivos para o componente Topologia de rede ou para a árvore Agrupamentos de dispositivos lógicos. Crie pastas para agrupar os dispositivos para o componente Topologia de rede. Selecione a cor do segundo plano de exibição. URL da imagem de plano de fundo permite importar uma imagem para usar como plano de fundo. Adicionar dispositivos ao componente de topologia de rede A topologia da rede permite obter dados de eventos e fluxos dos dispositivos ou da árvore de dispositivos, e exibir os dados representados na rede. Antes de iniciar É necessário descobrir a rede antes de a lista de dispositivos ser exibida (consulte Descoberta de rede). Você pode também criar uma exibição personalizada que possa ser usada com dados de descoberta de rede. Depois de criar uma exibição da topologia da rede, personalize-a para exibir informações sobre eventos ou fluxos (consulte Adicionar uma exibição personalizada). 290 McAfee Enterprise Security Manager Guia de produto

291 Trabalho com eventos Trabalhar com exibições do ESM 7 1 Ao adicionar ou editar uma exibição, clique no componente Topologia de rede de evento, arraste-o e solte-o. O painel Propriedades exibe a Lista de dispositivos e a árvore de Agrupamentos de dispositivos lógicos. 2 Na Lista de dispositivos ou Lista de pastas, selecione um dispositivo ou uma pasta e siga um destes procedimentos: Para adicionar o dispositivo ou pasta ao componente, arraste-o e solte-o no componente. Para adicionar o dispositivo ou pasta a um grupo na árvore Agrupamentos de dispositivos lógicos, clique em Adicionar, digite um nome para a pasta e clique em OK, em seguida, arraste e solte o dispositivo na pasta. 3 Organize os dispositivos. Dispositivos que estão fisicamente conectados ao sistema conectam-se a uma linha preta reta no componente. As linhas curvas azuis ou vermelhas indicam um caminho de dados. Detalhes do dispositivo nos componentes de Topologia de rede É possível exibir detalhes específicos do dispositivo em um componente de Topologia de rede clicando duas vezes em um dispositivo. Essa tela permite exibir informações de interface e de terminal tais como resumo de porta, total de dispositivos e status dos dispositivos. Opção Resumo de porta para Total Acima da média de linha de base Definição Mostra a porta que está sendo exibida no momento. Fornece o número total de dispositivos. Determina o número de dispositivos acima da média da linha de base atual Representa uma estação de trabalho. Indica que a interface possui dados de alerta associados, e que os dados estão abaixo da média da linha de base. Indica que a interface possui dados de alerta associados, e que os dados estão acima da média da linha de base. Indica que a interface não possui dados de alerta associados a ela. Indica que o estado administrativo está desativado (não somente no nível operacional). Representa um roteador. Indica que a porta do switch está ativada. McAfee Enterprise Security Manager Guia de produto 291

292 7 Trabalho com eventos Trabalhar com exibições do ESM Opção Definição Representa um dispositivo desconhecido. Representa um dispositivo não gerenciado. Indica que o ESM não pode se comunicar com o dispositivo por SNMP, descoberta de rede ou ping. Barra de ferramentas de componentes A barra de ferramentas de componentes, localizada na parte inferior de cada componente em uma exibição, oferece diversas ações que podem ser executadas nos dados do componente. As ações disponíveis dependem do tipo de componente. Opção Ícones de tipos de gráfico Definição Marcar evento(s) como revisado(s) Marque eventos específicos após revisá-los. Você pode usar a lista suspensa Alterar filtro de estado de evento para mostrar somente eventos revisados ou somente eventos que não foram revisados. Atribuir eventos a um caso ou ao Remedy Atribua eventos a um caso (consulte Gerenciar casos) ou envie uma mensagem de ao sistema Remedy (se estiver configurado). Ao clicar nesse ícone, você pode selecionar: Criar um novo caso Adicionar eventos a um caso Enviar evento ao Remedy (consulte Enviar um ao Remedy) Abrir URL do dispositivo Abra o URL associado ao evento selecionado, caso você tenha adicionado um ao dispositivo (consulte Adicionar um URL). Se não tiver definido um URL, você será solicitado a adicioná-lo. Mostrar ou Ocultar nomes de host Mostre ou oculte os nomes de host associados aos endereços IP na exibição (consulte Gerenciamento de nomes de host). Alterar tipo de gráfico Altere o tipo de gráfico que exibe os dados. O ícone para esse recurso será o ícone de componente para o tipo de gráfico atual. 292 McAfee Enterprise Security Manager Guia de produto

293 Trabalho com eventos Trabalhar com exibições do ESM 7 Opção Definição Exibir ou Ocultar detalhes de dados Mostre ou oculte os detalhes do evento selecionado. Essa seção contém várias guias: Detalhes: mostra as informações disponíveis sobre o evento ou fluxo selecionado. Detalhes avançados: mostra informações sobre o dispositivo de rede de origem, o dispositivo de rede de destino e Remedy. Você pode pesquisar por eventos ou fluxos por seus IDs, se tiver direitos suficientes para exibir esses registros, clicando no ícone de lupa à direita do campo ID do evento ou ID do fluxo. Localização geográfica: mostra a localização da origem e do destino do evento selecionado. Descrição: fornece o nome, a descrição e a assinatura ou regra associada ao evento. Notas: permite que você adicione notas ao evento ou fluxo, que serão exibidas sempre que você exibir esse item. Pacote: Recupera o conteúdo do pacote que gerou o evento selecionado. É possível executar as seguintes funções nesta guia: Selecione o formato para exibir o pacote. Recupere os dados do pacote clicando em. Salve o pacote em seu computador clicando em. Se o item se tratar de uma captura de pacote ou PCAP (como eventos do IPS do Nitro, eventos ADM, eventos Estreamer do Receptor), ele será salvo com uma extensão.pcap e poderá ser aberto em qualquer programa que exiba esse tipo de arquivo. Caso contrário, ele será salvo como um arquivo de texto. Configure-o para recuperar o pacote automaticamente ao clicar em um evento. Pesquise por informações no pacote inserindo a palavra-chave no campo Localizar texto e clicando em. Não use caracteres especiais, como colchetes ou parênteses, no campo Localizar texto. Eventos de origem: quando um evento de correlação ou vulnerabilidade é selecionado, essa opção exibe o conjunto de eventos que causou a geração desse evento. Arquivo do ELM: se você inserir texto no campo Localizar texto, essa opção recupera dados arquivados no ELM. Se o evento for agregado, um dispositivo do Receptor ou do ACE exibirá até 100 eventos agregados. Tipos personalizados: Se você definiu tipos personalizados (consulte Filtros de tipo personalizado), essa opção mostra McAfee Enterprise Security Manager Guia de produto 293

294 7 Trabalho com eventos Trabalhar com exibições do ESM Opção Definição os campos de tipo personalizado e os dados do evento que pertencem aos campos. Informações: mostra informações como o nome do dispositivo, o endereço IP, o sistema operacional, a versão do dispositivo, a descrição do sistema, o contato do sistema e a localização física do sistema. Interfaces: mostra o nome da porta, a velocidade da porta, a VLAN, o estado administrativo e o estado operacional. Vizinhos: mostra informações específicas sobre os dispositivos vizinhos, como a interface local, o dispositivo vizinho e a interface vizinha. Alterar período e velocidade do intervalo Defina com que frequência os dados do gráfico serão atualizados. Definir velocidade Selecione a velocidade na qual os dados serão exibidos (nenhuma, por segundo, por minuto, por hora, por dia, por semana, por mês). Endereço IP Exiba os eventos ou fluxos de origem e de destino referentes a um endereço IP específico. Digite o endereço no campo ou selecione um endereço usado ou anteriormente e clique no ícone Atualizar. Opções de localização geográfica Alterne entre a marcação de áreas na cidade, no estado, no país e no mundo, aumente e reduza o zoom e selecione localizações com as teclas Ctrl e Shift. Alterar página Navegue pelos dados quando houver mais de uma página. Alterar filtro de estado de evento Selecione os tipos de eventos e fluxos a serem exibidos na lista de análise. Você pode exibir todos os eventos, somente eventos revisados, somente eventos não revisados, eventos reparados, todos os fluxos, somente fluxos abertos ou somente fluxos fechados. Botões do histórico Avance ou retroceda para ver as alterações realizadas na exibição. Exibir caminhos de dados ou Ocultar caminhos de dados Oculte ou exiba a linha que conecta dois dispositivos com conexões de dados de fluxo ou evento. Ocultar texto Oculte ou mostre os rótulos do dispositivo na exibição de Topologia de rede. Envie um de reparação Se você configurar um sistema de reparação, poderá enviar uma mensagem de para notificar o sistema de um evento que precise de reparação. Ao seguir esse processo, você recebe um número de caso da reparação para adicionar ao registro do evento. Um sistema de reparação é configurado pelo usuário e não tem ligação com o IPS do Nitro da McAfee. 294 McAfee Enterprise Security Manager Guia de produto

295 Trabalho com eventos Trabalhar com exibições do ESM 7 1 Em uma exibição de evento, realce o evento que requer uma ação corretiva. 2 Clique no ícone Atribuir eventos a um caso ou ao Remedy e em seguida selecione Enviar evento ao Remedy. 3 Adicione o Prefixo, a Palavra-chave e o ID de usuário do Enterprise. 4 (Opcional) Adicione informações em Detalhes, onde há informações geradas pelo sistema sobre o evento. 5 Clique em Enviar. Opções do menu de componentes A maioria dos componentes de uma exibição tem um menu componente. Essa tabela lista os possíveis itens. que lista as opções disponíveis do Opção Busca detalhada (Evento, Fluxo, Ativo) Resumir ou Resumir por Modificar configurações de agregação Ações Mostrar regra Criar nova lista de observação Anexar à lista de observação Criar novo alarme Executar varredura do MVM Iniciar o epo Histórico de execução do TIE Detalhes do endereço IP Pesquisa de ASN Procurar referência Definição Exiba mais detalhes para o tipo de dado selecionado nas listas de buscas detalhadas. Uma nova exibição mostra os detalhes. Exiba outro dado de evento ou fluxo que compartilhe as características dos eventos selecionados. Por exemplo, se você estiver observando um evento de varredura de portas na tela de análise e quiser ver outros eventos gerados pelo mesmo atacante, clique no evento, selecione Resumir por e clique em IP de origem. Crie uma exceção para as configurações gerais de agregação para uma regra individual (consulte Adicionar exceções às configurações de agregação de eventos). Selecione eventos em uma exibição e adicione-os a uma nova lista de observação (consulte Listas de observação). Selecione eventos em uma exibição e adicione-os a uma lista de observação existente. Selecione eventos em uma exibição e crie um alarme com base em seus valores (consulte Criar um alarme). Inicie uma varredura do McAfee Vulnerability Manager se o sistema incluir um dispositivo do McAfee Vulnerability Manager. Abra a interface do epolicy Orchestrator (consulte Iniciar o epolicy Orchestrator). Quando um evento do TIE for selecionado, abra a página Histórico de execução do TIE para exibir os endereços IP que tentaram executar o arquivo selecionado. Nessa página, você pode criar uma nova lista de observação, anexar um arquivo a uma lista de observação, criar um novo alarme, incluir um arquivo na lista negra, exportar um arquivo para CSV ou adicionar marcas do epolicy Orchestrator ao arquivo. Exiba a regra que gerou o evento. Pesquise informações sobre um endereço IP ou uma porta de origem ou destino. Você pode exibir detalhes de ameaças e os resultados da pesquisa WHOIS do endereço IP selecionado. Recupere um registro WHOIS usando o identificador ASN. Abra seu navegador da Web padrão e conecte-se ao banco de dados de assinaturas on-line McAfee, que fornece informações sobre a assinatura que gerou o evento selecionado. McAfee Enterprise Security Manager Guia de produto 295

296 7 Trabalho com eventos Trabalhar com exibições do ESM Opção Definir ID do caso Remedy Lista negra Pesquisar ELM Alterar VLAN Desativar ou ativar porta(s) Exibir eventos ou Exibir fluxos Exportar Excluir Marcar como revisado Criar regra de firewall personalizada Criar regra personalizada Definição Adicione o ID do caso Remedy, que você recebeu ao enviar um de evento para o sistema Remedy, ao registro de evento para referência futura (consulte Adicionar ID do caso Remedy ao registro de evento). Adicione o endereço IP do evento selecionado à lista negra. Quando essa opção é selecionada, o Editor de lista negra é aberto, cujo campo de endereço IP é preenchido com dados do evento selecionado (consulte Lista negra do IPS ou dispositivo virtual). Execute uma pesquisa de informações contidas no ELM sobre o evento selecionado. A página Pesquisa do ELM aprimorada é aberta e preenchida com os dados selecionados (consulte Executar uma pesquisa do ELM aprimorada). Altere a VLAN para qualquer dispositivo selecionado. Você pode selecionar de 1 a 12 dispositivos. Selecione um ou vários terminais ou interfaces. Dependendo do que for selecionado, a opção para ativar ou desativar será exibida. Por exemplo, se você selecionar cinco interfaces e uma delas estiver ativada e as outras quatro desativadas, somente será possível desativar a porta. No entanto, se você selecionar uma porta desativada, a opção Ativar porta(s) estará disponível. Exiba os eventos gerados por um fluxo ou os fluxos gerados por um evento. Exporte um componente da exibição em formato PDF, de texto, CSV ou HTML (consulte Exportar uma exibição). Exclua eventos ou fluxos do banco de dados. Você deve pertencer a um grupo com privilégios de evento e será possível excluir somente os registros atualmente selecionados, a página atual de dados ou um número máximo de páginas a partir da primeira. Marque eventos como revisados. Você pode marcar todos os registros no conjunto de resultados, na página atual ou nos registros selecionados. Crie uma regra de firewall personalizada com base nas propriedades do evento ou fluxo selecionado. Quando você clica em Criar regra de firewall personalizada, a página Nova regra é aberta (consulte Adicionar regras personalizadas de ADM, banco de dados ou correlação). Crie uma regra personalizada usando a assinatura que disparou um alerta específico como ponto inicial. Essa opção é disponibilizada quando você seleciona alertas gerados por regras padrão (não do firewall). Quando você clica em Criar regra personalizada, a página Nova regra é aberta (consulte Adicionar regras personalizadas de ADM, banco de dados ou correlação). Realizar uma pesquisa WHOIS ou ASN Você pode realizar uma pesquisa WHOIS em um componente de tabela para encontrar informações sobre um endereço IP de origem ou de destino. A Pesquisa de ASN, disponível em qualquer consulta ASN no gráfico de barras e em qualquer registro de fluxo em um componente de tabela que contenha dados ASN, recupera um registro WHOIS usando o identificador ASN. 1 Selecione um endereço IP ou registro de fluxo com dados ASN listados em um componente de tabela, ou em uma barra de consulta ASN de um componente de gráfico de barras. 2 Clique no menu e selecione Detalhes do endereço IP ou Pesquisa de ASN. 296 McAfee Enterprise Security Manager Guia de produto

297 Trabalho com eventos Trabalhar com exibições do ESM 7 3 Para pesquisar outro endereço IP ou identificador: Na página WHOIS, selecione um endereço IP na lista suspensa e insira o nome do host. Na página Pesquisa de ASN, digite os números ou selecione um na lista suspensa. Adicionar ID de caso do Remedy ao registro de evento Quando você envia um de evento ao sistema Remedy, recebe um número de ID de caso. É possível adicioná-lo ao registro de evento para fins de referência. 1 Realce o evento na exibição Análise de evento e clique no menu. 2 Selecione Definir ID do caso Remedy, digite o número e clique em OK. Exportar um componente Você pode exportar os dados em um componente de exibição do ESM. Os componentes de gráfico podem ser exportados nos formatos de texto ou PDF e os componentes de tabela em valores separados por vírgula (CSV) ou HTML. Na exportação da página atual de um gráfico, distribuição ou componente de tabela em uma exibição, os dados exportados coincidem exatamente com o que é visto ao iniciar a exportação. Se exportamos mais de uma página, a consulta será executada novamente de acordo com a exportação de dados, portanto, pode ser diferente do que você vê no componente. 1 Em uma exibição, clique no menu Exportar. do componente que deseja exportar e depois clique em 2 Selecione um dos seguintes formatos: Texto Exporte os dados no formato de texto. PDF Exporte os dados e uma imagem. Imagem para PDF Exporte somente a imagem. CSV Exporte uma lista em formato delimitado por vírgula. HTML Exporte os dados em uma tabela. 3 Na página Exportar, especifique os dados que você deseja exportar. Se tiver selecionado Texto ou PDF, você poderá exportar a página atual de dados ou um número máximo de páginas a partir da página 1. Se você tiver selecionado Imagem para PDF, a imagem será gerada. Se tiver selecionado CSV ou HTML, você poderá exportar somente os itens selecionados, somente a página atual de dados ou um número máximo de páginas, a partir da página 1. 4 Clique em OK O arquivo de exportação será gerado e você será solicitado a fazer download do arquivo resultante. McAfee Enterprise Security Manager Guia de produto 297

298 7 Trabalho com eventos Trabalhar com exibições do ESM Trabalhar com o Assistente de consulta Cada relatório ou exibição no ESM reúne dados com base nas configurações de consulta para cada componente. Ao adicionar ou editar uma exibição ou relatório, defina as configurações de consulta para cada componente no Assistente de consulta selecionando o tipo de consulta, a consulta, os campos a serem incluídos e os filtros a serem usados. Todas as consultas no sistema, tanto predefinidas quanto personalizadas, são listadas no assistente para que você possa selecionar os dados a serem reunidos pelo componente. Também é possível editar ou remover consultas e copiar uma consulta existente para usá-la como modelo para configuração de uma nova consulta. Gerenciar consultas O ESM vem com consultas predefinidas que você pode selecionar no Assistente de consulta ao adicionar ou editar um relatório ou exibição. É possível editar algumas das configurações dessas consultas, além de adicionar e remover consultas personalizadas. 1 Execute uma das seguintes ações para acessar o Assistente de consulta. Para... Adicionar uma nova exibição Editar uma exibição existente Faça isto... 1 Clique no ícone Criar nova exibição exibição. localizado na barra de ferramentas de 2 Arraste e solte um componente da Barra de ferramentas Exibir edição para exibir o painel. O assistente do Assistente de consulta é aberto. 1 Selecione a exibição que deseja editar. 2 Clique no ícone Editar exibição atual exibição. localizado na barra de ferramentas de 3 Clique no componente que deseja editar. 4 Clique em Editar consulta no painel Propriedades. O Assistente de consulta abrirá na segunda página. 298 McAfee Enterprise Security Manager Guia de produto

299 Trabalho com eventos Trabalhar com exibições do ESM 7 Para... Criar o layout de um novo relatório Faça isto... 1 Em Propriedades do sistema, clique em Relatórios. 2 Clique em Adicionar. 3 Na seção 5 da página Adicionar relatório clique em Adicionar. 4 Arraste e solte um componente na seção de layout do relatório. O assistente do Assistente de consulta é aberto. Editar o layout de um relatório existente 1 Em Propriedades do sistema, clique em Relatórios. 2 Selecione o relatório que deseja editar e clique em Editar. 3 Na seção 5 da página Editar relatório, selecione um layout existente e clique em Editar. 4 Clique no componente na seção de layout do relatório e clique em Editar consulta, na seção Propriedades. O Assistente de consulta é aberto na segunda página. 2 No Assistente de consulta, siga um destes procedimentos: Para fazer isto... Adicionar uma nova consulta Faça isto... 1 Selecione a consulta que deseja usar como modelo e clique em Copiar. 2 Digite o nome da nova consulta e clique em OK. 3 Na lista de consultas, clique naquela que acabou de adicionar e clique em Avançar. 4 Na segunda página do assistente, altere as configurações clicando nos botões. Editar uma consulta personalizada Remover uma consulta personalizada 1 Selecione a consulta personalizada que deseja editar e clique em Editar. 2 Na segunda página do assistente, altere as configurações clicando nos botões. Selecione a consulta personalizada que deseja remover e clique em Remover. 3 Clique em Finalizar. Vincular componentes Quando um componente de exibição é vinculado a outro componente usando o vínculo de dados, a exibição se torna interativa. Selecionar um ou mais itens no componente pai faz com que os resultados exibidos no componente filho sejam alterados, como se uma busca detalhada tivesse sido executada. Por exemplo, se você vincular um componente de IP de origem de gráfico de barras pai a um componente de IP de destino de gráfico de barras, fazer uma seleção no componente pai faz com que o componente filho execute sua consulta usando o IP de origem como filtro. Alterar a seleção no componente pai atualiza os dados do componente filho. O vínculo de dados só permite que um campo seja vinculado a outro. McAfee Enterprise Security Manager Guia de produto 299

300 7 Trabalho com eventos Trabalhar com exibições do ESM 1 Crie os componentes pai e filho e selecione o componente filho. 2 No painel Propriedades, clique em Editar consulta Filtros. A página Filtros de consulta é aberta com as consultas do pai e do filho ativadas. 3 Na lista suspensa da consulta filho, selecione Ligar a. 4 Clique em OK e em Finalizar. Comparação de valores Gráficos de distribuição apresentam uma opção que permite que você sobreponha uma variável adicional por cima do gráfico atual. Dessa maneira, é possível comparar dois valores facilmente para, por exemplo, mostrar as relações entre o total de eventos e a gravidade média. Esse recurso oferece valiosas comparações de dados ao longo do tempo em somente um instante. Esse recurso também é útil para poupar o espaço na tela ao criar grandes exibições, combinando os resultados em um único gráfico de distribuição. A comparação é limitada ao mesmo tipo da consulta selecionada. Por exemplo, se uma consulta de evento é selecionada, você poderá compará-la somente aos campos da tabela de eventos, não da tabela de fluxo ou ativos e vulnerabilidades. Quando você aplica os parâmetros de consulta ao gráfico de distribuição, sua consulta é executada normalmente. Se o campo de comparação estiver ativado, uma consulta secundária é executada para os dados ao mesmo tempo. O componente de distribuição exibe os dados para ambos os conjuntos de dados no mesmo gráfico, mas usa dois eixos verticais separados. Se você alterar o tipo de gráfico (canto inferior direito do componente), ambos os conjuntos continuarão a ser exibidos. Comparar valores de gráfico Você pode comparar os dados de um gráfico de distribuição com uma variável selecionada. 1 Selecione os ícones Criar nova exibição ou Editar exibição atual. 2 Clique no ícone Distribuição e arraste-o e solte-o na exibição para abrir o Assistente de consulta. 3 Selecione o tipo de consulta e a consulta e clique em Avançar. 4 Clique em Comparar e selecione o campo que você deseja comparar com a consulta selecionada. 5 Clique em OK e em Finalizar. 6 Mova o componente para o local correto da exibição e: Clique em Salvar se você estiver adicionando o componente a uma exibição existente. Clique em Salvar como e adicione o nome da exibição se você estiver criando uma nova exibição. 300 McAfee Enterprise Security Manager Guia de produto

301 Trabalho com eventos Trabalhar com exibições do ESM 7 Configurar distribuição empilhada para exibições e relatórios Configure o componente de distribuição em uma exibição ou em um relatório, para conseguir ver a distribuição dos eventos relacionadas a um campo específico. É possível selecionar o campo a ser empilhado quando o componente é adicionado a uma exibição ou a um relatório. Ao acessar a exibição, você poderá alterar as configurações, configurar o intervalo de tempo e definir o tipo de gráfico e os detalhes. Não é possível usar os recursos de Empilhamento e Comparação na mesma consulta. 1 Arraste e solte o componente de Distribuição em uma exibição (consulte Adicionar uma exibição personalizada) ou em um relatório (consulte Adicionar layout de relatório), e selecione o tipo de consulta. O empilhamento não está disponível para Taxa de coleta ou Média (por exemplo, consultas de distribuição de Gravidade média por alerta ou Duração média por fluxo). 2 Na segunda página do Assistente de consulta, clique em Empilhamento e selecione as opções. 3 Clique em OK na página Opções de empilhamento e em Finalizar no Assistente de consulta. A exibição é adicionada. É possível alterar as configurações e definir o intervalo de tempo e o tipo de gráfico clicando no ícone Opções de gráfico. Gerenciar exibições A opção Gerenciar exibições é um modo rápido de copiar, importar ou exportar mais de uma exibição por vez, bem como selecionar exibições para incluí-las na lista de exibições e atribuir permissão a usuários ou grupos específicos para que acessem exibições individuais. 1 No console do ESM clique no ícone Gerenciar exibições. 2 Execute uma das opções disponíveis e clique em OK. Verificar um evento Na exibição Análise de evento, é possível procurar eventos que correspondam a um ou mais campos do evento no período selecionado antes e após o evento. 1 No console do ESM, clique na lista de exibições e selecione Exibições de eventos Análise de evento. 2 Clique em um evento, clique no ícone do menu e em Verificar. McAfee Enterprise Security Manager Guia de produto 301

302 7 Trabalho com eventos Trabalhar com exibições do ESM 3 Selecione os minutos antes e depois da hora do evento para que o sistema procure uma correspondência. 4 Clique em Selecionar filtro, selecione o campo no qual será feita a correspondência da pesquisa e, em seguida, digite o valor. Os resultados são mostrados na exibição Resultados da verificação. Se você sair da exibição e desejar retornar para ela mais tarde, clique em Última verificação no menu Análise de evento. Exibir os detalhes do endereço IP de um evento Se você tiver uma licença do McAfee Global Threat Intelligence (McAfee GTI) da McAfee, você terá acesso à nova guia Detalhes da ameaça ao realizar a pesquisa Detalhes do endereço IP. Quando você seleciona essa opção, detalhes sobre o endereço IP são retornados, incluindo dados de localização geográfica e gravidade de riscos. Antes de iniciar Compre uma licença do McAfee GTI (consulte Lista de observação do McAfee GTI). Se a sua licença do McAfee GTI tiver expirado, entre em contato com o engenheiro de vendas da McAfee ou o Suporte da McAfee. 1 No console do ESM, selecione uma exibição que inclua um componente de tabela, como Exibições de eventos Análise de evento. 2 Clique em um endereço IP, no ícone do menu endereço IP e em Detalhes do endereço IP., em qualquer componente que tiver um A guia Detalhes da ameaça lista os dados do endereço IP selecionado. Você poderá copiar os dados para a área de transferência do sistema. A opção Detalhes do endereço IP substituiu a opção Pesquisa WHOIS no menu de contexto. No entanto, a página Detalhes do endereço IP inclui uma guia Pesquisa WHOIS que mostra essas informações. Alterar a exibição padrão A exibição Resumo padrão aparece no painel de exibição por padrão quando você efetuar logon no console do ESM pela primeira vez. Você pode alterar essa exibição padrão para qualquer uma das exibições padrão ou predefinidas no ESM. 1 Na barra de navegação do console ESM, clique em Opções e selecione Exibições. 2 Na lista suspensa Exibição do sistema padrão, selecione a nova exibição padrão e clique em OK. 302 McAfee Enterprise Security Manager Guia de produto

303 Trabalho com eventos Trabalhar com exibições do ESM 7 Filtragem de exibições No painel de filtros localizado no console principal do ESM, você pode configurar os filtros a serem aplicados nas exibições. Os filtros aplicados a uma exibição são transferidos para a exibição seguinte, que é aberta. Na primeira vez que você entrar no ESM, haverá estes campos de filtro no painel de filtros padrão: Usuário de origem, Usuário de destino, IP de origem e IP de destino. Você pode adicionar e excluir campos de filtro, salvar conjuntos de filtro, alterar o conjunto padrão, gerenciar todos os filtros e iniciar o gerenciador de normalização de cadeias. Um ícone de funil laranja aparece no canto superior direito do painel de exibição para alertá-lo quando os filtros forem aplicados à exibição. Se você clicar no ícone laranja, todos os filtros serão limpos e a consulta será executada novamente. Em qualquer lugar que haja valores de filtro separados por vírgula, como variáveis, filtros globais, filtros locais, cadeias normalizadas ou filtros de relatório, use aspas caso eles não façam parte de uma lista de observação. Se o valor for Santos,João, digite "Santos,João". Se houver aspas no valor, será necessário colocar as aspas entre aspas. Se o valor for Santos,"Menino"João, insira-o como "Santos,""Menino""João". É possível usar os filtros contains e regex (consulte Descrição dos filtros contains e regex). Filtrar uma exibição Os filtros ajudam a exibir detalhes dos itens selecionados em uma exibição. Se você inserir filtros e atualizar a exibição, os dados refletirão os filtros adicionados. 1 No console do ESM, clique na lista suspensa de exibições e selecione a exibição que deseja filtrar. 2 No painel Filtro, preencha os campos com os dados que deseja filtrar de uma destas formas: Digite as informações do filtro no campo apropriado. Por exemplo, para filtrar a exibição atual e ver somente os dados que tenham o endereço IP de origem , digite esse endereço no campo IP de origem. Digite um filtro contains ou regex (consulte Descrição dos filtros contains e regex). Clique no ícone Exibir lista de filtros ao lado do campo e selecione as variáveis ou as listas de observação para filtrar. Na exibição, selecione os dados que deseja usar como filtro e clique no campo do painel Filtro. Se o campo estiver em branco, ele será automaticamente preenchido com os dados selecionados. Para Gravidade média, use dois-pontos (:) para inserir um intervalo. Por exemplo, 60:80 é um intervalo de gravidade de 60 a Siga um destes procedimentos: McAfee Enterprise Security Manager Guia de produto 303

304 7 Trabalho com eventos Trabalhar com exibições do ESM Para... Exibir dados que correspondam a mais de um filtro Exibir dados que correspondam a alguns valores de filtro e excluam outros Faça isto... Insira os valores em cada campo. 1 Insira os valores de filtro que deseja incluir e excluir. 2 Clique no ícone NÃO ao lado dos campos que deseja excluir. Exibir dados que correspondam a filtros regulares e OR 1 Insira os valores de filtro nos campos regulares e OR. 2 Clique no ícone OR ao lado dos campos que têm os valores OR. A exibição inclui os dados que correspondem aos valores dos campos não marcados com OR e que correspondem a qualquer um dos valores dos campos marcados com OR. Pelo menos dois campos precisam estar marcados com OR para que o filtro funcione. Fazer com que os valores de filtro não diferenciem maiúsculas de minúsculas Clique no ícone Não diferenciar maiúsculas de minúsculas campo de filtro apropriado. ao lado do Substituir as cadeias normalizadas pelos respectivos aliases Clique no ícone de normalização de cadeia campo de filtro apropriado. ao lado do 4 Clique no ícone Executar consulta. A exibição será atualizada e os registros correspondentes aos valores inseridos serão exibidos. Um ícone de filtro laranja aparece no canto superior direito do painel de exibição, indicando que os dados da exibição são um resultado dos filtros. Se você clicar no ícone, os filtros serão limpos e a exibição mostrará todos os dados. Painel Filtros O painel de filtros fornece opções para ajudá-lo a definir filtros para as exibições. Ícone Significado Descrição Dicas Iniciar o gerenciador de normalização de cadeia Executar consulta Exiba uma dica de ferramenta ao clicar em um campo de filtro. Filtre uma cadeia e os respectivos aliases (consulte Normalização de cadeia). Aplique os filtros atuais à exibição. Clique nesse ícone quando você alterar um valor de filtro e desejar aplicá-lo à exibição atual. Limpar tudo Limpe todos os filtros do painel de filtros. 304 McAfee Enterprise Security Manager Guia de produto

305 Trabalho com eventos Trabalhar com exibições do ESM 7 Ícone Significado Descrição Opções de conjuntos de filtros Selecione uma ação a tomar com os conjuntos de filtros. Tornar padrão Salva os valores de filtro inseridos como padrão. Esses filtros são aplicados automaticamente quando você entra. Restaurar padrão Reverte os filtros aos valores padrão para que você possa executar a consulta no conjunto de filtros padrão. Salvar filtros preenchidos Salva o conjunto de filtros atual e adiciona-o à lista de filtros disponíveis, em que você seleciona ao adicionar um filtro. Digite um nome para o conjunto e selecione a pasta em que você deseja salvar o conjunto. Gerenciar filtros Abre a página Gerenciando conjuntos de filtros, em que você organiza os conjuntos de filtros disponíveis. Exibir lista de filtros NÃO OU Selecione um campo de filtro ou conjunto de filtros pelo qual filtrar a exibição. Quando se clica no campo, um menu suspenso lista todos os possíveis filtros e conjuntos de filtros. Selecione as variáveis ou listas de observação para filtrar. Para exibir dados que coincidam com alguns valores de filtro e excluir outros, clique ao lado dos campos que você deseja excluir. Para exibir dados que coincidam com filtros OU e regulares, clique nesse ícone ao lado dos campos que têm os valores OU. A exibição inclui os dados que coincidem com os valores dos campos não marcados com OU e que coincidam com qualquer um dos valores dos campos marcados com OU. Pelo menos dois campos precisam estar marcados com OU para que esse filtro funcione. Não diferencia maiúsculas de minúsculas Normalização de cadeia Exibir filtros de conjunto Substituir valor Remover este filtro Para fazer com que os valores de filtro não diferenciem maiúsculas de minúsculas, clique nesse ícone. Clique para substituir as cadeias normalizadas pelos respectivos aliases. Clique para exibir uma lista dos filtros incluídos em um conjunto. Clique para substituir o valor atual pelo valor que está no conjunto de valores. Clique para remover o campo do filtro dos filtros atuais. Adicionar filtros de ID de evento do UCF e Windows Um dos desafios da compatibilidade com a conformidade normativa é a característica inerente às normas, que estão sempre em constante mudança. A Unified Compliance Framework (UCF) é uma organização que mapeia as especificidades de cada regulamento com IDs de controle harmonizadas. À medida que as normas mudam, essas IDs são atualizadas e enviadas por push ao ESM. Você pode filtrar por ID de conformidade para selecionar a conformidade necessária ou subcomponentes específicos, ou por IDs de evento do Windows. McAfee Enterprise Security Manager Guia de produto 305

306 7 Trabalho com eventos Trabalhar com exibições do ESM Para... Adicionar filtros UCF Faça isto... 1 No painel Filtros, clique no ícone de filtro ao lado do campo ID de conformidade. 2 Selecione os valores de conformidade que deseja usar como filtros e clique em OK Executar consulta. Adicionar filtros de ID de evento do Windows 1 Clique no ícone de filtro ao lado do ID de assinatura. 2 Em Filtrar variáveis, selecione a guia Windows. 3 Digite os IDs de evento do Windows (separados por vírgula) no campo de texto ou selecione os valores que deseja filtrar na lista. Selecionar IDs normalizados Quando você cria uma nova exibição ou adiciona um filtro a uma exibição, pode optar por filtrar os dados usando IDs normalizados. 1 No console do ESM, realize uma destas ações: Se você estiver criando uma nova exibição, clique em Filtros na segunda página do Assistente de consulta (consulte Definir configurações do componente de exibição ou relatório). Se você estiver adicionando filtros a uma exibição, selecione a exibição à qual deseja adicioná-los. O painel Filtros fica à direita da tela. 2 Localize o campo ID normalizado, depois clique no ícone Filtros. 3 Selecione os IDs, depois clique em OK. Os números de ID selecionados são adicionados ao campo ID normalizado. Listas de observação Uma lista de observação é um agrupamento de um tipo específico de informação que pode ser usado como um filtro ou como uma condição de alarme. Ela pode ser global ou específica de um usuário ou grupo, e pode ser estática ou dinâmica. Uma lista de observação estática consiste em valores específicos que são inseridos ou importados. Uma lista de observação dinâmica consiste em valores que resultam de critérios de pesquisa de expressão regular ou cadeia definidos por você. Uma lista de observação pode incluir no máximo valores. A lista de valores nas páginas Adicionar lista de observação ou Editar lista de observação pode exibir até valores. Se houver mais, você será informado de que há muitos valores a serem exibidos. Caso deseje editar uma lista de observação adicionando valores que aumentem o número total para mais de , você deverá exportar a lista existente para um arquivo local, adicionar os novos valores e depois importar a nova lista. É possível configurar os valores em uma lista de observação para que eles expirem. Cada valor tem um carimbo de data/hora e expira quando a duração especificada é atingida, a menos que seja atualizado. Os valores são atualizados se um alarme disparar, adicionando-o à lista de observação. Você pode atualizar os valores configurados para expirar anexando-os à lista com a opção Anexar à lista de observação no menu de um componente de exibição (consulte Opções do menu de componentes). 306 McAfee Enterprise Security Manager Guia de produto

307 Trabalho com eventos Trabalhar com exibições do ESM 7 O ESM fornece um conector para a origem de dados relacionais em Hadoop HBase, usando os pares de chave-valor da origem. É possível usar esses dados em uma lista de observação (consulte Adicionar lista de observação de Hadoop HBase). Por exemplo, é possível alimentá-los em alarmes que são disparados quando os valores na lista de observação são encontrados em novos eventos. Adicionar uma lista de observação Adicione uma lista de observação ao ESM para que você possa usá-la como filtro em uma condição de alarme. 1 Acesse a página Listas de observação de uma destas formas: No console do ESM, clique no ícone de início rápido Listas de observação. Na árvore de navegação do sistema, clique em Propriedades do sistema e em Listas de observação. A tabela Listas de observação mostra todas as listas de observação do sistema. Os IPs maliciosos do GTI e os IPs suspeitos do GTI aparecem na tabela, mas não contêm dados, a menos que você tenha comprado uma licença do McAfee GTI da McAfee. Entre em contato com o Engenheiro de vendas da McAfee ou com o suporte da McAfee para comprar uma licença. 2 Clique em Adicionar e preencha as informações solicitadas. 3 Clique em OK para adicionar a nova lista de observação à tabela de Listas de observação. Consulte também Lista de observação do McAfee GTI na página 307 Lista de observação do McAfee GTI As listas de observação do McAfee GTI contêm mais de 130 milhões de endereços IP suspeitos e maliciosos e suas gravidades, reunidos pela McAfee. Essas listas de observação podem ser usadas para disparar alarmes, para filtrar dados em relatórios e exibições, como um filtro para correlação de regras e como uma origem de pontuação para um Gerenciador de correlação de riscos em um ACE. Para adicionar os dados das listas ao seu sistema, você deve comprar uma licença do McAfee GTI da McAfee. Depois que você fizer isso, as listas serão adicionadas ao seu sistema na próxima vez que você fizer download de regras. Esse processo pode demorar várias horas devido ao tamanho do banco de dados. É necessário ter conexão com a Internet para fazer download das listas. Não é possível fazer download delas off-line. Essas listas não podem ser exibidas ou editadas, mas a tabela Listas de observação (Propriedades do sistema Listas de observação ) indica se a lista está ativa (contém valores) ou inativa (não contém valores). Para comprar a licença do McAfee GTI, entre em contato com o seu engenheiro de vendas da McAfee ou com o Suporte da McAfee. Criar uma lista de observação de ameaça ou feeds do IOC da Internet É possível criar uma lista de observação que possa ser atualizada periodicamente para efetuar pull de ameaça ou feeds de indicadores de comprometimento (IOC) automaticamente da Internet. Nessa lista de observação, você poderá visualizar os dados a serem recuperados pela solicitação HTTP, bem como adicionar expressões regulares para filtrar esses dados. McAfee Enterprise Security Manager Guia de produto 307

308 7 Trabalho com eventos Trabalhar com exibições do ESM 1 Na árvore de navegação do sistema, clique no sistema e no ícone Propriedades. 2 Clique em Listas de observação e em Adicionar. 3 Preencha a guia Principal selecionando Dinâmica. 4 Clique na guia Origem e selecione HTTP/HTTPS no campo Tipo. 5 Preencha com as informações solicitadas nas guias Origem, Análise e Valores. O campo Dados brutos, na guia Análise, é preenchido com as primeiras 200 linhas do código-fonte html. Trata-se apenas de uma visualização do site, mas é suficiente para gravar uma expressão regular correspondente. Uma atualização Executar agora ou agendada da lista de observação inclui todas as correspondências da pesquisa de expressão regular. Esse recurso aceita expressões regulares com sintaxe RE2, como (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) para que coincidam com um endereço IP. Adicionar uma lista de observação Hadoop HBase Adicione uma lista de observação usando Hadoop HBase como origem. 1 Na árvore de navegação do sistema, selecione o sistema, clique no ícone Propriedades de observação. e em Listas 2 Na guia Principal do assistente Adicionar lista de observação, selecione Dinâmica, insira as informações solicitadas e clique na guia Origem. 3 Selecione Hadoop HBase (REST) no campo Tipos e digite o nome do host, a porta e o nome da tabela. 4 Na guia Consulta, preencha a coluna de pesquisa e as informações de consulta: a Formate a Coluna de pesquisa como columnfamily:columnname b Preencha a consulta com um filtro de mecanismo de varredura, no qual os valores são codificados por Base64. Por exemplo: <Scanner batch="1024"> <filter> { "type": "SingleColumnValueFilter", "op": "EQUAL", "family": " ZW1wbG95ZWVJbmZv", "qualifier": "dxnlcm5hbwu=", "latestversion": true, "comparator": { "type": "BinaryComparator", "value": "c2nhcgvnb2f0" } } </filter> </Scanner> 5 Clique na guia Valores, selecione o tipo de valor e clique no botão Executar agora. 308 McAfee Enterprise Security Manager Guia de produto

309 Trabalho com eventos Tipo de filtros personalizados 7 Normalização de cadeia Use a normalização de cadeia para configurar um valor que pode ser associado a valores de alias e para importar ou exportar um arquivo.csv de valores de normalização de cadeia. Isso permite que você filtre a cadeia e seus aliases selecionando o ícone de normalização de cadeia ao lado do campo apropriado no painel Filtro. No caso da cadeia com o nome do usuário João Silva, você definirá um arquivo de normalização de cadeia em que a cadeia principal será João Silva e seus aliases serão, por exemplo, SilvaJoao, JSilva, joao.silva@gmail.com e JoaoS. Em seguida, você pode digitar João Silva no campo de filtro User_Nickname, selecionar o ícone do filtro de normalização de cadeia ao lado do campo e atualizar a consulta. A exibição resultante mostrará todos os eventos associados a João Silva e seus aliases, permitindo que você verifique se há inconsistências de login em que os IPs de origem correspondem, mas os nomes de usuário não. Esse recurso também pode ajudá-lo a atender a normas que exijam o relatório das atividades dos usuários com privilégios. Gerenciar arquivos de normalização de cadeia Antes de usar um arquivo de normalização de cadeia, você deve adicioná-lo ao ESM. 1 No painel Filtros, clique no ícone Iniciar o Gerenciador de normalização de cadeia de caracteres. 2 Execute uma das ações disponíveis e clique em Fechar. Criar um arquivo de normalização de cadeia para importar Se você criar um arquivo.csv de aliases, será possível importá-lo na página Normalização de cadeia para que seja usado como um filtro. 1 Em um programa de texto ou de planilha, digite os aliases usando este formato: comando, cadeia principal, alias Os comandos possíveis são add, modify e delete. 2 Salve-o como um arquivo.csv e importe o arquivo. Tipo de filtros personalizados Os campos de tipo personalizado podem ser usados como filtros em exibições e relatórios. Também podem ser usados para criar regras personalizadas, definir e acessar os dados que são mais relevantes para você. Os dados gerados por esses campos de tipo personalizado podem ser exibidos na seção Detalhes das exibições Análise de evento ou Análise do fluxo. É possível adicionar, editar ou remover tipos personalizados, bem como exportá-los e importá-los. Use a página Editar para alterar o nome. Se for um tipo de dado personalizado, também será possível alterar as configurações do subtipo. McAfee Enterprise Security Manager Guia de produto 309

310 7 Trabalho com eventos Tipo de filtros personalizados Exportar ou importar tipos personalizados Quando você exporta tipos personalizados, todos são exportados para o local selecionado por você. Quando você importa um arquivo de tipos personalizados, os dados importados substituem os tipos personalizados atuais no sistema. Consultas personalizadas Durante a configuração de uma consulta personalizada para uma exibição, os tipos personalizados predefinidos são exibidos como opções quando você seleciona os campos da consulta. Se você adicionar um tipo personalizado como campo na consulta, ele agirá como um filtro. Se as informações consultadas não tiverem dados para o tipo personalizado, a tabela de consulta não retornará resultados. Para evitar isso, selecione o campo de usuário (Campo personalizado 1 até 10 na coluna Campo de evento da tabela) que retorna os resultados necessários em vez de usar o tipo personalizado. Por exemplo, digamos que você deseje que os resultados da consulta incluam os dados do usuário de origem, se houver. Se você selecionar Usuário de origem como um campo de consulta, ele agirá como um filtro e, se as informações que você consultar não tiverem dados de usuário de origem, a consulta não retornará resultados. No entanto, se você selecionar Campo de usuário 7, que está designado como o campo de usuário para o usuário de origem, ele não agirá como filtro e aparecerá como uma coluna na tabela de resultados. Se houver dados de usuário de origem, eles aparecerão nessa coluna. Se não houver dados para o campo, a coluna Campo de usuário 7 ficará em branco, mas outras colunas serão preenchidas. Tipo de dados personalizados Quando você seleciona Personalizado no campo Tipo de dados, pode definir o significado de cada campo em um log de vários campos. Por exemplo, o log a seguir ( ) contém três campos (100, , 1). O subtipo personalizado permite que você especifique do que se trata cada um desses campos (inteiro, decimal, booliano). Por exemplo: Log inicial Subtipos Integer decimal boolean Subtipo personalizado Os subtipos podem incluir no máximo 8 bytes (64 bits) de dados. Uso do espaço exibe o número de bytes e bits usados. Quando o máximo é excedido, esse campo declara, em vermelho, que o espaço foi excedido. Por exemplo: Uso de espaço: 9 de 8 bytes, 72 de 64 bits. Tipo personalizado de nome/valor Se você selecionar o tipo de dados Grupo de nomes/valores, poderá adicionar um tipo personalizado que inclui um grupo de pares de nomes/valores especificados. É possível então filtrar exibições e consultas de acordo com esses pares e usá-los em alarmes de correspondência de campo. Estas são algumas características do recurso: É necessário filtrar os campos de grupos de nomes/valores usando uma expressão regular. É possível correlacionar os pares para que eles possam ser selecionados no Editor de regra de correlação. Os valores que fizerem parte do par somente poderão ser coletados com o ASP (Advanced Syslog Pareser). 310 McAfee Enterprise Security Manager Guia de produto

311 Trabalho com eventos Tipo de filtros personalizados 7 O tamanho máximo para o tipo personalizado é 512 caracteres, que inclui os nomes. Se ele for maior do que isso, os valores serão interceptados quando coletados. A McAfee recomenda limitar o tamanho e o número de nomes. Os nomes devem consistir em mais de dois caracteres. O tipo personalizado de nome/valor pode ter até 50 nomes. Cada nome no grupo de nomes/valores é exibido no filtro global como <nome do grupo> - <nome>. Formato de expressão regular para tipos personalizados não indexados Siga esta formatação para tipos personalizados de cadeia indexada e não indexada, cadeia aleatória e cadeia com hash: É possível usar a sintaxe contains(<expressão regular>) ou simplesmente digitar um valor nos campos da cadeia não indexada aleatória ou da cadeia com hash, e então filtrar os tipos personalizados. É possível usar a sintaxe regex(). Com contains(), se você colocar um filtro separado por vírgula em um campo de tipo personalizado não indexado (Tom,João,Estevão), o sistema executará uma expressão regular. A vírgula e o asterisco funcionam como uma barra ( ) e um ponto seguido pelo asterisco (.*) em um campo de contains ou de cadeia não indexada aleatória ou de cadeia com hash. Se você digitar um caractere como um asterisco (*), ele será substituído por um ponto seguido pelo asterisco (.*). Uma expressão regular inválida ou a ausência de um parêntese de fechamento ou abertura pode gerar um erro que informará sobre a presença de expressão regular incorreta. É possível usar um único regex() ou contains() em campos de filtros de tipos personalizados de cadeia não indexada e indexada, cadeia aleatória e cadeia com hash. O ID de assinatura aceita contains(<em toda a mensagem de regra ou parte dela>) e regex(<em parte da mensagem de regra>). Um filtro de pesquisa comum para contains é um valor único, e não um valor único com um.* antes e depois. Estes são alguns filtros de pesquisa comuns: Um valor único Vários valores separados por vírgulas, que são convertidos em uma expressão regular Uma declaração contains com um * que funciona como.* Expressões regulares avançadas, nas quais é possível usar a sintaxe de regex() Consulte Descrição dos filtros contains e regex. Criar tipos personalizados Adicione tipos personalizados para usar como filtros se você tiver privilégios de administrador. McAfee Enterprise Security Manager Guia de produto 311

312 7 Trabalho com eventos Tipo de filtros personalizados 1 Na árvore de navegação do sistema, selecione Propriedades do sistema e clique em Tipos personalizados. 2 Clique em Adicionar e preencha as informações necessárias. 3 Clique em OK para salvar o tipo personalizado. Tabela de tipos personalizados predefinidos Se tiver privilégios de administrador, você poderá exibir uma lista dos tipos personalizados predefinidos na tabela de tipos personalizados (Propriedades do sistema Tipos personalizados). Se não tiver privilégios de administrador, use esta lista de tipos personalizados predefinidos. Nome Tipo de dados Campo Evento Campo Fluxo Application (aplicativo) Cadeia Campo personalizado - 1 Application_Layer (Camada do aplicativo) Application_Protocol (Protocolo do aplicativo) Authoritative_Answer (Resposta oficial) Nenhum ID de assinatura Nenhum Campo personalizado - 4 Cadeia Cadeia Campo personalizado - 1 Campo personalizado - 10 Bcc (Cópia oculta) Cadeia Campo personalizado - 9 Cc (Com cópia) Cadeia Campo personalizado - 8 Client_Version (Versão do cliente) Cadeia Campo personalizado - 9 Command (Comando) Cadeia Campo personalizado - 2 Confidence (Confiança) Inteiro não assinado Campo personalizado - 8 Contact_Name (Nome do contato) Cadeia Campo personalizado - 6 Contact_Nickname (Apelido do contato) Cadeia Campo personalizado - 8 Cookie (Cookie) Cadeia Campo personalizado - 9 Database_Name (Nome do banco de dados) Destination User (Usuário de destino) Destination_Filename (Nome do arquivo de destino) Cadeia Cadeia Cadeia Campo personalizado - 8 Campo personalizado - 6 Campo personalizado - 9 Direction (Direção) Cadeia Campo personalizado - 10 DNS_Class (Classe de DNS) Cadeia Campo personalizado - 8 DNS_Name (Nome de DNS) Cadeia Campo personalizado - 5 Nenhum Nenhum Nenhum Nenhum Nenhum Nenhum Nenhum Nenhum Nenhum Nenhum Nenhum Campo personalizado - 1 Nenhum Nenhum Nenhum Nenhum 312 McAfee Enterprise Security Manager Guia de produto

313 Trabalho com eventos Tipo de filtros personalizados 7 Nome Tipo de dados Campo Evento Campo Fluxo DNS_Type (Tipo de DNS) Cadeia Campo personalizado - 6 Domain (Domínio) Cadeia Campo personalizado - 3 End_Page (Página final) File_Operation (Operação de arquivo) File_Operation_Succeeded (Operação de arquivo bem-sucedida) Inteiro não assinado Cadeia Cadeia Campo personalizado - 9 Campo personalizado - 5 Campo personalizado - 6 Filename (Nome do arquivo) Cadeia Campo personalizado - 3 Flow_Flags (Sinalizadores de fluxo) Inteiro não assinado Nenhum From (de) Cadeia Campo personalizado - 5 Hops (Saltos) Inteiro não assinado Campo personalizado - 8 Host (Host) Cadeia Campo personalizado - 4 Nenhum Nenhum Nenhum Nenhum Nenhum Nenhum Campo personalizado - 1 Nenhum Nenhum Nenhum HTTP_Layer (Camada HTTP) ID de assinatura Nenhum Campo personalizado - 5 HTTP_Req_Cookie (Cookie de solic. HTPP) HTTP_Req_Host (Host de solic. HTTP) HTTP_Req_Method (Método de solic. HTTP) HTTP_Req_Reference (Referência de solic. HTTP) Cadeia Nenhum Campo personalizado - 3 Cadeia Nenhum Campo personalizado - 5 Cadeia Nenhum Campo personalizado - 6 Cadeia Nenhum Campo personalizado - 4 HTTP_Req_URL (URL de solic. HTTP) Cadeia Nenhum Campo personalizado - 2 HTTP_Resp_Length (Tamanho da resp. HTTP) HTTP_Resp_Status (Status da resp. HTTP) HTTP_Resp_TTFB (TTFB da resp. HTTP) HTTP_Resp_TTLB (TTLB da resp. HTTP) HTTP_User_Agent (Agente de usuário HTTP) Inteiro não assinado Inteiro não assinado Inteiro não assinado Inteiro não assinado Nenhum Nenhum Nenhum Nenhum Campo personalizado - 5 Campo personalizado - 4 Campo personalizado - 6 Campo personalizado - 7 Cadeia Nenhum Campo personalizado - 7 Interface (Interface) Cadeia Campo personalizado - 8 Job_Name (Nome do trabalho) Cadeia Campo personalizado - 5 Language (Idioma) Cadeia Campo personalizado - 10 Nenhum Nenhum Nenhum McAfee Enterprise Security Manager Guia de produto 313

314 7 Trabalho com eventos Tipo de filtros personalizados Nome Tipo de dados Campo Evento Campo Fluxo Local_User_Name (Nome do usuário local) Cadeia Campo personalizado - 5 Message_Text (Texto da mensagem) Cadeia Campo personalizado - 9 Method (Método) Cadeia Campo personalizado - 5 Nat_Details (Detalhes de NAT) NAT_Address (Endereço de NAT) NAT_Port (Porta de NAT) NAT_Type (Tipo de NAT) Personalizada Endereço IPv4 Inteiro não assinado Inteiro não assinado Campo personalizado - 9 Nenhum Nenhum Nenhum Campo personalizado - 1 Network_Layer (Camada de rede) ID de assinatura Nenhum Campo personalizado - 1 NTP_Client_Mode (Modo de cliente NTP) NTP_Offset_To_Monitor (Deslocamento de NTP para monitor) NTP_Opcode (Código de operação de NTP) Cadeia Inteiro não assinado Cadeia Campo personalizado - 5 Campo personalizado - 8 Campo personalizado - 10 NTP_Request (Solicitação de NTP) Cadeia Campo personalizado - 9 NTP_Server_Mode (Modo de servidor NTP) Num_Copies (Núm. cópias) Cadeia Inteiro não assinado Campo personalizado - 6 Campo personalizado - 6 Object (Objeto) Cadeia Campo personalizado - 5 Object_Type (Tipo de objeto) Cadeia Campo personalizado - 2 Priority (Prioridade) Query_Response (Resposta da consulta) Inteiro não assinado Cadeia Campo personalizado - 8 Campo personalizado - 9 Referer (Referência) Cadeia Campo personalizado - 10 Response Time (Tempo de resposta) Seconds (Segundos) Milliseconds (Milissegundos) Personalizada Inteiro não assinado Inteiro não assinado Campo personalizado - 10 RTMP_Application (Aplicativo RTMP) Cadeia Campo personalizado - 9 Nenhum Nenhum Nenhum Nenhum Nenhum Nenhum Nenhum Nenhum Nenhum Nenhum Nenhum Nenhum Nenhum Session_Layer (Camada da sessão) Cadeia Nenhum Campo personalizado McAfee Enterprise Security Manager Guia de produto

315 Trabalho com eventos Tipo de filtros personalizados 7 Nome Tipo de dados Campo Evento Campo Fluxo SNMP_Error_Code (Código de erro de SNMP) Cadeia Campo personalizado - 10 SNMP_Item (Item de SNMP) Cadeia Campo personalizado - 6 SNMP_Item_Type (Tipo de item SNMP) SNMP_Operation (Operação de SNMP) Cadeia Cadeia Campo personalizado - 8 Campo personalizado - 5 SNMP_Version (Versão de SNMP) Cadeia Campo personalizado - 9 Source User (Usuário de origem) Cadeia Campo personalizado - 7 Start_Page (Página inicial) Inteiro não assinado Campo personalizado - 8 Subject (Assunto) Cadeia Campo personalizado - 10 SWF_URL (URL de SWF) Cadeia Campo personalizado - 5 TC_URL (URL de TC) Cadeia Campo personalizado - 6 To (Para) Cadeia Campo personalizado - 6 Transport_Layer (Camada de transporte) Nenhum Nenhum Nenhum Nenhum Nenhum Nenhum Nenhum Nenhum Nenhum Nenhum ID de assinatura Nenhum Campo personalizado - 2 URL (URL) Cadeia Campo personalizado - 8 User_Agent (Agente de usuário) Cadeia Campo personalizado - 6 User_Nickname (Apelido de usuário) Cadeia Campo personalizado - 5 Version (Versão) Cadeia Campo personalizado - 10 Nenhum Nenhum Nenhum Nenhum Adicionar tipos personalizados de tempo É possível adicionar tipos personalizados que permitem armazenar dados de tempo. Tempo Precisão em segundos armazena dados de tempo em segundos. Tempo Precisão em nanossegundos armazena o tempo em nanossegundos. Isso inclui um número de ponto de flutuação como nove valores de precisão que representam os nanossegundos. Se você selecionar Índice ao adicionar esse tipo personalizado, o campo será exibido como um filtro em consultas, exibições e filtros. Ele não aparecerá nos componentes de distribuição e não estará disponível no enriquecimento de dados, nas listas de observação ou nos alarmes. McAfee Enterprise Security Manager Guia de produto 315

316 7 Trabalho com eventos Exibir hora do evento 1 Na árvore de navegação do sistema, selecione o sistema, clique no ícone Propriedades seguida, clique em Tipos personalizados Adicionar. e, em 2 No campo Tipo de dados, clique em Tempo Precisão em segundos ou em Tempo Precisão em nanossegundos, preencha as informações restantes e clique em OK. Tipos personalizados de nome/valor O tipo personalizado de nome/valor consiste em um grupo de pares de nomes/valores especificados. É possível filtrar exibições e consultas de acordo com esses pares e usá-los em alarmes de Correspondência de evento interna. Estas são algumas características do recurso: É necessário filtrar os campos de grupos de nomes/valores usando uma expressão regular. É possível correlacioná-los para que eles possam ser selecionados no Editor de regra de correlação. Os valores que fizerem parte do par somente poderão ser coletados com o ASP. O tamanho máximo para esse tipo personalizado é de 512 caracteres, que inclui os nomes. Os caracteres acima de 512 são interceptados quando coletados. A McAfee recomenda limitar o tamanho e o número de nomes. Os nomes devem consistir em mais de dois caracteres. O tipo personalizado de nome/valor pode ter até 50 nomes. Cada nome no grupo de nomes/valores é exibido no filtro global como <nome do grupo> - <nome>. Adicionar tipo personalizado de grupo de nomes/valores Se você adicionar um grupo de pares de nomes/valores, poderá filtrar exibições e consultas de acordo com eles e usá-los em alarmes de Correspondência de evento interna. 1 Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. 2 Clique em Tipos personalizados e clique em Adicionar. 3 No campo Tipo de dados, clique em Grupo de nomes/valores, preencha as informações restantes e clique em OK. Exibir hora do evento Veja a hora exata em que um evento foi inserido no banco de dados do Receptor. Antes de iniciar Você precisa ter estas permissões: 316 McAfee Enterprise Security Manager Guia de produto

317 Trabalho com eventos Exibir hora do evento 7 Exibir dados para obter eventos e exibir a hora do evento Exibir gerenciamento para criar uma exibição Gerenciamento de eventos para alterar eventos 1 No console do ESM, adicione uma exibição de tabela de eventos que inclua o campo Hora do dispositivo. a Na barra de ferramentas do painel Exibição, clique no ícone Criar nova exibição. b c d e f g Na Barra de ferramentas Exibir edição, clique no componente Tabela e o arraste. No Assistente de consulta, clique em Próximo, depois clique em Campos. Clique em Hora do dispositivo na lista à esquerda, depois a mova para a lista à direita. Na página Campos, clique em OK, depois clique em Concluir. Na Barra de ferramentas Exibir edição, clique em Salvar como, digite o nome da exibição, depois clique em OK. Feche a Barra de ferramentas Exibir edição. A exibição é adicionada à lista suspensa de exibições. 2 Exiba a Hora do dispositivo de uma destas maneiras. Se você enviar um evento para reparar (consulte Enviar um de reparação), a hora do dispositivo do evento será perdida. Exiba a coluna Hora do dispositivo na tabela de eventos da exibição adicionada. Clique no ícone Exibir detalhes dos dados, na barra de ferramentas, na parte inferior da tabela, clique na guia Detalhes avançados, depois exiba o campo Hora do dispositivo. McAfee Enterprise Security Manager Guia de produto 317

318 7 Trabalho com eventos Exibir hora do evento 318 McAfee Enterprise Security Manager Guia de produto

319 8 Gerenciamento 8 de casos Use o gerenciador de casos do ESM para atribuir e rastrear itens de trabalho e tíquetes de suporte relacionados a eventos de rede. Para acessar esse recurso, você deve fazer parte de um grupo que tenha o privilégio Usuário do gerenciamento de casos ativado. Há cinco maneiras de adicionar um caso: Na exibição Gerenciamento de casos No painel Casos, sem vincular a um evento Na exibição Análise de evento, com vinculação a um evento Ao configurar um alarme Em uma notificação de alarme disparado Conteúdo Adicionar um caso Criar um caso a partir de um evento Adicionar eventos a um caso existente Editar ou fechar um caso Exibir detalhes do caso Adicionar níveis de status de caso Casos de Exibir todos os casos Gerar relatórios de gerenciamento de casos Adicionar um caso A primeira etapa no rastreamento de uma tarefa gerada como resultado de um evento de rede é adicionar um caso ao sistema de gerenciamento de casos. 1 No painel Casos, clique no ícone Adicionar caso. 2 Preencha as informações solicitadas e clique em OK. O caso é adicionado ao painel Casos do usuário ao qual o caso é atribuído. Se você tiver selecionado Enviar caso por , um também será enviado (consulte Caso de ). McAfee Enterprise Security Manager Guia de produto 319

320 8 Gerenciamento de casos Criar um caso a partir de um evento Criar um caso a partir de um evento Para rastrear um evento na exibição Análise de evento, crie um caso. Isso permite rastrear o fluxo de trabalho. 1 Na lista de exibições, selecione Exibições de eventos Análise de evento. 2 Clique no evento, clique no ícone e em Ações Criar um novo caso. 3 Preencha as informações solicitadas e clique em OK para salvar o caso. O novo caso inclui os dados do evento na tabela Mensagem. Adicionar eventos a um caso existente Adicione um ou mais eventos a um caso existente para rastrear ações realizadas em resposta a esses eventos. 1 No painel de exibições, selecione Exibições de eventos na lista suspensa de exibições e clique em Análise de evento. 2 Selecione os eventos e execute uma das seguintes ações: Clique no ícone Atribuir eventos a um caso ou ao Remedy e selecione Adicionar eventos a um caso. Clique no ícone do Menu, destaque Ações e clique em Adicionar eventos a um caso. 3 Selecione o caso e clique em Adicionar. A página Detalhes do caso lista o ID do evento na tabela Mensagens. 4 Clique em OK e em Fechar. Editar ou fechar um caso Se você tem privilégios de Administrador do gerenciamento de casos, pode modificar qualquer caso no sistema. Se você tem privilégios de Usuário do gerenciamento de casos, pode modificar somente os casos atribuídos a você. 1 Acesse Detalhes do caso de uma destas formas. 320 McAfee Enterprise Security Manager Guia de produto

321 Gerenciamento de casos Exibir detalhes do caso 8 Para... Um caso atribuído a você Faça isto... 1 Selecione o caso no painel Casos. 2 Clique no ícone Editar caso. Um caso não atribuído a você 1 Clique no ícone Abrir gerenciamento de casos no painel Casos. 2 Selecione o caso a ser modificado. 3 Clique no ícone Editar caso, na parte inferior da exibição. 2 Edite as configurações ou feche o caso no campo Status. 3 Clique em OK para salvar as alterações. As alterações serão gravadas na seção Notas da página Detalhes do caso. Se você fechar o caso, ele não aparecerá mais no painel Casos, mas permanecerá na lista Gerenciamento de casos com o status alterado para Fechado. Exibir detalhes do caso Se você tiver direitos de Administrador no ESM, poderá exibir e tomar medidas em relação a qualquer caso no ESM. Todos os usuários de um grupo podem exibir qualquer caso em seu grupo. 1 No painel Casos, clique no ícone Abrir gerenciamento de casos. A exibição Gerenciamento de casos é aberta, listando todos os casos no sistema. 2 Revise os dados nas guias Notas e Eventos de origem. 3 Para obter mais detalhes, clique duas vezes no caso e revise as informações na página Detalhes do caso. Adicionar níveis de status de caso O gerenciador de casos vem com dois níveis de status: Aberto e Fechado. É possível atribuir casos a outros status adicionados. 1 No painel Casos, clique no ícone Abrir gerenciamento de casos. 2 Na exibição Gerenciamento de casos, clique no ícone Configurações de gerenciamento de casos ferramentas inferior, e clique em Adicionar., na barra de 3 Digite um nome para o status e selecione se deseja que o status seja o padrão para novos casos. 4 Selecione se deseja que os casos com esse status sejam mostrados no painel Casos e clique em OK. McAfee Enterprise Security Manager Guia de produto 321

322 8 Gerenciamento de casos Casos de Casos de Configure o sistema para enviar automaticamente uma mensagem de para a pessoa ou o grupo ao qual um caso é atribuído sempre que um caso for adicionado ou reatribuído. Antes de iniciar É necessário ter privilégios de Administrador do gerenciamento de casos. Você poderá também enviar uma notificação de caso por manualmente e incluir notas de caso e detalhes do evento. Para... Enviar automaticamente um caso por Faça isto... 1 No painel Casos, clique no ícone Abrir gerenciamento de casos. 2 Clique no ícone Configurações de gerenciamento de casos. 3 Selecione Enviar quando um caso for atribuído e clique em Fechar. Os endereços de dos usuários devem estar no ESM (consulte Configurar usuários). Enviar manualmente um caso existente 1 No painel Casos, selecione o caso que deseja enviar por e clique no ícone Editar caso. 2 Em Detalhes do caso, clique em Enviar o caso por e preencha os campos De e Para. 3 Selecione se deseja incluir as notas e anexar um arquivo CSV dos detalhes do evento. 4 Digite qualquer nota que desejar incluir na mensagem de e clique em Enviar. Exibir todos os casos Se você tiver privilégios Administrativos no ESM, poderá gerenciar todos os casos do sistema, estejam eles abertos ou fechados no momento. Os privilégios de Administrador do gerenciamento de casos permitem criar status, organizações e definir a funcionalidade de automática. 322 McAfee Enterprise Security Manager Guia de produto

323 Gerenciamento de casos Gerar relatórios de gerenciamento de casos 8 1 No painel Casos, clique no ícone Abrir gerenciamento de casos. 2 Siga um destes procedimentos: Para fazer isto... Adicionar um caso Exibir ou editar o caso selecionado Enviar o caso selecionado por Configurar um caso para enviar um quando um caso for adicionado ou alterado Adicionar ou editar os status disponíveis para os casos Exiba as notas, o histórico e os eventos de origem para o caso selecionado Alterar colunas de Eventos de origem Filtrar os casos Faça isto... Clique no ícone Adicionar caso inferior da exibição. Clique no ícone Editar caso inferior da exibição. Clique no ícone Enviar caso por parte inferior da exibição. na barra de ferramentas na parte na barra de ferramentas na parte Clique no ícone Configurações de gerenciamento de casos ferramentas na parte inferior da exibição. Clique no ícone Configurações de gerenciamento de casos Adicionar, Editar ou Excluir. na barra de ferramentas na na barra de e clique em Clique em Notas, Histórico ou em Eventos de origem. Quando você clica em Eventos de origem, as guias Detalhes do evento de origem são abertas. Se as guias não estiverem visíveis ou se estiverem visíveis e você quiser ocultá-las, clique no ícone Exibir detalhes de evento de origem na barra de ferramentas na parte inferior da exibição. A guia Histórico registra quando o usuário exibe um caso, a qualquer momento. Se o mesmo usuário exibir um caso mais de uma vez dentro de cinco minutos, ele não atualizará o registro todas as vezes. Clique na guia Eventos de origem, depois clique em Editar colunas visíveis na guia Eventos de origem. No painel Filtros, selecione ou digite os dados com base nos quais deseja filtrar os dados e clique no ícone Executar consulta. A lista de casos é alterada para mostrar somente os que atendem aos critérios de filtragem. Gerar relatórios de gerenciamento de casos Há seis relatórios de gerenciamento de casos disponíveis no ESM. 1 Na página Propriedades do sistema, clique em Relatórios Adicionar. 2 Complete as seções 1, 2 e 3. 3 Na seção 4, selecione Consultar CSV. McAfee Enterprise Security Manager Guia de produto 323

324 8 Gerenciamento de casos Gerar relatórios de gerenciamento de casos 4 Na seção 5, selecione o relatório de gerenciamento de casos a ser executado. Resumo de gerenciamento de casos Inclui números de ID de caso, a gravidade atribuída aos casos, seu status, usuários aos quais eles foram atribuídos, organizações nas quais foram atribuídos (se houver), data e hora em que os casos foram adicionados, data e hora em que os casos foram atualizados (se tiverem sido fechados) e resumos dos casos. Detalhes de gerenciamento de casos Inclui todas as informações no relatório Resumo de gerenciamento de casos, assim como os números de ID dos eventos ligados aos casos e as informações incluídas nas seções de notas dos casos. Tempo para resolução de caso Mostra o tempo gasto decorrido entre as alterações de status (por exemplo, o diferencial entre o carimbo de data/hora Aberto e o carimbo de data/hora Fechado). Por padrão, ele lista os casos com o status Fechado de acordo com o número da ID de caso, bem como gravidade, organização, data de Criação, última atualização, resumo e diferença de horário. Casos por responsável Inclui o número de casos atribuídos a um usuário ou grupo. Casos por organização Inclui o número de casos por organização. Casos por status Inclui o número de casos por tipo de status. 5 Conclua a seção 6 (consulte Descrição de filtros contain e regex), e clique em Salvar. O relatório será salvo e adicionado à lista de Relatórios. 324 McAfee Enterprise Security Manager Guia de produto

325 9 Trabalhar 9 com o Asset Manager O Asset Manager fornece um local centralizado onde é possível descobrir, criar manualmente e importar ativos. Na guia Ativo, você pode criar um grupo que contenha um ou mais ativos. É possível executar as operações a seguir em todo o grupo: Altere os atributos em todos os ativos do grupo. Essa alteração não é permanente. Se você adicionar um ativo a um grupo alterado, ele não herdará as configurações anteriores automaticamente. Use operações de arrastar e soltar. Renomear um grupo, se necessário. Os grupos de ativos permitem categorizar ativos de formas que fiquem indisponíveis com a marcação de ativos. Por exemplo, caso você deseje criar um grupo de ativos para cada prédio em seu campus. O ativo consiste em um endereço IP e uma coleção de marcas. As marcas descrevem o sistema operacional no qual o ativo está em execução e um conjunto de serviços pelos quais o ativo é responsável. Existem duas formas de definir as marcas de um ativo: pelo sistema, quando o ativo é recuperado, ou pelo usuário, quando o ativo é adicionado ou editado. Caso as marcas sejam definidas pelo sistema, elas serão atualizadas cada vez que o ativo for recuperado, se tiverem sido alteradas. Caso as marcas sejam definidas pelo usuário, não serão atualizadas pelo sistema quando o ativo for recuperado, mesmo que tenham sido alteradas. Se você adicionar ou editar as marcas de um ativo, mas desejar que elas sejam atualizadas pelo sistema quando o ativo for recuperado, clique em Redefinir. Você deve fazer isso toda vez que fizer alterações nas configurações da marca. O gerenciamento de configurações faz parte das normas de conformidade padrão, como PCI, HIPPA e SOX. Ele permite que você monitore todas as alterações feitas na configuração de seus roteadores e switches, prevenindo assim vulnerabilidades no sistema. No ESM, o recurso de gerenciamento de configurações permite que você: Defina a frequência com que os dispositivos devem ser sondados. Selecione os dispositivos descobertos para verificação de configurações. Identifique um arquivo de configuração recuperado como padrão para o dispositivo. Exiba os dados de configuração, faça download dos dados para um arquivo e compare as informações de configuração de dois dispositivos. Conteúdo Gerenciar ativos Configurar o gerenciamento de configurações Descoberta de rede Origens de ativos Gerenciar origens de avaliação de vulnerabilidade McAfee Enterprise Security Manager Guia de produto 325

326 9 Trabalhar com o Asset Manager Gerenciar ativos Gerenciamento de zonas Ativo, ameaça e avaliação de risco Gerenciar ameaças conhecidas Gerenciar ativos Ativo é qualquer dispositivo na rede que tenha um endereço IP. Na guia Ativo do Asset Manager, você pode criar ativos, modificar suas marcas, criar grupos de ativos, adicionar origens de ativos e atribuir um ativo a um grupo de ativos. Você também pode manipular os ativos aprendidos com um dos fornecedores de avaliação de vulnerabilidade. 1 Clique no ícone de início rápido do Asset Manager. 2 Certifique-se de que a guia Ativo esteja selecionada. 3 Gerencie os ativos conforme o necessário e clique em OK. s Definir ativos antigos na página 326 O grupo Ativos antigos do Asset Manager permite que você armazene ativos que não foram detectados no período definido. Definir ativos antigos O grupo Ativos antigos do Asset Manager permite que você armazene ativos que não foram detectados no período definido. 1 Clique no ícone de início rápido do Asset Manager. 2 Na guia Ativo, clique duas vezes no grupo Ativos antigos da lista de ativos. 3 Selecione o número de dias desde a última detecção de ativo antes de movê-lo para a pasta Ativos antigos e clique em OK. Configurar o gerenciamento de configurações O gerenciamento de configurações recupera os arquivos de configuração dos dispositivos que fora descobertos com o perfil CLI. Quando o processo de descoberta de rede for concluído, você deve configurar o gerenciamento de configurações. 326 McAfee Enterprise Security Manager Guia de produto

327 Trabalhar com o Asset Manager Descoberta de rede 9 1 Clique no ícone de início rápido do Asset Manager e selecione a guia Gerenciamento de configuração. 2 Execute qualquer ação disponível e clique em OK. s Gerenciar arquivos de configuração recuperados na página 327 Você pode fazer várias coisas para gerenciar os arquivos recuperados quando a configuração dos seus roteadores e switches for verificada. Gerenciar arquivos de configuração recuperados Você pode fazer várias coisas para gerenciar os arquivos recuperados quando a configuração dos seus roteadores e switches for verificada. Antes de iniciar Recuperar os arquivos de configurações (consulte Configurar gerenciamento de configurações). 1 Clique no ícone de início rápido do Asset Manager e selecione a guia Gerenciamento de configuração. 2 Execute qualquer ação disponível na seção Arquivos de configurações recuperados da página. Descoberta de rede A Descoberta de rede mostra os locais físicos em que os eventos ocorreram na sua rede, aumentando a capacidade de rastreá-los. A Descoberta de rede é destinada a usuários avançados com amplo conhecimento de rede e é um privilégio atribuído. Você deve ter privilégios ativados para criar e exibir a Descoberta de rede e modificar as configurações de switch em Controle de porta da rede. A Descoberta de rede do SNMPv3, Telnet ou SSH está fora de conformidade com FIPS. Se a conformidade com as normas FIPS for obrigatória, não use esses recursos. Descobrir a rede O primeiro passo para mapear sua rede é descobrir a rede. Você deve definir os parâmetros antes de iniciar a varredura. 1 Clique no ícone de início rápido Asset Manager e selecione a guia Descoberta de rede. 2 Clique em Configurações e clique em Adicionar na página Definir configurações de rede para adicionar os parâmetros dessa descoberta. McAfee Enterprise Security Manager Guia de produto 327

328 9 Trabalhar com o Asset Manager Descoberta de rede 3 Conclua as configurações dos Parâmetros de descoberta de rede. 4 Clique em OK. Os parâmetros que você definiu serão adicionados à lista Definir configurações de rede. 5 Execute outras ações necessárias. 6 Clique em Descobrir rede para iniciar a varredura. Caso precise interromper a descoberta, clique em Interromper descoberta. A seção Dispositivo de rede da página será preenchida com os dados da varredura. 7 Clique em OK. Gerenciar a lista de exclusão de IP É possível adicionar endereços IP à Lista de exclusão de IP caso deseje excluí-los da pesquisa de descoberta de rede. 1 Clique no ícone de início rápido Asset Manager e selecione a guia Descoberta de rede. 2 Clique em Lista de exclusão de IP. 3 Adicionar um novo endereço, editar ou remover um endereço existente. 4 Clique em OK para salvar suas alterações. Descobrir terminais Ao configurar sua rede, adicionar endereços IP à lista de exclusão e descobrir sua rede, você deverá descobrir os terminais conectados aos seus dispositivos. 1 Clique no ícone de início rápido Asset Manager e selecione a guia Descoberta de rede. 2 Clique em Descobrir terminal para iniciar a varredura agora. Os resultados e status da varredura ficam listados na seção Dispositivos de terminal da página. 3 Para programar a descoberta automática de terminais, selecione Descobrir automaticamente a cada e selecione a frequência. Exibir um mapa da rede Você pode gerar uma representação gráfica de sua rede que permita manusear os dispositivos de qualquer posição. 328 McAfee Enterprise Security Manager Guia de produto

329 Trabalhar com o Asset Manager Origens de ativos 9 1 Clique no ícone de início rápido Asset Manager e clique na guia Descoberta de rede. 2 Clique em Mapa de rede. A representação gráfica de sua rede abrirá. 3 Mova dispositivos ou passe o mouse por um dispositivo para exibir suas propriedades. Alterar o comportamento de Descoberta de rede É possível alterar o ping padrão, o número de estações finais e as configurações de dispositivos simultâneos de Descoberta de rede. 1 No console do ESM, clique no ícone de início rápido do Asset Manager. 2 Clique na guia Descoberta de rede, clique em Configurações e em Avançado. 3 Altere as configurações conforme o necessário e clique em OK. Origens de ativos Você pode recuperar dados do seu Active Directory, se tiver um, ou de um servidor Altiris usando as Origens de ativos. O Active Directory permite que você filtre dados de eventos selecionando os usuários ou grupos recuperados nos campos de filtro de consulta de exibição Usuário de origem ou Usuário de destino. Isso melhora a sua capacidade de fornecer dados de conformidade para requisitos como PCI. O Altiris e o Active Directory recuperam ativos como computadores com endereços IP e os adicionam à tabela de ativos. Para recuperar ativos no Altiris, você precisa ter privilégios de Asset Manager no console de gerenciamento Altiris. O Active Directory normalmente não armazena informações de endereço IP. O sistema usa DNS para consultar o endereço assim que obtém o nome do Active Directory. Caso o sistema não consiga encontrar o endereço do computador, este não é adicionado à tabela Ativos. Por esse motivo, o servidor DNS no sistema deve conter as informações de DNS dos computadores do Active Directory. É possível adicionar endereços IP ao Active Directory. Se fizer isso, modifique o atributo networkaddress nos objetos do seu computador para que o sistema use esses endereços IP em vez de consultar o DNS. Gerenciar origens de ativos Recupere dados de seu Active Directory ou de um servidor Altiris. McAfee Enterprise Security Manager Guia de produto 329

330 9 Trabalhar com o Asset Manager Gerenciar origens de avaliação de vulnerabilidade 1 Clique no ícone de início rápido do Asset Manager e clique na guia Origens de ativos. A árvore Origens de ativos mostra o ESM e os Receptores no sistema, além de suas atuais origens de ativos. Um ESM pode ter somente uma e os Receptores podem ter várias origens de ativos. 2 Selecione um dispositivo e escolha uma das ações disponíveis. Gerenciar origens de avaliação de vulnerabilidade Você pode recuperar dados de diversos fornecedores de VA usando o Vulnerability Assessment. Para que haja comunicação com as origens de VA desejadas, você deve adicionar a origem ao sistema. Assim que uma origem for adicionada ao sistema, será possível recuperar dados de VA. 1 Clique no ícone de início rápido do Asset Manager e clique na guia Vulnerability Assessment. 2 Adicione, edite, remova ou recupere origens de VA e grave-as no dispositivo. 3 Clique em OK. Gerenciamento de zonas As zonas podem ser usadas para categorizar dispositivos e origens de dados em sua rede. Isso permite que você organize dispositivos e eventos gerados por eles em agrupamentos relacionados por localização geográfica e endereço IP. Por exemplo, se você possui escritórios no sul e no norte do país e deseja que os eventos gerados por cada escritório sejam agrupados, você deve adicionar duas zonas e atribuir os dispositivos cujos eventos devem ser agrupados a cada uma das zonas. Para agrupar os eventos de cada escritório por endereço IP específico, adicione subzonas a cada uma das zonas. Gerenciar zonas As zonas ajudam a categorizar os dispositivos e origens de dados por localização geográfica ou ASN. Você deve adicionar zonas individualmente ou importando um arquivo exportado de outra máquina e atribuir os dispositivos ou origens de dados às zonas. 330 McAfee Enterprise Security Manager Guia de produto

331 Trabalhar com o Asset Manager Gerenciamento de zonas 9 1 Clique no ícone de início rápido do Asset Manager selecione Gerenciamento de zonas. 2 Adicione uma zona ou subzona, edite ou remova zonas existentes ou importe e exporte configurações de zona. 3 Distribua as mudanças que fizer e clique em OK Adicionar uma zona A primeira etapa de gerenciamento de zonas é adicionar as zonas usadas para categorizar seus dispositivos e origens de dados. Elas podem ser adicionadas individualmente usando o recurso Adicionar zona ou você pode importar um arquivo que foi exportado de outro sistema. Quando uma zona é adicionada, você pode editar suas configurações quando necessário. 1 Clique no ícone de início rápido do Asset Manager e clique na guia Gerenciamento de zonas. 2 Insira as informações solicitadas, atribua dispositivos à zona e clique em OK. Exportar configurações de zona Você pode exportar as configurações de zona do seu ESM para importá-las para outro ESM. 1 Clique no ícone do Asset Manager e clique em Gerenciamento de zonas. 2 Clique em Exportar e selecione o tipo de arquivo que deseja exportar. 3 Clique em OK e selecione o arquivo para fazer download agora. Importar configurações de zona Esse recurso de importação permite que você importe um arquivo de zona como está ou edite os dados antes de importá-lo. Antes de iniciar Exporte um arquivo de configurações de zona de outro ESM para que possa ser importado para o seu ESM. McAfee Enterprise Security Manager Guia de produto 331

332 9 Trabalhar com o Asset Manager Gerenciamento de zonas 1 Abra o arquivo de configurações da zona que deseja importar. Se esse for um arquivo de definição de importação de zona, ele terá oito colunas: Comando, Nome da zona, Nome do pai, Localização geográfica, ASN, Padrão, IPStart e IPStop. Se for um arquivo de atribuição de importação de um dispositivo para uma zona, ele terá três colunas: Comando, Nome do dispositivo e Nome da zona. 2 Insira comandos na coluna Comando para especificar a ação a ser tomada para cada linha quando importada. adicionar Importe os dados na linha como estão. editar (Disponível somente no arquivo de definição de zona) Importe os dados com as alterações feitas. Para fazer alterações em uma faixa de subzona, você deve remover a faixa existente e adicionar a faixa com as alterações. Não é possível editá-la diretamente. remover Exclua do ESM a zona correspondente a essa linha. 3 Salve as mudanças feitas e feche o arquivo. 4 Clique no ícone de início rápido do Asset Manager e clique na guia Gerenciamento de zonas. 5 Clique em Importar e selecione o tipo de importação. 6 Clique em OK, localize o arquivo a ser importado e clique em Fazer upload. Você será notificado caso erros sejam detectados no arquivo. 7 Se houver erros, faça as correções necessárias no arquivo e tente novamente. 8 Distribua as mudanças para atualizar os dispositivos. Adicionar uma subzona Depois de adicionar uma zona, você pode adicionar subzonas para melhor categorizar os dispositivos e eventos por endereço IP. Antes de iniciar Adicione zonas na guia Gerenciamento de zonas. 1 Clique no ícone de início rápido do Asset Manager e clique na guia Gerenciamento de zonas. 2 Selecione uma zona e clique em Adicionar subzona. 3 Preencha as informações solicitadas e clique em OK. 332 McAfee Enterprise Security Manager Guia de produto

333 Trabalhar com o Asset Manager Ativo, ameaça e avaliação de risco 9 Ativo, ameaça e avaliação de risco O McAfee Threat Intelligence Services (MTIS) e as origens de avaliação de vulnerabilidade no seu sistema geram uma lista de ameaças conhecidas. A gravidade dessas ameaças e o nível crítico de cada um dos seus ativos são usados para calcular o nível de risco para a sua empresa. Asset Manager Ao adicionar um ativo ao Asset Manager (consulte Gerenciar ativos), você atribui um nível crítico. Essa configuração representa o nível crítico do ativo para a sua operação. Por exemplo, se você tem um computador gerenciando a instalação da empresa, e ele não tem backup, o nível crítico é alto. Se, no entanto, você tem dois computadores gerenciando a instalação, cada um com um backup, o nível crítico é consideravelmente mais baixo. Você pode selecionar se deseja usar ou ignorar um ativo em cálculo de risco para a sua empresa no menu Editar da guia Ativo. Gerenciamento de ameaças A guia Gerenciamento de ameaças no Asset Manager mostra uma lista de ameaças conhecidas, sua gravidade, o fornecedor e se elas são usadas no cálculo de risco. Você pode ativar ou desativar ameaças específicas para que sejam ou não usadas para calcular risco. Você também pode exibir os detalhes das ameaças na lista. Esses detalhes incluem recomendações de como lidar com a ameaça e medidas defensivas que você pode usar. Exibições pré-definidas Três exibições pré-definidas (consulte Trabalhar com exibições do ESM) resumem e exibem dados de risco, ameaças e ativos: Resumo das ameaças do ativo Exibe os principais ativos por pontuação de risco e níveis de ameaça e níveis de ameaça por risco. Resumo das ameaças recentes Exibe as ameaças recentes por fornecedor, risco, ativo e produtos de proteção disponíveis. Resumo de vulnerabilidade Exibe vulnerabilidades por ameaças e ativos. Detalhes de itens individuais sobre essas exibições podem ser acessados nos menus dos componentes. Exibições personalizadas Opções foram adicionadas ao Assistente de consulta para que você possa configurar exibições personalizadas (consulte Adicionar uma exibição personalizada) que exibam os dados de que você precisar. Nos componentes Controle de discagem e Contagem, você pode exibir a pontuação de risco média da empresa e a pontuação de risco total da empresa. Nos componentes Gráfico de pizza, Gráfico de barras e Lista, você pode exibir os ativos em risco, proteção contra ameaças do produto, ameaça por ativo, ameaça por risco e ameaça por fornecedor. No componente Tabela, você pode exibir ativos, ameaças mais recentes, ativos principais por pontuação de risco e principais ativos por pontuação de risco. McAfee Enterprise Security Manager Guia de produto 333

334 9 Trabalhar com o Asset Manager Gerenciar ameaças conhecidas Gerenciar ameaças conhecidas Selecione quais ameaças conhecidas deverão ser usadas em cálculos de risco. Cada ameaça tem uma classificação de gravidade. Essa classificação e a classificação de nível crítico dos seus ativos são usadas para calcular a gravidade geral de uma ameaça para o seu sistema. 1 No console do ESM, clique no ícone de início rápido do Asset Manager. 2 Clique na guia Gerenciamento da ameaças para exibir a lista de ameaças conhecidas. 3 Selecione uma ameaça conhecida e siga um destes procedimentos: Clique em Detalhes da ameaça para exibir os detalhes da ameaça. Se a coluna Calcular risco informar Sim, e você não desejar que ela seja usada em cálculos de risco, clique em Desativar. Se a coluna Calcular risco informar Não, e você desejar que ela seja usada em cálculos de risco, clique em Ativar. 4 Clique em OK. 334 McAfee Enterprise Security Manager Guia de produto

335 10 Gerenciamento de políticas e regras Crie, aplique e exiba regras e modelos de política. Conteúdo Compreensão do Editor de políticas A Árvore de políticas Tipos de regras e suas propriedades Configurações padrão de políticas Operações de regras Atribuir marcas a regras ou ativos Modificar configurações de agregação Ação de substituição em regras obtidas por download Níveis de gravidade Exibir histórico de alteração de política Aplicar alterações de política Gerenciar tráfego de prioridade Compreensão do Editor de políticas O Editor de políticas permite criar modelos de políticas e personalizar políticas individuais. Os modelos de políticas, bem como as configurações de política em qualquer dispositivo, podem herdar valores de seus pais. A herança permite que as configurações de política aplicadas a um dispositivo sejam infinitamente configuráveis, mantendo ao mesmo tempo um nível de simplicidade e facilidade de uso. Cada política adicionada, junto com todos os dispositivos, tem uma entrada na Árvore de políticas. Ao operar no modo FIPS, não atualize as regras por meio do servidor de regras. Em vez disso, atualize-as manualmente (consulte Verificar atualizações de regras). O servidor de regras da McAfee mantém todas as regras, variáveis e pré-processadores com valores ou usos predefinidos. A Política padrão herda seus valores e configurações das definições mantidas pela McAfee e é a ancestral de todas as outras políticas. Por padrão, as configurações de todas as demais políticas e dispositivos herdam seus valores da Política padrão. Para abrir o editor, clique no ícone Editor de políticas ou selecione o nó do dispositivo ou sistema na árvore de navegação e clique no ícone Editor de políticas na barra de ferramentas de ações. McAfee Enterprise Security Manager Guia de produto 335

336 10 Gerenciamento de políticas e regras A Árvore de políticas 1 Barra de menus 4 Exibição de regra 2 Painel de navegação de trilha 5 Campo de pesquisa de marcas 3 Painel de tipos de regras 6 Filtros/Painel de marcação Os tipos de regras listados no painel Tipos de regras variam de acordo com o tipo de dispositivo selecionado na árvore de navegação do sistema. O painel de navegação de trilha exibirá a hierarquia da política que você tiver selecionado. Para alterar a política atual, clique no nome da política no painel de navegação de trilha e na seta do painel de navegação de trilha, que exibe as políticas filho. Ou clique no ícone Árvore de políticas política.. O menu da Árvore de políticas lista o que você pode fazer com uma Quando um tipo é selecionado no painel Tipo de regra, todas as regras desse tipo serão listadas na seção de exibição de regras. As colunas listam os parâmetros de regras específicos que você pode ajustar para cada regra (exceto Variável e Pré-processador). É possível alterar as configurações clicando na configuração atual e selecionando uma nova na lista suspensa. O painel Filtros/Marcação permite filtrar as regras exibidas no Editor de políticas, de modo que você possa exibir somente aquelas que correspondam a seus critérios, ou adicionar marcas às regras para definir suas funções. A Árvore de políticas A Árvore de políticas lista as políticas e os dispositivos do sistema. A Árvore de políticas permite: 336 McAfee Enterprise Security Manager Guia de produto

337 Gerenciamento de políticas e regras A Árvore de políticas 10 Navegar para exibir os detalhes de uma política ou dispositivo específico Adicionar uma política ao sistema Modificar a ordem das políticas ou dispositivos Localizar qualquer política ou dispositivo pelo nome Renomear, excluir, copiar ou copiar e substituir, importar ou exportar uma política Ícone Descrição Política Dispositivo fora de sincronização Dispositivo preparado Dispositivo atualizado Dispositivo virtual fora de sincronização Dispositivo virtual preparado Dispositivo virtual atualizado Origem de dados fora de sincronização Origem de dados preparada Origem de dados atualizada ADM fora de sincronização DEM fora de sincronização Gerenciar políticas na Árvore de políticas Gerencie as políticas do sistema realizando ações na Árvore de políticas. 1 No console do ESM, clique no ícone Editor de políticas e, em seguida, no ícone Árvore de políticas. 2 Siga um destes procedimentos: Para... Exibir as regras de uma política Tornar uma política em política filho Localizar uma política ou dispositivo Faça isto... Clique duas vezes na política. As regras são listadas na seção de exibição de regras do Editor de políticas. Selecione a política filho, arraste-a e solte-a no pai. Somente é possível arrastar e soltar dispositivos nas políticas. Digite o nome no campo de pesquisa. McAfee Enterprise Security Manager Guia de produto 337

338 10 Gerenciamento de políticas e regras A Árvore de políticas Para... Adicionar uma nova política Faça isto... 1 Selecione a política à qual você deseja adicionar uma nova política e clique no ícone de menu Itens do menu da árvore de políticas. 2 Clique em Nova, insira um nome para a política e clique em OK. Renomear uma política 1 Selecione a política que você deseja renomear e clique no ícone Itens do menu da árvore de políticas. 2 Clique em Renomear, insira o novo nome e clique em OK. Excluir uma política 1 Selecione a política que você deseja excluir e clique no ícone Itens do menu da árvore de políticas. 2 Clique em Excluir e clique em OK na página de confirmação. Copiar uma política 1 Selecione a política que você deseja copiar e clique no ícone Itens do menu da árvore de políticas. 2 Clique em Copiar, insira um nome para a nova política e clique em OK. Mover dispositivos para uma política 1 Selecione os dispositivos que você deseja mover e clique no ícone Itens do menu da árvore de políticas. 2 Selecione Mover e a política para a qual você deseja mover os dispositivos. Copiar e substituir uma política 1 Selecione a política que você deseja copiar, clique no ícone Itens do menu da árvore de políticas e selecione Copiar e substituir. 2 Em Selecionar política, selecione a política que deseja substituir. 3 Clique em OK e em Sim. As configurações da política copiada são aplicadas à política substituída, mas o nome continua sendo o mesmo. Importar uma política A importação ocorre a partir do dispositivo selecionado. 1 Selecione o nível na árvore para o qual você deseja importar a nova política, clique no ícone Itens do menu da árvore de políticas e selecione Importar. 2 Procure e faça upload do arquivo que deseja importar. Se for exibida uma mensagem de erro, consulte Solucionar problemas de importação de política para obter solução. 3 Selecione as opções de importação que deseja usar e clique em OK. Exportar uma política 1 Selecione a política que você deseja exportar. A exportação inclui o nó selecionado para cima na hierarquia. Somente as regras padrão com configurações personalizadas ou regras personalizadas são exportadas, dessa forma, pelo menos uma delas precisa ser selecionada para ativar a opção Exportar. 2 Clique em Menu e selecione Exportar. 3 Selecione as opções de exportação que deseja usar, clique em OK e selecione o local para salvar o arquivo de política exportado. 3 Para fechar a Árvore de políticas, clique duas vezes em uma política ou em um dispositivo ou clique no ícone de fechar. 338 McAfee Enterprise Security Manager Guia de produto

339 Gerenciamento de políticas e regras Tipos de regras e suas propriedades 10 Tipos de regras e suas propriedades O painel Tipos de regras da página Editor de políticas possibilita o acesso a todas as regras por tipo. É possível importar, exportar, adicionar, editar e executar várias operações em uma regra que tenha sido selecionada. As funções que podem ser executadas são limitadas pelo tipo de regra. Todas as regras baseiam-se em um sistema de hierarquia no qual cada regra herda sua utilização da regra pai. A regra (exceto as regras Variável e Pré-processador) é marcada com um ícone para indicar de onde ela herda sua utilização. O ícone apresentará um ponto no canto inferior esquerdo se a herança for interrompida em algum ponto abaixo da linha em questão. Ícone Descrição Indica que a utilização deste item foi determinada pela configuração do pai. A utilização da maioria das regras é definida para herança por padrão, mas pode ser alterada. Indica que a herança foi interrompida neste nível e que o valor da herança foi desativado. A atual utilização da regra é adotada quando a herança é interrompida. Indica que a herança foi interrompida neste nível. Os itens abaixo deste ponto não herdam mais nada. Esta configuração é útil para forçar as regras a usar este padrão. Indica um valor personalizado. Você define um valor que não é o padrão. Propriedades Quando um tipo de regra é selecionado, o painel de exibição de regra mostra todas as regras desse tipo existentes no sistema e suas configurações de propriedade. Essas propriedades podem ser Ação, Gravidade, Lista negra, Agregação e Copiar pacote. Esta propriedade... Ação Permite... Definir a ação executada por essa regra. As opções disponíveis baseiam-se no tipo de regra. Os itens da lista negra não podem ser movidos para seu destino. Se a ação Aprovação for selecionada na coluna Lista negra, o sistema mudará automaticamente para Alerta. Gravidade Lista negra Agregação Copiar pacote Selecione a gravidade da porção da regra quando a regra for disparada. A gravidade vai de 1 a 100, sendo 100 a maior. Crie uma entrada na lista negra automaticamente para cada regra quando a regra for disparada no dispositivo. Você pode optar por incluir na lista negra somente o endereço IP ou o endereço IP e a porta. Defina a agregação por regra para os eventos criados quando uma regra é disparada. As configurações de agregação definidas nas páginas Agregação do evento (consulte Agregar eventos ou fluxos) aplicam-se somente às regras definidas no Editor de políticas. Copie os dados do pacote para o ESM, o que será útil no caso de comunicação perdida. Se houver alguma cópia dos dados do pacote, você poderá acessar as informações recuperando a cópia. Altere essas configurações clicando na configuração atual e selecionando uma outra. McAfee Enterprise Security Manager Guia de produto 339

340 10 Gerenciamento de políticas e regras Tipos de regras e suas propriedades Variáveis Uma variável é uma configuração global ou um marcador de posição para informações específicas do usuário ou de um local. Várias regras usam variáveis. Recomendamos que você tenha um profundo conhecimento do formato Snort antes de adicionar ou modificar variáveis. As variáveis são usadas para fazer com que regras comportem-se de uma maneira específica, o que pode variar de dispositivo para dispositivo. O ESM possui diversas variáveis predefinidas, mas também permite a adição de variáveis personalizadas. Ao adicionar uma regra, essas variáveis são exibidas como opções na lista suspensa para o tipo de campo selecionado no campo Tipo na página Nova variável. Cada variável possui um valor padrão, mas é recomendável que você defina alguns valores que correspondam ao ambiente específico de cada dispositivo. Espaços não são permitidos ao inserir o nome de uma variável. Caso seja necessário adicionar um espaço, use o caractere underscore ( _ ). Para maximizar a eficiência de um dispositivo, é especialmente importante definir a variável HOME_NET para a rede doméstica protegida pelo dispositivo específico. Esta tabela mostra uma lista de variáveis comuns e seus valores padrão. Nomes de variáveis Descrição Padrão Descrição padrão EXTERNAL_NET Todos fora da rede protegida!$home_net Porta 80 HOME_NET: Espaço de endereço da rede local protegida: ( /80) HTTP_PORTS Portas de servidor Web: 80 ou 80:90 para um intervalo entre 80 e 90 HTTP_SERVE RS SHELLCODE_PORTS Endereço dos servidores Web: ou [ , ] Qualquer uma, menos portas de servidor Web Qualquer O mesmo que HOME_NET 80 Qualquer porta exceto HTTP_PORTS $HOME_NET O mesmo que HOME_NET!$HTTP_PORTS O mesmo que HOME_NET SMTP Endereços de servidor de $HOME_NET O mesmo que HOME_NET SMTP_SERVERS Endereços de servidor de $HOME_NET O mesmo que HOME_NET SQL_SERVERS Endereços de servidores SQL DB $HOME_NET O mesmo que HOME_NET TELNET_SERVERS Endereços de servidores telnet $HOME_NET O mesmo que HOME_NET As variáveis que vêm com o sistema podem ser modificadas. Variáveis personalizadas podem ser adicionadas, modificadas ou excluídas. Você pode atribuir tipos a variáveis personalizadas. Tipos de variável são usadas ao filtrar regras para fins de geração de relatórios e determinam o campo em que as variáveis estarão disponíveis ao adicionar ou modificar uma regra. Os tipos de variáveis são globais por natureza, e qualquer alteração feita será refletida em todos os níveis da política. Gerenciar variáveis Ao selecionar o tipo de regra da variável no Editor de políticas, você pode executar várias ações para gerenciar variáveis personalizadas e predefinidas. 340 McAfee Enterprise Security Manager Guia de produto