McAfee Enterprise Security Manager 9.5.0

Documentos relacionados
McAfee Enterprise Security Manager 9.5.1

Índice. Manual Backup Online. 03 Capítulo 1: Visão Geral

BACKUP ONLINE PASSOS PARA CONFIGURAÇÃO INICIAL DO PRODUTO

2 de maio de Remote Scan

Ajuda das opções Fiery 1.3 (cliente)

Introdução ao Tableau Server 7.0

Atualização De Mapas GPS Apontador. 1º Acessar site: 2º Selecione o Idioma para Português no seu canto direito.

Usando o Conference Manager do Microsoft Outlook

SISTEMAS OPERACIONAIS LIVRES. Professor Carlos Muniz

Configuração do Servidor DHCP no Windows Server 2003

Sumário 1. SOBRE O NFGoiana DESKTOP Apresentação Informações do sistema Acessando o NFGoiana Desktop

para Mac Guia de Inicialização Rápida

Online Help StruxureWare Data Center Expert

Procedimentos para Reinstalação do Sisloc

RESTAURAÇÃO NO WINDOWS 8

NOTA: POR FAVOR, NÃO TENTE INSTALAR O SOFTWARE ANTES DE LER ESTE DOCUMENTO.

SaaS and Web Services 8.3.0

ESET NOD32 Antivirus 4 para Linux Desktop. Guia de Inicialização Rápida

Novell. Novell Teaming 1.0. novdocx (pt-br) 6 April 2007 EXPLORAR O PORTLET BEM-VINDO DESCUBRA SEU CAMINHO USANDO O NOVELL TEAMING NAVIGATOR

GUIA RÁPIDO SISTEMA ANTIFURTO THEFT DETERRENT

Manual do usuário. Mobile Auto Download

Outlook Apresentação

Aula 12 Lista de verificação de segurança para o Windows 7

CA Nimsoft Monitor Snap

Guia de instalação Command WorkStation 5.6 com o Fiery Extended Applications 4.2

Microsoft Office Outlook Web Access ABYARAIMOVEIS.COM.BR

Usar o Office 365 no iphone ou ipad

UNIVERSIDADE FEDERAL DE GOIÁS CERCOMP (CENTRO DE RECURSOS COMPUTACIONAIS) TUTORIAL DE USO DO WEBMAIL - UFG

1 REQUISITOS BÁSICOS PARA INSTALAR O SMS PC REMOTO

Licenciamento por volume da Adobe

Qlik Sense Cloud. Qlik Sense Copyright QlikTech International AB. Todos os direitos reservados.

BlackBerry Mobile Voice System

Guia para o Google Cloud Print

Capture Pro Software. Introdução. A-61640_pt-br

Guia de Solução de Problemas do HASP

BEM-VINDO AO dhl PROVIEW

Instruções de instalação e remoção para os drivers de impressora PostScript e PCL do Windows Versão 8

Lotus Notes 8.5 para o Office 365 para empresas

Guia de início rápido do Powersuite

LICENCIAMENTO V14 USANDO REPRISE LICENSE MANAGER

Guia para o Google Cloud Print

CA Nimsoft Monitor Snap

Comm5 Tecnologia Manual de utilização da família MI. Manual de Utilização. Família MI

Guia de instalação do Player Displr Windows 7, 8.1 e 10

Software de gerenciamento de impressoras

Como configurar s nos celulares. Ebook. Como configurar s no seu celular. W3alpha - Desenvolvimento e hospedagem na internet

Administração do Windows Server 2003

Sistema de Validação E-A-Rfit 3M. Guia de instalação Versão 4.1 (Atualização) Líder no Progresso da Conservação Auditiva

Guia de instalação Command WorkStation 5.5 com o Fiery Extended Applications 4.1

Leia-me do Licenciamento em Rede

Manual Administrador - Mídia System

Obs: É necessário utilizar um computador com sistema operacional Windows 7.

MANUAL EXPORTAÇÃO IMPORTAÇÃO

Introdução a listas - Windows SharePoint Services - Microsoft Office Online

Fluxo de trabalho do Capture Pro Software: Indexação de OCR e separação de documentos de código de correção

Manual de Utilização

Procedimentos para Instalação do Sisloc

MANUAL DO USUÁRIO SUMÁRIO

Polycom RealPresence Content Sharing Suite Guia rápido do usuário

Ajuda das opções Fiery 1.3 (servidor)

1 Inicie um novo. Guia de Referência Rápida de Gerenciamento de Projeto para o Project projeto

Manual de Utilização COPAMAIL. Zimbra Versão 8.0.2

BlackBerry Internet Service. Versão: Guia do usuário

Guia para o Google Cloud Print

Instruções de Instalação do IBM SPSS Modeler (Licença de Usuário Autorizado)

Instruções de Instalação do IBM SPSS Modeler (Licença Simultânea)

ÍNDICE. 16/06/ :48 Leite Júnior

Renovação Online de Certificados Digitais A3 (Com Boleto Bancário)

CA Nimsoft Monitor Snap

1- Requisitos mínimos. 2- Instalando o Acesso Full. 3- Iniciando o Acesso Full pela primeira vez

Guia de instalação e ativação

Versão /10. Xerox ColorQube 9301/9302/9303 Serviços de Internet

Apresentando o novo modelo de atendimento Centro Marista de Serviços - CMS. Curitiba, Julho de 2014

Polycom RealPresence Content Sharing Suite Guia rápido do usuário

Contato: Kaspersky Lab ZAO 39A/3 Leningradskoe Shosse, Moscou , Rússia

GUIA DE CONSULTA RÁPIDA PARA. Instalação do Nokia Connectivity Cable Drivers

Manual de utilização do sistema de envio de sms marketing e corporativo da AGENCIA GLOBO. V

Guia de atualização. Guia de atualização do SonicOS 6.2

MANUAL DE UTILIZAÇÃO Aplicativo Controle de Estoque Mobile

Sistema de Chamados Protega

Guia para o Google Cloud Print

NetEye Guia de Instalação

1. Introdução. 2. Conteúdo da embalagem

Norton 360 Online Guia do Usuário

Xerox ColorQube 8700 / 8900 Painel de controle

Instalação: permite baixar o pacote de instalação do agente de coleta do sistema.

Memeo Instant Backup Guia de Referência Rápida

Manual do Visualizador NF e KEY BEST

Google Drive: Acesse e organize seus arquivos

Guia de instalação básica do Sabre Red Workspace

Manual Captura S_Line

Laboratório - Exploração do FTP

Portal Sindical. Manual Operacional Empresas/Escritórios

INSTALAÇÃO DO MICROSOFT WINDOWS SHAREPOINT SERVICES 2.0

Fluxo de trabalho do Capture Pro Software: Indexação de código de barras e separação de documentos

Omega Tecnologia Manual Omega Hosting

Transcrição:

Notas de versão McAfee Enterprise Security Manager 9.5.0 Conteúdo Sobre esta versão Novos recursos para a versão 9.5.0 Problemas resolvidos Problemas conhecidos Instruções de upgrade Localizar a documentação do produto Sobre esta versão Este documento contém informações importantes sobre a versão atual. Recomendamos que você leia o documento por inteiro. Não oferecemos suporte ao upgrade automático de versões de software de pré-lançamento. Para fazer upgrade para uma versão de produção do software, contate a Equipe Beta da [McAfee] pelo e-mail beta7@mcafee.com em relação ao processo de upgrade. Novos recursos para a versão 9.5.0 O McAfee Enterprise Security Manager (McAfee ESM) 9.5.0 do Intel Security oferece uma ampla gama de recursos atualizados que fornecem suporte à visão conectada de segurança, segurança de big data integrada e aos recursos de SIEM líderes do ramo. Nuvem da Amazon Se você tiver acesso, agora poderá iniciar o ESM no Amazon Web Services/Elastic Compute Cloud (AWS/EC2). 1

Esse recurso foi lançado com a versão 9.4.2. Consulte as Notas de versão 9.4.2 para obter mais informações. Aprimoramentos do Application Data Monitor (ADM) O ADM agora oferece suporte a: Protocolos: BitTorrent, Apple Filing Protocol (AFP), Bitcoin, Git, Server Message Block 2 (SMB2) e Microsoft Endpoint Manager (EPM) Tipos de arquivos: Iso9660, Applefile e ICal Gerenciamento de largura de banda dos dados enviados As restrições de largura de banda de sua organização podem limitar a quantidade de dados que seus dispositivos podem enviar. Agora é possível definir um valor de saída de dados máximo para o Receptor, ACE (Advanced Correlation Engine), ELM (Enterprise Log Manager), ADM, DEM (Database Event Monitor) e (IPS) Nitro Intrusion Prevention System. Os valores de saída incluem kilobytes (KB), megabytes (MB) e gigabytes (GB) por segundo. Também é possível agendar um intervalo de tempo diário para limitar quando o ESM efetua pull de dados de cada dispositivo e quando os dispositivos enviam dados para o ELM. Esse recurso foi lançado com a versão 9.4.1. Para obter mais informações, consulte os seguintes tópicos na Ajuda online ou no guia do produto: Configurar o controle de tráfego de rede em um dispositivo Limitar hora da coleta de dados Configurar o controle de tráfego de rede no ESM Aprimoramentos de caso Agora é possível pesquisar os casos (com eventos de origem) usando qualquer campo de evento, endereço IP de origem, endereço IP de destino ou dispositivo host. Também é possível criar suas próprias exibições com consultas de caso usando um componente de tabela ou gráfico de barras, pizza ou lista. Para obter mais informações, consulte o seguinte tópico na Ajuda ou no guia do produto: Filtragem de exibições Origens de dados clientes Agora é possível adicionar mais de uma origem de dados cliente com o mesmo endereço IP e usar o número de porta para diferenciá-las. Depois é possível separar os tipos de dados por diferentes portas. Esse recurso foi lançado com a versão 9.4.1. Para obter mais informações, consulte os seguintes tópicos na Ajuda online ou no guia do produto: Origens de dados clientes Adicionar uma origem de dados cliente Arquivos de configuração Agora é possível fazer backup e restaurar chaves SSH, configuração de rede, SNMP e outros arquivos de configuração para cada dispositivo. 2

Esse recurso foi lançado com a versão 9.4.1. Para obter mais informações, consulte os seguintes tópicos na Ajuda online ou no guia do produto: Fazer backup e restauração das configurações do sistema Restaurar arquivos de configuração que sofreram backup Pacotes de conteúdo Quando ocorrer uma situação de ameaça específica, responda imediatamente importando e instalando o pacote de conteúdo relevante do servidor de regras. Os pacotes de conteúdo contêm regras de correlação, alarmes, exibições, relatórios, variáveis e listas de observação orientados por caso de uso para lidar com malware ou atividades de ameaça específicos. Os pacotes de conteúdo lhe permitem responder a ameaças sem perder tempo criando ferramentas do zero. Para obter detalhes sobre pacotes de conteúdo, consulte este artigo do McAfee KnowledgeBase: KB8373. Agora também é possível exportar e importar alarmes, relatórios e listas de observação. Para obter mais informações, consulte os seguintes tópicos na Ajuda online ou no guia do produto: Trabalhar com pacotes de conteúdo Importar pacotes de conteúdo Gerenciamento de Cyber Threat O ESM lhe permite recuperar indicadores de compromisso (IOC) de origens remotas e acessar rapidamente atividades de IOC relacionadas em seu ambiente. O gerenciamento de Cyber Threat lhe permite configurar feeds automáticos que geram listas de observação, alarmes e relatórios, proporcionando visibilidade dos dados acionáveis. Por exemplo, você pode configurar um feed que adicione automaticamente endereços IP suspeitos a listas de observação para monitorar o tráfego futuro. Esse feed pode gerar e enviar relatórios, indicando atividades anteriores. Use a exibição Exibições de fluxo de trabalho de evento Indicadores de Cyber Threat para fazer rapidamente uma busca detalhada de eventos e atividades de IOC específicos em seu ambiente. Para obter mais informações, consulte os seguintes tópicos na Ajuda online ou no guia do produto: Configurar gerenciamento de Cyber Threat Exibir resultados de feed de Cyber Threat Enriquecimento de dados Os tipos de origem agora incluem Apache Hadoop Hive, Apache Hadoop Pig e HTTP/HTTPS. Também é possível utilizar o Microsoft Active Directory para popular eventos do Microsoft Windows com os nomes de exibição do usuário completos. Para obter mais informações, consulte os seguintes tópicos na Ajuda online ou no guia do produto: Adicionar origem de enriquecimento de dados Hadoop Pig Criar uma origem de enriquecimento de dados da Internet Adicionar enriquecimento de dados do Active Directory para nomes de usuário 3

Aprimoramentos de origens de dados Como resultado de várias configurações possíveis, o tempo de uma origem de dados pode ficar fora de sincronização com o ESM. Quando uma origem de dados fora de sincronização gera um evento, aparece um sinalizador vermelho ao lado do Receptor na árvore de navegação do sistema. Agora é possível configurar um alarme para notificá-lo quando esse evento ocorrer. Em seguida, gerencie as origens de dados que estão fora de sincronização na página Delta de tempo. As regras de origem de dados têm uma ação padrão definida. O Receptor atribui essa ação ao subtipo de evento associado à regra. Agora é possível alterar essa ação. Defina o valor do subtipo de evento por regra de origem de dados em vez de apenas usar o valor herdado da regra de análise. Depois, você pode definir ações de regras para dashboards, relatórios, regras de análise ou alarmes com valores diferentes com esse subtipo de evento. Esses recursos foram lançados com a versão 9.4.1. Para obter mais informações, consulte os seguintes tópicos na Ajuda online ou no guia do produto: Gerenciar origens de dados fora de sincronização Definir ações de regra de origem de dados Estatísticas do dispositivo Agora é possível exibir CPU, memória e fila específicas de dispositivos, além de outros detalhes específicos de dispositivos do ESM. Também é possível exibir estatísticas de uso do Receptor, que incluem as taxas de origens de dados de entrada (coletor) e saída (analisador) nos últimos 10 minutos, na última hora e nas últimas 24 horas. Para obter mais informações, consulte os seguintes tópicos na Ajuda online ou no guia do produto: Exibir estatísticas do dispositivo Exibir estatísticas de taxa de transferência do Receptor Dispositivos e o que eles fazem Protocolo DHCP (Dynamic Host Configuration Protocol) As redes IP usam o DHCP para distribuir parâmetros de configuração de rede, como endereços IP, para interfaces e serviços. A configuração do ESM para distribuir no ambiente de nuvem automaticamente ativa o DHCP e atribui um endereço IP. Quando não se está em um ambiente de nuvem, é possível ativar e desativar os serviços do DHCP nas VLANs, no ESM, no Receptor que não seja de Alta disponibilidade (HA), no ACE e no ELM. Esse recurso foi lançado com a versão 9.4.2. Para obter mais informações, consulte os seguintes tópicos na Ajuda online ou no guia do produto: Configurar o DHCP na VLAN Configurar o DHCP 4

Aprimoramentos do Enterprise Log Manager (ELM) Gerenciamento de banco de dados: o desempenho do ELM foi aprimorado. Também é possível aumentar o tamanho do banco de dados de gerenciamento do ELM. O monitor de integridade emite um aviso quando o banco de dados tem pouco espaço. Velocidade do pesquisa do ELM: um novo método de indexação de log agora proporciona maior velocidade de pesquisa e substitui a funcionalidade de indexação de texto completo (FTI). O espaço usado antes pelo FTI é automaticamente recuperado. Como o novo método pode requerer espaço adicional, agora é possível aumentar o tamanho do banco de dados de gerenciamento. Redundância de ELM: esse recurso foi lançado com a versão 9.4.2. Para obter mais informações, consulte os seguintes tópicos na Ajuda online ou no guia do produto: Página Selecionar local do banco de dados Exibir um log de sistema ou de dispositivo Redundância de ELM Configurar redundância de ELM Exportar exibições e relatórios Na exportação da página de um gráfico, uma distribuição ou um componente de tabela, os dados exportados agora coincidem com o que se vê na página. Se você exportar várias páginas, a consulta será executada novamente ao exportar os dados. Então, o resultado exportado de várias páginas pode ser diferente do que se vê no componente. Esse recurso foi lançado com a versão 9.4.1. Para obter mais informações, consulte o seguinte tópico na Ajuda ou no guia do produto: Exportar um componente Filtros Agora é possível definir a ordem de execução de regras de ASP ou de filtragem. Para as regras de ASP, também é possível definir vários formatos de hora personalizados para aumentar a probabilidade de que o formato de hora do log de ASP coincida. Quando você entra pela primeira vez no ESM, os filtros padrão agora incluem os campos usuário de origem, usuário de destino, endereço IP de origem e endereço IP de destino. É possível adicionar e excluir campos de filtragem, salvar conjuntos de filtros, alterar o conjunto padrão, gerenciar todos os filtros e iniciar o gerenciador de normalização de cadeia. Agora também é possível filtrar casos por detalhes de evento. Se tiver permissões de Administração de usuários, agora você poderá limitar conjuntos de filtros para outros grupos. Para obter mais informações, consulte os seguintes tópicos na Ajuda online ou no guia do produto: Definir ordem para regras de ASP e de filtragem Adicionar formato de hora a regras de ASP Filtragem de exibições Receptores HA Agora você pode escolher um Receptor primário de preferência ao configurar os Receptores HA em um modo primário e secundário. Nessa configuração, um Receptor age como o dispositivo ativo líder ou primário. O Receptor secundário monitora o primário continuamente. 5

Quando o secundário determina que o primário falhou, ele interrompe as operações do primário e assume sua função. Quando o primário é corrigido, ele se torna secundário ou se torna o primário novamente, dependendo da opção de primário de preferência selecionada. Antes de fazer upgrade, defina seu Receptor primário de preferência como Sem preferência, o que lhe permite usar a opção Failover. Após fazer upgrade dos dois Receptores, você poderá reaplicar seu Receptor primário de preferência. Para obter mais informações, consulte os seguintes tópicos na Ajuda online ou no guia do produto: Receptores de alta disponibilidade Redefinir dispositivos de HA Configurar dispositivos do Receptor de HA Alternar funções do Receptor de HA Reinicializar o dispositivo secundário Fazer upgrade de Receptores de HA Detalhes de endereço IP Se tiver uma licença do McAfee Global Threat Intelligence (McAfee GTI) e pesquisar detalhes do endereço IP, agora você poderá acessar detalhes sobre um endereço IP, incluindo gravidade de risco e dados de localização geográfica. Esse recurso foi lançado com a versão 9.4.1. Para obter mais informações, consulte os seguintes tópicos na Ajuda online ou no guia do produto: Exibir detalhes de endereço IP para um evento Realizar uma pesquisa de WHOIS ou ASN McAfee Threat Intelligence Services (MTIS) {0>McAfee Threat Intelligence Services (MTIS) and your system's vulnerability assessment sources generate a list of known threats.<}0{>o McAfee Threat Intelligence Services (MTIS) e as origens de avaliação de vulnerabilidade do sistema geram uma lista de ameaças conhecidas.<0} O ESM usa a gravidade dessas ameaças e a criticidade de cada ativo para calcular o nível de risco que essas ameaças representam para sua organização. Asset Manager: ao adicionar um ativo ao Asset Manager, você pode criar atribuir um nível de criticidade para representar a importância do ativo para sua organização. Por exemplo, se um único computador sem backup gerenciar sua instalação empresarial, a criticidade desse computador é alta. Mas, se vários computadores (cada um com seu próprio backup) gerenciarem a instalação, o nível de criticidade de cada computador é consideravelmente menor. Gerenciamento da ameaça: a guia Gerenciamento da ameaça no Asset Manager lista ameaças conhecidas, sua gravidade, o fornecedor do produto afetado e se ela está configurada para uso ao calcular o risco. É possível ativar ou desativar ameaças específicas para calcular o risco. Para cada ameaça listada, é possível exibir recomendações para lidar com a ameaça, bem como contramedidas a serem consideradas. 6

Exibições predefinidas: três novas exibições predefinidas resumem e exibem um ativo, uma ameaça e dados de risco: Resumo de ameaças de ativo: divide os principais ativos por pontuação de risco e níveis de ameaça e divide os níveis de ameaça por risco. Resumo de ameaças recentes: divide as ameaças recentes por fornecedor, risco, ativo e produtos de proteção disponíveis. Resumo de vulnerabilidade: divide as vulnerabilidades por ameaças e ativos. Se você criar uma exibição que inclua o componente Contagem de número total de vulnerabilidades ou Discagem, a contagem de vulnerabilidades poderá ser aumentada. O feed MTIS adiciona ameaças com base na vulnerabilidade original da origem de VA relatada. Para obter mais informações, consulte os seguintes tópicos na Ajuda online ou no guia do produto: Avaliação de ativos, ameaças e riscos Gerenciar ameaças conhecidas Gerenciar ativos Trabalhar com exibições do ESM Falhas de energia ou hardware Falhas de energia e hardware podem desativar o sistema sem aviso. Para receber alertas sobre uma falha iminente, agora você pode configurar os alarmes para serem disparados quando houver uma falha de energia no ESM. Você também pode configurar interceptações de SNMP para ser notificado de falhas gerais de hardware e falhas de energia no DAS. Esse recurso foi lançado com a versão 9.4.1. Para obter mais informações, consulte os seguintes tópicos na Ajuda online ou no guia do produto: Adicionar um alarme de notificação de falha de energia Configurar interceptação de SNMP para notificação de falha de energia Mapas de gravidade e ações Os mapas de gravidade e ações agora contêm os seguintes novos tipos de ação: 25 = alerta-rejeição 33 = infectado 26 = alerta-descarte 34 = mover 27 = alerta-sdrop 35 = mover-falha 28 = reiniciar 36 = quarentena 29 = bloquear 37 = quarentena-falha 30 = limpar 38 = remover-falha 31 = limpeza-falha 39 = negado 32 = continuar Integração do McAfee Threat Intelligence Exchange (TIE) O recurso TIE foi lançado com a versão 9.4.2. 7

Para obter mais informações, consulte os seguintes tópicos na Ajuda online ou no guia do produto: Integração do Threat Intelligence Exchange Exibir o histórico de execução do TIE e configurar ações Eventos de disparo Quando um alarme dispara, agora é possível exibir o evento que disparou o alarme. Também é possível personalizar os casos e os alarmes disparados para incluir a correspondência de campo e o evento interno em seu resumo. Esse recurso foi lançado com a versão 9.4.1. Para obter mais informações, consulte os seguintes tópicos na Ajuda online ou no guia do produto: Exibir e gerenciar alarmes disparados Personalizar resumo para casos e alarmes disparados Listas de observação Você pode criar uma lista de observação de origens na Internet que podem ser atualizadas periodicamente e que efetuam pull de feeds de ameaças automaticamente na lista de observação. Nessa lista de observação, você pode visualizar os dados a serem recuperados por meio da solicitação HTTP, bem como adicionar expressões regulares para filtrar esses dados. É necessário ter uma conexão com a Internet para fazer download das listas de observação do McAfee Global Threat Intelligence (McAfee GTI). Não é possível obtê-las por download off-line. Para obter mais informações, consulte o seguinte tópico na Ajuda ou no guia do produto: Criar uma lista de observação de origens da Internet Atualizações de documentação de produto Modo FIPS (Federal Information Processing Standard): as informações de FIPS na documentação do produto foram atualizadas. O tópico IDs de assinatura do monitor de integridade agora identifica o tipo, o dispositivo e a gravidade de cada ID. Guia de instalação: os diagramas de instalação para portas de rede foram atualizados. Ajuda online/guia do produto: o sumário foi reorganizado para ajudá-lo a encontrar informações rapidamente. Problemas resolvidos Estes problemas foram solucionados nesta versão do produto. Para obter a lista de problemas corrigidos em versões anteriores, consulte as Notas da versão daquela versão. Alarmes em tempo real no ESM pai causam problemas de desempenho A criação de um alarme em tempo real em um ESM pai agora dispara o alarme somente no Receptor pai sem disparar alarmes nos Receptores distribuídos correspondentes. O log do dispositivo do ELM exibe conflitos de bloqueio Quando você adiciona pools de armazenamento ao ELM, o log de dispositivos não exibe mais conflitos de bloqueio. 8

Alinhamento de título do relatório HTML Os relatórios HTML que você cria (Propriedades do ESM Relatórios) agora se aplicam corretamente a qualquer alinhamento de título definido (esquerda, direita ou centro). Limite de caracteres nos nomes de origem de dados O limite de caracteres de nomes de origem de dados aumentou para 100 caracteres. Caractere incorreto exibido ao exportar relatórios em japonês Na exportação de relatórios com o idioma japonês selecionado, a data agora exibe corretamente a faixa de 1 / 2, em vez de 1?? 2. Nenhuma linha de base para empilhar componentes Se você selecionar uma opção de empilhamento para agrupar campos na distribuição de evento, a linha de base agora será exibida corretamente. Sincronização de problemas com dispositivos do ESM redundantes Os dispositivos do ESM redundantes agora são sincronizados corretamente. Entradas de hosts conhecidas removidas para Alta disponibilidade As entradas de hosts conhecidas para Receptores de Alta disponibilidade agora são retidas permanentemente. A exportação de dados CSV nunca termina O ESM agora conclui com êxito as exportações de dados para arquivos CSV. Processo de sincronização do ESM redundante Não é mais possível interromper a sincronização de ESMs redundantes depois que ela começar. A alteração de origens de dados por CSV não remove todas as informações O ESM agora usa corretamente os arquivos CSV para remover origens de dados. Edição de origens de dados Aprender automaticamente O ESM agora aplica corretamente suas alterações aos tipos de origens de dados Aprender automaticamente. Problemas conhecidos Para obter a lista de problemas conhecidos desta versão, consulte o artigo do McAfee KnowledgeBase: KB83418. 9

Instruções de upgrade Para preparar o sistema para a versão de software 9.5.0, faça download dos arquivos de upgrade para o ESM, Nitro IPS, ACE, ADM, Database Event Monitor (DEM), Receptor, ELMERC, ELM e combo ESM/ Receptor. Depois, faça upgrade deles na ordem descrita. Para obter informações sobre como instalar os dispositivos, consulte o Guia de instalação do McAfee Enterprise Security Manager 9.5.0. Tarefas Download dos arquivos de upgrade na página 14 Quando o sistema estiver pronto para o upgrade, faça download dos arquivos de upgrade para o sistema local. Upgrade do sistema na página 15 É necessário fazer upgrade do ESM e de seus dispositivos em uma ordem específica, de acordo com o seu modo. Após fazer upgrade, regrave as configurações do dispositivo e distribua a política. Fazer upgrade do ESM, ESMREC ou ENMELM na página 17 Quando o sistema estiver pronto, você poderá fazer upgrade do ESM, do ESMREC ou do ENMELM para a versão 9.5.0. Upgrade de dispositivos na página 17 Se você não estiver no modo FIPS, faça upgrade do IPS, Event Receiver, ELM, ELM/Event Receiver, ACE, ADM e DEM após o upgrade do ESM. Se você estiver no modo FIPS, faça upgrade dos dispositivos antes do upgrade do ESM. Preparação para upgrade São necessários vários procedimentos antes de um upgrade. Consulte a lista de verificação do ESM para verificar se o ESM e os dispositivos estão em bom estado antes de iniciar o upgrade. Verifique se a reconstrução do banco de dados do ESM de uma compilação anterior (9.3.2 ou versões posteriores) foi concluída e se é possível agendar o período apropriado para interrupção de energia para o upgrade. Conclua o backup do banco de dados do ESM antes de iniciar o upgrade. Verifique se o subsistema soft raid está em execução com duas unidades ativas. Se você estiver executando o ESM 4245R, 5205R, 5510R ou 5750R; ESMREC 4245R, 5205R ou 5510R; ESMLM 4245R, 5205R ou 5510R, execute o comando cat/proc/mdstat de uma destas formas: No console do ESM, clique em Propriedades do sistema Gerenciamento de ESM Terminal, clique em Gravar e digite o comando. SSH no ESM. Conecte um monitor e um teclado ao dispositivo. Se o resultado for semelhante ao seguinte exemplo, isso significa que o raid está funcionando corretamente e que você pode prosseguir com o upgrade: Personalities : [raid1] md_d127 : active raid1 sda[0](w) sdb[1](w) 488386496 blocks [2/2][UU] Unused devices: <none> O código [UU] identifica unidades ativas. Se aparecer [_U] ou [U_], uma unidade não faz parte do raid. É necessário contatar o Suporte da McAfee antes de fazer upgrade. 10

Tipo de informação Tipos de dispositivo com suporte Remoção de dispositivo Detalhes O ESM, o ESM/Event Receiver (ESMREC) ou o ESM/Log Manager (ENMELM) se comunicam somente com os modelos de dispositivo 9.5.0. Para verificar o modelo de seu dispositivo, emita o comando cat /proc/cpuinfo. O resultado inclui o número da CPU na linha nome do modelo. A CPU deve ser uma destas: 1275 5450 2160 5645 2670 6300 3220 6400 5405 7500 5410 7542 5440 9400 Antes do upgrade do ESM, ESMREC ou ENMELM, todos os modelos de dispositivo especificados e endereços IPs virtuais para os modelos do Nitro IPS especificados devem ser removidos. Se isso não for feito, aparecerá uma mensagem na página Entrar, e o log da mensagem informando da ocorrência do problema e da falha do upgrade. Também haverá falha no upgrade do ESM, e serão inseridas notações no log de mensagens do dispositivo. Para remover um IPS virtual, selecione o dispositivo na árvore de navegação do sistema e clique no ícone Propriedades. Selecione Configuração de dispositivo Dispositivos virtuais, depois selecione os dispositivos virtuais existentes e clique em Remover. Clique em Gravar para gravar as configurações no IPS. É necessário distribuir a política do ESM 9.5.0, ESMREC ou ENMELM para o dispositivo IPS. Caso contrário, o IPS permanecerá em modo de desvio e nenhum tráfego será inspecionado. Tempo de reconstrução Caminhos de upgrade Upgrade de dispositivos do Receptor de HA O tempo de reconstrução das tabelas varia de acordo com o ESM, o ESMREC ou o ENMELM. Para agilizar o upgrade do banco de dados do ESM: Defina a duração da coleta de eventos, fluxos e logs com um tempo de pull maior, dando mais tempo para a reconstrução. No console do ESM, clique em Propriedades do sistema Eventos, fluxos e logse defina o Intervalo de verificação automática. Desative a coleta de eventos, fluxos e logs até a reconstrução terminar. Conclua essa etapa somente se o número de eventos e fluxos enviados ao ESM for baixo. No console do ESM, clique em Propriedades do sistema Eventos, fluxos e logse cancele a seleção de Intervalo de verificação automática. O tempo de reconstrução dos dispositivos é em torno de 45 minutos. É possível fazer upgrade diretamente da versão 9.5.0 para a versão 9.3.2 ou versões posteriores. O upgrade das versões anteriores à 9.3.2 deve seguir este caminho: 7.x.x > 8.2.x > 8.3.x > 8.4.2 > 8.5.6 > 9.0.2 > 9.2.1 > 9.3.2 ou versões posteriores > 9.5.0 Para fazer upgrade de dispositivos do Receptor de HA, é preciso primeiro verificar o status de Alta disponibilidade do Receptor. Consulte Verificar o status de alta disponibilidade do Receptor na Ajuda on-line do ESM. 11

Situações especiais de upgrade Em algumas situações, convém executar procedimentos adicionais antes ou após o upgrade. Situação Instalação de um novo modelo do McAfee ESM Obtenção de atualizações de regras off-line Ação Ao instalar um novo modelo do McAfee ESM, registre seu hardware em 30 dias para ter certeza de que receberá atualizações de política, analisador e regra como parte do contrato de manutenção. Se não registrá-lo, você não poderá receber upgrades. Para obter seu nome do usuário e senha permanentes, envie um e-mail para Licensing@McAfee.com contendo as seguintes informações: número de concessão da McAfee, nome da conta, endereço, nome de contato e endereço de e-mail de contato. 1 Acesse http://www.mcafee.com/us/downloads/downloads.aspx. 2 No canto superior direito, clique em Baixar meus produtos e clique em Ir. 3 Insira seu número de concessão, digite as letras exibidas e clique em Enviar. 4 Clique em MFE Enterprise Security Manager, depois clique em Downloads de regras do MFE Nitro. 5 Leia o contrato de licença e clique em Concordo. Os arquivos de atualização disponíveis aparecem de acordo com a versão do ESM. 6 Faça download das regras para a versão do seu ESM. Resolução de problemas de comunicação de dispositivo Se você tiver feito upgrade de um dispositivo da McAfee (não o ESM), poderá aparecer a mensagem É necessário fazer upgrade do dispositivo para 9.5.0 para que a operação seja executada. Verifique se o ESM tem a versão correta. 1 No console do ESM, selecione o dispositivo na árvore de navegação do sistema e o ícone Propriedades. 2 Clique em Conexão e em Status. A versão será atualizada. 3 Tente novamente a operação que resultou na mensagem. 12

Situação Upgrade de um ESM redundante Ação É preciso fazer upgrade do ESM primário primeiro e depois fazer upgrade do ESM redundante, exatamente como descrito. 1 Na árvore de navegação do sistema, selecione o ESM primário e clique no ícone Propriedades. 2 Clique em Eventos, fluxos e logs e desmarque a opção Intervalo de verificação automática. 3 No ESM primário, use uma conexão segura de SSH para confirmar se os arquivos de alerta não estão sendo processados executando o seguinte comando: ll /usr/local/ess/dbredund/ 4 Se não existirem arquivos de alerta na página, faça upgrade do ESM primário. 5 No ESM redundante, use uma conexão segura de SSH para confirmar se os arquivos de alerta não estão sendo processados executando o seguinte comando: ll /usr/local/ess/dbredundprimarytransfer/ 6 Se não existirem arquivos de alerta na página, faça upgrade do ESM redundante. 7 Após fazer upgrade do ESM redundante, reative a coleta de eventos, fluxos e logs no ESM primário. Outra maneira de verificar se o ESM redundante terminou o processamento de alertas é usar uma conexão segura de SSH para executar o comando top. Verifique se nenhum processo de inserção de evento está em execução (consulte os itens em negrito). 12169 root 20 0 6031m 4.5g 9700 S 0 4.8 58:37.20 cp Job31 idle 12170 root 20 0 6031m 4.5g 9700 S 0 4.8 73:51.55 cp Job32 idle 12171 root 20 0 6031m 4.5g 9700 S 0 4.8 62:37.59 cp Job33 idle 12172 root 20 0 6031m 4.5g 9700 S 0 4.8 69:39.24 cp Job34 idle 12173 root 20 0 6031m 4.5g 9700 S 0 4.8 2:32.00 cp Backup 12174 root 20 0 6031m 4.5g 9700 S 0 4.8 0:00.72 cp RedundantInsert McAfee epo com Policy Auditor Se o dispositivo McAfee epo já estiver no ESM, será preciso atualizá-lo. 1 Se você não estiver em um dispositivo todos-em-um, faça upgrade do Receptor ao qual o dispositivo McAfee epo está conectado. 2 No console do ESM, clique em Propriedades de epo Gerenciamento de dispositivose clique em Atualizar. É possível definir a recuperação automática na guia Gerenciamento de dispositivos 3 No console do ESM, clique em Propriedades do Receptor e clique na guia Avaliação de vulnerabilidade (VA). 4 Clique em Gravar. 5 Repita a etapa 2 para obter dados de VA no ESM. A atualização registra o Policy Auditor como origem de VA, que por sua vez permite que o Policy Auditor seja gravado em vathirdparty.conf. 6 Efetue o logout do console do ESM e efetue login novamente. 13

Situação Fazer upgrade de Receptores de Alta disponibilidade (HA) Reconstrução do banco de dados de gerenciamento do ELM Ação Antes de fazer upgrade, defina o Receptor primário de preferência como Sem preferência, o que lhe permite usar a opção Failover. O upgrade dos dois Receptores é feito em sequência, começando pelo Receptor secundário. Após fazer upgrade dos dois Receptores, você poderá reaplicar seu Receptor primário de preferência. A indexação do banco de dados de gerenciamento do ELM pode requerer tempo adicional, dependendo do modelo do ELM. Por exemplo, o número de pools que você possui, a quantidade de dados enviados de dispositivos de log e a largura de banda de rede se usar armazenamento remoto podem aumentar o tempo necessário para concluir a indexação. No entanto, essa tarefa em segundo plano tem impacto mínimo no desempenho e, quando concluída, aprimora a consulta de dados históricos. Para verificar o status da reconstrução, acesse Propriedades do ELM Informações do ELM. Se a mensagem O banco de dados está sendo reconstruído aparecer no campo Status ativo, NÃO interrompa ou inicie o banco de dados do ELM. O sistema indexa todos os dados novos do ELM no dispositivo de envio antes de enviar os dados ao ELM. Se houver Receptores entrando no ELM e eles estiverem próximos da capacidade máxima, contate o Suporte. Upgrade de um ELM redundante É preciso fazer upgrade do ELM de espera primeiro e depois fazer upgrade do ELM ativo. O processo de upgrade suspende a redundância do ELM. Após fazer upgrade de ambos os ELMs, será necessário reiniciar a redundância do ELM. 1 Faça upgrade do ELM de espera. 2 Depois, faça upgrade do ELM ativo. 3 Na árvore de navegação do sistema, selecione o ELM de espera e acesse Propriedades do ELM Redundância do ELM. Clique em Retomar serviço. 4 Acesse Propriedades do ELM Informações do ELM e clique em Atualizar. Os ELMs ativos e de espera deverão exibir o status OK. Se o ELM de espera exibir o status Não está OK, clique em Atualizar novamente. Após alguns minutos, o status do ELM de espera deverá mudar para OK, rsync do ELM redundante está 100% concluído. Talvez seja necessário clicar em Atualizar várias vezes. Download dos arquivos de upgrade Quando o sistema estiver pronto para o upgrade, faça download dos arquivos de upgrade para o sistema local. Tarefa 1 No site de Downloads de produtos da McAfee em http://www.mcafee.com/us/downloads/ downloads.aspx, insira seu número de concessão de cliente no campo Baixar meus produtos e clique em Pesquisar. 2 Selecione o dispositivo para o upgrade. 3 Selecione o link correto (MFE <nome do dispositivo> v9.5.0), leia o EULA da McAfee e clique em Concordo. 14

4 Faça download destes arquivos para o sistema local: Para o dispositivo McAfee Enterprise Security Manager (ESM ou ETM): ESS_Update_9.5.0.tgz. Para o dispositivo McAfee Enterprise Security Manager e o Log Manager (ENMELM ou ESMREC): ESSREC_Update_9.5.0.tgz. Para o dispositivo McAfee Nitro Intrusion Prevention System (Nitro IPS ou NTP): IPS_Update_9.5.0.tgz. Para o dispositivo McAfee Event Receiver (ERC ou ELMERC): RECEIVER_Update_9.5.0.tgz. Para o dispositivo McAfee Database Event Monitor (DEM): DBM_Update_9.5.0.tgz. Para o dispositivo McAfee Advanced Correlation Engine (ACE): RECEIVER_Update_9.5.0.tgz. Para o dispositivo McAfee Enterprise Log Manager (ELM): RECEIVER_Update_9.5.0.tgz. Para o dispositivo McAfee Application Data Monitor (ADM): APM_Update_9.5.0.tgz. Esses arquivos já estão prontos para serem usados no upgrade do ESM e dos dispositivos. Upgrade do sistema É necessário fazer upgrade do ESM e de seus dispositivos em uma ordem específica, de acordo com o seu modo. Após fazer upgrade, regrave as configurações do dispositivo e distribua a política. Antes de iniciar Leia Preparação para upgrade e Situações especiais de upgrade. Verifique se o sistema está executando a versão 9.3.2 ou versões posteriores. Se você tiver feito upgrade para a versão 9.3.2 recentemente, verifique se a reconstrução do banco de dados foi concluída. Tarefa 1 Faça upgrade dos dispositivos nesta ordem. Para obter detalhes sobre como fazer upgrade do ESM e dos dispositivos, consulte Fazer upgrade do ESM, do ESMREC ou do ENMELM e Fazer upgrade de dispositivos. 15

Modo Ordem Não FIPS 1 Faça upgrade do ESM, ESMREC ou ENMELM. 2 Aguarde a compilação do banco de dados. 3 Faça upgrade do ELM ou do ELMERC. 4 Faça upgrade do Nitro IPS, Event Receiver, ACE, DEM e ADM. Se você estiver fazendo upgrade de um ESM redundante, consulte Upgrade de um ESM redundante em Situações especiais de upgrade. FIPS 1 Faça upgrade do ELM ou do ELMERC. 2 Faça upgrade do Nitro IPS, Event Receiver, ACE, DEM e ADM. 3 Faça upgrade do ESM, ESMREC ou ENMELM. Você pode começar quando todos os upgrades de dispositivo começarem. Não fazer upgrade dos dispositivos antes do upgrade do ESM no modo FIPS pode afetar a coleta de registros do ELM. 2 Verifique se há comunicação com os dispositivos. 3 Faça download da atualização de regras manuais para o ESM (consulte Obtenção de atualizações de regra off-line na seção Situações de upgrade especiais deste documento). 4 Aplique as regras atualizadas. a Na árvore de navegação do sistema, selecione o sistema e clique no ícone Propriedades. b c Na página Informações do sistema, clique em Atualização de regras e em Atualização manual. Procure o arquivo de atualização, clique em Fazer upload e em OK. 5 Siga esse processo para regravar as configurações de cada dispositivo e garantir que todas as configurações da versão 9.5.0 sejam aplicadas. a No console do ESM, selecione o dispositivo na árvore de navegação do sistema e clique no ícone Propriedades. b Siga estes procedimentos para cada dispositivo. Tipo de dispositivo Event Receiver ou combinação ESM/ Event Receiver ACE Nitro IPS, DEM ou ADM Processo Para origens de dados: clique em Origens de dados Gravar. Para origens VA: clique em Avaliação de vulnerabilidade Gravar. Para correlação de risco: clique em Gerenciamento de correlação de risco Gravar. Para correlação histórica: clique em Histórico Ativar correlação histórica Aplicar. Se já estiver selecionada, clique em Aplicar. Para correlação de regras: clique em Correlação de regras, selecione Ativar correlação de regras e clique em Aplicar. Se a opção já estiver selecionada, desmarque-a, selecione-a novamente e clique em Aplicar. Para dispositivos virtuais (IPS e ADM): Clique em Dispositivos virtuais Gravar. Para servidores de banco de dados: clique em Servidores de banco de dados Gravar. 16

6 Distribua a política para todos os dispositivos que passaram por upgrade. Após a distribuição em um dispositivo Nitro IPS, retire o dispositivo do modo de desvio em Configuração do dispositivo Interfaces. 7 Se um você tiver um ELM ou ELMERC que colete registros de algum dispositivo, sincronize o ELM (Propriedades do dispositivo Configuração do dispositivo Sincronizar ELM). Fazer upgrade do ESM, ESMREC ou ENMELM Quando o sistema estiver pronto, você poderá fazer upgrade do ESM, do ESMREC ou do ENMELM para a versão 9.5.0. Antes de iniciar Leia o documento integralmente e verifique se todos os dispositivos conectados ao ESM têm suporte na versão 9.5.0 (consulte Tipos de dispositivos com suporte em Preparação para fazer upgrade). Tarefa Para obter definições de opções, clique em? na interface. 1 No console do ESM, selecione o dispositivo ESM e clique no ícone Propriedades. 2 Selecione Gerenciamento de ESM e clique em Atualizar ESM. 3 Na página Selecionar arquivo de atualização de software, procure um destes arquivos. Tipo de dispositivo Enterprise Security Manager Independente (ESM) Enterprise Security Manager com um Receptor incorporado (ESMREC) Enterprise Security Manager com um Receptor incorporado e Enterprise Log Manager (ENMELM), também conhecido como Caixa de combinação Arquivo ESS_Update_9.5.0.tgz ESSREC_Update_9.5.0.tgz ESSREC_Update_9.5.0.tgz 4 Selecione o arquivo e clique em Fazer upload. Você será informado de que o ESM será reiniciado e haverá perda de conexão para todos os usuários. 5 Clique em Sim para continuar e, quando solicitado a fechar o navegador, clique em OK. O upgrade será realizado, podendo levar várias horas. 6 Após concluir o upgrade, efetue logon no console novamente em outra sessão do navegador. Upgrade de dispositivos Se você não estiver no modo FIPS, faça upgrade do IPS, Event Receiver, ELM, ELM/Event Receiver, ACE, ADM e DEM após o upgrade do ESM. Se você estiver no modo FIPS, faça upgrade dos dispositivos antes do upgrade do ESM. Antes de iniciar Leia este documento integralmente e verifique se todos os dispositivos são compatíveis com a versão 9.5.0 (consulte Tipos de dispositivo com suporte em Preparação para upgrade). 17

Tarefa Para obter definições de opções, clique em? na interface. 1 No console do ESM, selecione o dispositivo para upgrade e clique no ícone Propriedades. 2 Clique na opção Gerenciamento do dispositivo e em Atualizar dispositivo. 3 Na página Selecionar arquivo de atualização de software, procure um destes arquivos: Tipo de dispositivo IPS Event Receiver ELM Combinação de ELM/Event Receiver ACE DEM ADM ESS VM Arquivo IPS_Update_9.5.0.tgz Receiver_Update_9.5.0.tgz DBM_Update_9.5.0.tgz APM_Update_9.5.0.tgz Os upgrades para este dispositivo não estão mais disponíveis. Contate o setor de Vendas da McAfee para comprar um novo modelo do ESM VM. 4 Selecione o arquivo e clique em Fazer upload. 5 Na página Atualizar software do dispositivo, clique em Sim para continuar. O arquivo será carregado e o dispositivo, reiniciado. 6 Assim que a comunicação reiniciar, verifique a versão do dispositivo. Localizar a documentação do produto Após o lançamento de um produto, as informações adicionais sobre ele são introduzidas no Centro de conhecimento online da McAfee. Tarefa 1 Acesse a guia Knowledge Center do ServicePortal da McAfee em http://support.mcafee.com. 2 No painel Base de conhecimento, clique em uma fonte de conteúdos: Documentação do produto para encontrar a documentação do usuário Artigos técnicos para encontrar artigos da Base de conhecimento 3 Selecione Não limpar meus filtros. 4 Insira um produto, selecione uma versão, e clique em Pesquisar para exibir uma lista de documentos. 18

Documentação do produto Todos os produtos da McAfee têm documentação abrangente. Você pode acessar informações do produto McAfee ESM localizadas pela Ajuda online do ESM ou pelo Knowledge Center. Acesso à Ajuda localizada Ao entrar no ESM, você pode alterar a configuração de idioma, que também altera o idioma usado na Ajuda online. 1 Entre no ESM. 2 No painel de navegação do sistema do console do ESM, clique em Opções. 3 Selecione um idioma na lista suspensa Idioma e clique em OK. 4 Para acessar a ajuda, clique no ícone da ajuda no canto superior direito das janelas do ESM ou clique no menu Ajuda no console do ESM. A Ajuda online exibe o idioma selecionado. Se a ajuda aparecer somente em inglês, isso significa que a ajuda localizada ainda não está disponível. Uma atualização futura instalará a ajuda localizada. Acesso a guias localizados no Knowledge Center 1 Localize sua ID de concessão e entre na página Downloads de produtos do MFE Enterprise Security Manager. 2 Clique no link ESM Documentação do produto v9.5.0. 3 Selecione o idioma na caixa suspensa Idioma. 4 Clique no link apropriado para abrir o Guia do produto (gp), o Guia de instalação (gi) ou as Notas de versão (nv) localizados. Copyright 2015 McAfee, Inc. www.intelsecurity.com Intel e o logotipo da Intel são marcas comerciais ou marcas registradas da Intel Corporation. McAfee e o logotipo da McAfee são marcas comerciais ou marcas registradas da McAfee, Inc. Outros nomes e marcas podem ser propriedade de terceiros.

2026 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback