mcafee enterprise security manager 9.6 · que acompaÑan al paquete de software, o que haya...

Gua del producto

McAfee Enterprise Security Manager 9.6.0

COPYRIGHT

2016 Intel Corporation

ATRIBUCIONES DE MARCAS COMERCIALESIntel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros pases. McAfee y el logotipo de McAfee,McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global ThreatIntelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfeeTechMaster, McAfee Total Protection, TrustedSource y VirusScan son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de susempresas filiales en EE. UU. y en otros pases. Los dems nombres y marcas pueden ser reclamados como propiedad de otros.

INFORMACIN DE LICENCIA

Acuerdo de licenciaAVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULALOS TRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QU TIPO DE LICENCIA HA ADQUIRIDO,CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIN DE LA LICENCIA O CON LA ORDEN DE COMPRAQUE ACOMPAAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UNARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARG EL PAQUETE DE SOFTWARE). SI NOACEPTA TODOS LOS TRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE OAL LUGAR DONDE LO ADQUIRI CON EL FIN DE OBTENER SU REEMBOLSO NTEGRO.

2 McAfee Enterprise Security Manager 9.6.0 Gua del producto

Contenido

Prefacio 9Acerca de esta gua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Bsqueda de documentacin de productos . . . . . . . . . . . . . . . . . . . . . . . 10Bsqueda de informacin localizada . . . . . . . . . . . . . . . . . . . . . . . 10Preguntas ms frecuentes . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

1 Introduccin 13Cmo funciona McAfee Enterprise Security Manager . . . . . . . . . . . . . . . . . . . . 13Los dispositivos y sus funciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Uso de la Ayuda de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Preguntas ms frecuentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Bsqueda de informacin localizada . . . . . . . . . . . . . . . . . . . . . . . . . . 16

2 Primeros pasos 19Requisitos de hardware y software . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Acerca del modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Informacin sobre el modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . 21Seleccin del modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Comprobacin de integridad de FIPS . . . . . . . . . . . . . . . . . . . . . . . 22Adicin de un dispositivo con clave aplicada en el modo FIPS . . . . . . . . . . . . . 24Solucin de problemas del modo FIPS . . . . . . . . . . . . . . . . . . . . . . 27

Configuracin evaluada segn los Criterios comunes . . . . . . . . . . . . . . . . . . . 28Inicio y cierre de sesin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Personalizacin de la pgina de inicio de sesin . . . . . . . . . . . . . . . . . . . . . 30Actualizacin del software de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . 31Obtencin y adicin de credenciales de actualizacin de reglas . . . . . . . . . . . . . . . 32Comprobacin de la existencia de actualizaciones de reglas . . . . . . . . . . . . . . . . . 32Cambio de idioma de los registros de eventos . . . . . . . . . . . . . . . . . . . . . . 33Conexin de los dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Adicin de dispositivos a la consola de ESM . . . . . . . . . . . . . . . . . . . . 34Seleccin de un tipo de pantalla . . . . . . . . . . . . . . . . . . . . . . . . . 35Administracin de tipos de pantallas personalizadas . . . . . . . . . . . . . . . . . 35

Preferencias de la consola . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36La consola de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Uso del tema de color de la consola . . . . . . . . . . . . . . . . . . . . . . . 38Seleccin de las opciones de visualizacin de la consola . . . . . . . . . . . . . . . 39Establecimiento del valor de tiempo de espera de la consola . . . . . . . . . . . . . 40

3 Configuracin del ESM 41Administracin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Visualizacin de informacin de dispositivo . . . . . . . . . . . . . . . . . . . . 44Acerca de las claves de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . 48Actualizacin del software en un dispositivo . . . . . . . . . . . . . . . . . . . . 54

McAfee Enterprise Security Manager 9.6.0 Gua del producto 3

Organizacin de los dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . 55Administracin de varios dispositivos . . . . . . . . . . . . . . . . . . . . . . . 68Administracin de vnculos de URL para todos los dispositivos . . . . . . . . . . . . . 69Visualizacin de informes de resumen de dispositivos . . . . . . . . . . . . . . . . 70Visualizacin de un registro de sistema o dispositivo . . . . . . . . . . . . . . . . 71Informes de estado de mantenimiento de los dispositivos . . . . . . . . . . . . . . 73Eliminacin de un grupo o dispositivo . . . . . . . . . . . . . . . . . . . . . . 76Actualizacin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . 76

Configuracin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76Configuracin de Event Receiver . . . . . . . . . . . . . . . . . . . . . . . . 78Configuracin de Enterprise Log Manager (ELM) . . . . . . . . . . . . . . . . . . 151Configuracin de Advanced Correlation Engine (ACE) . . . . . . . . . . . . . . . . 177Configuracin de Application Data Monitor (ADM) . . . . . . . . . . . . . . . . . 184Configuracin de Database Event Monitor (DEM) . . . . . . . . . . . . . . . . . 201Configuracin del ESM distribuido (DESM) . . . . . . . . . . . . . . . . . . . . 215Configuracin de ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . 216Configuracin de Nitro Intrusion Prevention System (Nitro IPS) . . . . . . . . . . . . 224Configuracin de McAfee Vulnerability Manager . . . . . . . . . . . . . . . . . . 232Configuracin de McAfee Network Security Manager . . . . . . . . . . . . . . . . 233

Configuracin de los servicios auxiliares . . . . . . . . . . . . . . . . . . . . . . . . 236Informacin general del sistema . . . . . . . . . . . . . . . . . . . . . . . . 236Opciones de configuracin del servidor de Remedy . . . . . . . . . . . . . . . . . 237Detencin de la actualizacin automtica del rbol de sistemas de ESM . . . . . . . . 238Definicin de la configuracin de los mensajes . . . . . . . . . . . . . . . . . . 239Configuracin de NTP en un dispositivo . . . . . . . . . . . . . . . . . . . . . 241Configuracin de las opciones de red . . . . . . . . . . . . . . . . . . . . . . 243Sincronizacin de la hora del sistema . . . . . . . . . . . . . . . . . . . . . . 263Instalacin de un nuevo certificado . . . . . . . . . . . . . . . . . . . . . . . 265Configuracin de perfiles . . . . . . . . . . . . . . . . . . . . . . . . . . . 266Configuracin de SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269

Administracin de la base de datos . . . . . . . . . . . . . . . . . . . . . . . . . . 278Configuracin del almacenamiento de datos de ESM . . . . . . . . . . . . . . . . 279Configuracin del almacenamiento de datos de mquina virtual de ESM . . . . . . . . 279Aumento del nmero de ndices de acumulacin disponibles . . . . . . . . . . . . . 280Configuracin de un archivo de particiones inactivas . . . . . . . . . . . . . . . . 280Configuracin de lmites de retencin de datos . . . . . . . . . . . . . . . . . . 281Definicin de los lmites de asignacin de datos . . . . . . . . . . . . . . . . . . 282Administracin de la configuracin de ndice de la base de datos . . . . . . . . . . . 283Administracin de la indizacin de acumulacin . . . . . . . . . . . . . . . . . . 284Visualizacin de la utilizacin de memoria de la base de datos . . . . . . . . . . . . 285

Uso de usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286Adicin de un usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287Seleccin de la configuracin de usuario . . . . . . . . . . . . . . . . . . . . . 289Configuracin de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . 290Configuracin de credenciales para McAfee ePO . . . . . . . . . . . . . . . . . . 299Desactivacin o reactivacin de usuarios . . . . . . . . . . . . . . . . . . . . . 300Autenticacin de usuarios mediante un servidor LDAP . . . . . . . . . . . . . . . 300Configuracin de grupos de usuarios . . . . . . . . . . . . . . . . . . . . . . 301Adicin de un grupo con acceso limitado . . . . . . . . . . . . . . . . . . . . . 307

Copia de seguridad y restauracin de la configuracin del sistema . . . . . . . . . . . . . 308Copias de seguridad de la configuracin y los datos de sistema de ESM . . . . . . . . 309Restauracin de la configuracin de ESM . . . . . . . . . . . . . . . . . . . . . 310Restauracin de archivos de configuracin con copias de seguridad . . . . . . . . . . 311Uso de los archivos de copia de seguridad en ESM . . . . . . . . . . . . . . . . . 312Administracin del mantenimiento de archivos . . . . . . . . . . . . . . . . . . 312

ESM redundante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313

Contenido


Configuracin de un ESM redundante . . . . . . . . . . . . . . . . . . . . . . 313Sustitucin de un ESM redundante . . . . . . . . . . . . . . . . . . . . . . . 315Desactivacin de las consultas compartidas . . . . . . . . . . . . . . . . . . . . 316

Administracin de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316Administracin de registros . . . . . . . . . . . . . . . . . . . . . . . . . . 319Enmascaramiento de direcciones IP . . . . . . . . . . . . . . . . . . . . . . . 321Configuracin del registro de ESM . . . . . . . . . . . . . . . . . . . . . . . 323Exportacin y restauracin de claves de comunicacin . . . . . . . . . . . . . . . 323Regeneracin de una clave SSH . . . . . . . . . . . . . . . . . . . . . . . . 324Administrador de tareas de consultas . . . . . . . . . . . . . . . . . . . . . . 324Administracin de consultas en ejecucin en ESM . . . . . . . . . . . . . . . . . 325Actualizacin de un ESM principal o redundante . . . . . . . . . . . . . . . . . . 325Acceso a un dispositivo remoto . . . . . . . . . . . . . . . . . . . . . . . . 326Utilizacin de comandos de Linux . . . . . . . . . . . . . . . . . . . . . . . . 327Comandos de Linux disponibles . . . . . . . . . . . . . . . . . . . . . . . . 328

Uso de una lista negra global . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329Establecimiento de una lista negra global . . . . . . . . . . . . . . . . . . . . 329

Enriquecimiento de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331Adicin de orgenes de enriquecimiento de datos . . . . . . . . . . . . . . . . . 332Configuracin del enriquecimiento de datos de McAfee Real Time for McAfee ePO

. . . . 336Adicin de un origen de enriquecimiento de datos de Hadoop HBase . . . . . . . . . 336Adicin de un origen de enriquecimiento de datos de Hadoop Pig . . . . . . . . . . . 337Adicin de enriquecimiento de datos de Active Directory para nombres de usuario . . . . 338

4 Administracin de Cyber Threat 341Configuracin de la administracin de Cyber Threat . . . . . . . . . . . . . . . . . . . 341Visualizacin de resultados de fuentes de Cyber Threat . . . . . . . . . . . . . . . . . . 342Tipos de indicadores compatibles . . . . . . . . . . . . . . . . . . . . . . . . . . . 343Errores en la carga manual de un archivo IOC STIX XML . . . . . . . . . . . . . . . . . 344

5 Uso de paquetes de contenido 345Importacin de paquetes de contenido . . . . . . . . . . . . . . . . . . . . . . . . 345

6 Flujo de trabajo de alarmas 347Preparacin para la creacin de alarmas . . . . . . . . . . . . . . . . . . . . . . . . 347

Configuracin de mensajes de alarma . . . . . . . . . . . . . . . . . . . . . . 347Administracin de archivos de audio para las alarmas . . . . . . . . . . . . . . . 353

Creacin de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353Activacin o desactivacin de la supervisin de alarmas . . . . . . . . . . . . . . . 354Cmo copiar una alarma . . . . . . . . . . . . . . . . . . . . . . . . . . . 354Creacin de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355

Supervisin y respuesta para alarmas . . . . . . . . . . . . . . . . . . . . . . . . . 359Visualizacin y administracin de alarmas activadas . . . . . . . . . . . . . . . . 360Administracin de la cola de informes de alarma . . . . . . . . . . . . . . . . . 362

Ajuste de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363Creacin de alarmas UCAPL . . . . . . . . . . . . . . . . . . . . . . . . . . 364Adicin de alarmas de eventos del monitor de estado . . . . . . . . . . . . . . . 366Adicin de una alarma de Coincidencia de campo . . . . . . . . . . . . . . . . . 375Resumen personalizado para alarmas activadas y casos . . . . . . . . . . . . . . . 378Adicin de una alarma a las reglas . . . . . . . . . . . . . . . . . . . . . . . 378Creacin de capturas SNMP a modo de acciones de alarma . . . . . . . . . . . . . 379Adicin de una alarma de notificacin sobre fallos de alimentacin . . . . . . . . . . 380Administracin de orgenes de datos no sincronizados . . . . . . . . . . . . . . . 380

7 Uso de los eventos 383Eventos, flujos y registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383

Contenido


Configuracin de descargas de eventos, flujos y registros . . . . . . . . . . . . . . 384Limitacin del tiempo de recopilacin de datos . . . . . . . . . . . . . . . . . . 385Definicin de la configuracin de umbral de inactividad . . . . . . . . . . . . . . . 386Obtencin de eventos y flujos . . . . . . . . . . . . . . . . . . . . . . . . . 387Comprobacin de eventos, flujos y registros . . . . . . . . . . . . . . . . . . . 388Definicin de la configuracin de geolocalizacin y ASN . . . . . . . . . . . . . . . 390Agregacin de eventos o flujos . . . . . . . . . . . . . . . . . . . . . . . . . 391Configuracin del reenvo de eventos . . . . . . . . . . . . . . . . . . . . . . 395

Administracin de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404Establecimiento del mes de inicio para los informes trimestrales . . . . . . . . . . . 405Adicin de un informe . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405Adicin de un diseo de informe . . . . . . . . . . . . . . . . . . . . . . . . 408Inclusin de una imagen en los PDF y los informes . . . . . . . . . . . . . . . . . 411Adicin de una condicin de informe . . . . . . . . . . . . . . . . . . . . . . 411Visualizacin de los nombres de hosts en un informe . . . . . . . . . . . . . . . . 413

Descripcin de los filtros contains y regex . . . . . . . . . . . . . . . . . . . . . . . 413Uso de las vistas de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417

Uso de las vistas de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . 417Visualizacin de detalles de sesin . . . . . . . . . . . . . . . . . . . . . . . 418Barra de herramientas de vistas . . . . . . . . . . . . . . . . . . . . . . . . 418Vistas predefinidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419Adicin de una vista personalizada . . . . . . . . . . . . . . . . . . . . . . . 423Componentes de vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423Uso del Asistente de consultas . . . . . . . . . . . . . . . . . . . . . . . . . 435Administracin de vistas . . . . . . . . . . . . . . . . . . . . . . . . . . . 441Bsqueda alrededor de un evento . . . . . . . . . . . . . . . . . . . . . . . 442Visualizacin de los detalles de direccin IP de un evento . . . . . . . . . . . . . . 443Cambio de la vista predeterminada . . . . . . . . . . . . . . . . . . . . . . . 444Filtrado de vistas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444Listas de control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450Normalizacin de cadenas . . . . . . . . . . . . . . . . . . . . . . . . . . . 456

Filtros de tipos personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458Creacin de tipos personalizados . . . . . . . . . . . . . . . . . . . . . . . . 460Tabla de tipos personalizados predefinidos . . . . . . . . . . . . . . . . . . . . 461Adicin de tipos personalizados de tiempo . . . . . . . . . . . . . . . . . . . . 461Tipos personalizados de nombre/valor . . . . . . . . . . . . . . . . . . . . . . 462Adicin de un tipo personalizado de grupo de nombre/valor . . . . . . . . . . . . . 462

Bsquedas de McAfee

Active Response . . . . . . . . . . . . . . . . . . . . . . . . 463Ejecucin de una bsqueda de Active Response . . . . . . . . . . . . . . . . . . 463Administracin de los resultados de las bsquedas de Active Response . . . . . . . . . 464Adicin de un origen de enriquecimiento de datos de Active Response . . . . . . . . . 466Adicin de una lista de vigilancia de Active Response . . . . . . . . . . . . . . . . 466

Visualizacin de la hora del evento . . . . . . . . . . . . . . . . . . . . . . . . . . 467

8 Administracin de casos 469Adicin de un caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469Creacin de un caso a partir de un evento . . . . . . . . . . . . . . . . . . . . . . . 470Adicin de eventos a un caso existente . . . . . . . . . . . . . . . . . . . . . . . . 470Edicin o cierre de un caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472Visualizacin de detalles de casos . . . . . . . . . . . . . . . . . . . . . . . . . . 473Adicin de niveles de estado de casos . . . . . . . . . . . . . . . . . . . . . . . . . 475Envo de casos por correo electrnico . . . . . . . . . . . . . . . . . . . . . . . . . 476Visualizacin de todos los casos . . . . . . . . . . . . . . . . . . . . . . . . . . . 476Generacin de informes de administracin de casos . . . . . . . . . . . . . . . . . . . 477

Contenido


9 Uso de Asset Manager 479Administracin de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480

Definicin de activos antiguos . . . . . . . . . . . . . . . . . . . . . . . . . 483Establecimiento de la administracin de configuracin . . . . . . . . . . . . . . . . . . 483

Administracin de archivos de configuracin recuperados . . . . . . . . . . . . . . 485Descubrimiento de la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485

Descubrimiento de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485Administracin de la lista de exclusiones de IP . . . . . . . . . . . . . . . . . . 489Descubrimiento de endpoints . . . . . . . . . . . . . . . . . . . . . . . . . 490Visualizacin de un mapa de la red . . . . . . . . . . . . . . . . . . . . . . . 490Cambio del comportamiento de Descubrimiento de red . . . . . . . . . . . . . . . 490

Orgenes de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491Administracin de orgenes de activos . . . . . . . . . . . . . . . . . . . . . . 492

Administracin de orgenes de evaluacin de vulnerabilidades . . . . . . . . . . . . . . . 493Administracin de zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494

Administracin de las zonas . . . . . . . . . . . . . . . . . . . . . . . . . . 495Adicin de una zona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496Exportacin de la configuracin de zonas . . . . . . . . . . . . . . . . . . . . . 497Importacin de la configuracin de zonas . . . . . . . . . . . . . . . . . . . . 497Adicin de una subzona . . . . . . . . . . . . . . . . . . . . . . . . . . . 499

Evaluacin de activos, amenazas y riesgo . . . . . . . . . . . . . . . . . . . . . . . 500Administracin de amenazas conocidas . . . . . . . . . . . . . . . . . . . . . . . . 501

10 Administracin de directivas y reglas 503Descripcin del Editor de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . 503El rbol de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505

Administracin de directivas en el rbol de directivas . . . . . . . . . . . . . . . . 505Tipos de reglas y sus propiedades . . . . . . . . . . . . . . . . . . . . . . . . . . 509

Variables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 510Reglas de preprocesador . . . . . . . . . . . . . . . . . . . . . . . . . . . 514Reglas de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515Reglas de inspeccin profunda de paquetes (DPI) . . . . . . . . . . . . . . . . . 519Reglas internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521Reglas de filtrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522Reglas del analizador de syslog avanzado (ASP) . . . . . . . . . . . . . . . . . . 524Reglas de origen de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . 530Reglas de eventos de Windows . . . . . . . . . . . . . . . . . . . . . . . . . 532Reglas de ADM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532Reglas de DEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534Reglas de correlacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . 540Adicin de reglas de correlacin, base de datos o ADM personalizadas . . . . . . . . . 542Reglas de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554Normalizacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555Activacin de Copiar paquete . . . . . . . . . . . . . . . . . . . . . . . . . 555

Configuracin de la directiva predeterminada . . . . . . . . . . . . . . . . . . . . . . 556Modo de solo alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556Configuracin del modo de sobresuscripcin . . . . . . . . . . . . . . . . . . . 557Visualizacin del estado de actualizacin de directivas de los dispositivos . . . . . . . . 558

Operaciones relacionadas con reglas . . . . . . . . . . . . . . . . . . . . . . . . . 558Administracin de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . 558Importacin de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560Importacin de variables . . . . . . . . . . . . . . . . . . . . . . . . . . . 561Exportacin de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562Configuracin de reglas para la inclusin automtica en la lista negra . . . . . . . . . 562Filtrado de reglas existentes . . . . . . . . . . . . . . . . . . . . . . . . . . 563Visualizacin de la firma de una regla . . . . . . . . . . . . . . . . . . . . . . 564

Contenido


Recuperacin de actualizaciones de regla . . . . . . . . . . . . . . . . . . . . 565Borrado del estado de regla actualizado . . . . . . . . . . . . . . . . . . . . . 566Comparacin de archivos de regla . . . . . . . . . . . . . . . . . . . . . . . 566Visualizacin del historial de cambios de reglas . . . . . . . . . . . . . . . . . . 567Creacin de una nueva lista de vigilancia de reglas . . . . . . . . . . . . . . . . . 568Adicin de reglas a una lista de vigilancia . . . . . . . . . . . . . . . . . . . . 568

Asignacin de etiquetas a reglas o activos . . . . . . . . . . . . . . . . . . . . . . . 569Pgina Seleccin de etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . 570

Modificacin de la configuracin de agregacin . . . . . . . . . . . . . . . . . . . . . 570Omisin de la accin en las reglas descargadas . . . . . . . . . . . . . . . . . . . . . 571Ponderaciones de gravedad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572

Establecimiento de las ponderaciones de gravedad . . . . . . . . . . . . . . . . . 573Visualizacin del historial de cambios de directiva . . . . . . . . . . . . . . . . . . . . 574Aplicacin de cambios de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . 575Administracin del trfico prioritario . . . . . . . . . . . . . . . . . . . . . . . . . . 576

ndice 577

Contenido


Prefacio

Esta gua le proporcionar toda la informacin que necesita para trabajar con su producto McAfee.

Contenido Acerca de esta gua Bsqueda de documentacin de productos

Acerca de esta guaEsta informacin incluye los destinatarios de la gua, las convenciones tipogrficas y los iconosutilizados, adems de cmo est organizada.

DestinatariosLa documentacin de McAfee se recopila y se redacta meticulosamente para el pblico al que vadestinada.

La informacin de esta gua est dirigida principalmente a:

Administradores: personas que implementan y aplican el programa de seguridad de la empresa.

Usuarios: personas que usan el equipo en el que se est ejecutando el software y que puedenacceder a todas o algunas de sus funciones.

ConvencionesEn esta gua se utilizan los siguientes iconos y convenciones tipogrficas.

Cursiva Ttulo de un manual, captulo o tema; un nuevo trmino; nfasis

Negrita Texto que se enfatizaTipo de letramonoespacio

Comandos y texto de otra ndole que escribe el usuario; un ejemplo decdigo; un mensaje que se presenta en pantalla

Tipo de letra estrecho en negrita Palabras de la interfaz del producto, como opciones, mens, botones ycuadros de dilogo

Azul hipertexto Un vnculo a un tema o a un sitio web externo

Nota: Informacin adicional para enfatizar una cuestin, recordarle algoal lector o proporcionar un mtodo alternativo

Sugerencia: Informacin sobre prcticas recomendadas

Precaucin: Consejos importantes para proteger su sistema informtico,instalacin de software, red, empresa o sus datos

Advertencia: Consejos fundamentales para impedir lesiones personalesal utilizar un producto de hardware


Bsqueda de documentacin de productosEn el portal ServicePortal puede encontrar informacin sobre los productos publicados, por ejemplodocumentacin de los productos, artculos tcnicos, etc.

Procedimiento1 Vaya al portal ServicePortal en https://support.mcafee.com y haga clic en la ficha Centro de conocimiento.

2 En el panel Base de conocimiento, bajo Origen de contenido, haga clic en Documentacin de productos.

3 Seleccione un producto y una versin, y haga clic en Buscar para ver una lista de documentos.

Procedimientos Bsqueda de informacin localizada en la pgina 10

Se proporcionan notas de la versin, Ayuda online, gua del producto y gua de instalacinde McAfee ESM localizadas (traducidas) en los idiomas siguientes:

Preguntas ms frecuentes en la pgina 11A continuacin se incluyen las respuestas a las preguntas ms frecuentes.

Bsqueda de informacin localizadaSe proporcionan notas de la versin, Ayuda online, gua del producto y gua de instalacin de McAfeeESM localizadas (traducidas) en los idiomas siguientes:

Chino simplificado Japons

Chino tradicional Coreano

Ingls Portugus brasileo

Francs Espaol

Alemn

Acceso a la Ayuda online localizada

Al cambiar la configuracin de idioma en el ESM, cambia automticamente el idioma empleado en laAyuda online.

1 Inicie sesin en ESM.

2 En el panel de navegacin del sistema de la consola de ESM, seleccione Opciones.

3 Seleccione un idioma y haga clic en Aceptar.

4 Haga clic en el icono de Ayuda, situado en la esquina superior derecha de las ventanas del ESM, obien seleccione el men Ayuda. La Ayuda aparecer en el idioma seleccionado.

Si la Ayuda aparece solo en ingls, significa que la versin localizada no est disponible an. LaAyuda localizada se instalar mediante una actualizacin futura.

PrefacioBsqueda de documentacin de productos


https://support.mcafee.com

Bsqueda de documentacin del producto localizada en el Centro de conocimiento

1 Visite el Centro de conocimiento.

2 Busque la documentacin del producto localizada mediante los parmetros siguientes. Trmino de bsqueda: gua del producto, gua de instalacin o notas de la versin

Producto: SIEM Enterprise Security Manager

Versin: 9.6.0

3 En los resultados de la bsqueda, haga clic en el ttulo del documento relevante.

4 En la pgina con el icono de PDF, desplcese hacia abajo hasta que vea los vnculos de idioma en laparte derecha. Haga clic en el idioma relevante.

5 Haga clic en el vnculo de PDF para abrir la versin localizada del documento del producto.

Vase tambin Uso de la Ayuda de ESM en la pgina 15

Preguntas ms frecuentesA continuacin se incluyen las respuestas a las preguntas ms frecuentes.

Dnde puedo encontrar informacin sobre ESM en otros idiomas?

Se localizan las notas de la versin, la Ayuda, la gua del producto y la gua de instalacin deESM. Bsqueda de informacin localizada en la pgina 10

Dnde puedo obtener ms informacin sobre McAfee ESM?

Uso de la Ayuda de ESM en la pgina 15

Visite el Centro de conocimiento

Visite el Centro de expertos

Vea los vdeos de McAfee ESM

Qu dispositivos de la solucin SIEM se admiten?

Visite el sitio web de McAfee ESM

Cmo se configuran los orgenes de datos concretos?

Busque las guas de configuracin de los orgenes de datos actuales en el Centro deconocimiento

Cmo se obtiene informacin sobre los cambios y las adiciones relacionados con losorgenes de datos, los tipos personalizados, las reglas y los paquetes de contenido?

Inicie sesin en el Centro de conocimiento y suscrbase al artculo KB75608. Recibirnotificaciones cuando el artculo sufra modificaciones.

Para obtener informacin sobre los paquetes de contenido, lea el artculo de la base deconocimiento en el Centro de conocimiento.



https://support.mcafee.com/https://support.mcafee.comhttps://community.mcafee.com/community/business/expertcenter/products/siemhttps://www.youtube.com/playlist?list=PLA1uP2u2KA5BpnjGJwnSNku1sXzTqluWChttp://www.mcafee.com/us/resources/data-sheets/ds-siem-supported-devices.pdfhttps://support.mcafee.com/ServicePortal/faces/knowledgecenter?s=true&lang=en-us&sm=true&q=Data+Source+Configuration+Guide&mt=2&p=SIEM+Enterprise+Security+Manager&tab=AlRetdl&sb=mostRelevant&sbv=relevancehttps://support.mcafee.com/ServicePortal/faces/knowledgecenter?s=true&lang=en-us&sm=true&q=Data+Source+Configuration+Guide&mt=2&p=SIEM+Enterprise+Security+Manager&tab=AlRetdl&sb=mostRelevant&sbv=relevancehttps://support.mcafee.com/ServicePortal/faces/knowledgecenter?s=true&lang=en-us&sm=true&q=content+pack&mt=2&p=SIEM+Enterprise+Security+Manager&tab=AlRetdl&sb=mostRelevant&sbv=relevance

1 IntroduccinMcAfee

Enterprise Security Manager (McAfee ESM) permite a los profesionales de la seguridad y laconformidad recopilar, almacenar y analizar los riesgos y las amenazas, as como actuar sobre ellos,desde una nica ubicacin.

Contenido Cmo funciona McAfee Enterprise Security Manager Los dispositivos y sus funciones Uso de la Ayuda de ESM Preguntas ms frecuentes Bsqueda de informacin localizada

Cmo funciona McAfee Enterprise Security ManagerMcAfee ESM recopila y agrega datos y eventos de dispositivos de seguridad, infraestructuras de red,sistemas y aplicaciones. A continuacin, aplica inteligencia a esos datos mediante su combinacin coninformacin contextual acerca de usuarios, activos, vulnerabilidades y amenazas. Correlaciona estainformacin para localizar incidentes relevantes. Gracias a los paneles interactivos personalizables, esposible acceder a informacin detallada sobre eventos especficos a fin de investigar los incidentes.

ESM consta de tres capas.

Interfaz: un programa de navegacin que ofrece al usuario una interfaz con el sistema (se conocecomo consola de ESM).

Almacenamiento, administracin y anlisis de datos: dispositivos que proporcionan todos losservicios necesarios de manipulacin de datos, tales como configuracin, generacin de informes,visualizacin y bsqueda. ESM (necesario), Advanced Correlation Engine (ACE), ESM distribuido(DESM) y Enterprise Log Manager (ELM) llevan a cabo estas funciones.

Adquisicin de datos: dispositivos que proporcionan las interfaces y servicios que adquierendatos del entorno de red del usuario. Nitro Intrusion Prevention System (IPS), Event Receiver(receptor), Application Data Monitor (ADM) y Database Event Monitor (DEM) se encargan de estasfunciones.

Todas las funciones de comando, control y comunicacin entre los componentes se coordinan a travsde canales de comunicacin seguros.

1


Los dispositivos y sus funcionesEl ESM permite administrar y gestionar todos los dispositivos fsicos y virtuales de su entorno deseguridad, as como interactuar con ellos.

Vase tambin Configuracin de Event Receiver en la pgina 78Configuracin de Enterprise Log Manager (ELM) en la pgina 151Configuracin de Application Data Monitor (ADM) en la pgina 184Configuracin de Database Event Monitor (DEM) en la pgina 201Configuracin de Advanced Correlation Engine (ACE) en la pgina 177Configuracin del ESM distribuido (DESM) en la pgina 215Configuracin de ePolicy Orchestrator en la pgina 216Configuracin de Nitro Intrusion Prevention System (Nitro IPS) en la pgina 224

1 IntroduccinLos dispositivos y sus funciones


Uso de la Ayuda de ESMTiene dudas sobre el uso de ESM? Utilice la Ayuda online como fuente de informacin contextual,donde podr encontrar informacin conceptual, materiales de referencia e instrucciones paso a pasosobre el uso de ESM.

Procedimiento1 Para abrir la Ayuda de ESM, realice una de estas acciones:

Seleccione la opcin de men Ayuda | Contenido de la Ayuda.

Haga clic en el signo de interrogacin situado en la parte superior derecha de las pantallas deESM para buscar ayuda contextual especfica de cada pantalla.

2 En la ventana de la Ayuda: Utilice el campo Buscar para localizar cualquier palabra en la Ayuda. Los resultados aparecern

debajo del campo Buscar. Haga clic en el vnculo relevante para ver el tema de la Ayuda en elpanel de la derecha.

Use la ficha Contenido (tabla de contenido) para ver una lista secuencial de los temas de laAyuda.

Use el ndice para localizar un trmino concreto en la Ayuda. Las palabras clave estnorganizadas alfabticamente para poder desplazarse por la lista hasta llegar a la palabra clavedeseada. Haga clic en la palabra clave para mostrar el tema de la Ayuda correspondiente.

Para imprimir el tema actual de la Ayuda (sin barras de desplazamiento), haga clic en el iconode la impresora, situado en la parte superior derecha del tema de la Ayuda.

Para localizar los vnculos a los temas relacionados de la Ayuda, desplcese hasta la parteinferior del tema de la Ayuda.

Vase tambin Bsqueda de informacin localizada en la pgina 10

Preguntas ms frecuentesA continuacin se incluyen las respuestas a las preguntas ms frecuentes.

Dnde puedo encontrar informacin sobre ESM en otros idiomas?

Se localizan las notas de la versin, la Ayuda, la gua del producto y la gua de instalacin deESM. Bsqueda de informacin localizada en la pgina 10

Dnde puedo obtener ms informacin sobre McAfee ESM?

Uso de la Ayuda de ESM en la pgina 15

Visite el Centro de conocimiento

Visite el Centro de expertos

Vea los vdeos de McAfee ESM

Qu dispositivos de la solucin SIEM se admiten?

Visite el sitio web de McAfee ESM

Cmo se configuran los orgenes de datos concretos?

Busque las guas de configuracin de los orgenes de datos actuales en el Centro deconocimiento

IntroduccinUso de la Ayuda de ESM 1


https://support.mcafee.comhttps://community.mcafee.com/community/business/expertcenter/products/siemhttps://www.youtube.com/playlist?list=PLA1uP2u2KA5BpnjGJwnSNku1sXzTqluWChttp://www.mcafee.com/us/resources/data-sheets/ds-siem-supported-devices.pdfhttps://support.mcafee.com/ServicePortal/faces/knowledgecenter?s=true&lang=en-us&sm=true&q=Data+Source+Configuration+Guide&mt=2&p=SIEM+Enterprise+Security+Manager&tab=AlRetdl&sb=mostRelevant&sbv=relevancehttps://support.mcafee.com/ServicePortal/faces/knowledgecenter?s=true&lang=en-us&sm=true&q=Data+Source+Configuration+Guide&mt=2&p=SIEM+Enterprise+Security+Manager&tab=AlRetdl&sb=mostRelevant&sbv=relevance

Cmo se obtiene informacin sobre los cambios y las adiciones relacionados con losorgenes de datos, los tipos personalizados, las reglas y los paquetes de contenido?

Inicie sesin en el Centro de conocimiento y suscrbase al artculo KB75608. Recibirnotificaciones cuando el artculo sufra modificaciones.

Para obtener informacin sobre los paquetes de contenido, lea el artculo de la base deconocimiento en el Centro de conocimiento.

Bsqueda de informacin localizadaSe proporcionan notas de la versin, Ayuda online, gua del producto y gua de instalacin de McAfeeESM localizadas (traducidas) en los idiomas siguientes:

Chino simplificado Japons

Chino tradicional Coreano

Ingls Portugus brasileo

Francs Espaol

Alemn

Acceso a la Ayuda online localizada

Al cambiar la configuracin de idioma en el ESM, cambia automticamente el idioma empleado en laAyuda online.

1 Inicie sesin en ESM.

2 En el panel de navegacin del sistema de la consola de ESM, seleccione Opciones.

3 Seleccione un idioma y haga clic en Aceptar.

4 Haga clic en el icono de Ayuda, situado en la esquina superior derecha de las ventanas del ESM, obien seleccione el men Ayuda. La Ayuda aparecer en el idioma seleccionado.

Si la Ayuda aparece solo en ingls, significa que la versin localizada no est disponible an. LaAyuda localizada se instalar mediante una actualizacin futura.

Bsqueda de documentacin del producto localizada en el Centro de conocimiento

1 Visite el Centro de conocimiento.

2 Busque la documentacin del producto localizada mediante los parmetros siguientes. Trmino de bsqueda: gua del producto, gua de instalacin o notas de la versin

Producto: SIEM Enterprise Security Manager

Versin: 9.6.0

3 En los resultados de la bsqueda, haga clic en el ttulo del documento relevante.

4 En la pgina con el icono de PDF, desplcese hacia abajo hasta que vea los vnculos de idioma en laparte derecha. Haga clic en el idioma relevante.

5 Haga clic en el vnculo de PDF para abrir la versin localizada del documento del producto.

1 IntroduccinBsqueda de informacin localizada


https://support.mcafee.com/ServicePortal/faces/knowledgecenter?s=true&lang=en-us&sm=true&q=content+pack&mt=2&p=SIEM+Enterprise+Security+Manager&tab=AlRetdl&sb=mostRelevant&sbv=relevancehttps://support.mcafee.com/

Vase tambin Uso de la Ayuda de ESM en la pgina 15

IntroduccinBsqueda de informacin localizada 1


1 IntroduccinBsqueda de informacin localizada


2 Primeros pasosVerifique que su entorno de ESM est actualizado y listo para funcionar.

Contenido Requisitos de hardware y software Acerca del modo FIPS Configuracin evaluada segn los Criterios comunes Inicio y cierre de sesin Personalizacin de la pgina de inicio de sesin Actualizacin del software de ESM Obtencin y adicin de credenciales de actualizacin de reglas Comprobacin de la existencia de actualizaciones de reglas Cambio de idioma de los registros de eventos Conexin de los dispositivos Preferencias de la consola

Requisitos de hardware y softwareEl sistema debe satisfacer los requisitos mnimos en cuanto a hardware y software.

Requisitos del sistema

Procesador: clase P4 (no Celeron) o superior (Mobile/Xeon/Core2, Corei3/5/7), o bien AMD claseAM2 o superior (Turion64/Athlon64/Opteron64, A4/6/8)

RAM: 1,5 GB

Sistema operativo Windows: Windows 2000, Windows XP, Windows 2003 Server, Windows Vista,Windows 2008 Server, Windows Server 2012, Windows 7, Windows 8, Windows 8.1

Navegador: Internet Explorer 9 o posterior, Mozilla Firefox 9 o posterior, Google Chrome 33 oposterior

Flash Player: versin 11.2.x.x o posterior

Las funciones de ESM emplean ventanas emergentes al cargar o descargar archivos. Desactive elbloqueador de ventanas emergentes para las direcciones IP o el nombre de host de su ESM.

Requisitos de la mquina virtual

Procesador: de 8 ncleos y 64 bits, Dual Core2/Nehalem o superior, o bien AMD Dual Athlon64/Dual Opteron64 o superior

RAM: depende del modelo (4 GB o ms)

2


Espacio en disco: depende del modelo (250 GB o ms)

ESXi 5.0 o posterior

Aprovisionamiento grueso o fino: debe decidir los requisitos de disco duro necesarios para suservidor. El requisito mnimo es de 250 GB, a menos que la mquina virtual adquirida cuente conms. Consulte las especificaciones correspondientes a su mquina virtual.

La mquina virtual de ENMELM hace uso de diversas funciones que requieren CPU y RAM. Si el entornoESXi comparte los requisitos de CPU/RAM con otras mquinas virtuales, el rendimiento de la mquinavirtual ENMELM se ver afectado. Asegrese de incluir la capacidad de CPU y RAM necesaria deacuerdo con los requisitos.

Acerca del modo FIPSFIPS (del ingls Federal Information Processing Standards, estndares federales de procesamiento dela informacin) son estndares desarrollados y anunciados pblicamente por el gobierno de losEstados Unidos sobre el procesamiento de la informacin. Si est obligado a cumplir estos estndares,deber utilizar este sistema en el modo FIPS.

El modo FIPS se debe seleccionar la primera vez que se inicia sesin en el sistema y no es posiblecambiarlo posteriormente.

Vase tambin Informacin sobre el modo FIPS en la pgina 21

Contenido Informacin sobre el modo FIPS Seleccin del modo FIPS Comprobacin de integridad de FIPS Adicin de un dispositivo con clave aplicada en el modo FIPS Solucin de problemas del modo FIPS

2 Primeros pasosAcerca del modo FIPS


Informacin sobre el modo FIPSDebido a las normativas de FIPS, algunas funciones de ESM no estn disponibles, algunas funcionesdisponibles no son conformes y otras funciones solo estn disponibles en el modo FIPS. Estasfunciones se indican a lo largo del presente documento y se enumeran aqu.

Estado defuncin

Descripcin

Funcioneseliminadas

Receptores de disponibilidad alta.

Terminal de interfaz grfica de usuario.

Capacidad de comunicacin con el dispositivo mediante el protocolo SSH.

En la consola del dispositivo, el shell raz se sustituye por un men deadministracin de dispositivos.

Funciones solodisponibles en elmodo FIPS

Existen cuatro funciones de usuario que no coinciden parcialmente: Usuario, Usuarioavanzado, Administrador de auditoras y Administrador de claves y certificados.

Todas las pginas de Propiedades cuentan con una opcin Prueba automtica de FIPS quepermite verificar si el sistema funciona correctamente en el modo FIPS.

Si se produce un error de FIPS, se agrega un indicador de estado al rbol denavegacin del sistema para reflejar este fallo.

Todas las pginas de Propiedades tienen una opcin Ver que, al hacer clic en ella, abrela pgina Token de identidad de FIPS. Esta pgina muestra un valor que se debecomparar con el valor mostrado en las secciones del documento mencionadas paraasegurarse de que no hay riesgos en relacin con FIPS.

En Propiedades del sistema | Usuarios y grupos | Privilegios | Editar grupo, la pgina incluye elprivilegio Prueba automtica de cifrado FIPS, que otorga a los miembros del grupo laautorizacin para ejecutar pruebas automticas de FIPS.

Al hacer clic en Importar clave o Exportar clave en Propiedades de IPS | Administracin de claves,es necesario seleccionar el tipo de clave que se desea importar o exportar.

En el Asistente de adicin de dispositivos, el protocolo TCP siempre est establecido en elpuerto 22. El puerto SSH se puede cambiar.

Vase tambin Seleccin del modo FIPS en la pgina 21Comprobacin de integridad de FIPS en la pgina 22Adicin de un dispositivo con clave aplicada en el modo FIPS en la pgina 24Copia de seguridad y restauracin de informacin de un dispositivo en modo FIPS en la pgina24Activacin de la comunicacin con varios dispositivos ESM en el modo FIPS en la pgina 25Solucin de problemas del modo FIPS en la pgina 27

Seleccin del modo FIPSLa primera vez que inicie sesin en el sistema, se le preguntar si desea que el sistema funcione en elmodo FIPS o no. Una vez realizada la seleccin, no es posible cambiarla.

Primeros pasosAcerca del modo FIPS 2


ProcedimientoPara obtener ms informacin sobre funciones, uso y prcticas recomendadas para el producto, hagaclic en ? o en Ayuda.

1 La primera vez que inicie sesin en ESM:

a En el campo Nombre de usuario, escriba NGCP.

b En el campo Contrasea, escriba security.4u.

Se le pedir que cambie su contrasea.

2 Introduzca y confirme la nueva contrasea.

3 En la pgina Activar FIPS, haga clic en S.

La advertencia de Activar FIPS mostrar informacin para solicitar confirmacin de que desea que elsistema funcione en el modo FIPS de forma permanente.

4 Haga clic en S para confirmar su seleccin.

Vase tambin Informacin sobre el modo FIPS en la pgina 21Comprobacin de integridad de FIPS en la pgina 22Adicin de un dispositivo con clave aplicada en el modo FIPS en la pgina 24Copia de seguridad y restauracin de informacin de un dispositivo en modo FIPS en la pgina24Activacin de la comunicacin con varios dispositivos ESM en el modo FIPS en la pgina 25Solucin de problemas del modo FIPS en la pgina 27

Comprobacin de integridad de FIPSSi utiliza el sistema en el modo FIPS, FIPS 140-2 requiere la comprobacin de la integridad delsoftware de forma regular. Esta comprobacin se debe realizar en el sistema y en todos losdispositivos.




1 En el rbol de navegacin del sistema, seleccione Propiedades del sistema y asegrese de que estseleccionada la opcin Informacin del sistema.

2 Realice cualquiera de las acciones que se indican a continuacin.

En estecampo...

Haga esto...

Estado deFIPS

Visualice los resultados de la prueba automtica de FIPS ms reciente realizada en el ESM.

Prueba oPruebaautomticade FIPS

Ejecute las pruebas automticas de FIPS, las cuales comprueban la integridad de los algoritmosutilizados dentro del archivo ejecutable criptogrfico. Los resultados se pueden ver en el Registro demensajes.

Si la prueba automtica de FIPS falla, la seguridad de FIPS se ha visto comprometida o se ha producidoalgn fallo de dispositivo. Pngase en contacto con el Soporte de McAfee.

Ver oIdentidad deFIPS

Abra la pgina Token de identidad de FIPS para realizar las pruebas de encendido de integridad del software.Compare el valor siguiente con la clave pblica que aparece en esta pgina:

Si este valor y la clave pblica no coinciden, la seguridad de FIPS se ha visto comprometida. Pngase encontacto con el Soporte de McAfee.

Vase tambin Informacin sobre el modo FIPS en la pgina 21Seleccin del modo FIPS en la pgina 21Adicin de un dispositivo con clave aplicada en el modo FIPS en la pgina 24Copia de seguridad y restauracin de informacin de un dispositivo en modo FIPS en la pgina24Activacin de la comunicacin con varios dispositivos ESM en el modo FIPS en la pgina 25Solucin de problemas del modo FIPS en la pgina 27



Adicin de un dispositivo con clave aplicada en el modo FIPS Existen dos mtodos en el modo FIPS para agregar un dispositivo con una clave ya aplicada a un ESM.Estos trminos y extensiones de archivo le resultarn tiles a la hora de realizar estos procesos.

Terminologa

Clave de dispositivo: contiene los derechos de administracin que tiene un ESM para un dispositivo; nose emplea con fines criptogrficos.

Clave pblica: la clave de comunicacin SSH pblica del ESM, que se almacena en la tabla de clavesautorizadas de un dispositivo.

Clave privada: la clave de comunicacin SSH privada del ESM, utilizada por el ejecutable de SSH enun ESM a fin de establecer la conexin SSH con un dispositivo.

ESM principal: el ESM utilizado originalmente para registrar el dispositivo.

ESM secundario: un ESM adicional que se comunica con el dispositivo.

Extensiones de archivo de los distintos archivos de exportacin

.exk: contiene la clave de dispositivo.

.puk: contiene la clave pblica.

.prk: contiene la clave privada y la clave de dispositivo.

Vase tambin Informacin sobre el modo FIPS en la pgina 21Seleccin del modo FIPS en la pgina 21Comprobacin de integridad de FIPS en la pgina 22Copia de seguridad y restauracin de informacin de un dispositivo en modo FIPS en la pgina24Activacin de la comunicacin con varios dispositivos ESM en el modo FIPS en la pgina 25Solucin de problemas del modo FIPS en la pgina 27

Copia de seguridad y restauracin de informacin de un dispositivo enmodo FIPSEste mtodo se emplea para crear copias de seguridad de la informacin de comunicacin de undispositivo y restaurarlas en el ESM.

Est destinado principalmente a su uso en caso de un fallo que requiera la sustitucin del ESM. Si lainformacin de comunicacin no se exporta antes del fallo, la comunicacin con el dispositivo no sepodr restablecer. Este mtodo exporta e importa el archivo .prk.

La clave privada del ESM principal es utilizada por el ESM secundario para establecer comunicacin conel dispositivo inicialmente. Una vez establecida la comunicacin, el ESM secundario copia su clavepblica en la tabla de claves autorizadas del dispositivo. El ESM secundario borra entonces la claveprivada del ESM principal e inicia la comunicacin con su propio par de claves pblica/privada.



Accin Pasos

Exportar elarchivo .prk delESM principal

1 En el rbol de navegacin del sistema del ESM principal, seleccione el dispositivocon la informacin de comunicacin de la que desee crear una copia de seguridady, despus, haga clic en el icono Propiedades.

2 Seleccione Administracin de claves y haga clic en Exportar clave.

3 Seleccione Copia de seguridad de clave privada SSH y haga clic en Siguiente.

4 Escriba y confirme una contrasea; a continuacin, establezca la fecha decaducidad.

Una vez que pasa la fecha de caducidad, la persona que importa la clave no sepuede comunicar con el dispositivo hasta que se exporta otra clave con una fechade caducidad futura. Si selecciona No caduca nunca, la clave no caducar alimportarla a otro ESM.

5 Haga clic en Aceptar, seleccione la ubicacin para guardar el archivo .prk creadopor el ESM y cierre la sesin en el ESM principal.

Agregar undispositivo alESM secundarioe importar elarchivo .prk

1 En el rbol de navegacin del sistema del dispositivo secundario, seleccione elnodo de nivel de sistema o grupo al que desee agregar el dispositivo.

2 En la barra de herramientas de acciones, haga clic en Agregar dispositivo.

3 Seleccione el tipo de dispositivo que desee agregar y haga clic en Siguiente.

4 Introduzca un nombre para el dispositivo exclusivo en el grupo y haga clic enSiguiente.

5 Introduzca la direccin IP de destino del dispositivo, indique el puerto decomunicacin FIPS y haga clic en Siguiente.

6 Haga clic en Importar clave, desplcese hasta el archivo .prk y haga clic en Cargar.

Escriba la contrasea especificada al exportar esta clave inicialmente.

7 Cierre la sesin en el ESM secundario.

Vase tambin Informacin sobre el modo FIPS en la pgina 21Seleccin del modo FIPS en la pgina 21Comprobacin de integridad de FIPS en la pgina 22Adicin de un dispositivo con clave aplicada en el modo FIPS en la pgina 24Activacin de la comunicacin con varios dispositivos ESM en el modo FIPS en la pgina 25Solucin de problemas del modo FIPS en la pgina 27

Activacin de la comunicacin con varios dispositivos ESM en el modo FIPSEs posible permitir que diversos ESM se comuniquen con el mismo dispositivo mediante la exportacine importacin de archivos .puk y .exk.

En este mtodo se usan dos procesos de exportacin e importacin. En primer lugar, se usa el ESMprincipal para importar el archivo .puk exportado del dispositivo ESM secundario y enviar la clavepblica del ESM secundario al dispositivo, lo cual permite que ambos dispositivos ESM se comuniquencon el dispositivo. En segundo lugar, el archivo .exk del dispositivo se exporta desde el ESM principal yse importa en el ESM secundario, lo cual permite al ESM secundario comunicarse con el dispositivo.



Accin Pasos

Exportar elarchivo .puk delESM secundario

1 En la pgina Propiedades del sistema del ESM secundario, seleccione Administracin deESM.

2 Haga clic en Exportar SSH y, despus, seleccione la ubicacin para guardar elarchivo .puk.

3 Haga clic en Guardar y cierre la sesin.

Importar elarchivo .puk alESM principal

1 En el rbol de navegacin del sistema del ESM principal, seleccione eldispositivo que desee configurar.

2 Haga clic en el icono Propiedades y seleccione Administracin de claves.

3 Haga clic en Administrar claves SSH.

4 Haga clic en Importar, seleccione el archivo .puk y haga clic en Cargar.

5 Haga clic en Aceptar y cierre la sesin en el ESM principal.

Exportar elarchivo .exk deldispositivo delESM principal

1 En el rbol de navegacin del sistema del ESM principal, seleccione eldispositivo que desee configurar.

2 Haga clic en el icono Propiedades y seleccione Administracin de claves.

3 Haga clic en Exportar clave, seleccione la clave del dispositivo de copia deseguridad y haga clic en Siguiente.

4 Escriba y confirme una contrasea; a continuacin, establezca la fecha decaducidad.

Una vez que pasa la fecha de caducidad, la persona que importa la clave no sepuede comunicar con el dispositivo hasta que se exporta otra clave con unafecha de caducidad futura. Si selecciona No caduca nunca, la clave no caducar alimportarla a otro ESM.

5 Seleccione los privilegios del archivo .exk y haga clic en Aceptar.

6 Seleccione la ubicacin para guardar el archivo y cierre la sesin en el ESMprincipal.

Importar elarchivo .exk en elESM secundario

1 En el rbol de navegacin del sistema del dispositivo secundario, seleccione elnodo de nivel de sistema o grupo al que desee agregar el dispositivo.

2 En la barra de herramientas de acciones, haga clic en Agregar dispositivo.

3 Seleccione el tipo de dispositivo que desee agregar y haga clic en Siguiente.

4 Introduzca un nombre para el dispositivo que sea exclusivo en el grupo y hagaclic en Siguiente.

5 Haga clic en Importar clave y busque el archivo .exk.

6 Haga clic en Cargar y escriba la contrasea especificada al exportar esta claveinicialmente.

7 Cierre la sesin en el ESM secundario.



Vase tambin Informacin sobre el modo FIPS en la pgina 21Seleccin del modo FIPS en la pgina 21Comprobacin de integridad de FIPS en la pgina 22Adicin de un dispositivo con clave aplicada en el modo FIPS en la pgina 24Copia de seguridad y restauracin de informacin de un dispositivo en modo FIPS en la pgina24Solucin de problemas del modo FIPS en la pgina 27

Solucin de problemas del modo FIPSEs posible que surjan problemas al utilizar el ESM en el modo FIPS.

Problema Descripcin y solucin

No haycomunicacin conel ESM

Compruebe la pantalla LCD situada en la parte delantera del dispositivo. Siindica Fallo de FIPS, pngase en contacto con el Soporte de McAfee.

Busque una situacin de error en la interfaz HTTP; para ello, acceda a lapgina web Prueba automtica de FIPS de ESM mediante un navegador.- Si aparece nicamente el dgito 0, el cual indica que el dispositivo ha falladouna prueba automtica de FIPS, reinicie el dispositivo ESM para intentarcorregir el problema. Si el fallo persiste, pngase en contacto con el serviciode Soporte para obtener instrucciones adicionales.

- Si aparece nicamente el dgito 1, el problema de comunicacin no se debea un fallo de FIPS. Pngase en contacto con el Soporte tcnico para obtenerinstrucciones adicionales.

No haycomunicacin conel dispositivo

Si hay una marca de estado junto al dispositivo en el rbol de navegacin delsistema, coloque el cursor sobre l. Si indica Fallo de FIPS, pngase en contactocon el Soporte de McAfee a travs del portal de soporte.

Siga la descripcin correspondiente al problema No hay comunicacin con elESM.

Error El archivo no esvlido al agregar undispositivo

No se puede exportar una clave de un dispositivo no FIPS e importarla a undispositivo que funcione en el modo FIPS. De igual forma, no se puede exportaruna clave de un dispositivo FIPS e importarla a un dispositivo no FIPS. Esteerror aparece cuando se intenta cualquiera de estas dos cosas.

Vase tambin Informacin sobre el modo FIPS en la pgina 21Seleccin del modo FIPS en la pgina 21Comprobacin de integridad de FIPS en la pgina 22Adicin de un dispositivo con clave aplicada en el modo FIPS en la pgina 24Copia de seguridad y restauracin de informacin de un dispositivo en modo FIPS en la pgina24Activacin de la comunicacin con varios dispositivos ESM en el modo FIPS en la pgina 25



Configuracin evaluada segn los Criterios comunesEl dispositivo de McAfee se debe instalar, configurar y utilizar de una forma concreta para que existaconformidad con la configuracin evaluada segn los Criterios comunes. Recuerde estos requisitos a lahora de configurar el sistema.

Tipo Requisitos

Fsico El dispositivo de McAfee debe: Estar protegido frente a modificaciones fsicas no autorizadas.

Estar situado en unas instalaciones con acceso controlado que evite el acceso fsico noautorizado.

Utilizacin El dispositivo de McAfee debe: Tener acceso a todo el trfico de red para realizar sus funciones.

Permitir los cambios de direccin en el trfico de red que supervisa el objetivo deevaluacin.

Ser proporcionado con respecto al trfico de red que supervisa.

Personal Deben existir una o varias personas competentes encargadas de la administracin deldispositivo de McAfee y de la seguridad de la informacin que contiene. Los ingenierosde McAfee proporcionan asistencia in situ para la instalacin y la configuracin, ascomo formacin sobre el funcionamiento del dispositivo en las instalaciones para todoslos clientes de McAfee.

Los administradores autorizados no deben ser descuidados, negligentes ni de tratodifcil, y deben respetar y acatar las instrucciones proporcionadas en la documentacincorrespondiente al dispositivo de McAfee.

Solo los usuarios autorizados deben tener acceso al dispositivo de McAfee.

Los responsables del dispositivo de McAfee deben asegurarse de que los usuariosprotejan todas las credenciales de acceso de forma coherente con la seguridad de TI.

Otros No aplique actualizaciones de software al dispositivo de McAfee, ya que esto provocarauna configuracin distinta de la correspondiente a la evaluada segn los Criterioscomunes. Pngase en contacto con el Soporte de McAfee para obtener actualizacionescertificadas.

En un dispositivo Nitro IPS, la activacin de las opciones Temporizador de vigilancia y Forzaromisin en la pgina Configuracin de la interfaz de red provoca una configuracin distinta de laevaluada segn los Criterios comunes.

En un dispositivo Nitro IPS, el uso de una configuracin de sobresuscripcin distinta desupresin provoca una configuracin diferente de la evaluada segn los Criterioscomunes.

La activacin de la funcin Seguridad de inicio de sesin con un servidor RADIUS provoca unacomunicacin segura. El entorno de TI proporciona una transmisin segura de datosentre el objetivo de evaluacin y las entidades y orgenes externos. Un servidor RADIUSpuede proporcionar los servicios de autenticacin externa.

El uso de la funcionalidad de SmartDashboard de la consola del firewall de Check Point noforma parte del objetivo de evaluacin.

El uso de Snort Barnyard no forma parte del objetivo de evaluacin.

El uso del cliente de MEF no forma parte del objetivo de evaluacin.

El uso del sistema de fichas Remedy no forma parte del objetivo de evaluacin.

2 Primeros pasosConfiguracin evaluada segn los Criterios comunes


Inicio y cierre de sesinTras instalar y configurar los dispositivos, es posible iniciar sesin en la consola de ESM por primeravez.


1 Abra un navegador web en el equipo cliente y dirjase a la direccin IP establecida al configurar lainterfaz de red.

2 Haga clic en Inicio de sesin, seleccione el idioma para la consola y escriba el nombre de usuario y lacontrasea predeterminados.

Nombre de usuario predeterminado: NGCP

Contrasea predeterminada: security.4u

3 Haga clic en Inicio de sesin, lea el Acuerdo de licencia de usuario final y haga clic en Aceptar.

4 Cambie el nombre de usuario y la contrasea; despus, haga clic en Aceptar.

5 Indique si desea activar o no el modo FIPS.

En caso de estar obligado a trabajar en el modo FIPS, deber activarlo la primera vez que iniciesesin en el sistema, de forma que todas las operaciones futuras con los dispositivos de McAfee seproduzcan en el modo FIPS. Se recomienda no activar el modo FIPS si no est obligado a hacerlo.Para obtener ms informacin, consulte Informacin sobre el modo FIPS.

6 Siga las instrucciones para obtener el nombre de usuario y la contrasea, que son necesarios paraacceder a las actualizaciones de reglas.

7 Lleve a cabo la configuracin inicial de ESM:

a Seleccione el idioma que se utilizar para los registros del sistema.

b Seleccione la zona horaria donde se encuentra el ESM y el formato de fecha para utilizarlos conesta cuenta; despus, haga clic en Siguiente.

c Defina la configuracin en las pginas del asistente Configuracin inicial de ESM. Haga clic en el icono

Mostrar Ayuda de cada pgina para obtener instrucciones.

8 Haga clic en Aceptar y, despus, en los vnculos de ayuda correspondientes a los pasos iniciales o alas funciones nuevas disponibles en esta versin de ESM.

9 Cuando termine su sesin de trabajo, cierre la sesin mediante uno de estos mtodos: Si no hay pginas abiertas, haga clic en cierre de sesin en la barra de navegacin del sistema,

situada en la esquina superior derecha de la consola.

Si hay alguna pgina abierta, cierre el navegador.

Vase tambin Personalizacin de la pgina de inicio de sesin en la pgina 30Cambio de idioma de los registros de eventos en la pgina 33

Primeros pasosInicio y cierre de sesin 2


Personalizacin de la pgina de inicio de sesinEs posible personalizar la pgina de inicio de sesin a fin de agregar texto, como por ejemplo laspolticas de seguridad de la empresa o su logotipo.


1 En el rbol de navegacin del sistema, seleccione Propiedades del sistema | Configuracin personalizada.

2 Realice cualquiera de las acciones siguientes:

Para... Haga esto...

Agregar textopersonalizado

1 Haga clic en el cuadro de texto situado en la parte superior de la pgina.

2 Escriba el texto que desee agregar a la pgina Inicio de sesin.

3 Seleccione Incluir texto en pantalla de inicio de sesin.

Agregar una imagenpersonalizada

1 Haga clic en Seleccionar imagen.

2 Cargue la imagen que desee utilizar.

3 Seleccione Incluir imagen en pantalla de inicio de sesin.

Si sigue apareciendo el logotipo anterior en la pgina Inicio de sesin trascargar un nuevo logotipo personalizado, borre la cach del navegador.

Eliminar una imagenpersonalizada

Haga clic en Eliminar imagen. Aparecer el logotipo predeterminado.

Vase tambin Inicio y cierre de sesin en la pgina 29Cambio de idioma de los registros de eventos en la pgina 33Pgina Configuracin personalizada en la pgina 30

Pgina Configuracin personalizadaPermite personalizar la configuracin de inicio de sesin e impresin, editar los vnculos de dispositivospersonalizados y configurar las opciones de un servidor de correo electrnico Remedy.

Tabla 2-1 Definiciones de opciones

Opcin Definicin

Introduzca aqu cualquier textoadicional

Agregue texto personalizado a la pgina de inicio de sesin de la consola yla pantalla LCD del dispositivo, como por ejemplo las directivas deseguridad de la empresa.

Seleccione un logotipopersonalizado

Seleccione la imagen que desee que aparezca en la pgina de inicio desesin (vase Personalizacin de la pgina de inicio de sesin).

Incluir texto en pantalla deinicio de sesin

Seleccione si desea que el texto agregado aparezca en la pgina de iniciode sesin (vase Inclusin de una imagen en los PDF y los informes).

Incluir imagen en pantalla deinicio de sesin

Seleccione esta opcin si desea que la imagen seleccionada aparezca en lapgina de inicio de sesin.

Incluir imagen en PDFexportado

Seleccione esta opcin si desea que la imagen seleccionada aparezca en losPDF exportados y en los informes impresos.

2 Primeros pasosPersonalizacin de la pgina de inicio de sesin


Tabla 2-1 Definiciones de opciones (continuacin)

Opcin Definicin

Actualizacin automtica delrbol de sistemas

El rbol de sistemas se actualiza automticamente cada cinco minutos. Sino desea que esto ocurra, anule la seleccin de esta opcin (vaseDetencin de la actualizacin automtica del rbol de sistemas de ESM).

Vnculos de dispositivo Permite realizar cambios en los vnculos de URL de cada uno de losdispositivos del sistema (vase Administracin de vnculos de URL paratodos los dispositivos).

Remedy Establezca la configuracin del Servidor de correo electrnico de Remedy para poderenviar eventos al sistema Remedy, en caso de disponer de l. VaseOpciones de configuracin del servidor de Remedy.

Especifique qu mes Defina el mes de inicio del primer trimestre si va a ejecutar informestrimestrales (vase Establecimiento del mes de inicio para los informestrimestrales).

Vase tambin Personalizacin de la pgina de inicio de sesin en la pgina 30

Actualizacin del software de ESMEs posible acceder a las actualizaciones de software desde el servidor de actualizaciones o a travs deun ingeniero de seguridad y, despus, cargarlas en el ESM.

Para ampliar un ESM principal o redundante, vase Actualizacin de un ESM principal o redundante.


1 En el rbol de navegacin del sistema, seleccione Propiedades del sistema y haga clic en Administracin deESM.

2 En la ficha Mantenimiento, haga clic en Actualizar ESM.

3 Seleccione el archivo que desee usar para actualizar el ESM y haga clic en Aceptar.

El ESM se reiniciar y se desconectarn todas las sesiones en curso mientras se instala laactualizacin.

Vase tambin Obtencin y adicin de credenciales de actualizacin de reglas en la pgina 32Comprobacin de la existencia de actualizaciones de reglas en la pgina 32Pgina Seleccionar archivo de actualizacin de software en la pgina 32

Primeros pasosActualizacin del software de ESM 2


Pgina Seleccionar archivo de actualizacin de softwarePermite seleccionar el archivo de actualizacin de software para el ESM.


Opcin Definicin

Tabla de actualizacionesde software

Haga clic en el archivo y, despus, en Aceptar. Se le advertir de que estoprovoca que el ESM se reinicie y se desconecten todas las sesiones encurso. Haga clic en S para continuar.

Examinar Permite acceder a un archivo de actualizacin de software obtenidomediante un ingeniero de seguridad de McAfee o el servidor de reglas yactualizaciones de McAfee. Haga clic en Cargar y, despus, en S en lapgina de advertencia.

Vase tambin Actualizacin del software de ESM en la pgina 31

Obtencin y adicin de credenciales de actualizacin de reglasESM proporciona actualizaciones de directivas, analizadores y reglas como parte del contrato demantenimiento. Tendr acceso durante de 30 das antes de necesitar las credenciales permanentes.


1 Obtenga las credenciales mediante el envo de un mensaje de correo electrnico [email protected] con la siguiente informacin:

Nmero de concesin de McAfee

Nombre de cuenta

Direccin

Nombre de contacto

Direccin de correo electrnico de contacto

2 Cuando reciba el ID y la contrasea de cliente de McAfee, seleccione Propiedades del sistema | Informacindel sistema | Actualizacin de reglas en el rbol de navegacin del sistema.

3 Haga clic en Credenciales y escriba el ID de cliente y la contrasea.

4 Haga clic en Validar.

Vase tambin Actualizacin del software de ESM en la pgina 31Comprobacin de la existencia de actualizaciones de reglas en la pgina 32

Comprobacin de la existencia de actualizaciones de reglasEl equipo de McAfee encargado de las firmas de regla que utiliza Nitro IPS a fin de examinar el trficode red actualiza constantemente estas firmas, las cuales estn disponibles para su descarga medianteel servidor central de McAfee. Estas actualizaciones de reglas se pueden recuperar de formaautomtica o manual.

2 Primeros pasosObtencin y adicin de credenciales de actualizacin de reglas



1 En el rbol de navegacin del sistema, seleccione Propiedades del sistema y asegrese de seleccionar laopcin Informacin del sistema.

2 En el campo Actualizacin de reglas, compruebe que la licencia no haya caducado.

Si la licencia ha caducado, vase Obtencin y adicin de credenciales de actualizacin de reglas.

3 Si la licencia es vlida, haga clic en Actualizacin de reglas.

4 Seleccione una de estas opciones: Intervalo de comprobacin automtica, para configurar el sistema de forma que compruebe la existencia

de actualizaciones automticamente con la frecuencia seleccionada.

Comprobar ahora, para comprobar la existencia de actualizaciones inmediatamente.

Actualizacin manual, para actualizar las reglas desde un archivo local.

5 Haga clic en Aceptar.

Vase tambin Actualizacin del software de ESM en la pgina 31Obtencin y adicin de credenciales de actualizacin de reglas en la pgina 32

Cambio de idioma de los registros de eventosCuando se inicia sesin en ESM por primera vez, se selecciona el idioma que se usar para registrareventos, como en el caso del registro del monitor de estado y el registro de dispositivos. Puedemodificar esta configuracin de idioma.


1 En el rbol de navegacin del sistema, seleccione Propiedades del sistema | Administracin de ESM.

2 Haga clic en Configuracin regional del sistema, seleccione un idioma en la lista desplegable y haga clic enAceptar.

Vase tambin Inicio y cierre de sesin en la pgina 29Personalizacin de la pgina de inicio de sesin en la pgina 30

Primeros pasosCambio de idioma de los registros de eventos 2


Conexin de los dispositivosConecte los dispositivos fsicos y virtuales a McAfee ESM para permitir el anlisis forense, lasupervisin de aplicaciones y bases de datos, la correlacin avanzada basada en reglas y riesgo, y lageneracin de informes de conformidad en tiempo real.

A medida que aumente el nmero de dispositivos del sistema, organcelos de manera lgica. Porejemplo, si dispone de sucursales en varias ubicaciones, podra mostrar los dispositivos segn suzona. Puede usar las pantallas predefinidas, adems de disear sus propias pantallas personalizadas.Dentro de cada pantalla personalizada, cabe la posibilidad de agrupar los dispositivos a fin decontinuar con su organizacin.

Contenido Adicin de dispositivos a la consola de ESM Seleccin de un tipo de pantalla Administracin de tipos de pantallas personalizadas

Adicin de dispositivos a la consola de ESMTras instalar y configurar los dispositivos fsicos y virtuales, deber agregarlos a la consola de ESM.

Antes de empezarInstale y configure los dispositivos (vase la Gua de instalacin de McAfee EnterpriseSecurity Manager).

Procedimiento1 En el rbol de navegacin del sistema, haga clic en el ESM Local o en un grupo.

2 En la barra de herramientas de acciones, haga clic en el icono Agregar dispositivo .

3 Seleccione el tipo de dispositivo que va a agregar y haga clic en Siguiente.

4 En el campo Nombre de dispositivo, introduzca un nombre exclusivo dentro del grupo y haga clic enSiguiente.

5 Proporcione la informacin solicitada. Dispositivos McAfee ePO: seleccione un receptor, escriba las credenciales necesarias para iniciar

sesin en la interfaz web y haga clic en Siguiente. Escriba la configuracin que se debe usar parala comunicacin con la base de datos.

Seleccione Solicitar autenticacin de usuario a fin de limitar el acceso a los usuarios que dispongan denombre de usuario y contrasea para el dispositivo.

Resto de dispositivos: escriba la direccin IP de destino o la URL del dispositivo y, despus,indique un nmero de puerto SSH de destino vlido para su uso con la direccin IP.

6 Indique si desea o no utilizar la configuracin de Network Time Protocol (NTP) en el dispositivo y,despus, haga clic en Siguiente.

2 Primeros pasosConexin de los dispositivos


7 Si tiene una clave que desee importar, seleccione Importar clave (no disponible en los dispositivos ELMo Receiver/Log Manager); de lo contrario, haga clic en Aplicar clave a dispositivo.

Las claves de dispositivo exportadas originalmente a partir de un ESM de una versin anterior a la8.3.x no emplean el modelo de comunicacin correspondiente a la versin 8.4.0. Tras la ampliacin,se vio obligado a volver a aplicar la clave al dispositivo. A fin de acceder a los dispositivos de laversin 9.0.0 o posterior, es necesario volver a exportar la clave para este dispositivo desde un ESMde la versin 8.5.0 o posterior. Asegrese de establecer los privilegios necesarios para el dispositivo,tales como el privilegio Configurar dispositivos virtuales.

8 Introduzca una contrasea para el dispositivo y, a continuacin, haga clic en Siguiente.

El ESM probar la comunicacin con el dispositivo e informar del estado de la conexin.

Vase tambin Seleccin de un tipo de pantalla en la pgina 35Administracin de tipos de pantallas personalizadas en la pgina 35Administracin de un grupo en un tipo de pantalla personalizada en la pgina 67

Seleccin de un tipo de pantallaSeleccione la forma en que desea que se muestren los dispositivos en el rbol de navegacin delsistema.

Antes de empezarPara seleccionar una pantalla personalizada, es necesario agregarla antes al sistema (vaseAdministracin de tipos de pantallas personalizadas).

Procedimiento

1 En el panel de navegacin del sistema, haga clic en la flecha desplegable del campo de tipo devisualizacin.

2 Seleccione uno de los tipos de pantalla.

La organizacin de los dispositivos en el rbol de navegacin cambiar para reflejar el tiposeleccionado para la sesin de trabajo en curso.

Vase tambin Adicin de dispositivos a la consola de ESM en la pgina 34Administracin de tipos de pantallas personalizadas en la pgina 35Administracin de un grupo en un tipo de pantalla personalizada en la pgina 67

Administracin de tipos de pantallas personalizadasExiste la opcin de definir cmo quiere que se organicen los dispositivos en el rbol de navegacin delsistema mediante la adicin, edicin o eliminacin de tipos de pantallas personalizadas.


1 En el panel de navegacin del sistema, haga clic en la flecha de la lista desplegable de tipo depantalla.

2 Siga uno de estos procedimientos:

Primeros pasosConexin de los dispositivos 2


Para... Haga esto...

Agregar un tipo de pantallapersonalizada

1 Haga clic en Agregar pantalla.

2 Rellene los campos y haga clic en Aceptar.

Editar un tipo de pantallapersonalizada

1 Haga clic en el icono Editar situado junto al tipo de pantallaque desee editar.

2 Realice cambios en la configuracin y despus haga clic enAceptar.

Eliminar un tipo de pantallapersonalizada Haga clic en el icono Eliminar situado junto al tipo de pantalla quedesee eliminar.

Vase tambin Adicin de dispositivos a la consola de ESM en la pgina 34Seleccin de un tipo de pantalla en la pgina 35Administracin de un grupo en un tipo de pantalla personalizada en la pgina 67

Preferencias de la consolaCabe la posibilidad de personalizar varias funciones en la consola de ESM mediante el cambio del colordel tema, el formato de fecha y hora, el valor de tiempo de espera y varias opciones de configuracinpredeterminadas. Las credenciales de McAfee

ePolicy Orchestrator

(McAfee ePO

) se puedenconfigurar tambin.

Vase tambin La consola de ESM en la pgina 37Uso del tema de color de la consola en la pgina 38Seleccin de las opciones de visualizacin de la consola en la pgina 39Establecimiento del valor de tiempo de espera de la consola en la pgina 40

2 Primeros pasosPreferencias de la consola


La consola de ESMLa consola de ESM proporciona visibilidad en tiempo real de las actividades de los dispositivos, ascomo acceso rpido a notificaciones de alarmas y casos asignados.

1 Barra de navegacin del sistema para las funciones de configuracin generales.

2 Iconos para acceder a pginas de uso frecuente.

3 Barra de herramientas de acciones para seleccionar las funciones necesarias a fin de configurarcada dispositivo.

4 Panel de navegacin del sistema para ver los dispositivos del sistema.

5 Panel de alarmas y casos para ver las notificaciones de alarma y los casos abiertos asignados.

6 Panel de vistas para los datos de eventos, flujos y registro.

7 Barra de herramientas de vistas para crear, editar y administrar las vistas.

8 Panel de filtros para aplicar filtros a las vistas de datos basadas en eventos o flujos.

Vase tambin Preferencias de la consola en la pgina 36Uso del tema de color de la consola en la pgina 38Seleccin de las opciones de visualizacin de la consola en la pgina 39Establecimiento del valor de tiempo de espera de la consola en la pgina 40

Primeros pasosPreferencias de la consola 2


Uso del tema de color de la consolaEs posible personalizar la consola de ESM mediante la seleccin de un tema de color existente o eldiseo de uno propio. Tambin es posible editar o eliminar temas de color personalizados.


1 En la barra de navegacin del sistema de la consola de ESM, haga clic en opciones.

2 Seleccione un tema de color existente, o bien agregue, edite o quite un tema personalizado.

3 Si hace clic en Agregar o Editar, seleccione los colores para el tema personalizado y haga clic enAceptar.

Si ha agregado un tema nuevo, se agregar una miniatura con sus colores a la seccin Seleccione untema.

4 Haga clic en Aceptar para guardar la configuracin.

Vase tambin Preferencias de la consola en la pgina 36La consola de ESM en la pgina 37Seleccin de las opciones de visualizacin de la consola en la pgina 39Establecimiento del valor de tiempo de espera de la consola en la pgina 40Pgina Colores en la pgina 38Pgina Seleccionar colores para tema en la pgina 38

Pgina ColoresAqu podr seleccionar un tema de color existente, disear uno propio o bien editar o eliminar un temapersonalizado.


Opcin Definicin

Seleccione un tema Haga clic en la miniatura del tema para seleccionarlo. La consola reflejar laseleccin.

Agregar Permite crear un tema nuevo. Al hacer clic en esta opcin, aparece la pginaSeleccionar colores para tema.

Editar Realizar cambios en un tema de color personalizado.

Quitar Eliminar un tema de color personalizado.

Vase tambin Uso del tema de color de la consola en la pgina 38

Pgina Seleccionar colores para temaPermite agregar o editar un tema de color personalizado para la consola de ESM. La consola reflejarlos cambios a medida que los establezca.


Opcin Definicin

Nombre del tema Introduzca un nombre para el tema.

Aplicacin Seleccione el color del fondo y del texto para las partes superior e inferior delfondo de la consola. La parte superior se fusiona con la inferior.



Tabla 2-4 Definiciones de opciones (continuacin)

Opcin Definicin

Espacio de trabajo Seleccione el color del fondo y del texto para el espacio de trabajo de la consola,as como la transparencia del fondo.

Componentes de vista Seleccione el color del fondo y del texto para los componentes de vista, yestablezca la transparencia del fondo de los componentes.

Cuadros de dilogo Seleccione el color del fondo y del texto para los cuadros de dilogo, y establezcala transparencia del fondo de los cuadros.

Restablecer Permite restaurar los colores predeterminados.

Vase tambin Uso del tema de color de la consola en la pgina 38

Seleccin de las opciones de visualizacin de la consolaEstablezca la configuracin predeterminada para las vistas de la consola de ESM.

En esta pgina, puede establecer el sistema para que haga lo siguiente:

actualizar los datos automticamente en una vista abierta;

cambiar las vistas que se abren de forma predeterminada al iniciar el sistema;

cambiar las vistas que se abren cuando se selecciona Resumir en una vista de eventos o flujos.


1 En la barra de navegacin del sistema de la consola de ESM, haga clic en opciones.

2 En la pgina Vistas, seleccione las preferencias y, despus, haga clic en Aceptar.

Vase tambin Preferencias de la consola en la pgina 36La consola de ESM en la pgina 37Uso del tema de color de la consola en la pgina 38Establecimiento del valor de tiempo de espera de la consola en la pgina 40Pgina Vistas en la pgina 39

Pgina VistasPermite establecer las preferencias para las vistas predeterminadas y actualizar automticamente losdatos de las vistas abiertas.


Opcin Definicin

Actualizar vistas automticamentecada

Seleccione esta opcin si desea que los datos de una vista abierta seactualicen automticamente y defina la frecuencia.

Vista predeterminada del sistema La vista que aparece en el panel Vistas de forma predeterminada esResumen predeterminado. Para cambiarla, seleccione una vista en la listadesplegable.

Vista de resumen de eventos o Vistade resumen de flujos

Si selecciona las opciones Resumir o Resumir segn al acceder ainformacin de detalle sobre una vista (vase Opciones de men decomponentes), las vistas que seleccione en cada uno de estoscampos sern las predeterminadas.

Primeros pasosPreferencias de la consola 2


Vase tambin Seleccin de las opciones de visualizacin de la consola en la pgina 39

Establecimiento del valor de tiempo de espera de la consolaLa sesin en curso de la consola de ESM permanece abierta mientras hay actividad. Es posible definirla cantidad de tiempo de inactividad necesaria para que se cierre la sesin.


1 En el rbol de navegacin del sistema, seleccione Propiedades del sistema | Seguridad de inicio de sesin.

2 En Valor de tiempo de espera de interfaz de usuario, seleccione el nmero de minutos que deben transcurrirde inactividad y, despus, haga clic en Aceptar.

Si selecciona cero (0), la consola permanecer abierta indefinidamente.

Vase tambin Preferencias de la consola en la pgina 36La consola de ESM en la pgina 37Uso del tema de color de la consola en la pgina 38Seleccin de las opciones de visualizacin de la consola en la pgina 39



3 Configuracin del ESMEl ESM administra los datos, las opciones, las actualizaciones y la configuracin. Se comunica convarios dispositivos de forma simultnea. Cuando cree el entorno del ESM, tenga en cuentadetenidamente las necesidades de su organizacin y los objetivos de conformidad a fin de sustentar elciclo de vida de administracin de la seguridad de la organizacin.

Contenido Adm

mcafee enterprise security manager 9.6 · que acompaÑan al paquete de software, o que haya...

Documents