mcafee enterprise security manager 10.0.0 guía del … · eliminación de un esm...

Guía del producto

McAfee Enterprise Security Manager10.0.0

COPYRIGHT

© 2017 Intel Corporation

ATRIBUCIONES DE MARCAS COMERCIALESIntel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. McAfee y el logotipo de McAfee,McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global ThreatIntelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfeeTechMaster, McAfee Total Protection, TrustedSource y VirusScan son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de susempresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.

INFORMACIÓN DE LICENCIA

Acuerdo de licenciaAVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULALOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO,CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRAQUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UNARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NOACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE OAL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.

2 McAfee Enterprise Security Manager 10.0.0 Guía del producto

Contenido

Prefacio 9Acerca de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Búsqueda de documentación de productos . . . . . . . . . . . . . . . . . . . . . . . 10Búsqueda de información localizada . . . . . . . . . . . . . . . . . . . . . . . 10

1 Introducción 13Cómo funciona McAfee

®

Enterprise Security Manager (McAfee ESM) . . . . . . . . . . . . . 13Los dispositivos y sus funciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Uso de la Ayuda de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Búsqueda de información localizada . . . . . . . . . . . . . . . . . . . . . . . . . . 15

2 Primeros pasos 17Inicio y cierre de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Personalización de la página de inicio de sesión . . . . . . . . . . . . . . . . . . . . . 18Actualización del software de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Obtención y adición de credenciales de actualización de reglas . . . . . . . . . . . . . . . 20Comprobación de la existencia de actualizaciones de reglas . . . . . . . . . . . . . . . . . 21Cambio de idioma de los registros de eventos . . . . . . . . . . . . . . . . . . . . . . 21Conexión de los dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Adición de dispositivos a la consola de ESM . . . . . . . . . . . . . . . . . . . . 22Selección de un tipo de pantalla . . . . . . . . . . . . . . . . . . . . . . . . . 23Administración de tipos de pantallas personalizadas . . . . . . . . . . . . . . . . . 23

Establecimiento del valor de tiempo de espera de la consola . . . . . . . . . . . . . . . . 24

3 Configuración del ESM 25Acerca de las claves de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Aplicación de la clave a un dispositivo . . . . . . . . . . . . . . . . . . . . . . 26Administración de claves SSH . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Organización de los dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Visualización de información de dispositivo . . . . . . . . . . . . . . . . . . . . 28Actualización de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . 33Visualización de informes de resumen de dispositivos . . . . . . . . . . . . . . . . 34Visualización de un registro de sistema o dispositivo . . . . . . . . . . . . . . . . 34Administración de varios dispositivos . . . . . . . . . . . . . . . . . . . . . . . 35Administración de vínculos de URL para todos los dispositivos . . . . . . . . . . . . . 36Configuración del control de tráfico de la red en un dispositivo . . . . . . . . . . . . 37Configuración de notificaciones SNMP . . . . . . . . . . . . . . . . . . . . . . 38Sincronización del dispositivo con ESM . . . . . . . . . . . . . . . . . . . . . . 38Configuración de la comunicación con ELM . . . . . . . . . . . . . . . . . . . . 38Establecimiento del grupo de registro predeterminado . . . . . . . . . . . . . . . . 39Otorgar acceso al sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Supervisión del tráfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Inicio, detención, reinicio o actualización de un dispositivo . . . . . . . . . . . . . . 41

McAfee Enterprise Security Manager 10.0.0 Guía del producto 3

Cambio de la conexión con el ESM . . . . . . . . . . . . . . . . . . . . . . . . 41Dispositivos virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Administración de tipos de pantallas personalizadas . . . . . . . . . . . . . . . . . 46Administración de un grupo en un tipo de pantalla personalizada . . . . . . . . . . . 47Eliminación de un grupo o dispositivo . . . . . . . . . . . . . . . . . . . . . . 48Eliminación de dispositivos duplicados en el árbol de navegación del sistema . . . . . . . 48

Configuración de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Configuración de Event Receiver . . . . . . . . . . . . . . . . . . . . . . . . 50Configuración de Enterprise Log Search . . . . . . . . . . . . . . . . . . . . . 105Configuración de Enterprise Log Manager (ELM) . . . . . . . . . . . . . . . . . . 107Configuración de Advanced Correlation Engine (ACE) . . . . . . . . . . . . . . . . 132Configuración de Application Data Monitor (ADM) . . . . . . . . . . . . . . . . . 139Configuración de Database Event Monitor (DEM) . . . . . . . . . . . . . . . . . 155Configuración del ESM distribuido (DESM) . . . . . . . . . . . . . . . . . . . . 169Configuración de ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . 170Configuración de McAfee Vulnerability Manager . . . . . . . . . . . . . . . . . . 178Configuración de McAfee Network Security Manager . . . . . . . . . . . . . . . . 179

Configuración de los servicios auxiliares . . . . . . . . . . . . . . . . . . . . . . . . 182Información general del sistema . . . . . . . . . . . . . . . . . . . . . . . . 182Opciones de configuración del servidor de Remedy . . . . . . . . . . . . . . . . . 183Detención de la actualización automática del Árbol de sistemas de ESM . . . . . . . . 184Definición de la configuración de los mensajes . . . . . . . . . . . . . . . . . . 184Configuración de NTP en un dispositivo . . . . . . . . . . . . . . . . . . . . . 187Página Administrar listas negras globales . . . . . . . . . . . . . . . . . . . . 189Configuración de las opciones de red . . . . . . . . . . . . . . . . . . . . . . 189Sincronización de la hora del sistema . . . . . . . . . . . . . . . . . . . . . . 205Instalación de un nuevo certificado . . . . . . . . . . . . . . . . . . . . . . . 207Configuración de perfiles . . . . . . . . . . . . . . . . . . . . . . . . . . . 208Configuración de SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

Administración de la base de datos . . . . . . . . . . . . . . . . . . . . . . . . . . 218Configuración del archivado de base de datos . . . . . . . . . . . . . . . . . . . 218Configuración del almacenamiento de datos de ESM . . . . . . . . . . . . . . . . 220Configuración del almacenamiento de datos de máquina virtual de ESM . . . . . . . . 220Aumento del número de índices de acumulación disponibles . . . . . . . . . . . . . 221Configuración de límites de retención de datos . . . . . . . . . . . . . . . . . . 221Definición de los límites de asignación de datos . . . . . . . . . . . . . . . . . . 222Administración de la configuración de índice de la base de datos . . . . . . . . . . . 223Administración de la indización de acumulación . . . . . . . . . . . . . . . . . . 223Visualización de la utilización de memoria de la base de datos . . . . . . . . . . . . 224

Uso de usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225Adición de un usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226Selección de la configuración de usuario . . . . . . . . . . . . . . . . . . . . . 227Configuración de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . 228Configuración de credenciales para McAfee ePO . . . . . . . . . . . . . . . . . . 237Desactivación o reactivación de usuarios . . . . . . . . . . . . . . . . . . . . . 237Autenticación de usuarios mediante un servidor LDAP . . . . . . . . . . . . . . . 238Configuración de grupos de usuarios . . . . . . . . . . . . . . . . . . . . . . 238Adición de un grupo con acceso limitado . . . . . . . . . . . . . . . . . . . . . 243

Copia de seguridad y restauración de la configuración del sistema . . . . . . . . . . . . . 243Copias de seguridad de la configuración y los datos de sistema de ESM . . . . . . . . 244Restauración de la configuración de ESM . . . . . . . . . . . . . . . . . . . . . 245Restauración de archivos de configuración con copias de seguridad . . . . . . . . . . 246Uso de los archivos de copia de seguridad en ESM . . . . . . . . . . . . . . . . . 246Administración del mantenimiento de archivos . . . . . . . . . . . . . . . . . . 247

ESM redundante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248Configuración de la redundancia de ESM . . . . . . . . . . . . . . . . . . . . 248

Contenido


Eliminación de un ESM redundante . . . . . . . . . . . . . . . . . . . . . . . 249Desactivación de las consultas compartidas . . . . . . . . . . . . . . . . . . . . 250Conversión del ESM redundante en el ESM principal . . . . . . . . . . . . . . . . 250

Administración de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251Administración de registros . . . . . . . . . . . . . . . . . . . . . . . . . . 252Enmascaramiento de direcciones IP . . . . . . . . . . . . . . . . . . . . . . . 254Configuración del registro de ESM . . . . . . . . . . . . . . . . . . . . . . . 255Exportación y restauración de claves de comunicación . . . . . . . . . . . . . . . 256Regeneración de una clave SSH . . . . . . . . . . . . . . . . . . . . . . . . 256Administrador de tareas de consultas . . . . . . . . . . . . . . . . . . . . . . 257Administración de consultas en ejecución en ESM . . . . . . . . . . . . . . . . . 257Actualización de un ESM principal o redundante . . . . . . . . . . . . . . . . . . 258

Uso de una lista negra global . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259Establecimiento de una lista negra global . . . . . . . . . . . . . . . . . . . . 259

Enriquecimiento de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261Adición de orígenes de enriquecimiento de datos . . . . . . . . . . . . . . . . . 261Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO

™

. . . . 265Adición de un origen de enriquecimiento de datos de Hadoop HBase . . . . . . . . . 265Adición de un origen de enriquecimiento de datos de Hadoop Pig . . . . . . . . . . . 266Adición de enriquecimiento de datos de Active Directory para nombres de usuario . . . . 267

4 Uso de las vistas de panel 269Bloques de creación de paneles . . . . . . . . . . . . . . . . . . . . . . . . . . . 269Vistas predefinidas (predeterminadas) . . . . . . . . . . . . . . . . . . . . . . . . . 270Apertura de vistas de panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270Adición de vistas de panel personalizadas . . . . . . . . . . . . . . . . . . . . . . . 271Enlace de widgets de panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272Filtrado de vistas de panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272Respuesta a las notificaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273Investigación de casos abiertos . . . . . . . . . . . . . . . . . . . . . . . . . . . 274

5 Administración de Cyber Threat 275Configuración de la administración de Cyber Threat . . . . . . . . . . . . . . . . . . . 275Configuración de una fuente de Cyber Threat para el dominio . . . . . . . . . . . . . . . 276Visualización de resultados de fuentes de Cyber Threat . . . . . . . . . . . . . . . . . . 277Tipos de indicadores compatibles . . . . . . . . . . . . . . . . . . . . . . . . . . . 278Errores en la carga manual de un archivo IOC STIX XML . . . . . . . . . . . . . . . . . 279

6 Uso de paquetes de contenido 281Importación de paquetes de contenido . . . . . . . . . . . . . . . . . . . . . . . . 281

7 Flujo de trabajo de alarmas 283Preparación para la creación de alarmas . . . . . . . . . . . . . . . . . . . . . . . . 283

Configuración de mensajes de alarma . . . . . . . . . . . . . . . . . . . . . . 283Administración de archivos de audio para las alarmas . . . . . . . . . . . . . . . 288

Creación de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289Activación o desactivación de la supervisión de alarmas . . . . . . . . . . . . . . . 289Cómo copiar una alarma . . . . . . . . . . . . . . . . . . . . . . . . . . . 290Creación de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290

Supervisión y respuesta para alarmas . . . . . . . . . . . . . . . . . . . . . . . . . 294Visualización y administración de alarmas activadas . . . . . . . . . . . . . . . . 295Administración de la cola de informes de alarma . . . . . . . . . . . . . . . . . 296

Ajuste de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298Creación de alarmas UCAPL . . . . . . . . . . . . . . . . . . . . . . . . . . 298Adición de alarmas de eventos del monitor de estado . . . . . . . . . . . . . . . 300Adición de una alarma de Coincidencia de campo . . . . . . . . . . . . . . . . . 310

Contenido


Resumen personalizado para alarmas activadas y casos . . . . . . . . . . . . . . . 312Adición de una alarma a las reglas . . . . . . . . . . . . . . . . . . . . . . . 313Creación de capturas SNMP a modo de acciones de alarma . . . . . . . . . . . . . 313Adición de una alarma de notificación sobre fallos de alimentación . . . . . . . . . . 314Administración de orígenes de datos no sincronizados . . . . . . . . . . . . . . . 314

8 Uso de los eventos 317Eventos, flujos y registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317

Configuración de descargas de eventos, flujos y registros . . . . . . . . . . . . . . 318Limitación del tiempo de recopilación de datos . . . . . . . . . . . . . . . . . . 320Definición de la configuración de umbral de inactividad . . . . . . . . . . . . . . . 320Obtención de eventos y flujos . . . . . . . . . . . . . . . . . . . . . . . . . 321Comprobación de eventos, flujos y registros . . . . . . . . . . . . . . . . . . . 323Definición de la configuración de geolocalización y ASN . . . . . . . . . . . . . . . 324Agregación de eventos o flujos . . . . . . . . . . . . . . . . . . . . . . . . . 324Configuración del reenvío de eventos . . . . . . . . . . . . . . . . . . . . . . 329

Administración de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337Establecimiento del mes de inicio para los informes trimestrales . . . . . . . . . . . 338Adición de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338Adición de un diseño de informe . . . . . . . . . . . . . . . . . . . . . . . . 341Adición de un componente de imagen a un informe . . . . . . . . . . . . . . . . 344Inclusión de una imagen en los PDF y los informes . . . . . . . . . . . . . . . . . 344Adición de una condición de informe . . . . . . . . . . . . . . . . . . . . . . 345Visualización de los nombres de hosts en un informe . . . . . . . . . . . . . . . . 346

Descripción de los filtros contains y regex . . . . . . . . . . . . . . . . . . . . . . . 346Uso de las vistas de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350

Administración de vistas . . . . . . . . . . . . . . . . . . . . . . . . . . . 350Visualización de detalles de sesión . . . . . . . . . . . . . . . . . . . . . . . 351Filtrado de vistas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351Listas de control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355Vistas de flujo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361Vista Búsqueda de ELM mejorada . . . . . . . . . . . . . . . . . . . . . . . . . . 361Componentes de vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363Uso del Asistente de consultas . . . . . . . . . . . . . . . . . . . . . . . . . 367

Filtros de tipos personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373Creación de tipos personalizados . . . . . . . . . . . . . . . . . . . . . . . . 375Tabla de tipos personalizados predefinidos . . . . . . . . . . . . . . . . . . . . 376Adición de tipos personalizados de tiempo . . . . . . . . . . . . . . . . . . . . 376Tipos personalizados de nombre/valor . . . . . . . . . . . . . . . . . . . . . . 377Adición de un tipo personalizado de grupo de nombre/valor . . . . . . . . . . . . . 377Adición de filtros de ID de evento de Windows y UCF . . . . . . . . . . . . . . . . 378

Búsquedas de McAfee®

Active Response . . . . . . . . . . . . . . . . . . . . . . . . 378Ejecución de una búsqueda de Active Response . . . . . . . . . . . . . . . . . . 379Administración de los resultados de las búsquedas de Active Response . . . . . . . . . 380Adición de un origen de enriquecimiento de datos de Active Response . . . . . . . . . 381Adición de una lista de vigilancia de Active Response . . . . . . . . . . . . . . . . 382

9 Administración de casos 383Adición de un caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383Creación de un caso a partir de un evento . . . . . . . . . . . . . . . . . . . . . . . 384Adición de eventos a un caso existente . . . . . . . . . . . . . . . . . . . . . . . . 384Edición o cierre de un caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386Visualización de detalles de casos . . . . . . . . . . . . . . . . . . . . . . . . . . 387Adición de niveles de estado de casos . . . . . . . . . . . . . . . . . . . . . . . . . 389Envío de casos por correo electrónico . . . . . . . . . . . . . . . . . . . . . . . . . 389Visualización de todos los casos . . . . . . . . . . . . . . . . . . . . . . . . . . . 390

Contenido


Generación de informes de administración de casos . . . . . . . . . . . . . . . . . . . 391

10 Uso del administrador de activos 393Cómo funciona el Administrador de activos . . . . . . . . . . . . . . . . . . . . . . . . . 393

Administración de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . 394Definición de activos antiguos . . . . . . . . . . . . . . . . . . . . . . . . . 397

Orígenes de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397Administración de orígenes de activos . . . . . . . . . . . . . . . . . . . . . . 398

Administración de orígenes de evaluación de vulnerabilidades . . . . . . . . . . . . . . . 399Administración de zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400

Administración de las zonas . . . . . . . . . . . . . . . . . . . . . . . . . . 400Adición de una zona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401Exportación de la configuración de zonas . . . . . . . . . . . . . . . . . . . . . 401Importación de la configuración de zonas . . . . . . . . . . . . . . . . . . . . 402Adición de una subzona . . . . . . . . . . . . . . . . . . . . . . . . . . . 403

Evaluación de activos, amenazas y riesgo . . . . . . . . . . . . . . . . . . . . . . . 405Administración de amenazas conocidas . . . . . . . . . . . . . . . . . . . . . . . . 406

11 Administración de directivas y reglas 407Descripción del Editor de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . 407El Árbol de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409Administración de directivas en el Árbol de directivas . . . . . . . . . . . . . . . . . . . 409Configuración de la regla y el informe para las pistas de auditoría de base de datos . . . . . . 413Normalización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414Tipos de reglas y sus propiedades . . . . . . . . . . . . . . . . . . . . . . . . . . 414

Reglas de ADM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416Reglas del analizador de syslog avanzado (ASP) . . . . . . . . . . . . . . . . . . 432Reglas de correlación . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438Reglas de origen de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . 444Reglas de DEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446Reglas de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448Reglas de filtrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449Adición o edición de una regla de rastreo de transacciones . . . . . . . . . . . . . 450Variables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451Reglas de eventos de Windows . . . . . . . . . . . . . . . . . . . . . . . . . 454

Configuración de la directiva predeterminada . . . . . . . . . . . . . . . . . . . . . . 454Configuración del modo de sobresuscripción . . . . . . . . . . . . . . . . . . . 454Visualización del estado de actualización de directivas de los dispositivos . . . . . . . . 455

Operaciones relacionadas con reglas . . . . . . . . . . . . . . . . . . . . . . . . . 455Administración de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . 455Importación de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457Importación de variables . . . . . . . . . . . . . . . . . . . . . . . . . . . 458Exportación de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459Filtrado de reglas existentes . . . . . . . . . . . . . . . . . . . . . . . . . . 459Visualización de la firma de una regla . . . . . . . . . . . . . . . . . . . . . . 461Recuperación de actualizaciones de regla . . . . . . . . . . . . . . . . . . . . 461Borrado del estado de regla actualizado . . . . . . . . . . . . . . . . . . . . . 462Comparación de archivos de regla . . . . . . . . . . . . . . . . . . . . . . . 463Visualización del historial de cambios de reglas . . . . . . . . . . . . . . . . . . 463Creación de una nueva lista de vigilancia de reglas . . . . . . . . . . . . . . . . . 464Adición de reglas a una lista de vigilancia . . . . . . . . . . . . . . . . . . . . 465

Asignación de etiquetas a reglas o activos . . . . . . . . . . . . . . . . . . . . . . . 465Modificación de la configuración de agregación . . . . . . . . . . . . . . . . . . . . . 466Omisión de la acción en las reglas descargadas . . . . . . . . . . . . . . . . . . . . . 467Ponderaciones de gravedad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468

Establecimiento de las ponderaciones de gravedad . . . . . . . . . . . . . . . . . 469

Contenido


Visualización del historial de cambios de directiva . . . . . . . . . . . . . . . . . . . . 469Aplicación de cambios de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . 470Activación de Copiar paquete . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471

A Información sobre el modo FIPS 473Información sobre el modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . 473Comprobación de integridad de FIPS . . . . . . . . . . . . . . . . . . . . . . . . . 474Adición de un dispositivo con clave aplicada en el modo FIPS . . . . . . . . . . . . . . . 475

Copia de seguridad y restauración de información de un dispositivo en modo FIPS . . . . 475Activación de la comunicación con varios dispositivos ESM en el modo FIPS . . . . . . . 476

Solución de problemas del modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . 478

Índice 479

Contenido


Prefacio

Esta guía le proporcionará toda la información que necesita para trabajar con su producto McAfee.

Contenido Acerca de esta guía Búsqueda de documentación de productos

Acerca de esta guíaEsta información incluye los destinatarios de la guía, las convenciones tipográficas y los iconosutilizados, además de cómo está organizada.

DestinatariosLa documentación de McAfee se recopila y se redacta meticulosamente para el público al que vadestinada.

La información de esta guía está dirigida principalmente a:

• Administradores: personas que implementan y aplican el programa de seguridad de la empresa.

ConvencionesEn esta guía se utilizan los siguientes iconos y convenciones tipográficas.

Cursiva Título de un manual, capítulo o tema; un nuevo término; énfasis

Negrita Texto que se enfatiza

Tipo de letramonoespacio

Comandos y texto de otra índole que escribe el usuario; un ejemplo decódigo; un mensaje que se presenta en pantalla

Tipo de letra estrecho en negrita Palabras de la interfaz del producto, como opciones, menús, botones ycuadros de diálogo

Azul hipertexto Un vínculo a un tema o a un sitio web externo

Nota: Información adicional para enfatizar una cuestión, recordarle algoal lector o proporcionar un método alternativo

Sugerencia: Información sobre prácticas recomendadas

Precaución: Consejos importantes para proteger su sistema informático,instalación de software, red, empresa o sus datos

Advertencia: Consejos fundamentales para impedir lesiones personalesal utilizar un producto de hardware


Búsqueda de documentación de productosEn el portal ServicePortal puede encontrar información sobre los productos publicados, por ejemplodocumentación de los productos, artículos técnicos, etc.

Procedimiento1 Vaya al portal ServicePortal en https://support.mcafee.com y haga clic en la ficha Centro de conocimiento.

2 En el panel Base de conocimiento, bajo Origen de contenido, haga clic en Documentación de productos.

3 Seleccione un producto y una versión, y haga clic en Buscar para ver una lista de documentos.

Procedimientos• Búsqueda de información localizada en la página 10

Se proporcionan notas de la versión, Ayuda, guía del producto y guía de instalación deMcAfee ESM localizadas (traducidas) en los idiomas siguientes:

Búsqueda de información localizadaSe proporcionan notas de la versión, Ayuda, guía del producto y guía de instalación de McAfee ESMlocalizadas (traducidas) en los idiomas siguientes:

• Chino simplificado

• Chino tradicional

• Inglés

• Francés

• Alemán

• Japonés

• Coreano

• Portugués brasileño

• Español

Acceso a la Ayuda online localizada

Al cambiar la configuración de idioma en el ESM, cambia automáticamente el idioma empleado en laAyuda online.

1 Inicie sesión en ESM.

2 En el panel de navegación del sistema de la consola de ESM, seleccione Opciones.

3 Seleccione un idioma y haga clic en Aceptar.

4 Haga clic en el icono de Ayuda, situado en la esquina superior derecha de las ventanas del ESM, obien seleccione el menú Ayuda. La Ayuda aparecerá en el idioma seleccionado.

Si la Ayuda aparece solo en inglés, significa que la versión localizada no está disponible aún. La Ayudalocalizada se instalará mediante una actualización futura.

PrefacioBúsqueda de documentación de productos


https://support.mcafee.com

Búsqueda de documentación del producto localizada en el Centro de conocimiento

1 Visite el Centro de conocimiento.

2 Busque la documentación localizada del producto mediante los parámetros siguientes.

• Término de búsqueda: guía del producto, guía de instalación o notas de la versión

• Producto: SIEM Enterprise Security Manager

• Versión: elija una versión

3 En los resultados de la búsqueda, haga clic en el título del documento relevante.

4 En la página con el icono de PDF, desplácese hacia abajo hasta que vea los vínculos de idioma en laparte derecha. Haga clic en el idioma relevante.

5 Haga clic en el vínculo de PDF para abrir la versión localizada del documento del producto.



https://support.mcafee.com/

1 Introducción

McAfee®

Enterprise Security Manager (McAfee ESM) permite a los profesionales de la seguridad y laconformidad recopilar, almacenar y analizar los eventos, así como actuar sobre ellos, desde una únicaubicación.

Contenido Cómo funciona McAfee® Enterprise Security Manager (McAfee ESM) Los dispositivos y sus funciones Uso de la Ayuda de ESM Búsqueda de información localizada

Cómo funciona McAfee® Enterprise Security Manager (McAfeeESM)

McAfee ESM recopila y agrega datos y eventos de dispositivos de seguridad, infraestructuras de red,sistemas y aplicaciones. A continuación, aplica inteligencia a esos datos mediante su combinación coninformación contextual acerca de usuarios, activos, vulnerabilidades y amenazas. Correlaciona estainformación para localizar incidentes relevantes. Gracias a los paneles interactivos personalizables, esposible acceder a información detallada sobre eventos específicos a fin de investigar los incidentes.

ESM consta de tres capas.

• Interfaz: una interfaz basada en navegador: la consola de ESM.

• Almacenamiento, administración y análisis de datos: los dispositivos que proporcionan lasfunciones de almacenamiento, normalización, agregación, configuración, generación de informes,visualización y búsqueda son los siguientes.

• ESM (obligatorio)

• Advanced Correlation Engine (ACE) (muy recomendable)

• McAfee Enterprise Log Manager (ELM) (muy recomendable)

• Enterprise Log Search (ELS) (muy recomendable)

• Recopilación de datos: los dispositivos que proporcionan las interfaces y los servicios queadquieren datos del entorno de red del usuario son los siguientes.

• Event Receiver (receptor)

• Application Data Monitor (ADM)

• Database Event Monitor (DEM)

Todas las funciones de comando, control y comunicación entre los componentes se coordinan a travésde canales de comunicación seguros.

1


Los dispositivos y sus funcionesEl ESM permite administrar y gestionar todos los dispositivos físicos y virtuales de su entorno deseguridad, así como interactuar con ellos. En este diagrama se muestra cómo colaboran losdispositivos ESM para recopilar y compartir los datos, de manera que pueda responder a las amenazaspotenciales en su entorno.

Véase también Configuración de Event Receiver en la página 50Configuración de Enterprise Log Manager (ELM) en la página 107Configuración de Application Data Monitor (ADM) en la página 139Configuración de Database Event Monitor (DEM) en la página 155Configuración de Advanced Correlation Engine (ACE) en la página 132Configuración del ESM distribuido (DESM) en la página 169Configuración de ePolicy Orchestrator en la página 170

1 IntroducciónLos dispositivos y sus funciones


Uso de la Ayuda de ESM¿Tiene dudas sobre el uso de ESM? Utilice la Ayuda online como fuente de información contextual,donde podrá encontrar información conceptual, materiales de referencia e instrucciones paso a pasosobre el uso de ESM.

Procedimiento1 Para abrir la Ayuda de ESM, realice una de estas acciones:

• Seleccione la opción de menú Ayuda | Contenido de la Ayuda.

• Haga clic en el signo de interrogación situado en la parte superior derecha de las pantallas deESM para buscar ayuda contextual específica de cada pantalla.

2 En la ventana de la Ayuda:

• Utilice el campo Buscar para localizar cualquier palabra en la Ayuda. Los resultados aparecerándebajo del campo Buscar. Haga clic en el vínculo relevante para ver el tema de la Ayuda en elpanel de la derecha.

• Use la ficha Contenido (tabla de contenido) para ver una lista secuencial de los temas de laAyuda.

• Use el Índice para localizar un término concreto en la Ayuda. Las palabras clave estánorganizadas alfabéticamente para poder desplazarse por la lista hasta llegar a la palabra clavedeseada. Haga clic en la palabra clave para mostrar el tema de la Ayuda correspondiente.

• Para imprimir el tema actual de la Ayuda (sin barras de desplazamiento), haga clic en el iconode la impresora, situado en la parte superior derecha del tema de la Ayuda.

• Para localizar los vínculos a los temas relacionados de la Ayuda, desplácese hasta la parteinferior del tema de la Ayuda.

Búsqueda de información localizadaSe proporcionan notas de la versión, Ayuda, guía del producto y guía de instalación de McAfee ESMlocalizadas (traducidas) en los idiomas siguientes:

• Chino simplificado

• Chino tradicional

• Inglés

• Francés

• Alemán

• Japonés

• Coreano

• Portugués brasileño

• Español

Acceso a la Ayuda online localizada

Al cambiar la configuración de idioma en el ESM, cambia automáticamente el idioma empleado en laAyuda online.

IntroducciónUso de la Ayuda de ESM 1


1 Inicie sesión en ESM.

2 En el panel de navegación del sistema de la consola de ESM, seleccione Opciones.

3 Seleccione un idioma y haga clic en Aceptar.

4 Haga clic en el icono de Ayuda, situado en la esquina superior derecha de las ventanas del ESM, obien seleccione el menú Ayuda. La Ayuda aparecerá en el idioma seleccionado.

Si la Ayuda aparece solo en inglés, significa que la versión localizada no está disponible aún. La Ayudalocalizada se instalará mediante una actualización futura.

Búsqueda de documentación del producto localizada en el Centro de conocimiento

1 Visite el Centro de conocimiento.

2 Busque la documentación localizada del producto mediante los parámetros siguientes.

• Término de búsqueda: guía del producto, guía de instalación o notas de la versión

• Producto: SIEM Enterprise Security Manager

• Versión: elija una versión

3 En los resultados de la búsqueda, haga clic en el título del documento relevante.

4 En la página con el icono de PDF, desplácese hacia abajo hasta que vea los vínculos de idioma en laparte derecha. Haga clic en el idioma relevante.

5 Haga clic en el vínculo de PDF para abrir la versión localizada del documento del producto.

1 IntroducciónBúsqueda de información localizada


https://support.mcafee.com/

2 Primeros pasos

Verifique que su entorno de ESM esté actualizado y listo para funcionar.

Contenido Inicio y cierre de sesión Personalización de la página de inicio de sesión Actualización del software de ESM Obtención y adición de credenciales de actualización de reglas Comprobación de la existencia de actualizaciones de reglas Cambio de idioma de los registros de eventos Conexión de los dispositivos Establecimiento del valor de tiempo de espera de la consola

Inicio y cierre de sesiónTras instalar y configurar los dispositivos, es posible iniciar sesión en la consola de ESM por primeravez.

ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, hagaclic en ? o en Ayuda.

1 Abra un navegador web en el equipo cliente y diríjase a la dirección IP establecida al configurar lainterfaz de red.

2 Haga clic en Inicio de sesión, seleccione el idioma para la consola y escriba el nombre de usuario y lacontraseña predeterminados.

• Nombre de usuario predeterminado: NGCP

• Contraseña predeterminada: security.4u

3 Haga clic en Inicio de sesión, lea el Acuerdo de licencia de usuario final y haga clic en Aceptar.

4 Cambie el nombre de usuario y la contraseña; después, haga clic en Aceptar.

5 Indique si desea activar o no el modo FIPS.

En caso de estar obligado a trabajar en el modo FIPS, deberá activarlo la primera vez que iniciesesión en el sistema, de forma que todas las operaciones futuras con los dispositivos de McAfee seproduzcan en el modo FIPS. Se recomienda no activar el modo FIPS si no está obligado a hacerlo.Para obtener más información, consulte Información sobre el modo FIPS.

6 Siga las instrucciones para obtener el nombre de usuario y la contraseña, que son necesarios paraacceder a las actualizaciones de reglas.

2


7 Lleve a cabo la configuración inicial de ESM:

a Seleccione el idioma que se utilizará para los registros del sistema.

b Seleccione la zona horaria donde se encuentra el ESM y el formato de fecha para utilizarlos conesta cuenta; después, haga clic en Siguiente.

c Defina la configuración en las páginas del asistente Configuración inicial de ESM. Haga clic en el icono

Mostrar Ayuda de cada página para obtener instrucciones.

8 Haga clic en Aceptar y, después, en los vínculos de ayuda correspondientes a los pasos iniciales o alas funciones nuevas disponibles en esta versión de ESM.

9 Cuando termine su sesión de trabajo, cierre la sesión mediante uno de estos métodos:

• Si no hay páginas abiertas, haga clic en cierre de sesión en la barra de navegación del sistema,situada en la esquina superior derecha de la consola.

• Si hay alguna página abierta, cierre el navegador.

Véase también Personalización de la página de inicio de sesión en la página 18Cambio de idioma de los registros de eventos en la página 21

Personalización de la página de inicio de sesiónEs posible personalizar la página de inicio de sesión a fin de agregar texto, como por ejemplo laspolíticas de seguridad de la empresa o su logotipo.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Configuración personalizada.

2 Realice cualquiera de las acciones siguientes:

Para... Haga esto...

Agregar textopersonalizado

1 Haga clic en el cuadro de texto situado en la parte superior de la página.

2 Escriba el texto que desee agregar a la página Inicio de sesión.

3 Seleccione Incluir texto en pantalla de inicio de sesión.

Agregar una imagenpersonalizada

1 Haga clic en Seleccionar imagen.

2 Cargue la imagen que desee utilizar.

3 Seleccione Incluir imagen en pantalla de inicio de sesión.

Si sigue apareciendo el logotipo anterior en la página Inicio de sesión trascargar un nuevo logotipo personalizado, borre la caché del navegador.

Eliminar una imagenpersonalizada

Haga clic en Eliminar imagen. Aparecerá el logotipo predeterminado. Estaopción está disponible únicamente si se carga una imagen personalizada.

2 Primeros pasosPersonalización de la página de inicio de sesión


Tabla 2-1 Definiciones de opciones

Opción Definición

Introduzca aquí cualquiertexto adicional

Agregue texto personalizado a la página de inicio de sesión de la consolay la pantalla LCD del dispositivo, como por ejemplo las directivas deseguridad de la empresa.

Seleccione un logotipopersonalizado

Seleccione la imagen que desee que aparezca en la página de inicio desesión (véase Personalización de la página de inicio de sesión).

Incluir texto en pantalla deinicio de sesión

Seleccione si desea que el texto agregado aparezca en la página deinicio de sesión (véase Inclusión de una imagen en los PDF y losinformes).

Incluir imagen en pantalla deinicio de sesión

Seleccione esta opción si desea que la imagen seleccionada aparezca enla página de inicio de sesión.

Incluir imagen en PDFexportado

Seleccione esta opción si desea que la imagen seleccionada aparezca enlos PDF exportados y en los informes impresos.

Actualización automática delÁrbol de sistemas

El Árbol de sistemas se actualiza automáticamente cada cinco minutos.Si no desea que esto ocurra, anule la selección de esta opción (véaseDetención de la actualización automática del Árbol de sistemas de ESM).

Vínculos de dispositivo Permite realizar cambios en los vínculos de URL de cada uno de losdispositivos del sistema (véase Administración de vínculos de URL paratodos los dispositivos).

Remedy Establezca la configuración del Servidor de correo electrónico de Remedy parapoder enviar eventos al sistema Remedy, en caso de disponer de él.Véase Opciones de configuración del servidor de Remedy.

Especifique qué mes Defina el mes de inicio del primer trimestre si va a ejecutar informestrimestrales (véase Establecimiento del mes de inicio para los informestrimestrales).

Véase también Inicio y cierre de sesión en la página 17Cambio de idioma de los registros de eventos en la página 21

Actualización del software de ESMEs posible acceder a las actualizaciones de software desde el servidor de actualizaciones o a través deun ingeniero de seguridad y, después, cargarlas en el ESM.

Para ampliar un ESM principal o redundante, véase Actualización de un ESM principal o redundante.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración deESM.

2 En la ficha Mantenimiento, haga clic en Actualizar ESM.

3 Seleccione el archivo que desee usar para actualizar el ESM y haga clic en Aceptar.

El ESM se reiniciará y se desconectarán todas las sesiones en curso mientras se instala laactualización.

Primeros pasosActualización del software de ESM 2



Opción Definición

Tabla de actualizacionesde software

Haga clic en el archivo y, después, en Aceptar. Se le advertirá de que estoprovoca que el ESM se reinicie y se desconecten todas las sesiones encurso. Haga clic en Sí para continuar.

Examinar Permite acceder a un archivo de actualización de software obtenidomediante un ingeniero de seguridad de McAfee o el servidor de reglas yactualizaciones de McAfee. Haga clic en Cargar y, después, en Sí en lapágina de advertencia.

Véase también Obtención y adición de credenciales de actualización de reglas en la página 20Comprobación de la existencia de actualizaciones de reglas en la página 21Página Seleccionar archivo de actualización de software en la página 20

Página Seleccionar archivo de actualización de softwarePermite seleccionar el archivo de actualización de software para el ESM.


Opción Definición

Tabla de actualizacionesde software

Haga clic en el archivo y, después, en Aceptar. Se le advertirá de que estoprovoca que el ESM se reinicie y se desconecten todas las sesiones encurso. Haga clic en Sí para continuar.

Examinar Permite acceder a un archivo de actualización de software obtenidomediante un ingeniero de seguridad de McAfee o el servidor de reglas yactualizaciones de McAfee. Haga clic en Cargar y, después, en Sí en lapágina de advertencia.

Véase también Actualización del software de ESM en la página 19

Obtención y adición de credenciales de actualización de reglasESM proporciona actualizaciones de directivas, analizadores y reglas como parte del contrato demantenimiento. Tendrá acceso durante de 30 días antes de necesitar las credenciales permanentes.


1 Obtenga las credenciales mediante el envío de un mensaje de correo electrónico [email protected] con la siguiente información:

• Número de concesión de McAfee

• Nombre de cuenta

• Dirección

• Nombre de contacto

• Dirección de correo electrónico de contacto

2 Cuando reciba el ID y la contraseña de cliente de McAfee, seleccione Propiedades del sistema | Informacióndel sistema | Actualización de reglas en el árbol de navegación del sistema.

2 Primeros pasosObtención y adición de credenciales de actualización de reglas


3 Haga clic en Credenciales y escriba el ID de cliente y la contraseña.

4 Haga clic en Validar.

Véase también Actualización del software de ESM en la página 19Comprobación de la existencia de actualizaciones de reglas en la página 21

Comprobación de la existencia de actualizaciones de reglasEl equipo de firmas de McAfee actualiza continuamente las firmas de regla empleadas para examinarel tráfico de red. Estas actualizaciones están disponibles para su descarga desde el servidor central deMcAfee. Se pueden recuperar de forma automática o manual.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de seleccionar laopción Información del sistema.

2 En el campo Actualización de reglas, compruebe que la licencia no haya caducado.

Si la licencia ha caducado, véase Obtención y adición de credenciales de actualización de reglas.

3 Si la licencia es válida, haga clic en Actualización de reglas.

4 Seleccione una de estas opciones:

• Intervalo de comprobación automática, para configurar el sistema de forma que compruebe la existenciade actualizaciones automáticamente con la frecuencia seleccionada.

• Comprobar ahora, para comprobar la existencia de actualizaciones inmediatamente.

• Actualización manual, para actualizar las reglas desde un archivo local.

5 Haga clic en Aceptar.

Véase también Actualización del software de ESM en la página 19Obtención y adición de credenciales de actualización de reglas en la página 20

Cambio de idioma de los registros de eventosCuando se inicia sesión en ESM por primera vez, se selecciona el idioma que se usará para registrareventos, como en el caso del registro del monitor de estado y el registro de dispositivos. Puedemodificar esta configuración de idioma.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Administración de ESM.

2 Haga clic en Configuración regional del sistema, seleccione un idioma en la lista desplegable y haga clic enAceptar.

Primeros pasosComprobación de la existencia de actualizaciones de reglas 2


Véase también Inicio y cierre de sesión en la página 17Personalización de la página de inicio de sesión en la página 18

Conexión de los dispositivosConecte los dispositivos físicos y virtuales a McAfee ESM para permitir la supervisión de aplicaciones ybases de datos, la correlación avanzada basada en reglas y riesgo, y la generación de informes deconformidad.

Contenido Adición de dispositivos a la consola de ESM Selección de un tipo de pantalla Administración de tipos de pantallas personalizadas

Adición de dispositivos a la consola de ESMTras instalar y configurar los dispositivos físicos y virtuales, agréguelos a la consola de ESM.

Antes de empezarInstale y configure los dispositivos.

Estos pasos solo son necesarios para agregar dispositivos a un ESM en una instalación de ESMcompleja con varios dispositivos ESM. No es necesario realizar esta tarea en una instalación de ESMsimple donde se utilice un ESM combinado.

Procedimiento1 En el árbol de navegación del sistema, haga clic en el ESM Local o en un grupo.

2 En la barra de herramientas de acciones, haga clic en .

3 Seleccione el tipo de dispositivo que va a agregar y haga clic en Siguiente.

4 En el campo Nombre de dispositivo, introduzca un nombre exclusivo dentro del grupo y haga clic enSiguiente.

5 Proporcione la información solicitada.

• Dispositivos McAfee ePO: seleccione un receptor, escriba las credenciales necesarias para iniciarsesión en la interfaz web y haga clic en Siguiente. Para la comunicación con la base de datos,indique la configuración.

Seleccione Solicitar autenticación de usuario a fin de limitar el acceso a los usuarios que dispongan denombre de usuario y contraseña para el dispositivo.

• Resto de dispositivos: escriba la dirección IP de destino o la URL del dispositivo.

6 Indique si desea o no utilizar la configuración del protocolo de tiempo de redes o NTP (NetworkTime Protocol) en el dispositivo y, después, haga clic en Siguiente.

7 Introduzca una contraseña para el dispositivo y, a continuación, haga clic en Siguiente.

El ESM probará la comunicación con el dispositivo e informará del estado de la conexión.

2 Primeros pasosConexión de los dispositivos


Véase también Selección de un tipo de pantalla en la página 23Administración de tipos de pantallas personalizadas en la página 23Administración de un grupo en un tipo de pantalla personalizada en la página 47

Selección de un tipo de pantallaSeleccione la forma en que desea que se muestren los dispositivos en el árbol de navegación delsistema.

Antes de empezarPara seleccionar una pantalla personalizada, es necesario agregarla antes al sistema (véaseAdministración de tipos de pantallas personalizadas).

Procedimiento

1 En el panel de navegación del sistema, haga clic en la flecha desplegable del campo de tipo devisualización.

2 Seleccione uno de los tipos de pantalla.

La organización de los dispositivos en el árbol de navegación cambiará para reflejar el tiposeleccionado para la sesión de trabajo en curso.

Véase también Adición de dispositivos a la consola de ESM en la página 22Administración de tipos de pantallas personalizadas en la página 23Administración de un grupo en un tipo de pantalla personalizada en la página 47

Administración de tipos de pantallas personalizadasExiste la opción de definir cómo quiere que se organicen los dispositivos en el árbol de navegación delsistema mediante la adición, edición o eliminación de tipos de pantallas personalizadas.


1 En el panel de navegación del sistema, haga clic en la flecha de la lista desplegable de tipo depantalla.

2 Siga uno de los procedimientos siguientes.


Agregar un tipo de pantallapersonalizada

1 Haga clic en Agregar pantalla.

2 Rellene los campos y haga clic en Aceptar.

Editar un tipo de pantallapersonalizada

1 Haga clic en el icono Editar situado junto al tipo de pantallaque desee editar.

2 Cambie la configuración y haga clic en Aceptar.

Eliminar un tipo de pantallapersonalizada

Haga clic en el icono Eliminar situado junto al tipo de pantalla quedesee eliminar.

Primeros pasosConexión de los dispositivos 2


Véase también Adición de dispositivos a la consola de ESM en la página 22Selección de un tipo de pantalla en la página 23Administración de un grupo en un tipo de pantalla personalizada en la página 47

Establecimiento del valor de tiempo de espera de la consolaLa sesión en curso de la consola de ESM permanece abierta mientras hay actividad. Es posible definirla cantidad de tiempo de inactividad necesaria para que se cierre la sesión.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Seguridad de inicio de sesión.

2 En Valor de tiempo de espera de interfaz de usuario, seleccione el número de minutos que deben transcurrirde inactividad y, después, haga clic en Aceptar.

Si selecciona cero (0), la consola permanecerá abierta indefinidamente.

2 Primeros pasosEstablecimiento del valor de tiempo de espera de la consola


3 Configuración del ESM

El ESM administra los datos, las opciones, las actualizaciones y la configuración. Se comunica convarios dispositivos de forma simultánea. Cuando cree el entorno del ESM, tenga en cuentadetenidamente las necesidades de su organización y los objetivos de conformidad a fin de sustentar elciclo de vida de administración de la seguridad de la organización.

Contenido Acerca de las claves de dispositivo Organización de los dispositivos Configuración de dispositivos Configuración de los servicios auxiliares Administración de la base de datos Uso de usuarios y grupos Copia de seguridad y restauración de la configuración del sistema ESM redundante Administración de ESM Uso de una lista negra global Enriquecimiento de datos

Acerca de las claves de dispositivoPara que el ESM se comunique con un dispositivo, debe cifrar toda la comunicación mediante la clavede comunicación creada al aplicar la clave a dicho dispositivo.

Se recomienda exportar todas las claves a un archivo distinto protegido por contraseña.Posteriormente, se pueden importar a fin de restaurar la comunicación con un dispositivo en caso deque se produzca una emergencia, o bien para exportar una clave a otro dispositivo.

Toda la configuración se almacena en el ESM, lo que significa que la consola de ESM conoce las clavesque se mantienen en el ESM y no necesita importar una clave de dispositivo si el ESM ya se estácomunicando correctamente con ese dispositivo.

Por ejemplo, podría crear una copia de seguridad de la configuración (incluidas las claves dedispositivo) un lunes y volver a aplicar la clave a uno de los dispositivos el martes. Si el miércoles seda cuenta de que necesita restaurar la configuración del lunes, puede importar la clave creada elmartes tras finalizar la restauración de la configuración. Aunque la restauración revertirá la clave deldispositivo a la correspondiente al lunes, el dispositivo seguirá escuchando únicamente el tráficocodificado con la clave del martes. Esta clave se tiene que importar para que sea posible lacomunicación con el dispositivo.

Se recomienda no importar una clave de dispositivo a un ESM distinto. La clave de exportación se usapara reinstalar un dispositivo en el ESM administrador correspondiente al dispositivo, con el fin dedisponer de las funciones correctas de administración del dispositivo. Si importa un dispositivo a unsegundo ESM, varias funciones del dispositivo no estarán disponibles, como por ejemplo la

3


administración de directivas, el registro y la administración de ELM, y la configuración de origen dedatos y dispositivo virtual. Los administradores de dispositivo pueden sobrescribir la configuración deldispositivo mediante otro ESM. Se recomienda utilizar un único ESM para administrar los dispositivosconectados a él. Un DESM puede gestionar la recopilación de datos de dispositivos conectados a otroESM.

Aplicación de la clave a un dispositivoTras agregar un dispositivo al ESM, es necesario aplicarle una clave a fin de permitir la comunicación.La aplicación de una clave al dispositivo aporta seguridad, ya que se ignoran todas las fuentesexternas de comunicación.

Antes de empezarSi aplica una clave a un ESM distribuido tras cambiar la dirección IP del dispositivosecundario, asegúrese de que el puerto 443 esté abierto para volver a conectar con el ESM.

Los caracteres siguientes no se pueden usar en el nombre de un dispositivo: ! @ # $ % ^ & * ) ( ] [ }{ : ; " ' > < > , / ? ` ~ + = \ |


1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades

.

2 Haga clic en Administración de claves | Aplicar clave a dispositivo.

Si el dispositivo tiene una conexión establecida y se puede comunicar con el ESM, se abrirá elAsistente para aplicar clave a dispositivo.

3 Escriba una nueva contraseña para el dispositivo y haga clic en Siguiente.

4 Haga clic en Exportar clave y rellene la página Exportar clave o haga clic en Finalizar si desea realizar laexportación posteriormente.


Opción Definición

Introduzca la nuevacontraseña

Escriba y confirme una contraseña nueva para el dispositivo.

Siguiente Haga clic aquí tras escribir y confirmar la contraseña. Se le notificarácuando se haya aplicado la clave al dispositivo correctamente.

Exportar clave Permite exportar una copia de la clave. Esto es muy recomendable, yaque la necesitará en caso de tener que volver a agregar el dispositivo.


Opción Definición

Aplicar clave a dispositivo Aplicar la clave al dispositivo para que el ESM se pueda comunicar con él yresulte más seguro.

Importar clave Importar una clave a fin de restaurar una configuración anterior del ESM, obien para utilizarla en otro ESM o consola heredada.

Exportar clave Exportar la clave y guardarla en un archivo distinto para poder utilizarla enel futuro.

Administrar claves SSH Ver o eliminar las claves de comunicación SSH en este dispositivo.

3 Configuración del ESMAcerca de las claves de dispositivo


Véase también Administración de claves SSH en la página 27

Administración de claves SSHLos dispositivos pueden disponer de claves de comunicación SSH para los sistemas con los quenecesitan comunicarse de forma segura. Es posible detener la comunicación con dichos sistemas si seelimina la clave.



.

2 Haga clic en Administración de claves y, después, en Administrar claves SSH.

La página Administrar claves SSH incluye los ID correspondientes al ESM con el que se comunica eldispositivo.

3 Resalte el ID en cuestión y haga clic en Eliminar para detener la comunicación con uno de lossistemas de la lista.

4 Confirme la eliminación y haga clic en Aceptar.


Opción Definición

Tabla Clavesautorizadas

Permite ver los equipos para los cuales tiene claves de comunicación SSHeste dispositivo. Si está activado SSH, los equipos de la lista se podráncomunicar.

Hosts conocidos En el caso de los dispositivos, permite administrar las claves de cualquierdispositivo compatible con SSH con el que se haya comunicado el dispositivoen cuestión (por ejemplo, el receptor de un origen de datos SCP). En el casodel ESM, permite ver las claves de todos los dispositivos del árbol desistemas con el que se comunica el ESM.

Tabla Hosts conocidos Permite ver la dirección IP, el nombre de dispositivo y la huella digital yaintroducidos de acuerdo con los datos del host disponibles en el archivo dehosts conocidos (root/.ssh/known_hosts).

Huella digital deldispositivo

Permite ver la huella digital de este dispositivo, que se genera a partir de laclave SSH pública del dispositivo.

Eliminar Eliminar el elemento seleccionado en el ESM.

Ver clave Ver la clave del elemento seleccionado.

Véase también Aplicación de la clave a un dispositivo en la página 26

Configuración del ESMAcerca de las claves de dispositivo 3


Organización de los dispositivosEl árbol de navegación del sistema muestra los dispositivos que hay en el sistema. Se puedeseleccionar la forma de visualizarlos mediante la función de tipo de pantalla.

A medida que aumenta el número de dispositivos del sistema, resulta útil organizarlos de maneralógica para poder encontrarlos si los necesita. Por ejemplo, si dispone de sucursales en variasubicaciones, podría ser mejor mostrar los dispositivos según su zona.

Puede usar las tres pantallas predefinidas, además de diseñar pantallas personalizadas. Dentro decada pantalla personalizada, cabe la posibilidad de agregar grupos a fin de continuar con laorganización de los dispositivos.

Visualización de información de dispositivoEs posible ver información general sobre un dispositivo. Abra la página Información del dispositivo paraver el ID del sistema, el número de serie, el modelo, la versión, la compilación, etc.

3 Configuración del ESMOrganización de los dispositivos




.

2 Vea la información disponible y, a continuación, haga clic en Aceptar.


Opción Definición

ID de equipo Número de identificación del dispositivo. A fin de reactivar su sistema, elSoporte de McAfee le pedirá este número para enviarle el archivo correcto.

Número de serie Número de serie del dispositivo.

Modelo Número de modelo del dispositivo.

Versión Versión de software que se ejecuta en ese momento en el dispositivo.

Compilación Número de compilación de la versión del software.

Reloj (GMT) Fecha y hora en que se abrió o actualizó el dispositivo por última vez.

Sincronizar reloj deldispositivo

Sincronizar el reloj de este dispositivo con el reloj de ESM.

Zona Zona a la que se ha asignado el dispositivo, en caso de haberlo hecho. Sihace clic en Zona, se abre el Administrador de directivas de zona (véase Adición dezonas).

Directiva Estado actual de la directiva en el dispositivo. Si hace clic en Directiva, se abreel Editor de directivas (véase Editor de directivas).

Estado El estado de los procesos del dispositivo, así como el estado de FIPS tras laejecución de una prueba automática de FIPS (si el dispositivo se ejecuta enel modo FIPS).

Iniciar Inicia el dispositivo. Si el dispositivo ya está activo, no ocurre nada.

Detener Detiene el dispositivo. Se le advertirá que se detendrá la recopilación detodos los datos.

Reiniciar Reinicia el dispositivo. Se le advertirá que se detendrá la recopilación dedatos durante el tiempo que tarde el sistema en reiniciarse.

Actualizar Actualiza la información de la página.


Opción Definición

ID de dispositivo Número de identificación asignado al dispositivo. Este número no se puedecambiar.

Nombre Nombre asignado al dispositivo al agregarlo al sistema.

Nombre del sistema Nombre que aparece en la pantalla LCD o SSH. Debe comenzar por un carácteralfabético y solo puede incluir caracteres alfanuméricos y guiones.

Configuración del ESMOrganización de los dispositivos 3


Tabla 3-5 Definiciones de opciones (continuación)

Opción Definición

URL Dirección donde se pueden ver detalles sobre eventos o flujos. Permite unmáximo de 512 caracteres. Si la dirección URL incluye la dirección de unaaplicación de terceros y es necesario adjuntar variables para representar losdatos presentes en los eventos o flujos, haga clic en el icono de variables yselecciónelas.

Para acceder a la URL, haga clic en el icono Ejecutar URL de dispositivo en la parteinferior de un componente de tabla para una vista de eventos o flujos. Esto lellevará a la aplicación de terceros y los datos de eventos o flujos asociados sepasarán a través de la URL.

Descripción Descripción del dispositivo.

Procedimientos• Adición de vínculos de URL en la página 30

Si desea ver información sobre el dispositivo mediante una dirección URL, puede configurarel vínculo correspondiente en la página Nombre y descripción de cada dispositivo. Una vezagregado, es posible acceder al vínculo mediante las vistas Análisis de eventos y Análisis de flujos

de cada dispositivo; para ello, haga clic en el icono Ejecutar URL de dispositivo , situado en laparte inferior de los componentes de la vista.

• Visualización de estadísticas de dispositivo en la página 31Es posible ver la CPU, la memoria, la cola y otros detalles específicos de los dispositivos.

• Visualización de registros de mensajes y estadísticas del dispositivo en la página 32Es posible ver los mensajes generados por el sistema, ver las estadísticas de rendimientodel dispositivo o descargar un archivo .tgz con información de estado sobre el dispositivo.

• Cambio del nombre del dispositivo en la página 33Cuando se agrega un dispositivo al árbol de sistemas, se le asigna un nombre que apareceen dicho árbol. Este nombre, el nombre del sistema, la URL y la descripción se puedencambiar.

Véase también Adición de vínculos de URL en la página 30Visualización de estadísticas de dispositivo en la página 31Visualización de registros de mensajes y estadísticas del dispositivo en la página 32Cambio del nombre del dispositivo en la página 33

Adición de vínculos de URLSi desea ver información sobre el dispositivo mediante una dirección URL, puede configurar el vínculocorrespondiente en la página Nombre y descripción de cada dispositivo. Una vez agregado, es posibleacceder al vínculo mediante las vistas Análisis de eventos y Análisis de flujos de cada dispositivo; para ello,

haga clic en el icono Ejecutar URL de dispositivo , situado en la parte inferior de los componentes de lavista.





.

2 Haga clic en Nombre y descripción y escriba la URL.

3 Haga clic en Aceptar para guardar los cambios.

Véase también Visualización de información de dispositivo en la página 28Visualización de estadísticas de dispositivo en la página 31Visualización de registros de mensajes y estadísticas del dispositivo en la página 32Cambio del nombre del dispositivo en la página 33

Visualización de estadísticas de dispositivoEs posible ver la CPU, la memoria, la cola y otros detalles específicos de los dispositivos.

Antes de empezarVerifique que dispone del permiso Administración de dispositivo.


1 En el árbol de navegación del sistema, seleccione el dispositivo relevante y haga clic en el icono

Propiedades .

2 Haga clic en la opción Administración del dispositivo y, después, en Ver estadísticas.

Accederá a un gráfico que muestra las estadísticas del dispositivo y que se actualiza cada diezminutos. Para mostrar los datos, se necesitan un mínimo de treinta minutos de datos. Cada tipo demétrica contiene varias métricas, algunas de las cuales están activadas de forma predeterminada.Haga clic en Mostrado para activar las métricas. La cuarta columna indica la escala de la métricacorrespondiente.


Opción Definición

Intervalo de fechas Seleccione el momento sobre el que desee ver las estadísticas.

Métricas Seleccione los tipos de métricas que desee ver.

Actualizar Haga clic en esta opción para rellenar el gráfico y la tabla con lasestadísticas correspondientes a las métricas seleccionadas.

Gráfico Permite ver las estadísticas seleccionadas en forma de gráfico.

Tabla Permite ver las estadísticas seleccionadas en forma de tabla.

Columna Grupo Indica el tipo del grupo de métricas.

Columna Métrica Indica las métricas, que son subcategorías del grupo de métricas.




Opción Definición

Columna Mostrado Indica las métricas que actualmente aparecen en el gráfico. Puedeseleccionar las métricas o anular su selección para que los cambios sereflejen en el gráfico.

Columna Escala Indica la escala de la métrica correspondiente.

Columna Color Indica el color de la línea del gráfico que representa cada métrica.

Véase también Adición de vínculos de URL en la página 30Visualización de información de dispositivo en la página 28Visualización de registros de mensajes y estadísticas del dispositivo en la página 32Cambio del nombre del dispositivo en la página 33Ficha Monitor de rendimiento para las estadísticas de dispositivo en la página 32

Ficha Monitor de rendimiento para las estadísticas de dispositivoPermite ver diversas estadísticas sobre el ESM o el dispositivo seleccionados.


Opción Definición

Intervalo de fechas Seleccione el momento sobre el que desee ver las estadísticas.

Métricas Seleccione los tipos de métricas que desee ver.

Actualizar Haga clic en esta opción para rellenar el gráfico y la tabla con lasestadísticas correspondientes a las métricas seleccionadas.

Gráfico Permite ver las estadísticas seleccionadas en forma de gráfico.

Tabla Permite ver las estadísticas seleccionadas en forma de tabla.

Columna Grupo Indica el tipo del grupo de métricas.

Columna Métrica Indica las métricas, que son subcategorías del grupo de métricas.

Columna Mostrado Indica las métricas que actualmente aparecen en el gráfico. Puedeseleccionar las métricas o anular su selección para que los cambios sereflejen en el gráfico.

Columna Escala Indica la escala de la métrica correspondiente.

Columna Color Indica el color de la línea del gráfico que representa cada métrica.

Véase también Visualización de estadísticas de dispositivo en la página 31

Visualización de registros de mensajes y estadísticas del dispositivoEs posible ver los mensajes generados por el sistema, ver las estadísticas de rendimiento deldispositivo o descargar un archivo .tgz con información de estado sobre el dispositivo.





.

2 Haga clic en la opción Administración del dispositivo y seleccione una de las siguientes opciones:

Opción Descripción

Ver registro Permite ver los mensajes registrados por el sistema. Haga clic en Descargar todo elarchivo para descargar los datos a un archivo.

Ver estadísticas Permite ver estadísticas de rendimiento del dispositivo, como sobre la interfazEthernet, ifconfig y el filtro iptables.

Datos de dispositivo Permite descargar un archivo .tgz con datos sobre el estado del dispositivo. Leresultará útil si colabora con el Soporte de McAfee para solucionar un problemadel sistema.

Véase también Adición de vínculos de URL en la página 30Visualización de estadísticas de dispositivo en la página 31Visualización de información de dispositivo en la página 28Cambio del nombre del dispositivo en la página 33

Cambio del nombre del dispositivoCuando se agrega un dispositivo al árbol de sistemas, se le asigna un nombre que aparece en dichoárbol. Este nombre, el nombre del sistema, la URL y la descripción se pueden cambiar.



.

2 Haga clic en Nombre y descripción, cambie el nombre, el nombre del sistema, la dirección URL y ladescripción, o bien visualice el número de ID de dispositivo.


Véase también Adición de vínculos de URL en la página 30Visualización de estadísticas de dispositivo en la página 31Visualización de registros de mensajes y estadísticas del dispositivo en la página 32Visualización de información de dispositivo en la página 28

Actualización de dispositivosEs posible actualizar manualmente los dispositivos del sistema para que su información coincida con ladel ESM.

• En la barra de herramientas de acciones, haga clic en el icono Actualizar dispositivos .



Visualización de informes de resumen de dispositivosLos informes de resumen de dispositivos muestran los tipos y el número de dispositivos del ESM, asícomo la última vez que cada uno de ellos recibió un evento. Estos informes se pueden exportar conformato de valores separados por comas (CSV).


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic enInformación del sistema | Ver informes.

2 Visualice o exporte los informes Recuento de tipos de dispositivos u Hora del evento.



Opción Definición

Recuento de tipos de dispositivos Ver una lista de los tipos de dispositivos y cuántos de cada tipo hay enel ESM.

Hora del evento Ver la última vez que se recibió un evento en cada dispositivo delESM.

Exportar a CSV Exportar un informe en formato CSV con esta información a laubicación especificada.

Visualización de un registro de sistema o dispositivoLos registros de sistema y dispositivo muestran los eventos que se han producido en los dispositivos.Es posible ver la página de resumen, que muestra el recuento de eventos y las horas del primer y elúltimo evento del ESM o el dispositivo, o bien ver una lista detallada de eventos en las páginas Registrodel sistema o Registro de dispositivo.


1 Visualización de un resumen de datos de eventos:

• Datos del sistema: en Propiedades del sistema, haga clic en Registro del sistema.

• Datos del dispositivo: en la página Propiedades de un dispositivo, haga clic en Registro de dispositivo.

2 A fin de ver el registro de eventos, introduzca un intervalo de tiempo y haga clic en Ver.

Las páginas Registro del sistema o Registro de dispositivo indicarán todos los eventos generados durante elintervalo de tiempo especificado.


Opción Definición

Hora de inicio, Hora de fin Cambie el intervalo de tiempo de la lista de eventos y haga clic enActualizar.

Exportar Permite exportar porciones de todo el registro a un archivo de texto sinformato. Es posible exportar un máximo de 50 000 registros de unavez.




Opción Definición

Icono de filtro de la primeracolumna (Estado)

Seleccione este icono si desea ver todos los eventos, solo losrelacionados con el estado o solo los no relacionados con el estado. Loseventos de registro relacionados con el estado se generan en losdispositivos individuales y se recuperan cuando se extraen eventos,flujos y registros del dispositivo.

Icono de filtro de lascolumnas Categoría, Nombre yNombre de dispositivo

Haga clic en él para filtrar los eventos por categoría, nombre deusuario o dispositivo.


Opción Definición

Recuento de eventos Número total de eventos registrados en el dispositivo.

Primer evento Fecha y hora en que tuvo lugar el primer evento del registro.

Último evento Fecha y hora en que tuvo lugar el último evento del registro.

Hora de inicio, Hora de fin Si desea ver los eventos de un intervalo de tiempo concreto, introduzca lashoras de inicio y fin en estos campos.

Ver Permite ver los eventos del intervalo de tiempo especificado.

Administración de varios dispositivosLa opción Administración de varios dispositivos permite iniciar, detener y reiniciar varios dispositivos a la vez,así como actualizar el software en ellos.


1 En el árbol de navegación del sistema, seleccione los dispositivos que desee administrar.

2 Haga clic en el icono Administración de varios dispositivos de la barra de herramientas de acciones.

3 Seleccione la operación que desee realizar y los dispositivos en los que desee realizarla; acontinuación, haga clic en Iniciar.


Opción Definición

Operación Seleccione la operación que desee realizar.• Iniciar: inicia los dispositivos seleccionados.

• Detener: detiene los dispositivos seleccionados.

• Reiniciar: detiene y reinicia los dispositivos seleccionados.

• Actualizar: actualiza los dispositivos seleccionados con el software elegido en lapágina Seleccionar archivo de actualización de software.

Nombre de dispositivo Ver una lista de los dispositivos que se pueden administrar.

Columna Incluir Seleccione los dispositivos.

Seleccionar todo Haga clic en esta opción para seleccionar todos los dispositivos.

No seleccionar nada Haga clic en esta opción para anular la selección de todos los dispositivos.

Iniciar Haga clic para iniciar la operación.




Opción Definición

Columna Estado Permite ver el estado de la operación en cada dispositivo.

Cerrar Haga clic en esta opción para cerrar la página Administración de varios dispositivos. Laoperación continuará hasta que finalice.

Administración de vínculos de URL para todos los dispositivosEs posible configurar un vínculo por cada dispositivo a fin de ver la información de los dispositivos enuna dirección URL.

Antes de empezarConfigure el sitio de la dirección URL para el dispositivo.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic enConfiguración personalizada | Vínculos de dispositivo.

2 Para agregar o editar una URL, resalte el dispositivo, haga clic en Editar e introduzca la URL.

El campo de URL tiene un límite de 512 caracteres.


Para acceder a la URL, haga clic en el icono Ejecutar URL de dispositivo en la parte inferior de las vistasAnálisis de eventos y Análisis de flujos de cada dispositivo.


Opción Definición

Columna Nombre de dispositivo Indica todos los dispositivos del ESM.

Columna URL Muestra las direcciones URL ya configuradas para cada dispositivo.

Editar Abre la página Editar URL, donde se puede escribir la dirección URL.

Quitar URL Permite eliminar la dirección URL del dispositivo seleccionado.


Opción Definición

URL Escriba la dirección del sitio URL correspondiente al dispositivo.

Icono Variable Si la dirección URL introducida incluye la dirección de una aplicación de terceros ynecesita adjuntar alguna variable a la dirección URL que representa los datos presentesen eventos y flujos, haga clic en la ubicación dentro de la dirección URL donde insertarla variable, haga clic en el icono de variable y seleccione la variable.



Configuración del control de tráfico de la red en un dispositivo Defina un valor de salida de datos máximo para el receptor y los dispositivos ACE, ELM, ADM y DEM.

Esta función resulta útil cuando existen restricciones de ancho de banda y es necesario controlar lacantidad de datos que puede enviar cada uno de estos dispositivos. Las opciones son kilobits (Kb),megabits (Mb) y gigabits (Gb) por segundo.

Tenga cuidado al configurar esta función, ya que limitar el tráfico puede acarrear una fuga de datos.


1 En el árbol de navegación del sistema, seleccione el dispositivo y, a continuación, haga clic en el

icono Propiedades .

2 Haga clic en la opción Configuración correspondiente al dispositivo, haga clic en Interfaces y, por último,haga clic en la ficha Tráfico.

La tabla presenta una lista de los controles existentes.

3 A fin de agregar controles para un dispositivo, haga clic en Agregar, introduzca la dirección y lamáscara de la red, establezca la tasa y, a continuación, haga clic en Aceptar.

Si establece la máscara como cero (0), se controlan todos los datos enviados.

4 Haga clic en Aplicar.

Se controlará la velocidad del tráfico saliente correspondiente a la dirección de red especificada.

Tabla 3-14 Definiciones de las opciones

Opción Definición

Columna Red Permite ver las direcciones de las redes en las que el sistema controla eltráfico saliente en función de lo que se haya definido.

Columna Máscara Muestra las máscaras para las direcciones de red.

Columna Rendimiento máximo Muestra el rendimiento máximo definido para cada red.

Agregar, Editar, Eliminar Administrar las direcciones de red que se desea controlar.


Opción Definición

Red Escriba la dirección de la red en la que desee controlar el tráfico saliente.

Máscara Seleccione una máscara para la dirección de red. Seleccione 0 para incluir TODO.

Tasa Seleccione kilobits (Kb), megabits (Mb) o gigabits (Gb) y, después, seleccione la tasa porsegundo para el envío de tráfico.

Véase también

Página Agregar tasa de rendimiento en la página 202



Configuración de notificaciones SNMPPara configurar las notificaciones SNMP generadas por un dispositivo, es necesario definir qué capturasse deben enviar, así como sus destinos.

Si configura SNMP en un receptor de disponibilidad alta, las capturas para el receptor principal tendránsu origen en la dirección IP compartida. Por tanto, cuando configure los escuchas, es necesarioestablecer uno para la dirección IP compartida.



.

2 Haga clic en Configuración | SNMP.

3 Defina la configuración y haga clic en Aceptar.

Sincronización del dispositivo con ESMSi tiene que reemplazar el ESM, importe la clave de cada dispositivo a fin de restaurar laconfiguración. Si no dispone de una copia de seguridad de la base de datos actualizada, tambiéndeberá sincronizar la configuración del origen de datos, el dispositivo virtual y el servidor de base dedatos con ESM para que puedan reanudar la extracción de eventos.



.

2 Haga clic en Configuración | Sincronizar dispositivo.

3 Una vez completada la sincronización, haga clic en Aceptar.

Configuración de la comunicación con ELMSi pretende enviar los datos de este dispositivo al ELM, aparecerán las opciones IP de ELM y SincronizarELM en la página Configuración del dispositivo, lo que le permitirá actualizar la dirección IP y sincronizarel ELM con el dispositivo.





.

2 Haga clic en la opción Configuración y realice una de las acciones siguientes:

Haga clic en... Para...

IP de ELM Actualizar la dirección IP del ELM al que está vinculado el dispositivo. Deberáhacer esto si cambia la dirección IP del ELM o la interfaz de administración deELM a través de la cual este dispositivo se comunica con el ELM.

Sincronizar ELM Sincronizar el ELM con el dispositivo si uno de ellos se ha reemplazado. Al usaresta función, la comunicación SSH entre ambos dispositivos se restablece pormedio de la clave del nuevo dispositivo y la configuración anterior.

Establecimiento del grupo de registro predeterminadoSi tiene un dispositivo ELM en el sistema, puede configurar un dispositivo de forma que los datos deeventos que reciba se envíen al ELM. Para ello, se debe configurar el grupo de registropredeterminado.

El dispositivo no envía un evento al ELM hasta que termina el periodo de tiempo de agregación.



.

2 Haga clic en Configuración | Registro.

3 Realice las selecciones adecuadas en las páginas que se abrirán.

Se le informará cuando se active el registro de datos de este dispositivo en el ELM.


Opción Definición

Página Configuración de registro Seleccione Registro para activarlo.

Vínculo Registro Haga clic para acceder a la página Opciones de registro de ELM.

Página Opciones de registro de ELM Seleccione el grupo de almacenamiento donde se registrarán losdatos en el ELM.

Página Asociación dispositivo - ELM Si no ha seleccionado el ELM donde desea registrar los datos,confirme que desea hacerlo. Una vez realizada la asociación, no esposible cambiarla.

Página Seleccionar ELM para registro Si dispone de más de un ELM en el sistema, seleccione el que deseeque registre los datos.




Opción Definición

Página Seleccionar dirección IP deELM

Seleccione la dirección IP que desee usar para la comunicación deldispositivo con el ELM.

Página No hay grupos de ELM Si no tiene grupos de almacenamiento en el ELM, acceda aPropiedadesde ELM | Grupos de almacenamiento para agregarlos.

Véase también Orígenes de datos de receptor en la página 62

Otorgar acceso al sistemaCuando se realiza una llamada de soporte a McAfee, puede ser necesario otorgar acceso al ingenierode soporte técnico para que vea su sistema.



.

2 En el dispositivo, haga clic en Administración | Conectar.

El botón cambiará a Desconectar y se le proporcionará la dirección IP.

3 Informe de la dirección IP al ingeniero de soporte técnico.

Podría ser necesario proporcionar información adicional, como por ejemplo la contraseña.

4 Haga clic en Desconectar para finalizar la conexión.

Supervisión del tráficoPara supervisar el tráfico que pasa por un dispositivo DEM o ADM, utilice Volcado de TCP a fin dedescargar una instancia del programa Linux que se ejecuta en el dispositivo.





.

2 En el dispositivo, haga clic en Administración.

3 En la sección Volcado de TCP de la página, lleve a cabo los pasos necesarios para descargar lainstancia.


Opción Definición

Argumentos de línea decomandos

Escriba los argumentos que se pasarán al comando de volcado de TCP.Por ejemplo, para ver todo el tráfico de la primera interfaz de red deldispositivo, podría escribir -nni eth0

Iniciar Permite iniciar el volcado en el dispositivo.

Detener Haga clic aquí cuando el tráfico deseado haya pasado por eldispositivo.

Exportar Permite exportar los resultados a un archivo.

Inicio, detención, reinicio o actualización de un dispositivoEs posible iniciar, detener, reiniciar o actualizar un dispositivo mediante la página Información.



.

2 Verifique que se haya seleccionado la opción Información correspondiente al dispositivo y, después,haga clic en Iniciar, Detener, Reiniciar o Actualizar.

Cambio de la conexión con el ESMCuando se agrega un dispositivo al ESM, hay que configurar su conexión con el ESM. Cabe laposibilidad de cambiar la dirección IP y el puerto, desactivar la comunicación SSH y comprobar elestado de la conexión.

Antes de empezarSi aplica una clave a un ESM distribuido tras cambiar la dirección IP del dispositivosecundario, asegúrese de que el puerto 443 esté abierto para volver a conectar con el ESM.

El cambio de esta configuración no afecta al dispositivo en sí. Solamente afecta a la forma en que elESM se comunica con el dispositivo.





.

2 Haga clic en Conexión y realice los cambios.



Opción Definición

Nombre/Dirección IP de destino Escriba la dirección IP o el nombre de host que utiliza ESM paracomunicarse con el dispositivo.

Puerto de destino Seleccione el puerto utilizado para intentar la comunicación (elpuerto predeterminado es el 22).

ID de dispositivo Ver el número de identificación del dispositivo.

Marcar este dispositivo comodesactivado

Permite detener la comunicación SSH con ESM. El iconocorrespondiente a este dispositivo en el árbol de navegación delsistema indicará que está desactivado.

Estado (Opcional) Haga clic para comprobar la conexión.


Opción Definición

Receptor asociado Seleccione el receptor asociado con el dispositivo. Puedeseleccionar en vínculo para abrir la página Propiedades del receptor.

Parámetros de inicio de sesión de basede datos

Cambiar los parámetros de inicio de sesión de la base de datospara poder extraer eventos.

Credenciales de interfaz de usuario desitio web

Cambiar la configuración para acceder a la interfaz de usuarioweb.

Solicitar autenticación de usuario Seleccione esta opción para obligar a todos los usuarios aautenticarse con un nombre de usuario y una contraseña antes deacceder al dispositivo.

Conectar Permite probar la conexión con la base de datos o con la Web.

Dispositivos virtualesEs posible agregar dispositivos virtuales a ciertos modelos de ADM a fin de supervisar el tráfico,comparar patrones de tráfico y generar informes.

Finalidad y ventajas

Los dispositivos virtuales se pueden usar para diversos propósitos:



• Comparar patrones de tráfico con conjuntos de reglas. Por ejemplo, puede configurar un dispositivovirtual que solo examine los puertos con tráfico web y configurar una directiva que le permitaactivar o desactivar distintas reglas.

• Generar informes. Su empleo de esta manera equivale a tener un filtro automático configurado.

• Supervisar diversas rutas de tráfico a la vez. Mediante el uso de un dispositivo virtual es posibledisponer de directivas independientes para cada ruta de tráfico y ordenar el tráfico diferente deacuerdo con directivas distintas.

Número máximo de dispositivos por modelo

El número de dispositivos virtuales que se puede agregar a un ADM depende del modelo:

Máximo de dispositivo Modelo

2 APM-1225APM-1250

4 APM-2230APM-3450

0 APM-VM

Utilización de las reglas de selección

Las reglas de selección se utilizan a modo de filtros para determinar qué paquetes procesará undispositivo virtual.

Para que un paquete coincida con una regla de selección, deben coincidir todos los criterios de filtradodefinidos por la regla. Si la información del paquete coincide con todos los criterios de filtrado de unaúnica regla de selección, lo procesa el dispositivo virtual que contiene la regla de selección encuestión. De lo contrario, pasa al siguiente dispositivo virtual en orden. El propio ADM lo procesaentonces, de forma predeterminada, si no coincide con ninguna regla de selección en ninguno de losdispositivos virtuales.

Cosas que hay que tener en cuenta en el caso de los dispositivos virtuales IPv4:

• Todos los paquetes de una misma conexión se clasifican en función únicamente del primer paquetede la conexión. Si el primer paquete de una conexión coincide con una regla de selección del tercerdispositivo virtual de la lista, todos los paquetes subsiguientes de esa conexión se dirigen al tercerdispositivo virtual. Esto ocurre aunque los paquetes coincidan con un dispositivo virtual situadoantes en la lista.

• Los paquetes no válidos (un paquete que no establece conexión ni forma parte de una conexiónestablecida) se dirigen al dispositivo de base. Por ejemplo, supongamos que tiene un dispositivovirtual que busca paquetes con el puerto de origen o destino 80. Cuando llega un paquete no válidocon el puerto 80, se dirige al dispositivo de base en lugar de al dispositivo virtual que busca eltráfico del puerto 80. Por tanto, hay eventos en el dispositivo de base que parece que deberíanhaber ido a un dispositivo virtual.

El orden en que aparecen las reglas de selección es importante ya que, la primera vez que un paquetecoincide con una regla, se dirige automáticamente al dispositivo virtual en cuestión para suprocesamiento. Por ejemplo, se agregan cuatro reglas de selección y la que está en cuarto puesto esel filtro que se activa con más frecuencia. Esto implica que los paquetes deben atravesar los demásfiltros de este dispositivo virtual para llegar a la regla de selección que más se activa. Para mejorar laeficiencia del procesamiento, coloque el filtro que más se activa en primer lugar, no en último.



Orden de los dispositivos virtualesLos paquetes que llegan al dispositivo ADM se comparan con las reglas de selección de cadadispositivo virtual en el orden en que están configurados los dispositivos virtuales. Por tanto, el ordenen que se comprueban los dispositivos virtuales es importante. El paquete solamente llega a las reglasde selección del segundo dispositivo virtual si no coincide con ninguna de las reglas de selección delprimero.

Para cambiar el orden en un dispositivo ADM, acceda a la página Editar dispositivo virtual (Propiedades de ADM| Dispositivos virtuales | Editar) y utilice las flechas para colocarlos en el orden correcto.

Dispositivos ADM virtualesLos dispositivos ADM virtuales supervisan el tráfico de una interfaz. Pueden existir hasta cuatro filtrosde interfaz de ADM en el sistema. Cada uno de los filtros solo se puede aplicar a un dispositivo virtualADM de forma simultánea. Si se asigna un filtro a un dispositivo ADM virtual, no aparece en la lista defiltros disponibles hasta que se elimina de ese dispositivo.

Los paquetes no válidos (un paquete que no establece conexión ni forma parte de una conexiónestablecida) se dirigen al dispositivo de base. Por ejemplo, si un dispositivo ADM virtual buscapaquetes con el puerto 80 y llega un paquete no válido con el puerto 80, se dirige al dispositivo debase. Por tanto, podría ver eventos en el dispositivo de base que parece que deberían haber ido a undispositivo ADM virtual.

Véase también Adición de un dispositivo virtual en la página 45Administración de reglas de selección en la página 44

Administración de reglas de selecciónLas reglas de selección se utilizan a modo de filtros para determinar qué paquetes procesará undispositivo virtual. Es posible agregar, editar y eliminar reglas de selección.El orden en que aparecen las reglas es importante ya que, la primera vez que un paquete coincide conuna regla, se dirige automáticamente al dispositivo virtual en cuestión para su procesamiento.


1 Seleccione un dispositivo ADM y haga clic en el icono Propiedades .

2 Haga clic en Dispositivos virtuales y, después, en Agregar.

Se abrirá la ventana Agregar dispositivo virtual.

3 Agregue, edite o elimine las reglas de selección de la tabla, o bien cambie su orden.


Opción Definición

Página Agregar regla deselección del ADM

Seleccione uno de los filtros de interfaz y haga clic en Aceptar.

Pueden existir hasta cuatro filtros de interfaz de ADM. Cada uno delos filtros solo se puede aplicar a un dispositivo virtual ADM deforma simultánea.

Véase también Dispositivos virtuales en la página 42



Adición de un dispositivo virtualEs posible agregar un dispositivo virtual a algunos dispositivos ADM y configurar las reglas deselección que determinan qué paquetes procesará cada dispositivo.

Antes de empezarAsegúrese de que se puedan agregar dispositivos virtuales al dispositivo seleccionado(véase Acerca de los dispositivos virtuales).


1 En el árbol de navegación del sistema, seleccione un dispositivo ADM y haga clic en el icono

Propiedades .

2 Haga clic en Dispositivos virtuales | Agregar.



3 Introduzca la información solicitada y, a continuación, haga clic en Aceptar.

4 Haga clic en Escribir para agregar la configuración al dispositivo.


Opción Definición

Tabla Dispositivos virtuales Indica los dispositivos virtuales que existen en la actualidad en elADM.

Registro Activa o desactiva el registro en todos los dispositivos virtuales.

Icono Establecer un grupo dealmacenamiento...

Abre la página Opciones de registro de ELM para poder agregar un grupo dealmacenamiento a los dispositivos virtuales seleccionados.

Agregar Abre la página Agregar dispositivo virtual.

Editar Abre la página Editar dispositivo virtual, donde se puede cambiar laconfiguración del dispositivo virtual seleccionado.

Quitar Elimina el dispositivo seleccionado de la tabla.

Flechas Subir y Bajar Permiten mover el dispositivo virtual seleccionado hacia arriba o haciaabajo en la lista de dispositivos del sistema. El orden es importanteporque los paquetes se procesan empezando por el primer dispositivovirtual de la lista y desde ahí hacia abajo.

Escribir Permite escribir los cambios realizados en los dispositivos virtuales enel ADM.


Opción Definición

Nombre Introduzca un nombre para el dispositivo virtual.

URL Introduzca la dirección URL para ver la información de este dispositivovirtual, en caso de tener una configurada. Haga clic en el icono Variables sinecesita agregar una variable a la dirección.

Activado Seleccione esta opción si desea activar el dispositivo.

Grupo de almacenamiento Si dispone de un ELM en el sistema y desea que los datos recibidos por estedispositivo se registren en el ELM, haga clic en este vínculo y seleccione elgrupo de almacenamiento.

Zona Si ha definido zonas en el sistema (véase Administración de zonas),seleccione la zona a la que se debe asignar este dispositivo virtual.

Descripción Agregue aquí notas o información importante sobre el dispositivo.

Agregar Haga clic aquí para agregar reglas de selección al dispositivo a fin dedeterminar qué paquetes se procesarán.

Editar Permite cambiar la configuración de Regla de selección.

Quitar Haga clic aquí para eliminar la regla seleccionada.

Flechas Subir y Bajar Permiten cambiar el orden de las reglas.

Véase también Dispositivos virtuales en la página 42

Administración de tipos de pantallas personalizadasExiste la opción de definir cómo quiere que se organicen los dispositivos en el árbol de navegación delsistema mediante la adición, edición o eliminación de tipos de pantallas personalizadas.




1 En el panel de navegación del sistema, haga clic en la flecha de la lista desplegable de tipo depantalla.



Agregar un tipo de pantallapersonalizada

1 Haga clic en Agregar pantalla.


Editar un tipo de pantallapersonalizada

1 Haga clic en el icono Editar situado junto al tipo de pantallaque desee editar.


Eliminar un tipo de pantallapersonalizada

Haga clic en el icono Eliminar situado junto al tipo de pantalla quedesee eliminar.

Véase también Adición de dispositivos a la consola de ESM en la página 22Selección de un tipo de pantalla en la página 23Administración de un grupo en un tipo de pantalla personalizada en la página 47

Administración de un grupo en un tipo de pantallapersonalizadaEs posible emplear grupos en un tipo de pantalla personalizada a fin de organizar los dispositivos enagrupaciones lógicas.

Antes de empezarAgregue un tipo de pantalla personalizada (véase Administración de tipos de pantallaspersonalizadas).


1 En el panel de navegación del sistema, haga clic en la lista desplegable de tipo de pantalla.

2 Seleccione la pantalla personalizada y haga una de estas cosas:




Agregar unnuevo grupo

1 Haga clic en un nodo de sistema o de grupo y, a continuación, haga clic en elicono Agregar grupo de la barra de herramientas de acciones.


3 Arrastre y suelte los dispositivos de la pantalla para agregarlos al grupo.

Si el dispositivo forma parte de un árbol en la pantalla, se creará un nodo dedispositivo duplicado. Es posible entonces eliminar el duplicado en el árbol desistemas.

Editar ungrupo Seleccione el grupo, haga clic en el icono Propiedades y realice cambios en la

página Propiedades de grupo.

Eliminar ungrupo Seleccione el grupo y haga clic en el icono Eliminar grupo . El grupo y los

dispositivos contenidos en él se eliminarán de la pantalla personalizada. Losdispositivos no se eliminarán del sistema.

Véase también Adición de dispositivos a la consola de ESM en la página 22Selección de un tipo de pantalla en la página 23Administración de tipos de pantallas personalizadas en la página 23

Eliminación de un grupo o dispositivoCuando un dispositivo ya no forme parte del sistema o ya no se emplee un grupo, elimínelos del árbolde navegación del sistema.


1 En el árbol de navegación del sistema, resalte el dispositivo o el grupo que desee eliminar y hagaclic en el icono Eliminar de la barra de acciones.

2 Cuando se le solicite confirmación, haga clic en Aceptar.

Eliminación de dispositivos duplicados en el árbol denavegación del sistemaLos nodos de dispositivos duplicados pueden aparecer en el árbol de navegación del sistema cuandose arrastran y sueltan dispositivos de un árbol de sistemas a un grupo o cuando existen gruposconfigurados y se amplía el software de ESM. Se recomienda eliminarlos para evitar confusiones.


1 En el panel de navegación del sistema, haga clic en la lista desplegable de tipo de pantalla.

2 Seleccione el icono Editar situado junto a la pantalla que incluye los dispositivos duplicados.

3 Anule la selección de los dispositivos duplicados y haga clic en Aceptar.

Los dispositivos que tenían duplicados aparecerán ahora solo una vez en su grupo correspondiente.



Configuración de dispositivosConecte los dispositivos físicos y virtuales a McAfee ESM para permitir el análisis forense en tiemporeal, la supervisión de aplicaciones y bases de datos, la correlación avanzada basada en reglas yriesgo, y la generación de informes de conformidad.


Opción Definición

Configuración de la ACL Configure las opciones de control de acceso para restringir el acceso aldispositivo.

Configurar opcionesavanzadas de DEM

Definir la configuración de los registros de DEM.

Aplicar Haga clic aquí para escribir las opciones de configuración en el DEM.

Compresión Establecer el nivel de compresión que se debe aplicar a todos los datos queentran en el ELM.

Datos Seleccionar el tipo de datos que se enviarán del ESM al dispositivo.

Archivado de datos Configurar el receptor para reenviar una copia de seguridad de los datos sinprocesar al dispositivo de almacenamiento para su almacenamiento a largoplazo.

IP de ELM Si ha elegido enviar los datos de este dispositivo al ELM, puede actualizar ladirección IP del ELM al que está vinculado el dispositivo.

Flujo Activar o desactivar el registro de datos de flujo.

Interfaz Configurar las interfaces de red del dispositivo con el ESM.

Licencia Ver y actualizar la información de licencias del DEM.

Registro Si dispone de un dispositivo ELM en el sistema, establezca el grupo de registropredeterminado para el dispositivo en caso de que desee que los datosrecibidos se envíen al ELM.

Migrar base de datos En un dispositivo ELM, permite configurar una ubicación alternativa paraalmacenar los registros generados.

Configuración NTP Sincronizar la hora del dispositivo con un servidor NTP.

Contraseñas Si la regla correspondiente al evento cuyos datos de sesión está visualizandoestá relacionada con las contraseñas, seleccione esta opción en caso de quedesee que la contraseña asociada al evento aparezca en el Visor de sesión.

Restaurar configuración Restaurar el archivo de configuración del dispositivo, guardado durante elproceso de copia de seguridad de ESM. Esta copia de seguridad incluyearchivos .conf para SSH, red, SNMP, etc.

Capturas SNMP Configurar las capturas SNMP generadas por el dispositivo.

Sincronizar dispositivo Sincronizar la configuración del origen de datos del dispositivo o deldispositivo virtual con la de ESM. Si va a sincronizar un receptor, losdispositivos dependientes del receptor también se agregarán comodispositivos a McAfee ESM.

Sincronizar ELM Si ha elegido enviar los datos de este dispositivo al ELM, sincronice el ELM conel dispositivo.

Sincronizar archivos Haga clic aquí para sincronizar todos los archivos de configuración del DEM.

Zona horaria Configurar el ADM para ajustarlo a su zona horaria.

Contenido Configuración de Event Receiver Configuración de Enterprise Log Search Configuración de Enterprise Log Manager (ELM) Configuración de Advanced Correlation Engine (ACE)

Configuración del ESMConfiguración de dispositivos 3


Configuración de Application Data Monitor (ADM) Configuración de Database Event Monitor (DEM) Configuración del ESM distribuido (DESM) Configuración de ePolicy Orchestrator Configuración de McAfee Vulnerability Manager Configuración de McAfee Network Security Manager

Configuración de Event ReceiverEvent Receiver permite la recopilación de eventos de seguridad y datos de flujo de red mediante orígenesde varios proveedores, incluidos firewalls, redes privadas virtuales (VPN), enrutadores, NetFlow,sFlow, etc.

Event Receiver permite la recopilación de estos datos y los normaliza a fin de obtener una solución que sepuede administrar. Esto ofrece una vista única de los dispositivos de diversos proveedores, tales comoCisco, Check Point y Juniper, y permite la recopilación de datos de eventos y flujos.

Se pueden utilizar receptores de disponibilidad alta en modo principal y secundario que actúen comocopia de seguridad uno de otro. El receptor secundario (B) supervisa de forma continua el receptorprincipal (A), y los cambios de configuración o de información de directiva se envían a ambosdispositivos. Cuando el receptor B determina que el receptor A ha fallado, desconecta el NIC del origende datos del receptor A de la red y se convierte en el nuevo dispositivo principal. Este receptor seguiráactuando como principal hasta que el usuario intervenga manualmente a fin de restaurar el receptor Acomo principal.

Véase también Visualización de eventos de transmisión en la página 50Receptores de disponibilidad alta en la página 51Archivado de datos de receptor sin procesar en la página 58

Visualización de eventos de transmisiónEl Visor de transmisiones muestra una lista de los eventos que va generando McAfee ePO, McAfee

®

NetworkSecurity Manager, el receptor, el origen de datos, el origen de datos secundario o el clienteseleccionados. Es posible filtrar la lista y seleccionar un evento para mostrarlo en una vista.


1 En el árbol de navegación del sistema, seleccione el dispositivo que quiera ver y, después, haga clic

en el icono Ver eventos de transmisión en la barra de herramientas de acciones.

2 Haga clic en Iniciar para dar comienzo a la transmisión y en Detener para pararla.

3 Configuración del ESMConfiguración de dispositivos


3 Seleccione cualquiera de las acciones disponibles en el visor.

4 Haga clic en Cerrar.


Opción Definición

Inicio Iniciar la transmisión.

Detener Detener la transmisión.

Tabla Permite ver los eventos a medida que entran en el dispositivo.

Sección Paquete Permite ver los detalles del evento seleccionado.

Icono Filtros A fin de filtrar los eventos a medida que se generan, haga clic aquí e introduzcala información que desee filtrar. Solo se muestran los eventos que coinciden conlos filtros.

Icono Columnas Cambiar las columnas que aparecen en la tabla de transmisión.

Icono Borrar todo Borrar la lista actual de eventos.

Icono Ejecutar vista Ver el evento seleccionado en una vista. Para verla, cierre el visor. El eventoaparecerá en la sección de vistas de la consola.

Véase también Configuración de Event Receiver en la página 50

Receptores de disponibilidad altaLos receptores de disponibilidad alta se emplean en los modos principal y secundario a fin de que elreceptor secundario pueda asumir de forma fluida las funciones del receptor principal cuando falla.Esto proporciona una continuidad en la recopilación de datos muy superior a que la que ofrece unúnico receptor.

La función de receptores de disponibilidad alta no es conforme a FIPS. Si está obligado a adecuarse alas normativas de FIPS, no utilice esta función.

Esta configuración consta de dos receptores, uno que actúa como principal o preferido y otro queactúa como secundario. El receptor secundario supervisa el principal de forma continua. Cuando elsecundario determina que el principal ha fallado, lo detiene y asume su función.

Una vez reparado el principal, se convierte en secundario o pasa de nuevo a ser el principal. Esto sedetermina mediante la opción seleccionada en el campo Dispositivo principal preferido de la ficha Receptor dedisponibilidad alta (véase Configuración de dispositivos receptores de disponibilidad alta.

Se pueden adquirir los siguientes modelos de receptor con la función de disponibilidad alta:

• ERC-1225-HA • ERC-1250-HA

• ERC-2230-HA • ERC-1260-HA

• ERC-2250-HA • ERC-2600-HA

• ERC-4245-HA • ERC-4600-HA

• ERC-4500-HA

Estos modelos incluyen un puerto Intelligent Platform Management Interface (IPMI) y un mínimo de 4NIC, que son necesarias para las funciones de disponibilidad alta (véase Puertos de red de losreceptores de disponibilidad alta).



Las tarjetas IPMI eliminan la posibilidad de que las NIC de ambos dispositivos empleen las direccionesIP y MAC compartidas a la vez, para lo cual se apaga el receptor con el fallo. Las tarjetas IPMI seconectan mediante un cable cruzado o directo al otro receptor. Los receptores se conectan medianteun cable cruzado o directo a la NIC de latido. Existe una NIC de administración para la comunicacióncon el ESM, así como una NIC de origen de datos para recopilar datos.

Cuando el receptor principal funciona bien y el receptor secundario está en modo secundario, ocurre losiguiente:

• Los receptores se comunican constantemente a través de la NIC de latido y la NIC deadministración dedicadas.

• Cualquier certificado recibido, como los de OPSEC o Estreamer, se pasa al otro receptor del par.

• Todos los orígenes de datos utilizan la NIC de origen de datos.

• Cada receptor supervisa su propio estado e informa de él. Esto incluye elementos de estadointernos como errores de disco, bloqueos de base de datos y vínculos perdidos en las NIC.

• El ESM se comunica con los receptores periódicamente para determinar su estado.

• La información de configuración nueva se envía a los dos receptores, el principal y el secundario.

• El ESM también envía la directiva a los dos receptores.

• Las funciones Detener/Reiniciar/Call Home se aplican a cada receptor por separado.

En las secciones siguientes se explica lo que ocurre cuando un receptor de disponibilidad altaexperimenta problemas.

Fallo del receptor principalEl responsable de determinar un fallo del receptor principal es el receptor secundario. Debedeterminar el fallo de forma rápida y precisa para minimizar la fuga de datos. Si se produce laconmutación en caso de error, se pierden todos los datos desde el último envío de datos del dispositivoprincipal al ESM y el ELM. La cantidad de datos perdidos depende del rendimiento del receptor y latasa con la que el ESM extrae los datos del receptor. Estos procesos rivales se deben equilibrarcuidadosamente para optimizar la disponibilidad de los datos.

Cuando el receptor principal falla completamente (por ejemplo en caso de corte del suministro dealimentación o fallo de la CPU), no existe comunicación de latido con el receptor principal. Corosyncreconoce la pérdida de comunicación y marca el receptor principal como fallido. En el receptorsecundario, Pacemaker solicita que la tarjeta IPMI del receptor principal apague el receptor principal.El receptor secundario asume entonces las direcciones IP y MAC compartidas, e inicia todos losrecopiladores.

Fallo del receptor secundarioEl proceso de fallo secundario se produce cuando el receptor secundario deja de responder a lacomunicación de latido. Esto significa que el sistema no ha podido comunicarse con el receptorsecundario tras intentarlo durante un periodo de tiempo mediante las interfaces de administración ylatido.

Si el principal no es capaz de obtener señales de latido e integridad, Corosync marca el secundariocomo fallido y Pacemaker utiliza la tarjeta IPMI del secundario para apagarlo.

Problema de estado del dispositivo principalEl estado del receptor principal puede correr riesgos serios. Entre estos riesgos serios están una basede datos que no responde, una interfaz de origen de datos que no responde y un número excesivo deerrores de disco.



Cuando el receptor principal detecta una alerta de Healthmon por cualquiera de estas situaciones,pone fin a los procesos de Corosync y Pacemaker, además de definir una alerta de Healthmon. Laterminación de estos procesos hace que las tareas de recopilación de datos se transfieran al receptorsecundario.

Problema de estado del dispositivo secundarioCuando el estado del receptor secundario está en grave peligro, ocurre lo siguiente:

• El receptor secundario informa de los problemas al ESM cuando recibe una consulta y pone fin a losprocesos de Corosync y Pacemaker.

• Si el receptor secundario sigue formando parte del clúster, se elimina a sí mismo del clúster y dejade estar disponible en caso de fallo del receptor principal.

• El problema de estado se analiza y se intenta repararlo.

• Si el problema de estado se resuelve, el receptor se devuelve a su funcionamiento normalmediante el procedimiento Nueva puesta en servicio.

• Si el problema de estado no se resuelve, se inicia el proceso Sustitución de un receptor fallido.

Nueva puesta en servicioCuando se vuelve a poner en servicio un receptor tras un fallo (por ejemplo, reinicio tras un fallo dealimentación, reparación del hardware o reparación de la red), ocurre lo siguiente:

• Los receptores que están en modo de disponibilidad alta no empiezan a recopilar datos tras elinicio. Permanecen en modo secundario hasta que se establecen como principal.

• El dispositivo principal preferido asume la función de principal y empieza a utilizar la IP de origende datos compartida y a recopilar datos. Si no existe un dispositivo principal preferido, eldispositivo principal en ese momento empieza a utilizar la IP de origen de datos compartida y arecopilar datos.

Para obtener detalles sobre este proceso, consulte Sustitución de un receptor fallido.

Ampliación de receptor de disponibilidad altaEl proceso de ampliación del receptor de disponibilidad alta amplía ambos receptores secuencialmente,empezando por el secundario. Ocurre de la siguiente forma:

1 El archivo de ampliación se carga al ESM y se aplica al receptor secundario.

2 Se intercambia la función de los receptores principal y secundario mediante el proceso Intercambiode funciones de receptor de disponibilidad alta, de forma que el receptor ampliado sea ahora elprincipal y el que no se ha ampliado aún sea el secundario.

3 El archivo de ampliación se aplica al nuevo receptor secundario.

4 Se vuelven a intercambiar las funciones de los receptores principal y secundario mediante elproceso Intercambio de funciones de receptor de disponibilidad alta, de forma que los receptoresasuman de nuevo sus funciones originales.

A la hora de realizar una ampliación, es mejor no tener un receptor principal preferido. Consulte

Si su receptor de disponibilidad alta está configurado con un receptor principal preferido, es mejorcambiar la configuración antes de ampliar. En la ficha Receptor de disponibilidad alta (véase Configuración dedispositivos receptores de disponibilidad alta), seleccione Ninguno en el campo Dispositivo principal preferido.Esto permite utilizar la opción Conmutación en caso de error, la cual no está disponible si se ha configuradoun receptor principal preferido. Una vez ampliados ambos receptores, puede aplicar la configuraciónde receptor principal preferido de nuevo.



Véase también Configuración de Event Receiver en la página 50Configuración de dispositivos receptores de disponibilidad alta en la página 54Reinicialización del dispositivo secundario en la página 54Configuración del receptor de disponibilidad alta con IPv6 en la página 55Restablecimiento de dispositivos de disponibilidad alta en la página 56Intercambio de funciones de receptores de disponibilidad alta en la página 57Sustitución de un receptor con problemas en la página 57Solución de problemas en un receptor fallido en la página 58

Configuración de dispositivos receptores de disponibilidad altaDefina la configuración de los dispositivos receptores de disponibilidad alta.

Antes de empezarAgregue el receptor que actúa como dispositivo principal (véase Adición de dispositivos a laconsola de ESM). Debe disponer de tres o más NIC.

La función de receptores de disponibilidad alta no es conforme a FIPS. Si está obligado aadecuarse a las normativas de FIPS, no utilice esta función.


1 En el árbol de navegación del sistema, seleccione el receptor que será el dispositivo disponibilidad

alta principal y haga clic en el icono Propiedades .

2 Haga clic en Configuración del receptor y, después, en Interfaz.

3 Haga clic en la ficha Receptor de disponibilidad alta y seleccione la opción Configurar alta disponibilidad.

4 Rellene la información solicitada y, después, haga clic en Aceptar.

Esto inicia el proceso de aplicación de la clave al segundo receptor, actualiza la base de datos, aplicaglobals.conf y sincroniza ambos receptores.

Véase también Receptores de disponibilidad alta en la página 51Reinicialización del dispositivo secundario en la página 54Configuración del receptor de disponibilidad alta con IPv6 en la página 55Restablecimiento de dispositivos de disponibilidad alta en la página 56Intercambio de funciones de receptores de disponibilidad alta en la página 57Sustitución de un receptor con problemas en la página 57Solución de problemas en un receptor fallido en la página 58

Reinicialización del dispositivo secundarioSi se retira del servicio el receptor secundario por cualquier motivo, deberá reinicializarlo después devolver a instalarlo.




1 En el árbol de navegación del sistema, seleccione la opción Propiedades de receptor correspondiente alreceptor principal y, después, haga clic en Configuración del receptor | Interfaz | Receptor de disponibilidad alta.

2 Verifique que la dirección IP correcta aparezca en el campo IP de administración secundaria.

3 Haga clic en Reinicializar secundario.

El ESM llevará a cabo los pasos necesarios para reinicializar el receptor.

Véase también Receptores de disponibilidad alta en la página 51Configuración de dispositivos receptores de disponibilidad alta en la página 54Configuración del receptor de disponibilidad alta con IPv6 en la página 55Restablecimiento de dispositivos de disponibilidad alta en la página 56Intercambio de funciones de receptores de disponibilidad alta en la página 57Sustitución de un receptor con problemas en la página 57Solución de problemas en un receptor fallido en la página 58

Configuración del receptor de disponibilidad alta con IPv6Aplique este procedimiento para configurar la disponibilidad alta con IPv6, ya que no se puedeestablecer manualmente la dirección IPv6 a través de la pantalla LCD.

Antes de empezar• Asegúrese de que el ESM utilice IPv6, ya sea de forma manual o automática (Propiedades

del sistema | Configuración de red).

• Averigüe la dirección IP compartida, creada por el administrador de la red.


1 En los dos los receptores del par de disponibilidad alta:

a Encienda el receptor y active IPv6 mediante la pantalla LCD.

b Desplácese hasta Mgt IP Configr | Mgt1 | IPv6 (Conf. IP admin. | Admin.1 | IPv6) y anote la direcciónIP de administración. Esto podría tardar algún tiempo debido a la latencia de la red.

2 Agregue uno de estos receptores al ESM (véase Adición de dispositivos a la consola de ESM).

• Nombre: nombre del par de disponibilidad alta.

• Dirección IP o URL de destino: dirección IPv6 de administración de este receptor de disponibilidad alta,previamente anotada.

3 Seleccione el dispositivo recién agregado en el árbol de navegación del sistema y, después, hagaclic en Propiedades de receptor | Configuración del receptor | Interfaz.

4 En el campo Modo IPv6, seleccione Manual (el único modo admitido para la disponibilidad alta).



5 Haga clic en Configuración junto a la interfaz número 1, escriba la dirección IP compartida en elcampo IPv6 y haga clic en Aceptar.

Esta dirección se asigna a la interfaz compartida durante la configuración de la disponibilidad alta.Si no se hace esto, la disponibilidad alta no ofrece una conmutación en caso de error correcta.

6 En Propiedades de receptor, haga clic en Conexión, introduzca la dirección IPv6 compartida en Nombre/Dirección IP de destino y haga clic en Aceptar.

7 Continúe con el proceso de configuración de la disponibilidad alta que se incluye en Configuraciónde dispositivos receptores de disponibilidad alta.

Véase también Receptores de disponibilidad alta en la página 51Configuración de dispositivos receptores de disponibilidad alta en la página 54Reinicialización del dispositivo secundario en la página 54Restablecimiento de dispositivos de disponibilidad alta en la página 56Intercambio de funciones de receptores de disponibilidad alta en la página 57Sustitución de un receptor con problemas en la página 57Solución de problemas en un receptor fallido en la página 58

Restablecimiento de dispositivos de disponibilidad altaSi necesita restablecer los receptores de disponibilidad alta al estado en el que se encontraban antesde configurarlos como tales, puede hacerlo en la consola de ESM o, si falla la comunicación con losreceptores, en el menú de la pantalla LCD.

• Siga uno de estos procedimientos:


Restablecer unreceptor en laconsola de ESM

1 En el árbol de navegación del sistema, haga clic en Propiedades de receptor y,después, haga clic en Configuración del receptor | Interfaz.

2 Anule la selección de Configurar alta disponibilidad y haga clic en Aceptar.

3 Haga clic en Sí en la página de advertencia y, después, en Cerrar.

Ambos receptores se reiniciarán tras un tiempo de espera de unos cincominutos a fin de devolver las direcciones MAC a sus valores originales.

Restablecer elreceptor principal osecundario en elmenú de la pantallaLCD

1 En el menú LCD del receptor, pulse X.

2 Pulse la flecha hacia abajo hasta que vea Disable HA (Desactivardisponibilidad alta).

3 Pulse la flecha hacia la derecha una vez para acceder a Disable Primary(Desactivar principal) en la pantalla LCD.

4 Para restablecer el receptor principal, pulse la marca de verificación.

5 Para restablecer el receptor secundario, pulse la flecha hacia abajo unavez y, después, la marca de verificación.



Véase también Receptores de disponibilidad alta en la página 51Configuración de dispositivos receptores de disponibilidad alta en la página 54Reinicialización del dispositivo secundario en la página 54Configuración del receptor de disponibilidad alta con IPv6 en la página 55Intercambio de funciones de receptores de disponibilidad alta en la página 57Sustitución de un receptor con problemas en la página 57Solución de problemas en un receptor fallido en la página 58

Intercambio de funciones de receptores de disponibilidad altaEste proceso de intercambio iniciado por el usuario permite intercambiar las funciones de losreceptores principal y secundario.

Puede que sea necesario hacerlo para ampliar un receptor, cuando se prepara un receptor paradevolverlo al fabricante o cuando se mueven los cables de un receptor. Este intercambio minimiza lacantidad de datos perdidos.

Si un recopilador (incluido el dispositivo correspondiente a McAfee ePO) está asociado con un receptorde disponibilidad alta y se produce una conmutación en caso de error, el recopilador no se podrácomunicar con el receptor de disponibilidad alta hasta que los conmutadores situados entre ambosasocien la nueva dirección MAC del receptor que ha fallado con la dirección IP compartida. Esto puedetardar desde unos minutos a varios días, en función de la configuración de la red.


1 En el árbol de navegación del sistema, seleccione el dispositivo receptor de disponibilidad alta y

haga clic en el icono Propiedades .

2 Seleccione Disponibilidad alta | Conmutación en caso de error. Ocurrirá lo siguiente:

• El ESM indica al receptor secundario que inicie el uso de la IP de origen de datos compartida yrecopile datos.

• El receptor secundario emite un comando de Cluster Resource Manager (CRM) a fin deintercambiar las direcciones IP y MAC compartidas, además de iniciar los recopiladores.

• El ESM extrae todos los datos de alertas y flujos del receptor principal.

• El ESM marca el receptor secundario como principal y el principal como secundario.

Véase también Receptores de disponibilidad alta en la página 51Configuración de dispositivos receptores de disponibilidad alta en la página 54Reinicialización del dispositivo secundario en la página 54Configuración del receptor de disponibilidad alta con IPv6 en la página 55Restablecimiento de dispositivos de disponibilidad alta en la página 56Sustitución de un receptor con problemas en la página 57Solución de problemas en un receptor fallido en la página 58

Sustitución de un receptor con problemasSi un receptor secundario tiene un problema de estado que no se puede resolver, puede ser necesariosustituirlo. Cuando tenga el receptor nuevo, instálelo de acuerdo con los procedimientos contenidos enla Guía de instalación de McAfee ESM. Una vez que estén definidas las direcciones IP y los cablesconectados, puede proceder a introducir el receptor en el clúster de disponibilidad alta.




1 En el árbol de navegación del sistema, seleccione la opción Propiedades de receptor correspondiente alreceptor de disponibilidad alta y, después, haga clic en Configuración del receptor | Interfaz.

2 Haga clic en la ficha Receptor de disponibilidad alta y compruebe que esté seleccionada la opción Configuraralta disponibilidad.

3 Verifique que las direcciones IP sean correctas y haga clic en Reinicializar secundario.

El nuevo receptor se integrará en el clúster y se restablecerá el modo de disponibilidad alta.

Véase también Receptores de disponibilidad alta en la página 51Configuración de dispositivos receptores de disponibilidad alta en la página 54Reinicialización del dispositivo secundario en la página 54Configuración del receptor de disponibilidad alta con IPv6 en la página 55Restablecimiento de dispositivos de disponibilidad alta en la página 56Intercambio de funciones de receptores de disponibilidad alta en la página 57Solución de problemas en un receptor fallido en la página 58

Solución de problemas en un receptor fallidoSi un receptor de una instalación de disponibilidad alta deja de funcionar por cualquier motivo, falla laescritura de orígenes de datos, opciones de configuración global, opciones de configuración deagregación, etc., y aparece un error de SSH.

De hecho, la configuración se despliega en el receptor que sigue funcionando, pero aparece un errorcuando no se puede sincronizar con el receptor que no funciona. No obstante, la directiva no sedespliega. En esta situación, existen las siguientes opciones:

• Espere a que haya un receptor secundario disponible y sincronizado para desplegar la directiva.

• Saque el receptor del modo de disponibilidad alta, lo cual provoca entre dos y cinco minutos deinactividad en el clúster de disponibilidad alta durante los cuales no se recopilan eventos.

Véase también Receptores de disponibilidad alta en la página 51Configuración de dispositivos receptores de disponibilidad alta en la página 54Reinicialización del dispositivo secundario en la página 54Configuración del receptor de disponibilidad alta con IPv6 en la página 55Restablecimiento de dispositivos de disponibilidad alta en la página 56Intercambio de funciones de receptores de disponibilidad alta en la página 57Sustitución de un receptor con problemas en la página 57

Archivado de datos de receptor sin procesar Es posible configurar el receptor de forma que reenvíe una copia de seguridad de los datos sinprocesar al dispositivo de almacenamiento para su almacenamiento a largo plazo.Los tres tipos de almacenamiento admitidos por el ESM son Server Message Block/Common InternetFile System (SMB/CIFS), Network File System (NFS) y reenvío de syslog. SMB/CIFS y NFS almacenan,en forma de archivos de datos, una copia de seguridad de todos los datos sin procesar enviados alreceptor por orígenes de datos que emplean protocolos de correo electrónico, eStream, HTTP, SNMP,SQL, syslog y agente remoto. Estos archivos de datos se envían al archivo de almacenamiento cadacinco minutos. El reenvío de syslog envía los datos sin procesar para los protocolos de syslog a modode un flujo continuo de syslogs combinados al dispositivo configurado en la sección Reenvío de syslog de



la página Configuración de archivado de datos. El receptor puede reenviar solamente a un tipo dealmacenamiento en cada ocasión; es posible configurar los tres tipos, pero solo se puede activar unode ellos para el archivado de datos.

Esta función no admite los tipos de orígenes de datos Netflow, Sflow e IPFIX.

Véase también Configuración de Event Receiver en la página 50Definición de la configuración de archivado en la página 59

Definición de la configuración de archivadoA fin de almacenar los datos sin procesar de los mensajes de syslog, es necesario configurar lasopciones empleadas por el receptor para el archivado.




1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic enConfiguración del receptor | Archivado de datos.

2 Seleccione el tipo de recurso compartido e introduzca la información solicitada.

Se debe abrir el puerto 445 en el sistema con el recurso compartido CIFS para activar una conexiónde recurso compartido CIFS. De igual forma, se debe abrir el puerto 135 en el sistema con elrecurso compartido SMB para el establecimiento de una conexión SMB.

3 Cuando esté listo para aplicar los cambios al dispositivo receptor, haga clic en Aceptar.

Tabla 3-25 Definiciones de opciones de recurso compartido de SMB/CIFS

Opción Definición

Tipo de recurso compartido Seleccione el tipo de recurso compartido SMB o CIFS.

Dirección IP Escriba la dirección IP del recurso compartido.

Nombre de recurso compartido Escriba el nombre del recurso compartido.

Ruta Escriba el subdirectorio del recurso compartido donde se debenalmacenar los datos archivados (por ejemplo, TMP/Almacenamiento). Siel almacenamiento se produce en el directorio raíz del recursocompartido, no se requiere la ruta de acceso.

Nombre de usuario yContraseña

Escriba un nombre de usuario válido para conectar con el recursocompartido y, después, la contraseña correspondiente a la cuenta deusuario utilizada durante la conexión con el recurso compartido.

No utilice comas en la contraseña a la hora de conectar con un recursocompartido SMB/CIFS.

Conectar Permite probar la conexión.

Tabla 3-26 Definiciones de opciones de recurso compartido NFS

Opción Definición

Dirección IP Escriba la dirección IP del punto de montaje y, después, su nombre.

Punto de montaje Escriba el nombre del punto de montaje.

Ruta Escriba el subdirectorio del recurso compartido donde se deben almacenar losdatos archivados (por ejemplo, TMP/Almacenamiento). Si el almacenamiento seproduce en el directorio raíz del recurso compartido, no se requiere la ruta.


Tabla 3-27 Definiciones de opciones de recurso compartido de reenvío de syslog

Opción Definición

Dirección IPv4 o Dirección IPv6 Escriba la dirección IP del servidor de syslog al que se debe reenviar elflujo de datos.

Ruta IPv4 o Ruta IPv6 Escriba el puerto del servidor de syslog al que se debe reenviar el flujode datos.

Véase también Archivado de datos de receptor sin procesar en la página 58



Visualización de los eventos de origen de los eventos de correlaciónEs posible ver los eventos de origen de un evento de correlación en la vista Análisis de eventos.

Antes de empezarYa debe existir un origen de datos de correlación en el ESM (véase Origen de datos decorrelación y Adición de un origen de datos).


1 En el árbol de navegación del sistema, expanda el receptor y haga clic en Motor de correlación.

2 En la lista de vistas, haga clic en Vistas de eventos y seleccione Análisis de eventos.

3 En la vista Análisis de eventos, haga clic en el signo más (+) en la primera columna junto al evento decorrelación.

Solo aparecerá el signo más si el evento de correlación tiene eventos de origen.

Los eventos de origen aparecen debajo del evento de correlación.

Visualización de estadísticas de rendimiento del receptorEs posible ver las estadísticas de uso del receptor, que incluyen las tasas de entrada (recopilador) ysalida (analizador) de origen de datos de los últimos diez minutos, la última hora y las últimas 24horas.

Antes de empezarVerifique que dispone del privilegio Administración de dispositivo.


1 En el árbol de navegación del sistema, seleccione un receptor y haga clic en el icono de

propiedades .

2 Haga clic en Administración del receptor | Ver estadísticas | Rendimiento.

3 Vea las estadísticas del receptor.

Si las tasas de entrada superan la tasa de salida en un 15 %, el sistema marca esa fila como crítica(en las últimas 24 horas) o como advertencia (en la última hora).

4 Para filtrar el origen de datos, seleccione las opciones Todo, Crítico o Advertencia.

5 Seleccione la unidad de medida para mostrar las métricas: por número de kilobytes (KB) o pornúmero de registros.

6 Para actualizar los datos automáticamente cada diez segundos, seleccione la casilla de verificaciónActualizar automáticamente.

7 Para ordenar los datos, haga clic en el título de columna relevante.



Orígenes de datos de receptorMcAfee Event Receiver permite la recopilación de eventos de seguridad y datos de flujo de redmediante orígenes de varios proveedores, incluidos firewalls, redes privadas virtuales (VPN),enrutadores, NetFlow, sFlow, etc. Los orígenes de datos se emplean para controlar cómo recopila elreceptor los datos de registro y de eventos. Es necesario agregar orígenes de datos y definir suconfiguración de manera que recopilen los datos requeridos.

La página Orígenes de datos es el punto de inicio para administrar los orígenes de datos del dispositivoreceptor. Proporciona una forma de agregar, editar y eliminar orígenes de datos, así como deimportarlos, exportarlos y migrarlos. También se pueden agregar orígenes de datos secundarios ycliente.

Véase también Adición de un origen de datos en la página 62Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página87Establecimiento del grupo de registro predeterminado en la página 39Administración de orígenes de datos en la página 65Establecimiento del formato de fecha para los orígenes de datos en la página 80Importación de una lista de orígenes de datos en la página 83Traslado de orígenes de datos a otro sistema en la página 85

Adición de un origen de datosEs necesario configurar las opciones correspondientes a los orígenes de datos que hay que agregar alreceptor a fin de recopilar datos.


1 En el árbol de navegación del sistema, seleccione el receptor al que desee agregar el origen de

datos y haga clic en el icono Propiedades .

2 En Propiedades de receptor, haga clic en Orígenes de datos | Agregar.

3 Seleccione el proveedor y el modelo.

Los campos que hay que rellenar dependen de las selecciones realizadas.


El origen de datos se agregará a la lista de orígenes de datos del receptor, así como al árbol denavegación del sistema, debajo del receptor seleccionado.




Opción Definición

Tabla deorígenes dedatos

Permite ver los orígenes de datos del sistema, si tienen clientes y el tipo de origende datos del que se trata. Además, indica si el receptor procesa o no los datos delorigen de datos, así como la forma de procesarlos. Las opciones son las siguientes:• Análisis: los datos recopilados se analizan e insertan en la base de datos.

• Registro: los datos se envían al ELM. Solo está disponible si existe un dispositivoELM en el sistema.

• Captura SNMP: el origen de datos acepta capturas SNMP estándar de cualquierdispositivo de red que se pueda administrar y que tenga la capacidad de enviarcapturas SNMP. Las capturas estándar son: Fallo de autenticación, Inicio en frío,Pérdida de vecino de EGP, Vínculo inactivo, Vínculo activo e Inicio en caliente.Una vez que se reciben estas capturas, se genera un evento para el origen dedatos.

Si necesita enviar o recibir capturas SNMP a través de IPv6, tendrá que formularla dirección IPv6 como una dirección de conversión IPv4. Por ejemplo, laconversión de 10.0.2.84 a IPv6 tendría este aspecto: 2001:470:B:654:0:0:10.0.2.84 o 2001:470:B:654::A000:0254.

Es posible cambiar estas opciones de configuración en la tabla mediante suselección o la anulación de su selección. Además, es posible agregar un grupo de

almacenamiento o un perfil SNMP mediante los iconos Registro o SNMP .

Agregar Permite agregar un origen de datos nuevo al receptor.

Agregar elementosecundario

Permite agregar orígenes de datos secundarios a un origen de datos existente.Esto facilita la organización de los orígenes de datos.

Clientes Permite agregar orígenes de datos cliente, lo cual amplía el número de orígenes dedatos permitidos en un receptor.

Editar Realizar cambios en la configuración del origen de datos seleccionado.

Quitar Eliminar el origen de datos seleccionado.

Importar Importar una lista de orígenes de datos con formato .csv (véase Importación deuna lista de orígenes de datos).

Exportar Exportar una lista de los orígenes de datos que hay actualmente en el sistema.

Migrar Reasignar o redistribuir los orígenes de datos entre los receptores.

Avanzadas Cargar o ver una definición de origen de datos personalizado.

Aprendizajeautomático

Permite configurar el receptor para el aprendizaje automático de direcciones IPdesconocidas.

Cambiar nombre Modificar los nombres de las entradas de orígenes de datos definidos por elusuario.

Cargar Cargar un archivo para el origen de datos seleccionado. Esto solo se aplica asyslog.

Escribir Escribir los cambios realizados en la configuración del origen de datos en elreceptor.




Opción Definición

Usar perfiles delsistema

Seleccione esta opción para utilizar un perfil a fin de configurar este origen dedatos. Solo es posible aplicar previamente la configuración de un perfil a losdispositivos que emplean los protocolos SNMP y syslog.

Proveedor de origende datos, Modelo deorigen de datos

Seleccione el proveedor y el modelo del origen de datos.Si va a agregar un origen de datos de analizador de syslog avanzado (ASP) quegenere datos con una codificación distinta de UTF-8, seleccione Genérico comoproveedor y Analizador de syslog avanzado como modelo.

Formato de datos Seleccione el método de análisis.

Recuperación dedatos

Seleccione el método de recopilación de datos. Cuando se emplea SCP, la variablede entorno LANG se debe establecer como lang=C.Si se selecciona Origen de archivo SCP, no se admiten las rutas de acceso relativas. Esnecesario definir la ubicación completa exacta.

Cuando se selecciona Origen de archivo CIFS u Origen de archivo NFS, es necesarioseleccionar el método de recopilación. Véase Selección del método de recopilaciónde orígenes de datos Leer final de archivo(s) para obtener detalles sobre estoscampos.

Activado Seleccione cómo debe procesar los datos el receptor.• Si selecciona Registro, se le solicitarán detalles al respecto (véase Establecimiento

del grupo de registro predeterminado).

• Si selecciona Captura SNMP, (véase Procesamiento de un origen de datos medianteuna captura SNMP), seleccione el perfil que desee utilizar en la página Perfiles deorígenes de datos SNMP. Si el perfil que necesita no está en la lista, haga clic en elvínculo Perfiles del sistema y agregue un perfil (véase Configuración de perfiles).

Nombre Escriba un nombre para el origen de datos.

Dirección IP, Nombrede host, Búsqueda

Introduzca solamente una dirección IP o un nombre de host. Haga clic en Búsquedapara agregar el nombre de host si ha introducido una dirección IP, o bien paraagregar la dirección IP si ha introducido un nombre de host. Ahora es posibleconfigurar un origen de datos WMI con un nombre de host y sin dirección IP.

Resto de campos Rellene los campos restantes, que variarán en función del proveedor, el modelo dedispositivo, el método de recuperación de datos y el protocolo del modelo dedispositivo seleccionado.

Interfaz Configure cualquiera de las opciones del receptor principal (véase Configuraciónde interfaces). Asegúrese de que los puertos utilizados para la recopilación dedatos estén abiertos en la ficha Comunicación. Estos puertos están cerrados deforma predeterminada, así que es necesario configurarlos.

Avanzada Agregue una URL, configure el reenvío de CEF o establezca este origen de datospara la exportación a otro receptor.


Opción Definición

Tabla Incluye las reglas definidas por el usuario.

Editar Haga clic en esta opción para cambiar el nombre del origen de datos seleccionado.



Véase también Orígenes de datos de receptor en la página 62Administración de orígenes de datos en la página 65Establecimiento del formato de fecha para los orígenes de datos en la página 80Importación de una lista de orígenes de datos en la página 83Traslado de orígenes de datos a otro sistema en la página 85Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página87

Procesamiento de un origen de datos mediante una captura SNMPLa funcionalidad de captura SNMP permite que un origen de datos acepte capturas SNMP estándar decualquier dispositivo de red que se pueda administrar y que tenga la capacidad de enviar capturasSNMP.

Las capturas estándar son:

• Error de autenticación • Vínculo inactivo

• Inicio en frío • Vínculo activo e Inicio en caliente

• Pérdida de vecino de EGP

A fin de enviar capturas SNMP a través de IPv6, es necesario formular la dirección IPv6 como direcciónde conversión IPv4. Por ejemplo, la conversión de 10.0.2.84 a IPv6 tiene este aspecto:

2001:470:B:654:0:0:10.0.2.84 o 2001:470:B:654::A000:0254.

Si selecciona Captura SNMP, existen tres opciones:

• Si no se ha seleccionado un perfil previamente, aparecerá el cuadro de diálogo Perfiles de orígenes dedatos SNMP, donde podrá seleccionar el perfil que desee utilizar.

• Si ya se ha seleccionado un perfil, aparecerá el cuadro de diálogo Perfiles de orígenes de datos SNMP. Paracambiar el perfil, haga clic en la flecha hacia abajo en el campo Perfiles del sistema y seleccione unnuevo perfil.

• Si se ha seleccionado un perfil anteriormente y desea cambiarlo pero la lista desplegable del cuadrode diálogo Perfiles de orígenes de datos SNMP no incluye el perfil que necesita, cree un perfil SNMP deorigen de datos.


Opción Definición

Perfiles del sistema Seleccione un perfil de la lista de perfiles existentes o haga clic en elvínculo y agregue un perfil nuevo que, después, podrá seleccionar.

Sobrescribir asignación de perfilexistente

Seleccione esta opción si desea eliminar cualquier asignación de perfilSNMP existente y utilizar en su lugar este perfil.

Administración de orígenes de datosEs posible agregar, editar, eliminar, importar, exportar y migrar orígenes de datos, así como agregarorígenes de datos secundarios y cliente en la página Orígenes de datos.




1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos.

2 Visualice la lista de orígenes de datos del receptor y lleve a cabo cualquiera de las opcionesdisponibles a fin de administrarlos.

3 Haga clic en Aplicar o en Aceptar.

Véase también Orígenes de datos de receptor en la página 62Adición de un origen de datos en la página 62Establecimiento del formato de fecha para los orígenes de datos en la página 80Importación de una lista de orígenes de datos en la página 83Traslado de orígenes de datos a otro sistema en la página 85Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página87

SIEM CollectorSIEM Collector envía los registros de eventos de Windows a un receptor mediante una conexióncifrada.

Sin SIEM Collector, la recopilación de eventos de Windows se limita al uso del protocolo WMI o unagente de terceros. En muchos entornos, la directiva de seguridad bloquea el acceso al sistema paraque no se pueda usar WMI.

El tráfico WMI contiene texto no cifrado y solo permite el acceso a registros escritos en el Registro deeventos de Windows. No es posible acceder a los archivos de registro creados por otros servicios, talescomo DNS, DHCP e IIS, como tampoco por medio de un agente de terceros.

Mediante el uso de SIEM Collector de forma autónoma o como parte de una implementación deMcAfee ePolicy Orchestrator existente es posible agregar la funcionalidad de WMI a los agentes deMcAfee existentes.

Asimismo, puede utilizar SIEM Collector a modo de concentrador para recopilar registros de otrossistemas a través de RPC sin agregar el paquete de SIEM Collector a todos los sistemas.

Otras funciones disponibles son:

• Complemento para la recopilación de bases de datos SQL definida por el usuario (compatible conSQL Server y Oracle).

• Complemento para analizar los eventos de Windows exportados en formato .evt o .evtx.

• Complemento para la compatibilidad con la auditoría C2 de SQL Server (formato .trc).

Integración de datos de evaluación de vulnerabilidadesLa evaluación de vulnerabilidades de los dispositivos DEM y Event Receiver permite integrar datos quese pueden recuperar de diversos proveedores de evaluación de vulnerabilidades.

Estos datos se pueden usar de varias formas.

• Aumentar la gravedad de un evento de acuerdo con la vulnerabilidad conocida del endpoint a dichoevento.

• Establecer el sistema para que aprenda automáticamente los activos y sus atributos (sistemaoperativo y servicios detectados).



• Crear y manipular la pertenencia a los grupos de activos definidos por el usuario.

• Acceder a información detallada y de resumen sobre los activos de la red.

• Modificar la configuración del Editor de directivas, como por ejemplo activar las firmas de MySQL si sedescubre un activo que ejecuta MySQL.

Es posible acceder a los datos de evaluación de vulnerabilidades generados por el sistema mediantevistas predefinidas o personalizadas por el usuario. Las vistas predefinidas son:

• Vistas de panel | Panel de vulnerabilidad de activos

• Vistas de conformidad | PCI | Prueba de procesos y sistemas de seguridad | 11.2 - Análisis de vulnerabilidad de red

• Vistas ejecutivas | Vulner. críticas en activos regulados

Para crear una vista personalizada, véase Adición de una vista personalizada.

Si crea una vista que incluya los componentes Número total de vulnerabilidades, Recuento o Dial de control, podríaver un recuento excesivo de vulnerabilidades. Esto se debe a que la fuente McAfee Threat IntelligenceServices (MTIS) agrega amenazas en función de la vulnerabilidad original de la que informa el origen deevaluación de vulnerabilidades (véase Evaluación de activos, amenazas y riesgo).

El equipo de McAfee encargado de las reglas conserva un archivo de reglas que asigna un ID de firmade McAfee a un VIN y a una o varias referencias a un ID de Common Vulnerabilities and Exposure(CVE), de BugTraq, de Open Source Vulnerability Database (OSVDB) o de Secunia. Estos proveedoresinforman de los ID de CVE y BugTraq en sus vulnerabilidades; por tanto, los ID de CVE y BugTraq seincluyen en esta versión.

Definición de un perfil de sistema de evaluación de vulnerabilidadesCuando se agrega un origen eEye REM, la página Agregar origen de evaluación de vulnerabilidades ofrece laopción de utilizar un perfil de sistema previamente definido. Para usar esta función, es necesariodefinir antes el perfil.


1 En el árbol de navegación del sistema, seleccione un dispositivo DEM o Event Receiver y haga clic

en el icono Propiedades .

2 Haga clic en Evaluación de vulnerabilidades | Agregar.

3 En el campo Tipo de origen de evaluación de vulnerabilidades, seleccione eEye REM.

4 Haga clic en Usar perfil del sistema.

5 Haga clic en Agregar y seleccione Evaluación de vulnerabilidades en el campo Tipo de perfil.



6 En el campo Agente de perfil, seleccione la versión SNMP de este perfil.

Los campos de la página se activan según la versión seleccionada.

7 Rellene la información solicitada y haga clic en Aceptar.


Opción Definición

Tabla Ver los receptores y los DEM del sistema, así como sus orígenes de evaluación devulnerabilidades.

Agregar Agregar un origen.

Editar Cambiar el origen seleccionado.

Quitar Eliminar el origen de evaluación de vulnerabilidades seleccionado.

Recuperar Recuperar los datos de evaluación de vulnerabilidades para el origen seleccionado.

Escribir Escribir los cambios realizados en el dispositivo.

Cargar (Qualys) Si ha seleccionado Carga manual en el campo Método al agregar un origen deevaluación de vulnerabilidades, haga clic en esta opción para cargar el archivo.

La carga de un archivo de registro de Qualys QualysGuard tiene un límite de tamaño de2 GB.

Adición de un origen de evaluación de vulnerabilidadesA fin de establecer comunicación con los orígenes de evaluación de vulnerabilidades, agréguelos alsistema, agregue parámetros de comunicación para el proveedor de evaluación de vulnerabilidadescorrespondiente, planifique los parámetros para indicar la frecuencia de recuperación de datos ycambie los cálculos de gravedad.


1 En el árbol de navegación del sistema, seleccione un dispositivo DEM o Event Receiver y haga clic

en el icono Propiedades .

2 Haga clic en Evaluación de vulnerabilidades.

3 Agregue, edite, quite o recupere orígenes de evaluación de vulnerabilidades, además de escribir loscambios realizados en el dispositivo.



Opción Definición

ID de cliente Escriba el número de ID de cliente de Frontline. Este campo es necesariopara Digital Defense Frontline.

Nombre de la empresa En FusionVM, el nombre de la empresa que se debe analizar. Si este campose deja en blanco, se analizarán todas las empresas a las que pertenezca elusuario. Si introduce más de una empresa, separe los nombres con unacoma.




Opción Definición

Recuperación de datos (Qualys QualysGuard) Seleccione el método de recuperación de los datos deevaluación de vulnerabilidades. HTTP/HTTPS es el método predeterminado. Lasotras opciones son SCP, FTP, NFS, CIFS y Carga manual.

Una carga manual de archivo de registro de Qualys QualysGuard tiene unlímite de tamaño de 2 GB.

Dominio Escriba el dominio del equipo Windows (opcional, a menos que el controladorde dominio o el servidor estén dentro de un dominio).

Directorio de archivo deanálisis exportado

El directorio donde se encuentran los archivos de análisis exportados.

Formato de archivo deanálisis exportado

El formato del archivo de análisis exportado (XML o NBE).

Directorio de instalación La ubicación donde se instaló Saint en el servidor. El directorio de instalaciónpara un appliance analizador Saint es /usr/local/sm/.

Dirección IP • Para eEye REM: la dirección IP del servidor eEye que envía informaciónsobre capturas.

• Para eEye Retina: la dirección IP del cliente que alberga los archivos deanálisis exportados (.rtd).

• Para McAfee® Vulnerability Manager: la dirección IP del servidor donde seencuentra la instalación.

• Para Nessus, OpenVAS, LanGuard y Rapid7 Metasploit Pro: la dirección IPdel cliente que alberga los archivos de análisis exportados.

• Para NGS: la dirección IP del sistema que almacena los informes deSquirrel.

• Para Rapid7, Lumension, nCircle y Saint: la dirección IP del servidorcorrespondiente.

Directorio de montaje Si selecciona NFS en el campo Método, se agregan los campos de Directorio demontaje. Indique el directorio de montaje establecido al configurar NFS.

Método El método empleado para recuperar los archivos de análisis exportados(montaje de SCP, FTP, NFS o CIFS). LanGuard siempre emplea CIFS.

Contraseña • Para McAfee Vulnerability Manager: si emplea el modo de autenticación deWindows para SQL Server, la contraseña del equipo Windows. De locontrario, la contraseña correspondiente a SQL Server.

• Para Nessus, OpenVAS, LanGuard y Rapid7 Metasploit Pro: la contraseñade SCP o FTP (véase Nombre de usuario).

• Para NGS: la contraseña de los métodos SCP y FTP.

• Para Qualys y FusionVM: la contraseña correspondiente al nombre deusuario de Qualys Front Office o FusionVM (véase Nombre de usuario).

• Para Rapid7 Nexpose, Lumension, nCircle y Saint: la contraseña que sedebe usar al conectar con el servidor web (véase Nombre de usuario).

• Para Digital Defense Frontline: la contraseña de la interfaz web.

Puerto El puerto de escucha de Rapid7 Nexpose, Lumension, nCircle, McAfee®

Vulnerability Manager o el servidor web de Saint. El valor predeterminadopara Rapid7 Nexpose es 3780, en el caso de Lumension es 205, para nCirclees 443, para McAfee Vulnerability Manager es 1433 y para Saint es 22.




Opción Definición

Nombre de proyecto/espacio de trabajo

Nombre de un proyecto o espacio de trabajo concretos; deje el campo enblanco para incluir todos los proyectos o espacios de trabajo.

Dirección IP de proxy La dirección IP del proxy de HTTP.

Contraseña del proxy La contraseña correspondiente al nombre de usuario del proxy.

Puerto del proxy El puerto de escucha del proxy HTTP.

Nombre de usuario delproxy

Un nombre de usuario para el proxy.

URL del servidor Qualyso FusionVM

La URL del servidor Qualys o FusionVM al que enviar la consulta.

Ruta remota y nombre derecurso compartido

Para el método Nessus de CIFS, OpenVAS, eEye Retina, Metasploit Pro,LanGuard y NGS.

Es posible usar barras diagonales o barras diagonales invertidas en la ruta(por ejemplo, Archivos de programa\CIFS\va o /Archivos de programa/CIFS/va).

Programar recuperaciónde datos del receptor oProgramar recuperaciónde datos de DEM

Indique la frecuencia con la que desea que los datos de evaluación devulnerabilidades se recuperen del receptor o el DEM.• Cada día: seleccione la hora a la que desee que se recuperen los datos cada

día.

• Cada semana: seleccione el día de la semana y la hora del día en que deseeque se recuperen los datos.

• Cada mes: seleccione el día del mes y la hora del día en que desee que serecuperen los datos.

Si no desea que se recuperen los datos, seleccione Desactivado.

eEye REM no admite la recuperación de datos desde el origen, por lo que losdatos se deben recuperar desde el receptor o el DEM.

Programar recuperaciónde datos de evaluaciónde vulnerabilidades

Indique la frecuencia con la que desea que los datos de evaluación devulnerabilidades se recuperen del origen de evaluación de vulnerabilidades.Véase Programar recuperación de datos del receptor o Programarrecuperación de datos de DEM para obtener detalles.

Sesión Saint: la sesión de la que se recopilan los datos. Para incluir todas lassesiones, indique Todo.

Contraseña deautenticación SNMP

Si selecciona authNoPriv o authPriv en el campo Nivel de seguridad SNMP, este campoestará activo. Escriba la contraseña para el protocolo de autenticaciónseleccionado en el campo Protocolo de autenticación SNMP.

Protocolo deautenticación SNMP

Si selecciona authNoPriv o authPriv en el campo Nivel de seguridad SNMP, este campoestará activo. Seleccione el tipo de protocolo para este origen: MD5 o SHA1(SHA1 y SHA hacen referencia al mismo tipo de protocolo). Asegúrese deque la configuración de REM Events Server coincida con su selección.

Comunidad SNMP La comunidad SNMP establecida al configurar REM Events Server.

Contraseña deprivacidad SNMP

Si selecciona authPriv en el campo Nivel de seguridad SNMP, este campo estaráactivo. Escriba la contraseña para el protocolo de privacidad DES o AES. Enel modo FIPS, la única opción disponible es AES.

Protocolo de privacidadSNMP

Si selecciona authPriv en el campo Nivel de seguridad SNMP, este campo estaráactivo y podrá seleccionar DES o AES. En el modo FIPS, la única opcióndisponible es AES.




Opción Definición

Nivel de seguridad SNMP El nivel de seguridad que desee establecer para este origen.

• noAuthNoPriv: sin protocolo de autenticación y sin protocolo de privacidad

• authNoPriv: con protocolo de autenticación pero sin protocolo de privacidad

• authPriv: con protocolo de autenticación y protocolo de privacidad

Los campos de autenticación y privacidad correspondientes a SNMP seactivarán en función del nivel de seguridad seleccionado. Asegúrese de quela configuración de REM Events Server coincida con su selección.

Nombre de usuarioSNMP

El nombre de seguridad correspondiente a la configuración de REM EventsServer.

Versión de SNMP La versión de SNMP correspondiente al origen. Los campos de SNMP seactivan según la versión seleccionada.

ID de motor SNMPv3 (Opcional) El ID de motor de SNMPv3 del remitente de capturas, en caso deemplear un perfil SNMPv3.

Contraseña sudo (Opcional) Escriba la contraseña necesaria para acceder al directorio deinstalación de Saint (véase Usar sudo).

Tiempo de espera Este campo permite usar el valor predeterminado de tiempo de espera paraun origen o proporcionar un valor de tiempo de espera concreto. Esto resultaútil si existe una gran cantidad de datos de evaluación de vulnerabilidadesde un proveedor y la configuración de tiempo de espera predeterminada nopermite recuperar todos los datos o ninguno. Es posible aumentar el valor detiempo de espera a fin de que exista más tiempo para la recuperación dedatos de evaluación de vulnerabilidades. Si proporciona un valor, se utilizarápara todas las comunicaciones.

Token (Opcional) Token de autenticación que se puede establecer en laconfiguración global de Metasploit.

URL Escriba la URL del servidor de Digital Defense Frontline.

Utilizar proxy HTTP Si decide usar el proxy HTTP, se activarán los campos Dirección IP de proxy,Puerto del proxy, Nombre de usuario del proxy y Contraseña del proxy.

Usar modo pasivo Si selecciona FTP en el campo Método, este campo se activará. A continuación,deberá indicar cuándo usar el modo pasivo.

Usar sudo Seleccione esta opción si dispone de acceso al directorio de instalación deSaint y desea utilizar este acceso (véase Contraseña sudo).

Usar perfil del sistema(eEye REM)

Indique si desea utilizar un perfil previamente definido. Si selecciona estaopción, se desactivarán todos los campos de SNMP. Al seleccionar uno de losperfiles de sistema existentes, los campos se rellenan con la información delperfil elegido. Para definir un perfil, véase Definición de un perfil de sistemade evaluación de vulnerabilidades.




Opción Definición

Nombre de usuario Escriba el nombre de usuario de McAfee® Vulnerability Manager. Si utiliza elmodo de autenticación de Windows para SQL Server, introduzca el nombrede usuario del equipo Windows. De lo contrario, se trata del nombre deusuario de SQL Server.

• Para Nessus, OpenVAS y Rapid7 Metasploit Pro: el nombre de usuariocorrespondiente a SCP o FTP.

• Para NGS: el nombre de usuario para los métodos SCP y FTP.

• Para Qualys o FusionVM: el nombre de usuario de Front Office o FusionVMdestinado a la autenticación.

• Para Rapid7 Nexpose, Lumension, nCircle y Saint: el nombre de usuarioque se debe usar al conectar con el servidor web.

• Para Digital Defense Frontline: el nombre de usuario de la interfaz web.

Nombre de origen deevaluación devulnerabilidades

Escriba el nombre de este origen.

Expresión comodín Una expresión comodín utilizada para describir el nombre de los archivos deanálisis exportados. La expresión comodín puede incluir un asterisco (*) oun signo de interrogación (?) con la definición estándar de "caráctercomodín" en un nombre de archivo.

Si tiene archivos tanto NBE como XML, deberá especificar si desea archivosNBE o XML en este campo (por ejemplo, *.NBE o *.XML). Si solo emplea unasterisco (*), se producirá un error.

Recuperación de datos de evaluación de vulnerabilidadesUna vez agregado un origen, es posible recuperar los datos de evaluación de vulnerabilidades. Existendos formas de recuperar los datos de evaluación de vulnerabilidades de un origen: de formaplanificada o inmediata. Los dos tipos de recuperación se pueden llevar a cabo en todos los orígenesde evaluación de vulnerabilidades excepto en Eye REM, donde es necesaria la planificación.


1 En el árbol de navegación del sistema, seleccione Propiedades de DEM o Propiedades de receptor y haga clicen Evaluación de vulnerabilidades.

2 Seleccione el origen de evaluación de vulnerabilidades y, después, elija una de estas opciones.




Recuperarinmediatamente

• Haga clic en Recuperar.

El trabajo se ejecutará en segundo plano y se le informará si la recuperación hasido correcta (véase Solución de problemas de recuperación de evaluación devulnerabilidades en caso contrario).

Planificarrecuperación

1 Haga clic en Editar.

2 En el campo Programar recuperación de datos de evaluación de vulnerabilidades, seleccionela frecuencia.


4 En la página Evaluación de vulnerabilidades, haga clic en Escribir para escribir loscambios en el dispositivo.


4Para ver los datos, haga clic en el icono de inicio rápido de Asset Manager y seleccione la fichaEvaluación de vulnerabilidades.

Solución de problemas de recuperación de evaluación de vulnerabilidadesCuando se recuperan datos de evaluación de vulnerabilidades, se le informa en caso de producirsealgún error. A continuación se enumeran algunas de las razones que producen errores derecuperación.

Este recurso... Provoca...

Nessus, OpenVAS yRapid7 MetasploitPro

• Directorio vacío.

• Error de configuración.

• Los datos del directorio ya se recuperaron, por lo que no están actualizados.

Qualys, FusionVM yRapid7 Nexpose

Los datos del directorio ya se recuperaron, por lo que no están actualizados.

Nessus Si sobrescribe un archivo de Nessus existente al cargar un nuevo archivo deNessus en el sitio FTP, la fecha del archivo no cambia; por tanto, al realizar larecuperación de evaluación de vulnerabilidades, no se devuelven datos porquese perciben como datos antiguos. Para evitar esta situación, elimine el archivode Nessus anterior del sitio de FTP antes de cargar el nuevo, o bien utilice unnombre distinto para el archivo que cargue.

Proveedores de evaluación de vulnerabilidades disponiblesEl ESM se puede integrar con los siguientes proveedores de evaluación de vulnerabilidades.

Proveedor de evaluación de vulnerabilidades Versión

Digital Defense Frontline 5.1.1.4

eEye REM (servidor de eventos de REM) 3.7.9.1721



Proveedor de evaluación de vulnerabilidades Versión

eEye Retina

El origen de evaluación de vulnerabilidades eEye Retina essimilar al origen de datos Nessus. Puede usar archivos scp,ftp, nfs o cifs para obtener los archivos .rtd. Es necesariocopiar manualmente los archivos .rtd en un recursocompartido scp, ftp o nfs antes de extraerlos. Losarchivos .rtd suelen estar ubicados en el directorio Scans deRetina.

5.13.0, auditorías: 2400

McAfee Vulnerability Manager 6.8, 7.0

Critical Watch FusionVM 4-2011.6.1.48

LanGuard 10.2

Lumension Compatible con PatchLink SecurityManagement Console 6.4.5 oposterior

nCircle 6.8.1.6

Nessus Compatible con Tenable Nessusversiones 3.2.1.1 y 4.2, así comolos formatos de archivoNBE, .nessus (XMLv2) y .nessus(XMLv1); también el formato XMLde OpenNessus 3.2.1

NGS

OpenVAS 3.0, 4.0

Qualys

Rapid7 Nexpose: proveedor de partner de evaluación devulnerabilidades recomendado

Rapid7 Metasploit Pro: proveedor de partner de evaluación devulnerabilidades recomendado

Se puede reducir la gravedad de un exploit de Metasploit queempieza por el nombre Nexpose mediante la adición de unorigen de evaluación de vulnerabilidades Rapid7 al mismoreceptor. Si no se puede deducir, la gravedad predeterminadaes 100.

4.1.4 Update 1, formato de archivoXML

Saint

GFI Languard

NGS SQuirrel

iScan Online?

Tripwire/nCircle IPS360?



Creación automática de orígenes de datosEs posible configurar el receptor para la creación automática de orígenes de datos mediante las cincoreglas estándar incluidas en el receptor o las reglas que se creen.

Antes de empezarAsegúrese de que la comprobación automática esté seleccionada en el cuadro de diálogoEventos, flujos y registros (Propiedades del sistema | Eventos, flujos y registros), o bien haga clic en el

icono Obtener eventos y flujos de la barra de herramientas de acciones a fin de extraereventos, flujos o ambas cosas.


1 En Propiedades de receptor, haga clic en Orígenes de datos | Aprendizaje automático.

2 En la ventana Aprendizaje automático, haga clic en Configurar.

3 En la ventana Editor de reglas de adición automática, asegúrese de que esté seleccionada la opción Activarcreación automática para orígenes de datos y, después, seleccione las reglas de adición automática quedesee que emplee el receptor para crear los orígenes de datos de forma automática.

4 Haga clic en Ejecutar si desea aplicar las reglas seleccionadas a los datos de aprendizaje automáticoexistentes y, después, haga clic en Cerrar.

Véase también Administración del aprendizaje automático de orígenes de datos en la página 76Adición de nuevas reglas de creación automática en la página 75

Adición de nuevas reglas de creación automáticaEs posible agregar reglas personalizadas para su uso por parte del receptor a fin de crear orígenes dedatos de forma automática.


1 En Propiedades de receptor, haga clic en Orígenes de datos | Aprendizaje automático | Configurar | Agregar.

2 En el cuadro de diálogo Configurar regla de adición automática, agregue los datos necesarios para definir laregla y haga clic en Aceptar.

La nueva regla se agregará a la lista de reglas de adición automática del cuadro de diálogo Editor dereglas de adición automática. Entonces, podrá seleccionarla de forma que se creen orígenes de datos cuandolos datos de aprendizaje automático cumplan los criterios definidos en la regla.


Opción Definición

Activar creaciónautomática

Crear orígenes de datos automáticamente a partir de los datos de aprendizajeautomático. La creación automática se produce siempre que se extraen alertas delreceptor, ya sea manualmente o de forma automática a través del ESM.

Tabla Ver las reglas de agregación automática que existen actualmente en el receptor ysi están o no activadas. Es posible activar o desactivar las reglas de esta lista.




Opción Definición

Agregar Agregar una nueva regla de agregación automática.

Editar Realizar cambios en la regla de agregación automática seleccionada.

Quitar Eliminar la regla de agregación automática seleccionada.

Ejecutar ahora Aplicar las reglas activadas a la lista actual de datos de aprendizaje automático.

Botones de flecha Mover la regla de adición automática seleccionada hacia arriba o hacia abajo en lalista para cambiar su orden. Esto es importante porque los datos de aprendizajeautomático se comparan con las reglas en el orden en que aparecen en la lista, yse crea un origen de datos en función de la primera regla coincidente.


Opción Definición

Descripción Escriba un nombre que describa la regla.

Tipo Seleccione el tipo de regla en la lista desplegable.

Activar Seleccione esta opción si desea activar esta regla.

Columna Criterios decoincidencia enaprendizaje automático

Defina los criterios con los que deben coincidir los datos recibidos para su adicióncomo origen de datos o cliente.

Columna Parámetrosde creación de cliente/origen de datos

Defina la configuración para el origen de datos que se creará si los datoscoinciden con los criterios.• Escriba el nombre para el origen de datos. Este campo admite variables para

representar la dirección IP, el modelo y el nombre de host. Por ejemplo, podríaescribir Data source - {MODEL}_{HOST}_{IP}.

• Seleccione entre origen de datos y cliente.

• Si se trata de un cliente, seleccione el elemento principal contenedor y,después, seleccione el tipo de cliente.

• Seleccione el proveedor, el modelo, la zona horaria y la zona.

• Si desea que los datos generados por el origen de datos (no aplicable aclientes) se almacenen en el ELM, haga clic en Grupo de almacenamiento yseleccione el grupo de almacenamiento.

Véase también Creación automática de orígenes de datos en la página 75Administración del aprendizaje automático de orígenes de datos en la página 76

Administración del aprendizaje automático de orígenes de datosEs posible configurar el ESM para el aprendizaje automático de direcciones IP.

Antes de empezarAsegúrese de que se hayan definido los puertos para Syslog, MEF y los flujos (véaseConfiguración de interfaces).



El firewall del receptor se abre durante el tiempo designado para que el sistema pueda aprender unaserie de direcciones IP desconocidas. Posteriormente, se pueden agregar al sistema a modo deorígenes de datos.

Cuando se lleva a cabo la ampliación, los resultados del aprendizaje automático se borran de la páginaAprendizaje automático. Si hay resultados de aprendizaje automático sobre los que no se ha realizadoninguna acción antes de la ampliación, deberá llevar a cabo de nuevo el aprendizaje automático trasella a fin de recopilar los resultados de nuevo.


1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic enOrígenes de datos | Aprendizaje automático.

2 Defina la configuración según proceda y haga clic en Cerrar.




Opción Definición

Activar oDesactivar

Activar o desactivar el aprendizaje automático.

Los puertos del receptor deben coincidir con los orígenes que envían datos para quese produzca el aprendizaje automático.

• Seleccione la cantidad de tiempo que desea que se produzca el aprendizajeautomático en el campo horas apropiado (el máximo es 24 horas; 0 corresponde acontinuamente) y haga clic en Activar. El aprendizaje automático dará comienzo y eltexto del botón pasará a ser Desactivar. Cuando el tiempo se acabe, la función deaprendizaje automático se desactivará y la tabla se rellenará con las direcciones IPencontradas.

Cuando se utiliza el aprendizaje automático para MEF, no es posible agregarorígenes de datos de aprendizaje automático mediante un ID de host.

• A fin de detener el proceso antes de que termine la recopilación, haga clic enDesactivar. La recopilación de datos se detendrá, pero se procesarán los datosrecopilados hasta ese momento.

• Si espera hasta que el proceso finalice, se recopilarán datos durante el periodode tiempo indicado. Los datos se procesarán y agregarán a la tabla.

Toda la información recuperada se almacena en el ESM hasta que se activa denuevo el aprendizaje automático.

Es posible abandonar la página Aprendizaje automático sin que el aprendizaje automáticodeje de funcionar durante el periodo de tiempo seleccionado. Los campos de Estadoactual mostrarán lo que ocurre a lo largo del proceso de aprendizaje automático.• Aprendizaje automático detenido: no está funcionando actualmente. Esto puede indicar

que el aprendizaje automático no se ha solicitado, o bien que el aprendizaje y elprocesamiento solicitados ya han finalizado.

• Recopilando datos: el aprendizaje automático se ha activado y está recopilando losdatos actualmente. Esto se prolongará durante el periodo de tiempo especificado.

• Procesando datos de aprendizaje automático: el sistema está procesando los datosrecopilados. Esto ocurre después de que se hayan recopilado datos durante eltiempo especificado.

• Se ha producido un error: se ha producido un error mientras se recopilaban oprocesaban los datos.

Configurar Configure reglas para que las direcciones IP recopiladas se puedan agregar a modode orígenes de datos de forma automática si cumplen los criterios definidos en laregla.

Tabla Permite ver las direcciones IP de los orígenes de datos de aprendizaje automático.Cada uno recibe un nombre formado por la dirección IP y Aprendidoautomáticamente, e indica el formato de los registros. El sistema también hace elintento de detectar el tipo de origen de datos.




Opción Definición

Agregar Permite agregar las direcciones IP de aprendizaje automático a modo de orígenes dedatos.1 Seleccione una o varias direcciones IP del mismo tipo en la tabla y haga clic en

Agregar.

2 En la página Orígenes con aprendizaje automático, seleccione una de las opciones.

3 Haga clic en Aceptar. Ocurrirá una de estas cosas:

• Si las direcciones IP seleccionadas no tienen un nombre asociado, se lepreguntará si desea agregar un prefijo a las direcciones seleccionadas.– Si hace clic en No, las direcciones IP se utilizan como nombres de los orígenesde datos.

– Si hace clic en Sí, se abre la página Prefijo de nombre. Escriba un nombre y hagaclic en Aceptar. Los nombres de estos orígenes de datos constarán del nombreagregado y la dirección IP.

• Si las direcciones IP seleccionadas tienen nombres, los orígenes de datos seagregarán a la lista de la página Orígenes de datos.

Editar nombre Permite editar el nombre predeterminado del elemento seleccionado. El campo denombre tiene un límite de 50 caracteres. Cada nombre debe ser exclusivo.

Quitar Permite eliminar las direcciones IP seleccionadas de la lista. La lista no se guardahasta que se cierra Aprendizaje automático.

Cambiar tipo Permite cambiar el tipo de la dirección IP seleccionada. Esto puede ser útil si el tiposugerido por el sistema no es correcto. La visualización del paquete puede darle lainformación necesaria para determinar el tipo correcto.

Actualizar Permite volver a cargar los datos de la página para ver los cambios en los datos deaprendizaje automático y el estado del aprendizaje automático de syslog, MEF oNetflow.

Mostrarpaquete

Permite ver el paquete correspondiente al origen de datos seleccionado.


Opción Definición

Crear orígenes de datospara los elementos deaprendizaje automáticoseleccionados

Crea nuevos orígenes de datos por cada uno de los orígenes deaprendizaje automático seleccionados. Si se requiere más información paraalguno de los orígenes, se abre la página Agregar origen de datos para quepueda agregar la información.

Crear clientes paraorígenes de datosexistentes o crear nuevosorígenes de datos conclientes

Existen las siguientes opciones disponibles:• Coincidencia de cliente en tipo: si existe un origen de datos que coincida con la

IP seleccionada, los elementos se agregan a él a modo de orígenes dedatos cliente de coincidencia por tipo. Si no existe ningún origen dedatos que coincida con la IP seleccionada, se crea uno. Los elementosrestantes se agregan a él a modo de orígenes de datos cliente decoincidencia por tipo.

• Coincidencia de cliente en IP: esta opción permite seleccionar el origen dedatos al que agregar esta dirección IP a modo de cliente. Cuando seselecciona esta opción, la lista desplegable se activa. Si existen uno omás orígenes de datos que coincidan con esta dirección IP, apareceránaquí. Si no existe ninguno, la única opción disponible es Ninguno: crear nuevoorigen de datos. Seleccione el origen de datos al que desee agregar estadirección IP a modo de cliente y, después, haga clic en Aceptar.



Véase también Creación automática de orígenes de datos en la página 75Adición de nuevas reglas de creación automática en la página 75

Establecimiento del formato de fecha para los orígenes de datosSeleccione el formato de las fechas incluidas en los orígenes de datos.


1 En el árbol de navegación del sistema, seleccione un receptor y haga clic en el icono Agregar origen de

datos .

2 Haga clic en Opciones avanzadas y realice una selección en el campo Orden en fechas:• Predeterminado: emplea el orden predeterminado para las fechas (el mes antes que el día).

Cuando se utilizan orígenes de datos cliente, los clientes con esta configuración heredan elformato de fecha del origen de datos principal.

• Mes antes del día: el mes aparece antes que el día (04/23/2014).

• Día antes del mes: el día aparece antes que el mes (23/04/2014).


Véase también Orígenes de datos de receptor en la página 62Adición de un origen de datos en la página 62Administración de orígenes de datos en la página 65Importación de una lista de orígenes de datos en la página 83Traslado de orígenes de datos a otro sistema en la página 85Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página87

Adición de un origen de datos secundarioEs posible agregar orígenes de datos secundarios para facilitar la organización de los orígenes dedatos.



2 En la tabla de orígenes de datos, haga clic en el origen de datos al que desee agregar unosecundario.

3 Haga clic en Agregar elemento secundario y rellene los campos de la misma forma que para un origen dedatos principal.


El origen de datos se agrega a modo de elemento secundario debajo del origen de datos principal enla tabla y en el árbol de navegación del sistema.




Opción Definición

Proveedor de origen de datos Seleccione el proveedor del cliente o el origen de datos de aprendizajeautomático.

Modelo de origen de datos Seleccione el modelo del cliente o el origen de datos.

Zona horaria Seleccione la zona horaria del cliente o el origen de datos.

Orígenes de datos clienteEs posible ampliar el número de orígenes de datos permitidos en un receptor mediante la adición deorígenes de datos cliente. En el caso de los orígenes de datos con recopilador de syslog, ASP, CEF,MEF, NPP y WMI, es posible agregar hasta 32 766 clientes de origen de datos.

Si el origen de datos ya es un elemento principal o secundario, o bien si se trata de un origen de datosWMI y se ha seleccionado Usar RPC, esta opción no estará disponible.

Puede agregar más de un origen de datos cliente con la misma dirección IP y utilizar elnúmero de puerto para diferenciarlos. Esto permite separar los datos utilizando un puertodistinto para cada tipo y luego reenviarlos sirviéndose del mismo puerto al que hayanllegado.

Al agregar un origen de datos cliente (véase Orígenes de datos cliente y Adición de unorigen de datos cliente), se selecciona si se debe usar el puerto del origen de datos principalu otro puerto.

Los orígenes de datos cliente tienen las características siguientes:

• No disponen de derechos de VIPS, directiva ni agente.

• No aparecen en la tabla Orígenes de datos.

• Aparecen en el árbol de navegación del sistema.

• Comparten la misma directiva y los mismos derechos que el origen de datos principal.

• Deben encontrarse en la misma zona horaria porque utilizan la configuración del principal.

Los orígenes de datos WMI cliente pueden tener zonas horarias independientes porque la zona horariase determina en la consulta enviada al servidor WMI.

Véase también Adición de un origen de datos cliente en la página 81

Adición de un origen de datos clientePara aumentar el número de orígenes de datos permitidos en el receptor, agregue un cliente a unorigen de datos existente.

Antes de empezarAgregue el origen de datos al receptor (véase Adición de un origen de datos).





2 Seleccione el origen de datos al que desee agregar el cliente y haga clic en Clientes.

La página Clientes de orígenes de datos enumera los clientes que forman parte actualmente del origen dedatos seleccionado.

3 Haga clic en Agregar, rellene la información solicitada y haga clic en Aceptar.

Los eventos se dirigen al origen de datos (principal o cliente) que sea más específico. Por ejemplo,supongamos que tiene dos orígenes de datos cliente, uno con la dirección IP 1.1.1.1 y otro con ladirección IP 1.1.1.0/24, que abarca un rango. Ambos son del mismo tipo. Si un evento coincide con1.1.1.1, se dirige al primer cliente porque es más específico.


Opción Definición

Tabla de clientes Ver los clientes que forman parte del origen de datos seleccionado en la tablaOrígenes de datos.

Buscar Si busca un cliente específico, escriba su nombre en el campo y haga clic en Buscar.

Agregar Haga clic en esta opción para agregar un cliente al origen de datos.

Editar Permite editar el cliente seleccionado.

Quitar Haga clic aquí para eliminar el cliente seleccionado.


Opción Definición

Nombre Escriba un nombre para este cliente.

Zona horaria Seleccione la zona horaria en la que se encuentra este origen de datoscliente.

Orden en fechas Seleccione el formato para la fecha: primero el mes y luego el día o alcontrario.

Dirección IP, Nombre dehost

Escriba la dirección IP o el nombre de host del cliente. Puede tener más deun origen de datos cliente con la misma dirección IP. Se utiliza el puerto paradiferenciarlos.

Se requiere TLS en syslog Seleccione esta opción si desea utilizar el protocolo de cifrado Transport LayerSecurity (TLS) para syslog.

Puerto Indique si desea que el cliente use el mismo puerto que su elemento principalu otro de los puertos de la lista.

Coincidir por tipo Seleccione esta opción si desea hacer coincidir los clientes por tipo y,después, seleccione el proveedor y el modelo del cliente.

Véase también Orígenes de datos cliente en la página 81



Localización de un clienteLa página Clientes de orígenes de datos incluye todos los clientes del sistema. Como es posible tener más de65 000 clientes, se proporciona una función de búsqueda para poder localizar uno concreto en caso deser necesario.


1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic enOrígenes de datos | Clientes.

2 Introduzca la información que desee buscar y, a continuación, haga clic en Buscar.

Importación de una lista de orígenes de datosLa opción Importar de la página Orígenes de datos permite importar una lista de orígenes de datos guardadaen formato .csv. Esto elimina la necesidad de agregar, editar o quitar cada origen de datos de formaindividual.

Esta opción se emplea en dos situaciones:

• Para importar datos de un origen de datos sin procesar copiados de un receptor situado en unaubicación segura a un receptor situado en una ubicación no segura. Si es esto lo que pretendehacer, véase Traslado de orígenes de datos a otro sistema.

• Para editar los orígenes de datos de un receptor mediante la adición de orígenes de datos a la listaexistente, la edición de los orígenes de datos existentes o la eliminación de los orígenes de datosexistentes. Si es lo que necesita hacer, siga este procedimiento.


1 Exporte una lista de los orígenes de datos que hay actualmente en el receptor.

a En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes dedatos.

b Haga clic en Exportar y, después, en Sí para confirmar la descarga.

c Seleccione la ubicación para la descarga, cambie el nombre de archivo si procede y haga clic enGuardar.

Se guardará la lista de orígenes de datos existentes.

d Acceda a este archivo y ábralo.

Aparecerá una hoja de cálculo que muestra los datos sobre los orígenes de datos actuales delreceptor (véase Campos de la hoja de cálculo para la importación de orígenes de datos).



2 Agregue, edite o quite orígenes de datos en esta lista.

a En la columna A, especifique la acción que se debe realizar con el origen de datos: agregar,editar o quitar.

b Si va a agregar o editar orígenes de datos, introduzca la información en las columnas de la hojade cálculo.

No es posible editar la directiva ni el nombre del origen de datos.

c Guarde los cambios realizados en la hoja de cálculo.

No se puede editar un origen de datos cliente para convertirlo en un origen de datos, ni al contrario.

3 Importe la lista al receptor.

a En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes dedatos.

b Haga clic en Importar, seleccione el archivo y haga clic en Cargar.

No es posible cambiar la directiva ni el nombre del origen de datos.

Se abrirá la página Importar orígenes de datos con los cambios realizados en la hoja de cálculo.

c Para importar los cambios, haga clic en Aceptar.

Los cambios con el formato correcto se agregarán.

d Si existen errores en el formato de los cambios, se describirán mediante un Registro de mensajes.

e Haga clic en Descargar todo el archivo y, después, en Sí.

f Seleccione la ubicación para guardar la descarga, cambie el nombre de archivo si procede yhaga clic en Guardar.

g Abra el archivo descargado.

En él se indican los orígenes de datos con errores.

h Corrija los errores y, después, guarde y cierre el archivo.

i Cierre las ventanas correspondientes a Registro de mensajes e Importar orígenes de datos, haga clic enImportar y seleccione el archivo guardado.

En Importar orígenes de datos se indican los orígenes de datos corregidos.

j Haga clic en Aceptar.


Opción Definición

Cargar Haga clic en esta opción y navegue hasta el archivo .npd de definiciones de orígenesde datos personalizados que desee agregar al ESM. Este archivo lo genera McAfee.

Ver Haga clic en esta opción para ver las definiciones de orígenes de datos que se haninstalado.



Véase también Orígenes de datos de receptor en la página 62Adición de un origen de datos en la página 62Administración de orígenes de datos en la página 65Establecimiento del formato de fecha para los orígenes de datos en la página 80Traslado de orígenes de datos a otro sistema en la página 85Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página87

Migración de orígenes de datos a otro receptorEs posible reasignar o redistribuir los orígenes de datos entre los receptores de un mismo sistema.Esto puede resultar útil si se adquiere un receptor nuevo y se desea equilibrar los orígenes de datos ylos datos asociados entre los dos receptores, o bien si se adquiere un nuevo receptor más grande parareemplazar al anterior y es necesario transferir los orígenes de datos del receptor actual al nuevo.


1 En el árbol de navegación del sistema, seleccione la opción Propiedades de receptor correspondiente alreceptor y haga clic en Orígenes de datos.

2 Seleccione los orígenes de datos que desee migrar y haga clic en Migrar.

3 Seleccione el nuevo receptor en el campo Receptor de destino y haga clic en Aceptar.


Opción Definición

Receptor de destino Indica todos los receptores del ESM. Seleccione el receptor al que desee moverlos orígenes de datos seleccionados.

Traslado de orígenes de datos a otro sistemaA fin de mover los orígenes de datos de un receptor a otro en un sistema distinto, es necesarioseleccionar los orígenes de datos que se van a mover, guardarlos junto con sus datos sin procesar enuna ubicación remota y finalmente importarlos al otro receptor.

Antes de empezarPara llevar a cabo esta función es necesario disponer de derechos de administración dedispositivos en ambos receptores.

Utilice este procedimiento para mover orígenes de datos de un receptor situado en una ubicaciónsegura a un receptor situado en una ubicación no segura.

Existen limitaciones a la hora de exportar información de orígenes de datos:



• No se pueden mover los orígenes de datos de flujos (como por ejemplo IPFIX, NetFlow o sFlow).

• Los eventos de origen de los eventos correlacionados no se muestran.

• Si realiza un cambio en las reglas de correlación del segundo receptor, el motor de correlación noprocesará esas reglas. Cuando se mueven los datos de correlación, se insertan esos eventos desdeel archivo.


Seleccionar losorígenes de datos yla ubicación remota

1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clicen Origen de datos.

2 Seleccione el origen de datos y haga clic en Editar.

3 Haga clic en Avanzadas y seleccione Exportar a formato de NitroFile.

Los datos se exportarán a una ubicación remota y se configurarán mediante unperfil.


A partir de este momento, los datos sin procesar generados por este origen dedatos se copiarán en la ubicación remota.

Crear el archivo dedatos sin procesar

1 Acceda a la ubicación remota donde están almacenados los datos sin procesar.

2 Guarde los datos sin procesar generados en una ubicación que permita mover elarchivo al segundo receptor (como una memoria extraíble que se puedatransportar a la ubicación no segura).

Crear un archivoque describa losorígenes de datos

1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después,haga clic en Origen de datos | Importar.

2 Localice el archivo de orígenes de datos movido y haga clic en Cargar.

3 En la lista Perfil de recurso compartido remoto, seleccione la ubicación en la que guardólos archivos de datos sin procesar. Si el perfil no aparece, haga clic en Perfil derecurso compartido remoto y agregue el perfil.


Los orígenes de datos se agregarán al segundo receptor y se accederá a los datossin procesar a través del perfil de recurso compartido remoto.

Importar archivosde datos sinprocesar y archivosde orígenes dedatos

1 En el árbol de navegación del sistema, acceda a Orígenes de datos en el segundoreceptor y haga clic en Importar.

2 Localice el archivo de orígenes de datos movido y haga clic en Cargar. La páginaImportar orígenes de datos muestra los orígenes de datos que se importarán.

3 En la lista Perfil de recurso compartido remoto, seleccione la ubicación en la que guardólos archivos de datos sin procesar. Si el perfil no aparece, haga clic en Perfil derecurso compartido remoto y agregue el perfil (véase Configuración de perfiles).




Véase también Orígenes de datos de receptor en la página 62Adición de un origen de datos en la página 62Administración de orígenes de datos en la página 65Establecimiento del formato de fecha para los orígenes de datos en la página 80Importación de una lista de orígenes de datos en la página 83Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página87

Selección del método de recopilación de orígenes de datos Leer final de archivo(s)Si selecciona Origen de archivo NFS u Origen de archivo CIFS en el campo Recuperación de datos al agregar unorigen de datos, es necesario elegir un método de recopilación.

Las opciones son las siguientes.

• Copiar archivo(s): se copian los registros completos desde el recurso compartido remoto al receptorpara su procesamiento. Si los archivos de registro son extensos y no se actualizan frecuentementecon información nueva, copiar el archivo de registro completo puede resultar poco eficiente y lento.

• Leer final de archivo(s): los registros se leen de forma remota y solamente se leen los eventos nuevos.Cada vez que se lee el registro, la lectura empieza en el punto donde se detuvo anteriormente. Siel archivo cambia de forma significativa, esto se detecta y se vuelve a leer todo el archivo desde elprincipio.


1 En el árbol de navegación del sistema, haga clic en el receptor y, después, en el icono Agregar origen

de datos de la barra de herramientas de acciones.

2 Proporcione la información solicitada y seleccione Origen de archivo CIFS u Origen de archivo NFS en elcampo Recuperación de datos.

3 En el campo Método de recopilación, seleccione Leer final de archivo(s) y rellene los campos siguientes.

• Registros multilínea delimitados: seleccione esta opción para especificar si los eventos tienen unalongitud dinámica.

• Delimitador de eventos: introduzca una cadena de caracteres que indiquen el final de un evento y elcomienzo de otro. Estos delimitadores varían en gran medida y dependen del tipo de archivo deregistro.

• El delimitador es regex: seleccione esta opción si el valor del campo Delimitador de eventos se debeanalizar como una expresión regular en lugar de como un valor estático.

• Modo de lectura de final: seleccione Principio para analizar los archivos encontrados en la primeraejecución completamente o Fin para tener en cuenta el tamaño del archivo y recopilar solo loseventos nuevos.

• Recursividad de subdirectorios: seleccione esta opción para aplicar la recopilación de lectura de final alos directorios secundarios (subdirectorios) y buscar coincidencias con el campo de expresióncomodín. Si no se selecciona, solamente se buscan los archivos del directorio principal.

4 Rellene los campos restantes y haga clic en Aceptar.



Véase también Orígenes de datos de receptor en la página 62Adición de un origen de datos en la página 62Administración de orígenes de datos en la página 65Establecimiento del formato de fecha para los orígenes de datos en la página 80Importación de una lista de orígenes de datos en la página 83Traslado de orígenes de datos a otro sistema en la página 85

Configuración para orígenes de datos específicosAlgunos orígenes de datos requieren más información y opciones de configuración especiales.

Véanse las secciones siguientes para obtener detalles.

• Check Point • Big Fix

• IBM Internet Security SystemsSiteProtector

• Formato de evento común

• McAfee ePolicy Orchestrator • ArcSight

• ePolicy Orchestrator 4.0 • Security Device Event Exchange

• NSM-SEIM • Analizador de syslog avanzado

• Compatibilidad con la retransmisión desyslog

• Registro de eventos de WMI

• Adiscon

También puede consultar las guías de configuración actuales de estos orígenes de datos en el Centrode conocimiento.

WMI Event LogWMI es la implementación de Microsoft de Web-Based Enterprise Management (WBEM), según ladefinición de Distributed Management Task Force (DMTF).

Se trata de la tecnología de administración principal de los sistemas operativos Windows, y permite eluso compartido de la información de administración por parte de las aplicaciones de administración. Lacapacidad para obtener datos de administración de algunos equipos remotos es lo que hace que WMIresulte útil.

WMI no es conforme a FIPS. Si está obligado a adecuarse a las normativas de FIPS, no utilice estafunción.

Los registros de eventos de WMI se configuran a modo de origen de datos y se envían a través delreceptor. El receptor sondea el servidor de Windows en el intervalo establecido y recopila los eventos.El recopilador de WMI puede recopilar eventos de cualquier registro de eventos del equipo Windows.De forma predeterminada, el receptor recopila registros de seguridad, administración y eventos. Esposible introducir otros archivos de registro, tales como los de Servicio de directorio o Exchange. Losdatos de registro de eventos se recopilan en el paquete y se pueden visualizar en los detalles de latabla de eventos.

Se necesitan privilegios de administrador u operador de copia de seguridad para los registros deeventos de WMI, excepto cuando se emplea Windows 2008 o 2008 R2 y tanto el origen de datos comoel usuario están correctamente configurados (véase Configuración para la extracción de registros deseguridad de Windows).



Se admiten estos dispositivos adicionales del origen de datos de WMI:

• McAfee Antivirus • Microsoft SQL Server

• Windows • RSA Authentication Manager

• Microsoft ISA Server • Symantec Antivirus

• Microsoft Active Directory • Microsoft Exchange

Para obtener instrucciones sobre la configuración de WMI y syslog a través de Adiscon, consulteConfiguración de Adiscon.

Cuando se configura un origen de datos de WMI, el proveedor es Microsoft y el modelo es WMI Event Log.

Configuración para la extracción de registros de seguridad de WindowsCuando se utiliza Windows 2008 o 2008 R2, los usuarios sin privilegios de administración puedenextraer los registros de seguridad de Windows, siempre que el origen de datos WMI Event Log y elusuario estén bien configurados.


1 Cree un usuario nuevo en el sistema Windows 2008 o 2008 R2 donde desee leer los registros deeventos.

2 Asigne el usuario al grupo Lectores del registro de eventos en el sistema Windows.

3 Cree un nuevo origen de datos Microsoft WMI Event Log en McAfee Event Receiver, introduciendopara ello las credenciales del usuario creado en el Paso 1 (véase Adición de un origen de datos).

4 Seleccione la opción Usar RPC y, a continuación, haga clic en Aceptar.

Origen de datos de correlaciónUn origen de datos de correlación analiza los datos que fluyen de un ESM y detecta patronessospechosos en el flujo de datos. También genera alertas de correlación que representan estospatrones e inserta estas alertas en la base de datos de alertas del receptor.

Los datos interpretados por las reglas de directiva de correlación, que se pueden crear y modificar,representan un patrón sospechoso.

Solo se puede configurar un origen de datos de correlación en un receptor, de forma similar a laconfiguración de syslog u OPSEC. Una vez que se ha configurado el origen de datos de correlación deun receptor, es posible desplegar la directiva predeterminada de correlación. Después, puede editar lasreglas de base de la directiva predeterminada de correlación, o bien agregar reglas y componentespersonalizados para, finalmente, desplegar la directiva. Es posible activar o desactivar cada una de lasreglas y establecer el valor de los parámetros que el usuario puede definir. Para obtener detalles sobrela directiva de correlación, consulte Reglas de correlación.

Cuando se agrega un origen de datos de correlación, el proveedor es McAfee y el modelo es CorrelationEngine.

Cuando se activa el origen de datos de correlación, el ESM envía alertas al motor de correlación delreceptor.



Asociación de gravedades y accionesLos parámetros de gravedad y acción tienen usos ligeramente distintos. El objetivo en ambos casos esasociar un valor del mensaje de syslog a un valor que encaje en el esquema del sistema.

• severity_map: la gravedad se indica mediante un valor entre 1 (menor gravedad) y 100 (mayorgravedad), el cual se asigna a los eventos que coinciden con la regla. En algunos casos, eldispositivo que envía el mensaje puede indicar la gravedad por medio de un número entre uno ydiez o mediante texto (alta, media o baja). Cuando esto ocurre, no se puede capturar comogravedad, así que es necesario crear una asignación. Por ejemplo, este es un mensaje procedentede McAfee IntruShield que muestra la gravedad en forma de texto.<113>Apr 21 07:16:11 SyslogAlertForwarder: Attack NMAP: XMAS Probe (Medium)\000

La sintaxis de una regla que emplee la asociación de la gravedad sería similar a la siguiente (laasociación de gravedad está en negrita solo para resaltarla):

alert any any any -> any any (msg:"McAfee Traffic"; content:"syslogalertforwarder";severity_map:High=99,Medium=55,Low=10; pcre:"(SyslogAlertForwarder)\x3a\s+Attack\s+([^\x27]+)\x27([^\x28]+)\x28"; raw; setparm:application=1; setparm:msg=2;setparm:severity=3; adsid:190; rev:1;)

severity_map : High=99,Medium=55,Low=10. Esto permite asociar el texto a un número con unformato que se puede utilizar.

setparm : severity=3. Esto indica que hay que tomar la tercera captura y configurarla como lagravedad. Todos los modificadores de setparm funcionan de esta forma.

• action_map: se utiliza igual que en el caso de la gravedad. La acción representa la acción realizadapor el dispositivo de terceros. El objetivo en este caso es crear una asignación que resulte útil alusuario final. Por ejemplo, este es un mensaje de error de inicio de sesión procedente de OpenSSH.Dec 6 10:27:03 nina sshd[24259]: Failed password for root from 10.0.12.20 port49547 ssh2

alert any any any -> any any (msg:"SSH Login Attempt"; content:"sshd";action_map:Failed=9,Accepted=8;

pcre:"sshd\x5b\d+\x5d\x3a\s+((Failed|Accepted)\s+password)\s+for\s+((invalid|illegal)\s+user\s+)?(\S+)\s+from\s+(\S+)(\s+(\S+)\s+port\s+(\d+))?"; raw;setparm:msg=1; setparm:action=2; setparm:username=5; setparm:src_ip=6; adsid:190;rev:1;)

La acción (Failed) se ha asignado a un número. Este número representa las distintas acciones quese pueden utilizar en el sistema. A continuación se encuentra la lista completa de tipos de accionesque se pueden utilizar.

• 0 = nulo • 20 = detención

• 1 = paso • 21 = Detección

• 2 = rechazo • 22 = De confianza

• 3 = supresión • 23 = No fiable

• 4 = sdrop • 24 = Falso positivo

• 5 = alerta • 25 = alerta-rechazo

• 6 = predeterminado • 26 = alerta-supresión

• 7 = fallo • 27 = alerta-sdrop



• 8 = correcto • 28 = reinicio

• 9 = error • 29 = bloqueo

• 10 = emergencia • 30 = limpieza

• 11 = crítico • 31 = limpieza-error

• 12 = advertencia • 32 = continuación

• 13 = informativo • 33 = infectado

• 14 = depuración • 34 = movimiento

• 15 = estado • 35 = movimiento-error

• 16 = adición • 36 = cuarentena

• 17 = modificación • 37 = cuarentena-error

• 18 = eliminación • 38 = eliminación-error

• 19 = inicio • 39 = denegado

En este ejemplo, se asigna la acción Failed del mensaje de syslog al 9, lo que el sistemainterpreta como Error.

A continuación se ofrece un desglose de la estructura de una regla.

Alert any any any -> any any (msg:”Login Attempt”; content:”sshd”; action_map orseverity_map (if you need it); pcre:”your regular expression goes here”; raw;setparm:data_tag_goes_here; adsid:190; rev:1;)

Analizador de syslog avanzadoEl analizador de syslog avanzado (ASP) proporciona un mecanismo para analizar los datos contenidosen mensajes de syslog en función de las reglas definidas por el usuario. Las reglas indican al ASPcómo reconocer un mensaje concreto y en qué parte del mensaje residen datos de eventosespecíficos, tales como ID de firma, direcciones IP, puertos, nombres de usuario y acciones.El ASP se puede utilizar para dispositivos syslog que no se identifiquen específicamente en la páginaAgregar origen de datos, o bien cuando el analizador específico de origen no interprete correctamente losmensajes o interprete completamente puntos de datos relacionados con los eventos recibidos.También resulta ideal para organizar orígenes de registros complejos, como servidores Linux y UNIX.Esta funcionalidad requiere escribir reglas (véase Analizador de syslog avanzado) personalizadas parasu entorno Linux o UNIX.

Es posible agregar un origen de datos ASP al receptor mediante la selección de Syslog comoproveedor (véase Adición de un origen de datos). Una vez hecho esto, siga las instrucciones delfabricante del dispositivo para configurar el dispositivo syslog a fin de enviar datos de syslog a ladirección IP del receptor.

Cuando se agrega un origen ASP, es necesario aplicar una directiva antes de la recopilación de datosde eventos. Si activa Admitir syslogs genéricos, podrá aplicar una directiva sin reglas y empezar a recopilardatos de eventos de forma genérica.

Algunos orígenes de datos, incluidos los servidores Linux y UNIX, pueden producir grandes cantidadesde datos no uniformes que provocan que el receptor no agrupe adecuadamente las apariciones deeventos similares. Esto produce el aspecto de una amplia gama de eventos distintos cuando, enrealidad, es un mismo evento que se repite con datos de syslog distintos que se envían al receptor.

La adición de reglas al ASP permite sacar el máximo partido de los datos de eventos. El ASP empleaun formato muy similar al de Snort.



ACTION Protocol Src_ip Src_port -> Dst_ip Dst_port (keyword: option; keyword:option;...;)

Al concatenar un valor literal con una subcaptura de PCRE en las versiones 9.0.0 y posteriores, coloquelos literales entre comillas individualmente si contienen espacios u otros caracteres y deje lasreferencias a subcapturas de PCRE sin entrecomillar.

Las reglas se definen como sigue.

Sección Campo Descripción

Encabezado deregla

El encabezado de la regla contiene la acción Alert y el formato any anyany. La regla es:

ALERT any any any -> any any

Acción Qué hacer con el evento cuando se produzca una coincidencia. Lasopciones son:

• ALERT: registrar el evento

• DROP: registrar el evento pero no reenviarlo

• SDROP: no registrar el evento ni reenviarlo

• PASS: reenviarlo si se ha definido, pero no registrarlo

Protocol Si el evento define un protocolo, se filtra la coincidencia efectiva enfunción del protocolo.

Src/Dst IP Si el evento define una dirección IP de origen o destino, se filtra lacoincidencia efectiva en función de la dirección.

Src/Dst Port Si el evento define un puerto de origen o destino, se filtra lacoincidencia efectiva en función del puerto.

Cuerpo de laregla

El cuerpo de la regla contiene la mayoría de los criterios decoincidencia y define cómo se deben analizar y registrar los datos en labase de datos de ESM. Los elementos del cuerpo de la regla se definenmediante pares de palabra clave-opción. Algunas palabras clave notienen opción.

msg (Obligatorio) El mensaje que asociar con la regla. Se trata de la cadenamostrada en el cliente ligero de ESM con fines de generación deinformes a menos que se omita mediante un mensaje pcre/setparmdetectado (véase más adelante). La primera tarea de msg es el nombrede la categoría seguido por el mensaje en sí (msg: "mensaje de reglade categoría").

content (Opcional, una o varias instancias) La palabra clave content es uncalificador de texto sin caracteres comodín para el filtrado previo deeventos a medida que pasan por el grupo de reglas y que puedecontener espacios (por ejemplo, content: "búsqueda 1"; content "algomás").

procname En muchos sistemas UNIX y Linux, el nombre del proceso (y su ID)forma parte de un encabezado de mensaje syslog estandarizado. Lapalabra clave procname se puede utilizar a fin de filtrar lascoincidencias de eventos para la regla. Se emplea para excluir o filtrarcoincidencias de eventos en las que dos procesos de un servidor Linuxo UNIX pueden tener un texto de mensaje idéntico o similar.

adsid El ID de origen de datos que utilizar. Este valor omite el de Asignación deregla predeterminada del editor de orígenes de datos.

sid ID de firma de la regla. Es el ID de coincidencia utilizado en el clienteligero de ESM a menos que se omita mediante un sid pcre/setparmdetectado.



Sección Campo Descripción

rev Revisión de la regla. Se emplea para rastrear los cambios.

severity Un valor entre 1 (menor gravedad) y 100 (mayor gravedad) que seasigna a los eventos que coinciden con la regla.

pcre La palabra clave PCRE es una expresión regular compatible con Perlque se compara con los eventos entrantes. La palabra clave PCRE sedelimita mediante comillas, y todas las apariciones de "/" se considerancaracteres normales. El contenido entre paréntesis se reserva para eluso de la palabra clave setparm. La palabra clave PCRE puedemodificarse mediante las palabras clave nocase, nomatch, raw ysetparm.

nocase Hace que el contenido de PCRE provoque coincidencia aunque el uso demayúsculas y minúsculas no sea igual.

nomatch Invierte la coincidencia de PCRE (equivale a !~ en Perl).

raw Compara la PCRE con todo el mensaje de syslog, incluidos los datos delencabezado (función, daemon, fecha, host/IP, nombre de proceso e IDde proceso). Normalmente, el encabezado no se utiliza en lacoincidencia de PCRE.

setparm Puede aparecer más de una vez. A cada conjunto de paréntesis de laPCRE se le asigna un número por orden de aparición. Esos números sepueden asignar a etiquetas de datos (por ejemplo:setparm:username=1). Se toma el texto capturado en el primerconjunto de paréntesis y se asigna a la etiqueta de datos de nombre deusuario. Las etiquetas reconocidas se enumeran en la tabla siguiente.

Etiqueta Descripción

* sid Este parámetro capturado omite el sid de la regla coincidente.

* msg Este parámetro capturado omite el mensaje o el nombre de la regla coincidente.

* action Este parámetro capturado indica qué acción realizó el dispositivo de terceros.

* protocol

* src_ip Esto sustituye la IP del origen de syslog, que es la IP de origen predeterminadapara un evento.

* src_port

* dst_ip

* dst_port

* src_mac

* dst_mac

* dst_mac

* genid Se emplea para modificar el sid almacenado en la base de datos, que se usa paralas coincidencias de snort ajenas a McAfee en los preprocesadores snort.

* url Reservada y sin uso por ahora.

* src_username Primer nombre de usuario/nombre de usuario de origen.

* username Nombre alternativo para src_username.

* dst_username Segundo nombre de usuario/nombre de usuario de destino.

* domain

* hostname

* application




* severity Debe ser un número entero.

* action map Permite asignar acciones específicas de su producto a las acciones de McAfee. Enel mapa de acciones se distingue entre mayúsculas y minúsculas. Ejemplo: alertany any any -> any any (msg:"OpenSSH Accepted Password"; content:"Acceptedpassword for "; action_map:Accepted=8, Blocked=3; pcre:"(Accepted)\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)";setparm:action=1; sid:31; rev:1;)). Véase Asociación de gravedades y accionespara obtener detalles.

* severity map Permite asignar gravedades específicas de su producto a la gravedad de McAfee.Al igual que el mapa de acciones, en el mapa de gravedades se distingue entremayúsculas y minúsculas. Ejemplo: alert any any any -> any any (msg:"OpenSSHAccepted Password"; content:"Accepted password for "; severity_map:High=99,Low=25, 10=99, 1=25; pcre:"(Accepted)\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;))pri(?:\x3d|\x3a)\s*(?:p\x5f)?([^\x2c]+). Véase Asociación de gravedades y accionespara obtener detalles.

* var Otra forma de utilizar setparm. La ventaja es la posibilidad de crear un valor apartir de diversas capturas de varias PCRE. Es posible crear más de una PCRE quecapture solo una pequeña porción de la cadena en lugar de una PCRE larga convarias capturas. A continuación se ofrece un ejemplo para capturar un nombre deusuario y un dominio, además de crear una dirección de correo electrónico a fin dealmacenarla en el campo objectname.

• Sintaxis = var:field=${PCRE:Capture}

• PCRE = no la PCRE real, sino su número correspondiente. Si la regla tiene dosPCRE, sería la PCRE 1 o 2.

• Captura = no la captura real, sino su número (primera, segunda o terceracaptura [1,2,3]).

• Mensaje de muestra: Un hombre llamado Jim trabaja para McAfee.

• PCRE: (Jim).*?(McAfee)

• Regla: alert any any any -> any any (msg:"Var User Jim"; content:"Jim";pcre:"(Jim)"; pcre:"(McAfee)"; var:src_username=${1:1}; var:domain=${2:1};var:objectname=${1:1}@${2:1}.com raw; classtype:unknown; adsid:190; sev:25; sid:610061000; rev:1; normID:1209008128; gensys:T;)

• Usuario de origen asignado: Jim

• Dominio asignado: McAfee

• objectname asignado: [email protected]

* sessionid Se trata de un entero.

* commandname Se trata de un valor de cadena.

* objectname Se trata de un valor de cadena.

* event_action Esta etiqueta se emplea para establecer una acción predeterminada. No se puedeusar event_action y action_map en la misma regla. Por ejemplo, si obtiene unevento a partir de un inicio de sesión correcto, podría utilizar la etiquetaevent_action y hacer que la acción de inicio de sesión correcto sea lapredeterminada (por ejemplo, event_action:8;).




* firsttime_fmt Se usa para establecer la primera aparición del evento. Véase la lista de formatos.

* lasttime_fmt Se usa para establecer la última aparición del evento. Véase la lista de formatos.Esto se puede utilizar con setparm o con var (var:firsttime="${1:1}" osetparm:lasttime="1"). Por ejemplo:

alert any any any -> any any (msg:"SSH Login Attempt"; content:"content";firsttime_fmt:"%Y-%m-%dT%H:%M:%S.%f"; lasttime_fmt:"%Y-%m-%dT%H:%M:%S.%f" pcre:"PCRE goes here; raw; setparm:firsttime=1;setparm:lasttime=1; adsid:190; rev:1;)

Para conocer los formatos admitidos actualmente, véase http://pubs.opengroup.org/onlinepubs/009695399/functions/strptime.html a fin deobtener más detalles.

%Y - %d - %m %H : %M : %S

%m - %d - %Y %H : %M : %S

%b %d %Y %H : %M : %S

%b %d %Y %H - %M - %S

%b %d %H : %M : %S %Y

%b %d %H - %M - %S %Y

%b %d %H : %M : %S

%b %d %H - %M - %S

%Y %H : %M : %S

%Y %H - %M - %S

%m - %d - %Y

%H : %M : %S

%H - %M - %S

%Y es el año con cuatro dígitos

%m es el número correspondiente al mes (1-12)

%d es la fecha (1-31)

%H corresponde a la hora (1-24)

%M son los minutos (0-60)

%S son los segundos (0-60)

%b es la abreviatura del mes (feb, may)

A continuación se ofrece un ejemplo de una regla que identifica una contraseña a partir de un inicio desesión OpenSSH y extrae del evento la dirección IP, el puerto de origen y el nombre de usuario:

alert any any any -> any any (msg:"OpenSSH Accepted Password";content:"Acceptedpassword for ";pcre:"Accepted\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)";setparm:username=1;setparm:src_ip=2;setparm:src_port=3;sid:31;rev:1;)

Para consultar recursos sobre PCRE online, visite http://perldoc.perl.org/perlre.html.

Adición de un origen de datos ASP con codificación diferenteESM puede leer los datos codificados mediante UTF-8. Si dispone de un origen de datos ASP quegenere datos con una codificación diferente, deberá indicarlo al agregar el origen de datos.




1 En el árbol de navegación del sistema, haga clic en un receptor y, después, en el icono Agregar origen

de datos .

2 Seleccione Genérico en el campo Proveedor de origen de datos y, después, seleccione Analizador de syslogavanzado en el campo Modelo de origen de datos.

3 Introduzca la información solicitada y seleccione la codificación correcta en el campo Codificación.

Se le aplicará a los datos de este origen de datos un formato legible para el receptor cuando losreciba.

Security Device Event Exchange (SDEE)El formato SDEE describe una forma estándar de representar eventos generados por diversos tipos dedispositivos de seguridad. La especificación SDEE indica que los eventos SDEE se transportanmediante los protocolos HTTP o HTTPS. Los servidores HTTP que emplean SDEE a fin de proporcionarinformación sobre eventos a los clientes se llaman proveedores SDEE, mientras que los emisores delas solicitudes HTTP se denominan clientes SDEE.

Cisco ha definido algunas extensiones del estándar SDEE, y lo ha llamado estándar CIDEE. El receptorpuede actuar como cliente SDEE que solicita datos CIDEE generados por sistemas de prevención deintrusiones de Cisco.

Al contrario que algunos de los otros tipos de orígenes de datos admitidos por el receptor, SDEEemplea un modelo de "extracción", no de "inserción". Esto significa que, periódicamente, el receptorcontacta con el proveedor SDEE y solicita los eventos generados desde la hora del último eventosolicitado. Cada vez que se recuperan eventos del proveedor SDEE, se procesan y almacenan en labase de datos de eventos del receptor, listos para su recuperación por parte del ESM.

Es posible agregar un proveedor SDEE a un receptor a modo de origen de datos mediante la selecciónde Cisco como proveedor y de IOS IPS (SDEE) como modelo de origen de datos (véase Adición de unorigen de datos).

El receptor es capaz de extraer esta información de un evento SDEE/CIDEE:

• Direcciones IP de origen y destino

• Puertos de origen y destino

• Protocolo

• Hora del evento

• Número de eventos (CIDEE proporciona una forma de agregación de eventos que el receptorrespeta)

• ID de firma e ID secundario

• El ID de evento del ESM se calcula a partir del ID de firma y el ID de firma secundario de SDEEmediante la siguiente fórmula:

ID de ESMI = (ID de SDEE * 1000) + ID secundario de CIDEE

Por tanto, si el ID de firma de SDEE es 2000 y el ID de firma secundaria de CIDEE es 123, el ID deevento de ESMI sería 2000123.

• VLAN



• Gravedad

• Descripción del evento

• Contenido del paquete (si está disponible)

Si el receptor va a conectar con el proveedor SDEE por primera vez, la fecha y hora actuales seemplean como punto de partida para solicitar eventos. Las conexiones futuras solicitarán todos loseventos desde la última extracción correcta.

Adición de un origen de datos de ArcSightEs posible agregar orígenes de datos para un dispositivo ArcSight.


1 En el árbol de navegación del sistema, seleccione el nodo del receptor.

2 Haga clic en el icono Agregar origen de datos de la barra de herramientas de acciones.

3 Seleccione ArcSight en el campo Proveedor de origen de datos y, después, seleccione Formato de evento comúnen el campo Modelo de origen de datos.

4 Asigne un nombre al origen de datos y escriba la dirección IP de ArcSight.

5 Rellene el resto de campos (véase Adición de un origen de datos).


7 Configure un origen de datos por cada origen que reenvíe datos al dispositivo ArcSight.

Los datos recibidos de ArcSight se analizan para poder visualizarlos en la consola de ESM.

Formato de evento común (CEF)ArcSight puede convertir actualmente eventos de 270 orígenes de datos al formato de evento común(CEF) mediante conectores inteligentes. CEF es un estándar de interoperabilidad para dispositivos quegeneran registros o eventos. Contiene la información más relevante sobre el dispositivo, además defacilitar el análisis y la utilización de los eventos.No es necesario que el causante del evento genere de forma explícita el mensaje de evento. Elformato se aplica al mensaje mediante un prefijo común compuesto por campos delimitados porbarras (|). El prefijo es obligatorio y todos los campos especificados deben estar presentes. En laextensión se especifican campos adicionales. El formato es:

CEF:Versión|Proveedor de dispositivo|Producto de dispositivo|Versión de dispositivo|IDClaseEventoDispositivo|Nombre|Gravedad|Extensión

La parte del mensaje correspondiente a la extensión es un marcador de posición para camposadicionales. A continuación se ofrecen las definiciones de los campos de prefijo:

• Versión es un número entero que identifica la versión del formato CEF. Los consumidores de eventosutilizan esta información para determinar lo que representan los campos. Actualmente, solo estáestablecida la versión 0 (cero) de este formato. Con el paso del tiempo, es posible que seanecesario agregar otros campos al "prefijo", lo que requeriría un cambio de número de versión. Laadición de formatos nuevos se gestiona a través del organismo de estandarización.

• Proveedor de dispositivo, Producto de dispositivo y Versión de dispositivo son cadenas que identifican de formaexclusiva el tipo de dispositivo remitente. Dos productos no pueden emplear el mismo par deproveedor y producto de dispositivo. Ninguna autoridad central administra estos pares. Loscreadores de los eventos tienen que garantizar la asignación de pares de nombres exclusivos.



• IDClaseEventoDispositivo es un identificador exclusivo del tipo de evento. Puede ser una cadena o unnúmero entero. IDClaseEventoDispositivo identifica el tipo de evento. En el ámbito de los sistemasde detección de intrusiones (IDS), cada firma o regla que detecta cierta actividad tiene unIDClaseEventoDispositivo exclusivo asignado. Esto también es un requisito para otros tipos dedispositivos, y ayuda a los motores de correlación a manipular los eventos.

• Nombre es una cadena que representa una descripción legible y comprensible para los usuariossobre el evento. El nombre del evento no debe contener información específicamente mencionadaen otros campos. Por ejemplo: "Barrido de puertos desde 10.0.0.1 con destino en 20.1.1.1" no esun nombre de evento adecuado. Debería ser: "Barrido de puertos". El resto de información esredundante y se puede obtener en los otros campos.

• Gravedad es un número entero y refleja la importancia del evento. Solo se permiten los números del0 al 10, donde el 10 indica el evento de mayor importancia.

• Extensión es una recopilación de pares de clave y valor. Las claves forman parte de un conjuntopredefinido. El estándar permite la inclusión de claves adicionales, tal y como se explicaposteriormente. Un evento puede contener cualquier número de pares de clave-valor en cualquierorden y separados por espacios. Si un campo contiene un espacio, como por ejemplo un nombre dearchivo, no supone un problema y se puede registrar exactamente tal cual. Por ejemplo:

fileName=c:\Archivos de programa\ArcSight es un token válido.

Este es un mensaje de muestra para ilustrar el aspecto final:

Sep 19 08:26:10 zurich CEF:0|security|threatmanager|1.0|100|worm successfully stopped|10|src=10.0.0.1 dst=2.1.2.2 spt=1232

Si utiliza NetWitness, el dispositivo se debe configurar correctamente para el envío de CEF al receptor.De forma predeterminada, el formato CEF cuando se emplea NetWitness tendrá el siguiente aspecto:

CEF:0|Netwitness|Informer|1.6|{name}|{name}|Medium | externalId={#sessionid}proto={#ip.proto} categorySignificance=/Normal categoryBehavior=/Authentication/VerifycategoryDeviceGroup=/OS categoryOutcome=/Attempt categoryObject=/Host/Application/Service act={#action} deviceDirection=0 shost={#ip.host} src={#ip.src}spt={#tcp.srcport} dhost={#ip.host} dst={#ip.dst} dport={#tcp.dstport}duser={#username} dproc=27444 fileType=security cs1={#did} cs2={#password} cs3=4 cs4=5cn1={#rid} cn2=0 cn3=0

El formato correcto requiere el cambio de "dport" en el ejemplo anterior por "dpt".

Configuración de AdisconSe admite el uso de WMI y syslog a través de Adiscon.

Se debe utilizar la siguiente cadena de formato en Event Reporter con el fin de que el origen de datosde eventos de Windows de Adiscon para Microsoft funcione correctamente:

%sourceproc%,%id%,%timereported:::uxTimeStamp%,%user%,%category%,%Param0%;%Param1%;%Param2%;%Param3%;%Param4%;%Param5%;%Param6%;%Param7%;%Param8%;%Param9%;%Param10%;%Param11%;%Param12%;%Param13%;%Param14%;%Param15%



Compatibilidad con la retransmisión de syslogEl reenvío de eventos de diversos dispositivos a través de un servidor de retransmisión de syslog alreceptor requiere algunas tareas adicionales.

Es necesario agregar un único origen de datos de retransmisión de syslog para que acepte el flujo dedatos, además de otros orígenes de datos. Esto permite al receptor dividir el flujo de datos entre losorígenes de datos que lo originan. Se admiten Sylog-ng y Splunk. El siguiente diagrama describe estasituación:

1 Dispositivo Cisco ASA 5 Origen de datos 1: retransmisión de syslog

2 Dispositivo SourceFire Snort 6 Origen de datos 2: Cisco ASA

3 Dispositivo TippingPoint 7 Origen de datos 3: SourceFire Snort

4 Retransmisión de syslog 8 Origen de datos 4: TippingPoint

Con esta situación como ejemplo, sería necesario configurar el origen de datos de retransmisión desyslog (5) para recibir el flujo de datos de retransmisión de syslog (4) mediante la selección de syslogen el campo Retransmisión de syslog. Una vez configurado el origen de datos de retransmisión de syslog,habría que agregar los orígenes de datos de los dispositivos individuales (6, 7 y 8), seleccionando paraello Ninguna en el campo Retransmisión de syslog, ya que este dispositivo no es un servidor deretransmisión de syslog.

La función Cargar mensajes de syslog no funciona con una configuración de retransmisión de syslog.

El encabezado de syslog debe configurarse para que tenga un aspecto similar al del siguiente ejemplo:1 <123> 345 Oct 7 12:12:12 2012 mcafee.com httpd[123]

Donde:

1 = Versión de syslog (opcional)

345 = Longitud de syslog (opcional)

<123> = Función (opcional)

Oct 7 12:12:12 2012 = Fecha; se admiten cientos de formatos (obligatorio)

mcafee.com Nombre de host o dirección IP (IPv4 o IPv6) (obligatorio)

httpd = Nombre de aplicación (opcional)



[123] PID de aplicación (opcional)

: = Dos puntos (opcional)

El nombre de host y los campos de datos pueden aparecer en cualquier orden. Una dirección IPv6 sepuede delimitar entre corchetes [ ].

Ejecución de la herramienta de configuración de NSM-SIEMAntes de configurar un origen de datos de NSM, es necesario ejecutar la herramienta de configuraciónde NSM-SIEM.


1 Descargue la herramienta de configuración.

a Acceda al sitio web de descarga de productos de McAfee.

b Introduzca el número de concesión de cliente que se le ha proporcionado en el cuadro debúsqueda Descargar mis productos.

c Haga clic en Buscar. Los archivos de actualización del producto se encuentran bajo el vínculo dedescarga de MFE <nombre_producto> <versión>.

d Lea el EULA de McAfee y haga clic en Acepto.

e Descargue los archivos correspondientes a la Herramienta de configuración de NSM-SIEM.

2 Ejecute la herramienta de configuración en el servidor de NSM.

La herramienta debería ser capaz de encontrar la ruta de acceso predeterminada de NSM. En casocontrario, acceda a ella.

3 Introduzca el nombre de usuario, la contraseña y el nombre de base de datos SQL de NSMintroducidos durante la instalación de NSM.

4 Introduzca el nombre de usuario y la contraseña de SIEM del origen de datos y la dirección IP delreceptor al que se agregará el origen de datos.

Estos datos se introducen en la pantalla del origen de datos.

Configuración de ePolicy OrchestratorEs posible configurar varios orígenes de datos de ePolicy Orchestrator que apunten a una mismadirección IP con nombres distintos en el campo de nombre de la base de datos.

Esto permite configurar tantos orígenes de datos de ePolicy Orchestrator como se desee y que todosapunten a una base de datos distinta en el servidor central. Rellene los campos ID de usuario y Contraseñacon la información que proporciona acceso a la base de datos de ePolicy Orchestrator, y el campoVersión con la versión del dispositivo ePolicy Orchestrator. El puerto predeterminado es 1433.

El campo Nombre de la base de datos es obligatorio. Si el nombre de la base de datos contiene un guión,deberá delimitar el nombre mediante corchetes (por ejemplo, [ePO4_WIN-123456]).

La opción Consulta de ePO permite realizar una consulta en el dispositivo ePolicy Orchestrator y crearorígenes de datos cliente. Si se selecciona la opción predeterminada de Coincidir por tipo en el campo Usarorígenes de datos cliente y se hace clic en Consulta de ePO, se consulta el dispositivo ePolicy Orchestrator ycualquier producto compatible con ePolicy Orchestrator se agrega a modo de origen de datos cliente.



Se admiten los siguientes productos si están completamente integrados en ePolicy Orchestrator:

• ANTISPYWARE • MNAC

• DLP • POLICYAUDITOR

• EPOAGENT • SITEADVISOR

• GSD • VIRUSCAN

• GSE • SOLIDCORE

• HOSTIPS

Si se selecciona Hacer coincidir en IP, se consulta el dispositivo ePolicy Orchestrator y se crean orígenes dedatos cliente para todos los endpoints de la base de datos de ePolicy Orchestrator. Si existen más de256 endpoints en la base de datos de ePolicy Orchestrator, se crean varios orígenes de datos conclientes.

La fecha de evaluación de riesgos de McAfee se adquiere mediante los servidores de ePolicyOrchestrator. Es posible especificar varios servidores de ePolicy Orchestrator en los que adquirir losdatos de McAfee Risk Advisor. Los datos de McAfee Risk Advisor se adquieren a través de una consultade base de datos procedente de la base de datos de SQL Server de ePolicy Orchestrator. La consultade base de datos tiene como resultado una lista de calificaciones de reputación de direcciones IP, y seproporcionan valores constantes para los valores de reputación baja y reputación alta. Todas las listasde ePolicy Orchestrator y McAfee Risk Advisor se combinan, de forma que las IP duplicadas obtienen lacalificación más alta. Esta lista combinada se envía, con los valores bajos y altos, a todos losdispositivos ACE empleados para calificar los campos IP de origen e IP de destino.

Al agregar un origen de datos de ePolicy Orchestrator y hacer clic en Aceptar para guardarlo, se lepregunta si desea usar el origen de datos a fin de configurar los datos de McAfee Risk Advisor. Si haceclic en Sí, se crearán y desplegarán una regla de origen de enriquecimiento de datos y dos reglas decalificación ACE (si procede). Para verlas, acceda a las páginas Enriquecimiento de datos y Calificación decorrelación de riesgos. Para utilizar las reglas de calificación es necesario crear un administrador decorrelación de riesgos (véase Adición de un administrador de correlación de riesgos).

SiteProtector de IBM Internet Security SystemsEl receptor es capaz de recuperar eventos de un servidor de SiteProtector de Internet SecuritySystems (ISS) mediante la realización de consultas en la base de datos de Microsoft SQL Serverutilizada por SiteProtector para almacenar sus eventos.

Al contrario que algunos de los otros tipos de orígenes de datos admitidos por el receptor, larecuperación de eventos de un servidor de SiteProtector se efectúa mediante un modelo de"extracción", no de "inserción". Esto significa que, periódicamente, el receptor contacta con la base dedatos de SiteProtector y solicita los eventos nuevos a partir del último evento extraído. Cada vez quese recuperan eventos del servidor de SiteProtector, se procesan y almacenan en la base de datos deeventos del receptor, listos para su recuperación por parte del ESM.

Existen dos opciones de tipo de dispositivo disponibles: Servidor y Dispositivo gestionado. La configuraciónde un origen de datos con el tipo de dispositivo Servidor seleccionado es el requisito mínimo pararecopilar eventos de un servidor de SiteProtector.

Una vez configurado el origen de datos de servidor de SiteProtector, todos los eventos recopiladosmediante SiteProtector se muestran como pertenecientes a ese origen de datos, independientementedel activo real que informó del evento al servidor de SiteProtector. Para ampliar la categorización delos eventos en función del activo gestionado que informó del evento a SiteProtector, es posibleconfigurar orígenes de datos de SiteProtector adicionales con el tipo de dispositivo Dispositivo gestionadoseleccionado.



La opción Avanzadas situada en la parte inferior de la página permite definir una dirección URL que sepuede utilizar para ejecutar URL específicas al visualizar los datos de evento. También se puede definirun proveedor, un producto y una versión para su uso en el reenvío de eventos con formato de eventocomún (CEF). Esta configuración es opcional.

Para que el receptor envíe consultas a la base de datos de SiteProtector sobre eventos, la instalaciónde Microsoft SQL Server que alberga la base de datos utilizada por SiteProtector debe aceptarconexiones del protocolo TCP/IP.

Véase la documentación de Microsoft SQL Server a fin de conocer el procedimiento para activar esteprotocolo y definir el puerto utilizado para estas conexiones (el predeterminado es el puerto 1433).

Cuando el receptor conecta con la base de datos de SiteProtector por primera vez, se recuperan loseventos nuevos generados tras la hora actual. En las conexiones futuras, se solicitan todos los eventosque se han producido tras el último evento recuperado correctamente.

El receptor extrae esta información de un evento de SiteProtector:

• Direcciones IP de origen y destino (IPv4) • Recuento de eventos

• Puertos de origen y destino • VLAN

• Protocolo • Gravedad

• Hora del evento • Descripción del evento

Configuración de Check PointEs posible configurar orígenes de datos para Provider 1, Check Point High Availability, y la mayor partede entornos Check Point estándar.

El primer paso es agregar el origen de datos de Check Point principal (véase Adición de un origen dedatos). Es necesario agregar un origen de datos para el servidor de registro si el origen de datosprincipal no actúa como servidor de registro y se dispone de un servidor de registro dedicado.Asimismo, se deben agregar los orígenes de datos secundarios que sean necesarios. Si se encuentraen un entorno de disponibilidad alta, deberá agregar un origen de datos secundario por cadaSMS/CMA secundario.


1 Agregue un origen de datos principal para el SMS/CMA donde esté almacenado el certificado o laaplicación OPSEC o, en el caso de un receptor de disponibilidad alta, el SMS/CMA principal.

OPSEC no es conforme a FIPS. Si está obligado a adecuarse a las normativas de FIPS, no utilice estafunción (véase el Apéndice A).

2 Haga clic en Opciones.

3 En la página Configuración avanzada, seleccione el método de comunicación y escriba el Nombre distintivode entidad de servidor de este origen de datos.

4 Haga clic dos veces en Aceptar.

5 Haga lo siguiente, si procede:



Si recibe esteerror...

Haga lo siguiente...

SIC Error for lea: Clientcould not choose anauthentication method forservice lea (Error SICpara lea: el clienteno pudo elegir unmétodo deautenticación paralea)

1 Compruebe que seleccionó la configuración correcta para Usar autenticacióny Usar cifrado al agregar el origen de datos de Check Point.

Si seleccionó solamente Usar autenticación, el cliente OPSEC intentacomunicarse con el servidor de registro mediante "sslca_clear". Siseleccionó Usar autenticación y Usar cifrado, el cliente OPSEC intentacomunicarse con el servidor de registro mediante "sslca". Si noseleccionó ninguna de estas opciones, el cliente OPSEC intentacomunicarse con el servidor de registro mediante "none".

2 Compruebe que la aplicación OPSEC que está utilizando paracomunicarse con el servidor de registro de Check Point tenga LEAseleccionado en la sección Client Entities (Entidades cliente).

3 Si verifica que ambos pasos son correctos, localice el archivosic_policy.conf en la instalación del servidor de registro de Check Point.Por ejemplo, en un sistema R65 basado en Linux, este archivo seencuentra en /var/opt/CPshrd-R65/conf.

4 Cuando determine qué método de comunicación (método deautenticación del archivo) permite el método de comunicación de LEAcon el servidor de registro, seleccione dicho método en la páginaConfiguración avanzada como Método de comunicación.

SIC Error for lea: Peer sentwrong DN: <expected dn>(Error SIC para lea:el componente envióun nombre distintivoincorrecto: <nombredistintivo esperado>)

• Proporcione una cadena para el cuadro de texto Nombre distintivo de entidad deservidor mediante la introducción de la cadena que representa "<DNesperado>" en el mensaje de error.

Una alternativa es localizar el nombre distintivo del servidor de registro deCheck Point consultando el objeto network del servidor de registro deCheck Point en la interfaz de usuario de SmartDashboard.

El nombre distintivo del SMS/CMA será similar al de la aplicación OPSEC,basta con sustituir la primera entrada por CN=cp_mgmt. Por ejemplo,supongamos que el nombre distintivo de la aplicación OPSEC esCN=mcafee_OPSEC,O=r75..n55nc3. El nombre distintivo del SMS/CMAsería CN=cp_mgmt,O=r75..n55nc3. El nombre distintivo del servidor deregistro tendría este aspecto: CN=CPlogserver,O=r75..n55nc3.

6 Agregue un origen de datos secundario por cada firewall, servidor de registro o SMS/CMAsecundario administrado por el origen de datos principal configurado (véase Adición de un origende datos secundario).

El tipo de dispositivo de todos los orígenes de firewall/gateway es Dispositivo de seguridad. La Consola deinformes principal es, de forma predeterminada, el origen de datos principal.

Grupos de reglas de McAfeeEsta tabla incluye los grupos de reglas de McAfee junto con los ID de origen de datos externo.

ID de origen dedatos

Nombre de pantalla RSID correspondiente Intervalo de reglas

50201 Firewall 0 2 000 000–2 099 999

50202 Firewall personalizado 0 2 200 000–2 299 999

50203 Firmas personalizadas 0 5 000 000–5 999 999

50204 Interno 0 3 000 000–3 999 999

50205 Vulnerabilidad y exploit 2 N/D



ID de origen dedatos

Nombre de pantalla RSID correspondiente Intervalo de reglas

50206 Contenidos para adultos 5 N/D

50207 Chat 8 N/D

50208 Directiva 11 N/D

50209 Peer to Peer 14 N/D

50210 Multimedia 17 N/D

50211 Alfa 25 N/D

50212 Virus 28 N/D

50213 Aplicación de perímetro seguro 31 N/D

50214 Gateway 33 N/D

50215 Malware 35 N/D

50216 SCADA 40 N/D

50217 MCAFEESYSLOG 41 N/D

Orígenes de activos de receptorUn activo es cualquier dispositivo de la red que disponga de una dirección IP. En la ficha Activo delAdministrador de activos es posible crear activos, cambiar sus etiquetas, crear grupos de activos, agregarorígenes de activos y asignar un activo a un grupo de activos. También permite manipular los activosde aprendizaje automático de un proveedor de evaluación de vulnerabilidades.

La función Orígenes de activos de Propiedades de receptor permite recuperar datos de Active Directory, si estádisponible. Una vez finalizado este proceso, es posible filtrar los datos de eventos mediante laselección de los usuarios o grupos recuperados en los campos de filtrado de consultas de vista Usuariode origen y Usuario de destino. Esto aumenta la capacidad de proporcionar datos sobre conformidad parasatisfacer requisitos como los de PCI. Un ESM solo puede tener un origen de activos. Los receptorespueden tener varios orígenes de activos.

Si dos orígenes de descubrimiento de activos localizan el mismo activo, el método de descubrimientocon mayor prioridad agregará el activo descubierto a la tabla. Si dos orígenes de descubrimientotienen la misma prioridad, el que descubra el activo en último lugar tiene prioridad sobre el primero.

Véase también Adición de un origen de activos en la página 104

Adición de un origen de activosA fin de recuperar datos de Active Directory, es necesario configurar un receptor.


1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes deactivos.

2 Haga clic en Agregar y rellene la información solicitada.

3 Haga clic en Aceptar y, después, en Escribir en la página Orígenes de activos.

Véase también Orígenes de activos de receptor en la página 104



Configuración de Enterprise Log SearchEnterprise Log Search (ELS) retiene datos de registro sin comprimir durante períodos concretos, locual acelera las búsquedas en los datos del ELS desde el panel de ESM.

Antes de configurar el ELS, identifique la información siguiente.

• Dispositivos de almacenamiento: la retención de datos sin comprimir requiere espacio dealmacenamiento adicional. Determine junto con su equipo los requisitos de almacenamientoapropiados para su entorno, tales como discos duros o almacenamiento en red adicionales.

• Directivas de retención: determine cuánto tiempo desea conservar datos sin comprimirdeterminados en el dispositivo ELS. Puede agregar hasta seis directivas de retención con unaduración en años (365 días), trimestres (90 días) o meses (30 días).

• Orígenes de datos: identifique los orígenes de datos que se deben asociar con el ELS. Puedeasociar un origen de datos con un ELS o un ELM, pero no con ambos.

Véase también Configuración de ELS en la página 105Búsqueda de datos de ELS en la página 106

Configuración de ELSPara buscar datos de los registros de ELS, agregue dispositivos ELS a la consola, configure elalmacenamiento y las directivas de retención de ELS y asocie los orígenes de datos con directivas deretención específicas.

Antes de empezarInstale y configure los dispositivos virtuales o físicos.

Procedimiento1 Haga clic en y, después, en Configuración.

2 Agregue dispositivos ELS a la consola.

a En la barra de herramientas de acciones, haga clic en y seleccione McAfee Enterprise Log Search.Haga clic en Siguiente.

b Introduzca un Nombre de dispositivo exclusivo y haga clic en Siguiente.

c Introduzca la dirección IP o la URL de destino, el número de puerto SSH de destino y laconfiguración del protocolo de tiempo de redes o NTP (Network Time Protocol) para eldispositivo. Haga clic en Siguiente.

d Introduzca una contraseña para el dispositivo y, a continuación, haga clic en Siguiente.

3 Configure el almacenamiento.

La retención de datos sin comprimir acelera las capacidades de búsqueda del ELS. Sin embargo,requiere espacio de almacenamiento adicional, como unidades de disco duro o almacenamiento enred.

a Seleccione ELS, haga clic en y, después, haga clic en Almacenamiento de datos.

b Si utiliza iSCSI, DAS, SAN o unidades locales virtuales, rellene la información en la cuadrículasuperior.



c Si utiliza SAN, unidades virtuales locales, NFS, iSCSI o CIFS, haga clic en Agregar en la cuadrículainferior.

d Introduzca los parámetros correctos y haga clic en Aceptar.

4 Agregue directivas de retención (no más de seis).

Para buscar datos de los registros de ELS, debe contar como mínimo con una directiva de retención.El sistema establece la primera directiva de retención creada como la predeterminada. Si solo existeuna directiva, puede cambiarla pero no puede eliminarla. El ELS no puede aceptar datos anteriores aseis meses antes de que se cree la primera directiva de retención.

a Seleccione ELS, haga clic en y, después, haga clic en Directivas de retención.

b Haga clic en Agregar.

c Especifique el nombre y la duración de la directiva de retención y haga clic en Aceptar.

El sistema almacena la duración en días. Puede establecer una duración en años (365 días),trimestres (90 días) o meses (30 días).

5 Asocie los orígenes de datos con directivas de retención.

Puede asociar un origen de datos con un ELS o un ELM, pero no con ambos.

a Seleccione el dispositivo del origen de datos (como, por ejemplo, un receptor) y haga clic en .

b Haga clic en Orígenes de datos.

c En la columna Registro, elija la casilla de verificación relevante para mostrar la pantalla Opciones dedatos de registro.

d Seleccione la directiva de retención que desee asociar con este origen de datos y haga clic enAceptar.

Véase también Configuración de Enterprise Log Search en la página 105Búsqueda de datos de ELS en la página 106

Búsqueda de datos de ELSDesde el panel de ESM, puede buscar con rapidez datos de registro sin comprimir correspondientes aperíodos de tiempo específicos.

Antes de empezarConfigure el ELS.

Procedimiento• Desde el panel, haga clic en y seleccione Búsqueda de ELS.

• En la barra Filtro, introduzca la información que desee localizar. Haga clic en para iniciar labúsqueda.

• Haga clic en Configuración de búsqueda para crear una búsqueda avanzada.

• Haga clic en Historial de búsqueda para ver y volver a ejecutar las búsquedas anteriores.

Véase también Configuración de Enterprise Log Search en la página 105Configuración de ELS en la página 105



Configuración de Enterprise Log Manager (ELM)El ELM admite el almacenamiento, la administración y el acceso a los datos de registro, así como lageneración de informes.

Los datos recibidos por el ELM se organizan en grupos de almacenamiento, cada uno compuesto devarios dispositivos de almacenamiento. Se asocia un tiempo de conservación con cada grupo dealmacenamiento y los datos se conservan en el grupo durante el periodo especificado. Las normativasgubernamentales, del sector y de las empresas requieren que los registros se almacenen duranteperiodos de tiempo diferentes.

Es posible configurar trabajos de búsqueda y comprobación de integridad en el ELM. Cada uno deestos trabajos accede a los registros almacenados y recupera o comprueba los datos definidos en eltrabajo. Posteriormente, se pueden ver los resultados y exportar la información.

Para configurar un ELM, debe conocer lo siguiente:

• Los orígenes que almacenan registros en el ELM

• Los grupos de almacenamiento necesarios y sus tiempos de conservación de datos

• Los dispositivos de almacenamiento necesarios para almacenar los datos

Por lo general, el usuario conoce los orígenes que almacenan registros en el ELM y los grupos dealmacenamiento necesarios. Lo que resulta desconocido son los dispositivos de almacenamientonecesarios que contienen los datos. El mejor enfoque para hacer frente a esta incertidumbre es:

1 Lleve a cabo un cálculo estimativo conservador sobre los requisitos de almacenamiento.

A partir de la versión 9.0.0, los grupos de almacenamiento de ELM requieren un 10 % del espacioasignado para la sobrecarga de duplicación. Asegúrese de tener en cuenta este 10 % al calcular elespacio necesario.

2 Configure los dispositivos de almacenamiento ELM de forma que cumplan los requisitos estimados.

3 Revise los registros del ELM durante un período corto de tiempo.

4 Utilice la información sobre estadísticas de almacenamiento del ELM a fin de modificar lasconfiguraciones del dispositivo de almacenamiento para ajustarlas a los requisitos dealmacenamiento de datos reales.



Preparativos para almacenar datos en el ELMHay que llevar a cabo varios pasos a fin de configurar un ELM de forma que almacene datos.

Paso Acción Descripción

1 Definir los tiemposde retención dedatos

Según los requisitos de instalación de ELM, defina el número de tiemposde retención distintos necesarios. Los tiempos habituales de retención dedatos son:• SOX – 7 años

• PCI – 1 año

• GLBA – 6 años

• Directiva de conservación de datos de la UE – 2 años

• Basilea II – 7 años

• HIPAA – 6 o 7 años

• NERC – 3 años

• FISMA – 3 años

2 Definir los orígenesde datos deregistro

El objetivo es definir todos los orígenes de los registros almacenados enel ELM y calcular el promedio de tamaño en bytes de los registros y losregistros generados por día en cada caso. Basta con que se trate de uncálculo estimativo. Podría resultar más fácil estimar el promedio detamaño en bytes de los registros y los registros generados al día porcada tipo de origen y, después, estimar el número de orígenes de cadatipo. El siguiente paso requiere la asociación de cada origen con untiempo de retención definido en el Paso 1. Asegúrese de tener esto encuenta a la hora de calcular los tipos de orígenes (por ejemplo, firewallSOX o DEM PCI).

3 Definir los gruposde almacenamiento

En función de los requisitos de instalación de ELM, asocie cada origen uorigen de registros con un tiempo de retención de datos y defina elconjunto de grupos de almacenamiento necesarios para la instalación deELM.




4 Estimar losrequisitos detamaño de losgrupos dealmacenamiento

Por cada grupo de almacenamiento, calcule los requisitos dealmacenamiento mediante una de las ecuaciones siguientes.• Con orígenes individuales:

ARIGB = 0,1*(TRDD*SUM(PBOD*PRODD))/(1024*1024*1024)

Donde:

ARIGB = Almacenamiento requerido inicial en gigabytes

TRDD = Tiempo de retención de datos en días

SUM() = La suma de todos los orígenes de datos

PBOD = Promedio de bytes de origen de datos por registro

PRODD = Promedio de registros de origen de datos por día

• Con tipos de orígenes:ARIGB = 0,1*(DRTD*SUM(NDS*PBTOD*PRTODD))/(1024*1024*1024)

Donde:

ARIGB = Almacenamiento requerido inicial en gigabytes


NOD = Número de orígenes de datos de un tipo

SUM() = La suma de todos los tipos de orígenes de datos

PBTOD = Promedio de bytes de tipo de origen de datos por registro

PRTODD = Promedio de registros de tipo de origen de datos por día

5 Crear dispositivosde almacenamientoinicial

Cree uno o varios dispositivos de almacenamiento ELM de forma quesean suficientemente grandes como para almacenar los datos de cadaARIGB (véase Adición de un dispositivo de almacenamiento para vincularcon un grupo de almacenamiento).

6 Crear grupos dealmacenamiento

Por cada grupo de almacenamiento definido en el Paso 3, cree un grupode almacenamiento de ELM utilizando lo siguiente:• El tiempo de retención asociado del Paso 1

• Los valores de ARIGB del Paso 4

• Los dispositivos de almacenamiento asociados del Paso 5 (véaseAdición o edición de un grupo de almacenamiento)

7 Iniciar el registrode datos

Configure los orígenes para que envíen sus registros al ELM, y deje quelo hagan durante uno o dos días.

8 Ajustar lasestimaciones sobrerequisitos detamaño de losgrupos dealmacenamiento

Por cada grupo de almacenamiento creado en el Paso 6, ajuste laestimación sobre los requisitos de almacenamiento mediante la ecuaciónsiguiente:

ARGB = 1,1*TRDD*PTBGAD/(1024*1024*1024)

Donde:

ARGB = Almacenamiento requerido en gigabytes


PTBGAD = Valor de promedio de tasa de bytes del grupo dealmacenamiento diario del informe estadístico correspondiente




9 Cambiar o creardispositivos dealmacenamiento

Por cada valor de ARGB del Paso 8, cambie o cree dispositivos dealmacenamiento ELM de forma que tengan capacidad para almacenar losdatos de ARGB.

10 Cambiar grupos dealmacenamiento

Si fuera necesario, cambie cada uno de los grupos de almacenamientocreados en el Paso 6 mediante la adición de los dispositivos dealmacenamiento creados en el Paso 9, o bien aumente la asignación delos dispositivos de almacenamiento existentes.

Configuración del almacenamiento de ELMA fin de almacenar registros, el ELM debe tener acceso al menos a un dispositivo de almacenamiento.

El requisito de almacenamiento de una instalación de ELM es una función del número de orígenes dedatos, sus características de registro y sus requisitos de tiempo de retención de los datos. El requisitode almacenamiento varía a lo largo del tiempo porque es probable que cambie durante el ciclo de vidade una instalación de ELM.

Para obtener detalles sobre la estimación y el ajuste de los requisitos de almacenamiento del sistema,véase Configuración de ELM.

Terminología de almacenamiento de ELM

Repase estos términos para trabajar con el almacenamiento de ELM:

• Dispositivo de almacenamiento: un dispositivo de almacenamiento de datos al que puedeacceder un ELM. Algunos modelos de ELM ofrecen un dispositivo de almacenamiento incorporado,otros cuentan con capacidad de conexión SAN y otros tienen ambas opciones. Todos los modelos deELM ofrecen capacidad de conexión NAS.

• Asignación de almacenamiento: una cantidad concreta de almacenamiento de datos en undispositivo de almacenamiento específico (por ejemplo, 1 TB en un dispositivo de almacenamientoNAS).

• Tiempo de retención de los datos: la cantidad de tiempo que se almacena un registro.

• Grupo de almacenamiento: una o varias asignaciones de almacenamiento que juntas especificanuna cantidad total de almacenamiento, junto con un tiempo de retención de los datos que define elnúmero máximo de días que se almacena un registro.

• Origen de registro: cualquier origen de registros almacenados por ELM.

Tipos de dispositivos de almacenamiento de ELM

Cuando se agrega un dispositivo de almacenamiento a un ELM, se debe seleccionar el tipo dedispositivo del que se trata. Se deben recordar algunas cosas al agregar o editar un dispositivo.



Tipo dedispositivo

Detalles

NFS Para editar el punto de montaje remoto del dispositivo de almacenamiento quecontiene la base de datos de administración de ELM, use la opción Migrar base de datosa fin de mover la base de datos a un dispositivo de almacenamiento distinto (véaseMigración de la base de datos de ELM). Entonces, es posible cambiar de formasegura el campo de punto de montaje remoto y mover la base de datos de vuelta aldispositivo de almacenamiento actualizado.

CIFS • El uso de un tipo de recurso compartido CIFS con versiones del servidor Sambaposteriores a la 3.2 puede provocar la fuga de datos.

• Al conectar con un recurso compartido CIFS, no utilice comas en la contraseña.

• Si emplea un equipo Windows 7 como recurso compartido CIFS, véaseDesactivación del uso compartido de archivos en el Grupo Hogar.

iSCSI • Al conectar con un recurso compartido iSCSI, no utilice comas en la contraseña.

• El intento de conectar varios dispositivos a un IQN puede provocar la fuga dedatos y otros problemas de configuración.

SAN La opción SAN solo está disponible si existe una tarjeta SAN instalada en el ELM yhay volúmenes SAN disponibles.

Local virtual Esta opción solo está disponible si se ha agregado un dispositivo virtual local al ELMvirtual. Es necesario aplicar formato al dispositivo antes de usarlo para elalmacenamiento (véase Configuración de una unidad local virtual para almacenardatos).

Desactivación del uso compartido de archivos en el Grupo HogarWindows 7 requiere la utilización del uso compartido de archivos en el Grupo Hogar, lo cual funcionacon otros equipos que ejecutan Windows 7, pero no con Samba. Para utilizar un equipo de Windows 7como recurso compartido CIFS, debe desactivar el uso compartido de archivos en el Grupo Hogar.


1 Abra el Panel de control de Windows 7 y seleccione Centro de redes y recursos compartidos.

2 Haga clic en Cambiar configuración de uso compartido avanzado.

3 Haga clic en el perfil Casa o trabajo y asegúrese de que esté etiquetado como su perfil actual.

4 Active el descubrimiento de red, el uso compartido de archivos e impresoras y la carpeta pública.

5 Acceda a la carpeta que desee compartir mediante CIFS (inténtelo antes con la carpeta pública) yhaga clic con el botón derecho en ella.

6 Seleccione Propiedades y haga clic en la ficha Compartir.

7 Haga clic en Uso compartido avanzado y seleccione Compartir esta carpeta.

8 (Opcional) Cambie el nombre del recurso compartido y haga clic en Permisos.

Asegúrese de tener los permisos establecidos a su gusto (marca de verificación en Cambiar = sepuede escribir). Si ha activado recursos compartidos protegidos por contraseña, tendrá quemodificar la configuración aquí para asegurarse de que el usuario de Ubuntu esté incluido en elpermiso.



Adición de un dispositivo de almacenamiento para vincular con un grupo dealmacenamiento A fin de agregar un dispositivo de almacenamiento a la lista de ubicaciones de almacenamiento, esnecesario definir sus parámetros.

Cuando se edita un dispositivo de almacenamiento, es posible aumentar el tamaño, pero no reducirlo.Un dispositivo no se puede eliminar si está almacenando datos.


1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupos dealmacenamiento.

2 Haga clic en Agregar junto a la tabla superior.

3 En la página Agregar dispositivo de almacenamiento, rellene la información solicitada.

4 Haga clic en Aceptar para guardar la configuración.

El dispositivo se agrega a la lista de dispositivos de almacenamiento de ELM disponibles.

Es posible editar o eliminar los dispositivos de almacenamiento de la tabla en la página Grupos dealmacenamiento.


Opción Definición

Tipo de dispositivo Seleccione el tipo de dispositivo de almacenamiento. La migración de la basede datos de ELM requiere un mínimo de 506 GB de espacio libre en el disco.Véase Tipos de dispositivos de almacenamiento de ELM en Configuración delalmacenamiento de ELM para obtener detalles sobre cada tipo.

Nombre Introduzca un nombre para el dispositivo de almacenamiento.

Tamaño máx. Seleccione la cantidad máxima de espacio de almacenamiento que deseeasignar en el dispositivo.• Cuando se agrega un dispositivo de almacenamiento remoto al ELM, el valor

predeterminado de Tamaño máx. es 4 GB. El 1 % del espacio dealmacenamiento se reserva para la administración del almacenamientoremoto.

• Cuando se agrega un dispositivo de almacenamiento local virtual, el valorpredeterminado de Tamaño máx. es la capacidad total de almacenamiento deldispositivo. Se reservan 6 GB del espacio de almacenamiento para laadministración del almacenamiento virtual. No es posible ajustar estecampo.

Dirección IP, Punto demontaje remoto, Rutaremota

Escriba esta información para el dispositivo NFS.

Dirección IP, Nombre derecurso compartidoremoto, Ruta, Nombre deusuario, Contraseña

Escriba esta información para el dispositivo CIFS.

Dispositivo iSCSI Seleccione el dispositivo agregado (véase Adición de un dispositivo iSCSI).

IQN de iSCSI Seleccione el IQN.




Opción Definición

SAN Seleccione el volumen SAN que desee agregar (véase Aplicación de formato aun dispositivo de almacenamiento SAN para datos de ELM).

Volumen local virtual Seleccione el dispositivo de almacenamiento local virtual. Esta opción solo estádisponible cuando el tipo de dispositivo es Local virtual.


Opción Definición

Dispositivos dealmacenamiento de datos

Seleccione el dispositivo que desee agregar. Si el dispositivo deseado noestá en la lista, deberá agregarlo (véase Adición de un dispositivo dealmacenamiento para vincular con un grupo de almacenamiento).

Un dispositivo se puede asignar a más de un grupo de forma simultánea.

Espacio de almacenamiento Seleccione la cantidad máxima de espacio del dispositivo para almacenardatos.

El 10 % del espacio de almacenamiento se emplea para la sobrecarga. Siselecciona 4 GB en el campo de espacio de almacenamiento, habrárealmente solo 3,6 de los 4 GB disponibles para almacenar datos.

Dispositivo dealmacenamiento de datosduplicado

Si desea que los datos de este dispositivo de almacenamiento se dupliquenen otro dispositivo, seleccione el segundo dispositivo de almacenamiento(véase Adición de almacenamiento de datos de ELM duplicado).

Adición o edición de un grupo de almacenamientoUn grupo de almacenamiento incluye una o varias asignaciones de almacenamiento y un tiempo deretención de datos. Agréguelos al ELM para definir dónde se almacenan los registros de ELM y cuántotiempo deben retenerse.


1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupo dealmacenamiento.

2 Haga clic en Agregar o en Editar junto a la tabla inferior y rellene o modifique la informaciónsolicitada.


Es posible editar los parámetros una vez guardados y eliminar un grupo de almacenamiento, siempreque este y los dispositivos que tiene asignados no estén almacenando datos.


Opción Definición

Agregar dispositivo dealmacenamiento

Agregar un dispositivo de almacenamiento que utilizar con un grupode almacenamiento para la retención de datos.

Editar dispositivo de almacenamiento Cambiar la configuración de un dispositivo de almacenamientoexistente.

Eliminar dispositivo dealmacenamiento

Eliminar un dispositivo de almacenamiento del sistema.




Opción Definición

Agregar grupo dealmacenamiento

Agregar un grupo de almacenamiento a fin de albergar una cantidadmáxima de datos durante un periodo de tiempo concreto.

Editar grupo de almacenamiento Cambiar el nombre del grupo de almacenamiento o el período deretención de un grupo de almacenamiento existente. Agregar espacioa un grupo a partir de un dispositivo de almacenamiento definido.

Eliminar grupo de almacenamiento Eliminar un grupo de almacenamiento del sistema.

Reconstruir Reparar grupos de almacenamiento duplicados que han perdido laconexión con uno de sus dispositivos de almacenamiento. Estaopción solo está disponible cuando existe un problema con un grupode almacenamiento duplicado.

Reducir tamaño Reducir la cantidad de espacio definido para cada asignación.

Actualizar Actualizar la información de las tablas.


Opción Definición

Nombre del grupo dealmacenamiento

Escriba un nombre para este grupo.

Tiempo de retención de los datos Seleccione la cantidad de tiempo que desee almacenar los datos.

Dispositivos de almacenamiento dedatos vinculados a este grupo dealmacenamiento

Enumera los dispositivos vinculados a este grupo de almacenamiento.Para agregar dispositivos, haga clic en Agregar.

Las asignaciones duplicadas que emplean protocolos de red (CIFS, NFSo iSCSI) requieren configuraciones específicas para funcionar de formafiable, como por ejemplo estar en el mismo conmutador y tener unalatencia muy baja. Las especificaciones de red recomendadas son:

• Latencia total (servidor más red) — 10 ms

• Rendimiento total (servidor más red) — 20 Mb/s

En la duplicación se da por hecho un 100 % de disponibilidadpara el recurso compartido.

Columna Activado Seleccione los dispositivos que desee activar para almacenar datos. Losdispositivos de almacenamiento duplicados se desactivan hasta quetermina el proceso de duplicación.

Traslado de un grupo de almacenamientoCabe la posibilidad de mover un grupo de almacenamiento de un dispositivo a otro.

Antes de empezarConfigure el dispositivo de almacenamiento al que desee mover el grupo dealmacenamiento a modo de duplicado del dispositivo que alberga actualmente el grupo(véase Adición de almacenamiento de datos de ELM duplicado).




1 En el árbol de navegación del sistema, seleccione el dispositivo ELM que alberga el grupo de

almacenamiento y haga clic en el icono Propiedades .

2 Haga clic en Grupos de almacenamiento.

3 En la tabla Grupos de almacenamiento, haga clic en los dispositivos duplicados que aparecen bajo elgrupo que se va a mover.

4 Haga clic en Editar y, en la lista desplegable Dispositivos de almacenamiento de datos, seleccione eldispositivo que duplique el grupo de almacenamiento que desea mover.

Se convertirá entonces en el dispositivo de almacenamiento de datos principal.

5 A fin de duplicar el nuevo dispositivo de almacenamiento de datos, seleccione un dispositivo en lalista desplegable Dispositivo de almacenamiento de datos duplicado y haga clic en Aceptar.

Reducción del tamaño de asignación de almacenamientoSi un dispositivo de almacenamiento está lleno debido al espacio asignado a los grupos dealmacenamiento, podría ser necesario reducir la cantidad de espacio definido para cada asignación.Esto podría ser necesario a fin de asignar espacio en este dispositivo para más grupos dealmacenamiento.

Si la reducción del tamaño de asignación afectara a los datos, se moverían a otras asignaciones delgrupo, en caso de existir espacio disponible. De lo contrario, se eliminarían los datos más antiguos.



2 En la tabla inferior, seleccione el grupo que desee reducir y haga clic en Reducir tamaño.

3 Introduzca la cantidad de reducción que desee aplicar al almacenamiento y haga clic en Aceptar.

Duplicación del almacenamiento de datos de ELMEs posible configurar un segundo dispositivo de almacenamiento de ELM a fin de duplicar los datosrecopilados en el dispositivo principal.

Si el dispositivo principal deja de funcionar por algún motivo, el dispositivo de copia de seguridadsigue almacenando los datos a medida que llegan. Cuando el dispositivo principal vuelve a funcionar,se sincroniza automáticamente con la copia de seguridad y reanuda el almacenamiento de los datossegún van llegando. Si el dispositivo principal deja de funcionar de forma permanente, es posiblereasignar la copia de seguridad de forma que se convierta en el dispositivo principal en el ESM y,después, designar un dispositivo distinto para la duplicación.

Si cualquiera de los dispositivos deja de funcionar, aparece un indicador de estado junto aldispositivo ELM en el árbol de navegación del sistema.

Un grupo de almacenamiento duplicado podría perder la conexión con su dispositivo dealmacenamiento. La pérdida de conexión puede deberse a lo siguiente:



• El servidor de archivos o la red entre el ELM y el servidor de archivos han fallado.

• El servidor de archivos o la red están fuera de servicio por tareas de mantenimiento.

• Se ha eliminado accidentalmente un archivo de asignación.

Cuando existe un problema con el dispositivo de duplicación, los dispositivos de almacenamiento

muestran un icono de advertencia en la tabla Grupos de almacenamiento. Cabe la posibilidad de utilizarla función Reconstruir para repararlo.

Adición de almacenamiento de datos de ELM duplicadoCualquier dispositivo de almacenamiento agregado a la lista de dispositivos disponibles y con elespacio necesario se puede utilizar para duplicar los datos guardados en un dispositivo dealmacenamiento ELM.

Antes de empezarAgregue los dos dispositivos que desee usar para duplicar los datos al ESM.


1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupos dealmacenamiento.

2 Haga clic en Agregar junto a la tabla inferior.

3 En la página Agregar grupo de almacenamiento, introduzca la información solicitada y haga clic en Agregarpara seleccionar el dispositivo de almacenamiento y el dispositivo de duplicación.

Un dispositivo se puede asignar a más de un grupo de forma simultánea.

4 Haga clic dos veces en Aceptar.

Reconstrucción de un grupo de almacenamiento duplicadoSi un grupo de almacenamiento duplicado pierde la conexión con sus dispositivos de almacenamiento,puede emplear la función Reconstruir para repararlo.



2 Pase el ratón sobre los dispositivos duplicados que muestran un icono de advertencia.

Un cuadro de información sobre herramientas le indicará que la asignación de ELM se estáreconstruyendo o que el dispositivo duplicado se debe reconstruir.

3 Para reconstruir los dispositivos duplicados, haga clic en ellos y, después, en Reconstruir.

Una vez finalizado el proceso, se le notificará que la reconstrucción de la asignación ha sido correcta.

Desactivación de un dispositivo de duplicaciónSi desea dejar de usar un dispositivo para duplicar un grupo de almacenamiento, tendrá que elegirotro dispositivo para sustituirlo o seleccionar Ninguno.




1 En el árbol de navegación del sistema, seleccione el ELM que alberga actualmente el grupo de

almacenamiento y haga clic en el icono Propiedades .

2 Haga clic en Grupos de almacenamiento, seleccione los dispositivos duplicados en la tabla Grupo dealmacenamiento y haga clic en Editar.

3 Siga uno de estos procedimientos:

• Si el dispositivo seleccionado en el campo Dispositivo de almacenamiento de datos duplicado es el quedesea desactivar, haga clic en la flecha desplegable de ese campo y seleccione un dispositivodistinto para duplicar el dispositivo de almacenamiento de datos, o bien seleccione Ninguno.

• Si el dispositivo seleccionado en el campo Dispositivo de almacenamiento de datos es el que deseadesactivar, haga clic en la flecha desplegable de ese campo y seleccione un dispositivo distintopara que actúe como dispositivo de almacenamiento de datos.


Aunque el dispositivo ya no se use para la duplicación, seguirá apareciendo en la tabla Dispositivo dealmacenamiento.

Configuración del almacenamiento de datos externoExisten cuatro tipos de almacenamiento externo que se pueden configurar para almacenar datos deELM: iSCSI, SAN, DAS y dispositivo virtual local. Cuando conecte estos tipos de almacenamientoexterno al ELM, podrá configurarlos para almacenar los datos del ELM.


1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Almacenamiento dedatos.

El sistema devolverá todos los dispositivos de almacenamiento disponibles en las fichascorrespondientes.

2 Haga clic en la ficha iSCSI, SAN, DAS o Local virtual y realice los pasos necesarios.


Adición de un dispositivo iSCSISi desea usar un dispositivo iSCSI para el almacenamiento de ELM, es necesario configurar lasconexiones con el dispositivo.



2 En la ficha iSCSI, haga clic en Agregar.




Si la conexión es correcta, el dispositivo y sus IQN se agregan tanto a la lista Configuración iSCSI comoa la lista Tipo de dispositivo de la página Agregar dispositivo de almacenamiento.

Una vez que un IQN empieza a almacenar registros de ELM, el destino iSCSI no se puede eliminar.Debido a esta limitación, asegúrese de configurar el destino iSCSI con espacio suficiente para elalmacenamiento de ELM.

4 Antes de usar un IQN para el almacenamiento de ELM, selecciónelo en la lista y haga clic enFormato.

5 A fin de comprobar su estado durante la aplicación de formato, haga clic en Comprobar estado.

6 Si desea descubrir o volver a descubrir los IQN, haga clic en el dispositivo iSCSI y, después, enDescubrir.

Los intentos de asignar más de un dispositivo a un IQN puede provocar la fuga de datos.


Opción Definición

Agregar Permite agregar los parámetros necesarios para conectar con el dispositivo iSCSI.

Eliminar Eliminar la conexión iSCSI seleccionada.

Descubrir Descubrir o volver a descubrir los IQN para el iSCSI seleccionado.

Comprobar estado Comprobar el estado del IQN mientras se le aplica formato.

Formato Aplicar formato al IQN seleccionado antes de usarlo para el almacenamiento deELM.


Opción Definición

Nombre Escriba el nombre del dispositivo iSCSI.

Dirección IP Escriba la dirección IP del dispositivo iSCSI.

Puerto Seleccione el puerto del dispositivo iSCSI.

Aplicación de formato a un dispositivo de almacenamiento para datos de ELMSi tiene una tarjeta SAN en el sistema, puede usarla para almacenar datos de ELM.

Antes de empezarInstale una tarjeta SAN en el sistema (véase Instalación de los adaptadores SAN qLogic2460 o 2562 en la Guía de instalación de McAfee ESM, o bien póngase en contacto con elSoporte de McAfee).





2 Haga clic en la ficha SAN y compruebe el estado de los volúmenes SAN detectados.

• Formato necesario: el volumen se debe formatear y no aparece en la lista de volúmenes disponiblesen la página Agregar dispositivo de almacenamiento.

• Formato: el volumen se encuentra en proceso de aplicación de formato y no aparece en la lista devolúmenes disponibles.

• Preparado: el volumen tiene formato y un sistema de archivos reconocible. Estos volúmenes sepueden usar para almacenar datos de ELM.

3 Si existe un volumen sin formato y desea almacenar datos en él, haga clic en el volumen y,después, en Formato.

Al formatear un volumen, se eliminan todos los datos almacenados.

4 Para comprobar si el formato está completo, haga clic en Actualizar.

Si ha finalizado la aplicación de formato, el estado cambia a Preparado.

5 Para ver los detalles de un volumen en la parte inferior de la página, haga clic en el volumen.

Ahora podrá configurar el volumen SAN formateado como dispositivo de almacenamiento de ELM.

Asignación de un dispositivo DAS para almacenar datosEs posible asignar dispositivos DAS que estén disponibles para almacenar datos de ELM.

Antes de empezarConfigure dispositivos DAS.


1 En el árbol de navegación del sistema, seleccione el ELM al que asignará el dispositivo DAS y haga

clic en el icono Propiedades .

En un dispositivo todo en uno, es posible asignar el DAS al ESM seleccionando el ESM y haciendo clicen el icono Propiedades.

2 Haga clic en Almacenamiento de datos y, después, haga clic en la ficha DAS.

La tabla DAS incluye los dispositivos disponibles para el almacenamiento.

3 En la tabla, haga clic en uno de los dispositivos que no se hayan asignado para almacenar datos deELM o ESM.

4 Haga clic en Asignar y, después, en Sí en la página de advertencia.

Una vez asignado un dispositivo, no se puede cambiar.



El ELM se reiniciará.

Configuración de una unidad local virtual para almacenar datosEn primer lugar, es necesario detectar un dispositivo de almacenamiento virtual en el ELM virtual yaplicarle formato. Después, podrá utilizarlo para la migración de la base de datos y los grupos dealmacenamiento.

Antes de empezarAgregue un dispositivo de almacenamiento local virtual al ELM virtual desde su entornovirtual. Para agregar el almacenamiento, véase la documentación correspondiente alentorno de máquina virtual.

Entornos virtuales compatibles

• VMware

• KVM

• Amazon Web Services

Formatos de unidad compatibles

• SCSI

• SATA

IDE no se admite.


1 En el árbol de navegación del sistema, seleccione el ELM virtual, haga clic en el icono Propiedades y, después, haga clic en Almacenamiento de datos.

Aparecerá un icono de carga mientras el sistema devuelve todos los dispositivos dealmacenamiento disponibles. Si el sistema cuenta con un ESM redundante, los dispositivos sedevolverán en la ficha Redundante.

Las particiones raíz y de arranque no están disponibles como opciones de almacenamiento viables.

2 Haga clic en la ficha Local virtual y seleccione un dispositivo de la lista de dispositivos virtualesdisponibles.

La ficha Local virtual solo está disponible si el sistema detecta el almacenamiento virtual.

3 Si la columna Estado indica Formato requerido, haga clic en Formato para aplicar el formato de archivosext4 al dispositivo.

El estado cambiará a Preparado.

Ahora podrá usar este dispositivo para la migración de la base de datos y los grupos dealmacenamiento.



Redundancia de ELMPuede proporcionar redundancia para el registro si agrega un ELM en espera al ELM autónomoprincipal de su sistema.

Para activar la redundancia, defina las direcciones IP y el resto de información de red en dos ELM(véase Configuración de la redundancia de ELM). El ELM en espera debe disponer de dispositivos dealmacenamiento con una cantidad de espacio combinado que coincida con el espacio dealmacenamiento del ELM activo. Tras configurarlos, la configuración de ambos ELM se sincroniza y elELM en espera mantiene la sincronización de los datos entre ambos dispositivos.

Existen varias acciones que se llevan a cabo cuando se emplea la redundancia de ELM: cambiar, volvera poner en servicio, suspender, eliminar y ver el estado. Todas las acciones están disponibles en lapágina Propiedades de ELM | Redundancia de ELM.

Cambio

Si el ELM principal deja de funcionar o es necesario sustituirlo, seleccione Cambiar ELM. El ELM en esperapasa a estar activo y el sistema asocia todos los dispositivos de registro con él. El registro y lasacciones de configuración se bloquean durante el proceso de cambio.

Nueva puesta en servicio

Si el ELM en espera deja de funcionar, es necesario volver a ponerlo en servicio una vez que funcionede nuevo. Si no se detecta ningún cambio en los archivos de configuración, la redundancia semantiene como hasta el momento. En caso de que se detecten diferencias en los archivos, el procesode redundancia continúa para los grupos de almacenamiento que no tengan problemas, pero sedevuelve un estado de error que indica que uno o varios grupos no están configurados. Deberácorregir esos grupos manualmente.

Si el ELM en espera se ha sustituido o reconfigurado, el sistema lo detecta y solicita que se vuelva aaplicar la clave al ELM en espera. A continuación, el ELM activo sincroniza todos los archivos deconfiguración con el ELM en espera y la redundancia continúa como hasta el momento.

Suspensión

Es posible suspender la comunicación con el ELM en espera si ha dejado de funcionar o va a dejar dehacerlo por cualquier motivo. Todas las interrupciones de comunicación y notificaciones de erroresrelativas a la redundancia se enmascaran. Cuando el ELM en espera funcione de nuevo, lleve a cabo elproceso para volver a ponerlo en servicio.

Desactivación de la redundancia en el ELM

Es posible desactivar la redundancia de ELM mediante la opción Quitar. El ELM activo guarda una copiade los archivos de configuración de redundancia. Si se encuentra este archivo de copia de seguridad alactivar la redundancia de ELM, se le preguntará si desea restaurar los archivos de configuraciónguardados.

Visualización del estado

Puede ver detalles sobre el estado de la sincronización de datos entre el ELM en espera y el activo;para ello, seleccione la opción Estado.

Véase también Configuración de la redundancia de ELM en la página 122



Configuración de la redundancia de ELMSi dispone de un dispositivo ELM autónomo en el sistema, puede proporcionar redundancia para elregistro mediante la adición de un ELM en espera.

Antes de empezarDebe contar con un ELM autónomo instalado (véase la Guía de instalación de McAfeeEnterprise Security Manager 9.5.0) y agregado a la consola de ESM (véase Adición dedispositivos a la consola de ESM). También se necesita un ELM autónomo instalado, pero noagregado a la consola. Asegúrese de que no haya datos en el ELM en espera. Póngase encontacto con el Soporte de McAfee si necesita realizar un restablecimiento a los valores defábrica.


1 En el árbol de navegación del sistema, haga clic en el ELM y, a continuación, en el icono Propiedades

.

2 En la página Propiedades de ELM, haga clic en Redundancia de ELM y, a continuación, en Activar.

3 Escriba la dirección IP y la contraseña del ELM en espera y, a continuación, haga clic en Aceptar.

4 En la página Propiedades de ELM, haga clic en Grupos de almacenamiento y compruebe que estéseleccionada la ficha Activo.

5 Agregue dispositivos de almacenamiento al ELM activo (véase Adición de un dispositivo dealmacenamiento para vincular con un grupo de almacenamiento).

6 Haga clic en la ficha En espera y, a continuación, agregue dispositivos de almacenamiento que tengansuficiente espacio combinado para igualar el espacio de almacenamiento del ELM activo.

7 Agregue uno o varios grupos de almacenamiento a cada ELM (véase Adición o edición de un grupode almacenamiento).

La configuración de ambos ELM queda sincronizada y el ELM en espera mantiene la sincronización delos datos entre ambos dispositivos.


Opción Definición

Solo está disponible cuando la redundancia de ELM no está activada.

Activar Haga clic en esta opción y, después, agregue datos sobre el ELM en espera a finde activar la redundancia de ELM.

Solo está disponible cuando la redundancia de ELM está activada.

Quitar Permite desactivar la redundancia en el ELM.

Cambiar ELM Permite intercambiar los ELM de manera que el ELM en espera se convierta en elELM principal. El sistema asociará todos los dispositivos de registro con él. Elregistro y las acciones de configuración se bloquean durante el proceso decambio.

Suspender Permite suspender la comunicación con el ELM en espera si este estáexperimentando problemas. Todas las interrupciones de comunicación ynotificaciones de errores relativas a la redundancia se enmascaran. Cuandovuelva a hacer funcionar el ELM en espera, haga clic en Volver a poner en servicio.



Tabla 3-49 Definiciones de las opciones (continuación)

Opción Definición

Estado Permite ver detalles sobre el estado de la sincronización de los datos entre el ELMen espera y el activo.

Volver a poner enservicio

Permite volver a poner en servicio un ELM en espera reparado o sustituido. Si elsistema vuelve a hacer funcionar el ELM y no detecta ningún cambio en losarchivos de configuración, la redundancia se mantiene como hasta el momento.En caso de que el sistema detecte diferencias, el proceso de redundanciacontinúa para los grupos de almacenamiento que no tengan problemas y se leinforma de que la configuración de uno o varios grupos no es correcta. Corrijatales grupos manualmente.Si sustituye o vuelve a configurar el ELM en espera, el sistema lo detecta y lesolicita que vuelva a regenerarlo. A continuación, el ELM activo sincroniza todoslos archivos de configuración con el ELM en espera y el proceso de redundanciacontinúa como hasta el momento.

Véase también Redundancia de ELM en la página 121

Administración de la compresión de ELMComprima los datos que entran en el ELM a fin de ahorrar espacio en el disco o de procesar másregistros por segundo.

Las tres opciones son Baja (opción predeterminada), Media y Alta. Esta tabla muestra detalles sobre cadanivel.

Nivel Tasa de compresión Porcentaje de compresiónmáximo

Porcentaje de máximo deregistros procesados por segundo

Baja 14:1 72 % 100 %

Media 17:1 87 % 75 %

Alta 20:1 100 % 50 %

Las tasas de compresión reales variarán en función del contenido de los registros.

• Si está más preocupado por ahorrar espacio en el disco que por el número de registros que seprocesan por segundo, elija la compresión alta.

• Si le interesa más procesar un mayor número de registros por segundo que ahorrar espacio en eldisco, elija la compresión baja.

Véase también Establecimiento de la compresión de ELM en la página 123

Establecimiento de la compresión de ELMSeleccione el nivel de compresión para los datos que entran en el ELM a fin de ahorrar espacio en eldisco o de procesar más registros.




1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y, después, haga clic enConfiguración de ELM | Compresión.

2 Seleccione el nivel de compresión de ELM y haga clic en Aceptar.

Se le notificará cuando se actualice el nivel.


Opción Definición

Nivel de compresión de ELM Seleccione Baja, Media o Alta. Véase Establecimiento de la compresión de ELMpara obtener detalles sobre cada una de estas opciones de configuración.

Véase también Administración de la compresión de ELM en la página 123

Creación de copias de seguridad y restauración de ELMCree una copia de seguridad de la configuración actual de los dispositivos ELM para poder restaurarlaen caso de que falle el sistema o se produzca una fuga de datos. Se guardan todas las opciones deconfiguración, incluida la base de datos de registro de ELM. Los registros reales que se almacenan enel ELM no se incluyen en la copia de seguridad.

Se recomienda duplicar los dispositivos que almacenan los datos de registro en el ELM, así comoduplicar la base de datos de administración de ELM. La función de duplicación permite la creación decopias de seguridad de los datos de registro en tiempo real.




1 En el árbol de navegación del sistema, seleccione Propiedades de ELM.

2 Asegúrese de tener seleccionada la opción Información de ELM y haga clic en Copia de seguridad yrestauración.



Crear copia de seguridad de ELM ahora Proporcione la información solicitada y haga clic en Haceruna copia de seguridad ahora.

Crear copia de seguridad de laconfiguración de ELM automáticamente

Seleccione la frecuencia y proporcione la informaciónnecesaria.

Restaurar una copia de seguridad ahora Haga clic en Restaurar copia de seguridad. La base de datosde ELM se restaurará a la configuración de una copia deseguridad anterior.


Opción Definición

Frecuencia de copia de seguridad Si desea crear una copia de seguridad de la configuraciónautomáticamente, seleccione esta opción y defina la frecuencia.

Ubicación de copia de seguridad Seleccione el tipo de recurso compartido e introduzca la informaciónsobre la ubicación remota donde se almacene la información.


Hacer una copia de seguridadahora

Permite crear una copia de seguridad inmediatamente.

Restaurar copia de seguridad Permite restaurar la base de datos de ELM a la configuración de unacopia de seguridad anterior. El almacenamiento de datos de ELM no serestaura.

Restaurar ELM Permite restaurar la base de datos de administración y elalmacenamiento de datos de ELM.

Restauración de los datos de registro y la base de datos de administraciónde ELMSi desea reemplazar un ELM, restaure la base de datos de administración y los datos de registro en elnuevo ELM. Para que esto funcione, los datos de registro y de la base de datos deben duplicarse.

Para restaurar los datos de un ELM antiguo a otro ELM nuevo, no cree un ELM nuevo mediante elAsistente de adición de dispositivos.


1 En el árbol de navegación del sistema, seleccione la opción Propiedades de ELM correspondiente al ELMque se va a reemplazar.

Una página de advertencia le informará de que el sistema no puede localizar el ELM.

2 Cierre la página de advertencia y haga clic en Conexión.



3 Introduzca la dirección IP del nuevo ELM y haga clic en Administración de claves | Aplicar clave a dispositivo.

Se le informará cuando se aplique la clave al nuevo dispositivo de forma correcta.

4 Introduzca la contraseña que desee asociar al dispositivo y haga clic en Siguiente.

5 Haga clic en Información de ELM | Copia de seguridad y restauración | Restaurar ELM.

6 Vuelva a sincronizar todos los dispositivos que registren en el ELM mediante la opción Sincronizar ELMde la página Propiedades | Configuración de cada dispositivo.

La base de datos de administración y los datos de registro de ELM almacenados se restaurarán en elnuevo ELM. Este proceso puede durar varias horas.

Definición de una ubicación de almacenamiento alternativaA fin de almacenar los registros de la base de datos de administración de ELM en una ubicación ajenaal ELM, es necesario definir la ubicación de almacenamiento alternativa. También se puede seleccionarun segundo dispositivo para duplicar lo que se almacene.


1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y, después, haga clic enConfiguración de ELM | Migrar base de datos.

2 Seleccione el dispositivo de almacenamiento y un dispositivo de duplicación.



Opción Definición

Gigabytes de espacio Establezca la cantidad de espacio que se debe asignar a la base dedatos de administración.

Dispositivos de almacenamientode datos

Seleccione la ubicación para almacenar la base de datos deadministración.

Si necesita agregar un dispositivo a la lista o editar un dispositivo queaparece en la lista, véase Adición de un dispositivo dealmacenamiento para vincular con un grupo de almacenamiento.

Dispositivo de almacenamientode datos duplicado

Seleccione una segunda ubicación de almacenamiento para duplicar eldispositivo de almacenamiento de datos.

Si amplía el sistema desde una versión anterior a la 9.0, la primeravez que seleccione la duplicación de cualquiera de los dispositivosexistentes el proceso tardará bastante tiempo.

Véase también Migración de la base de datos de ELM en la página 127Sustitución de una base de datos de administración de ELM duplicada en la página 127

Visualización del uso de almacenamiento de ELMLa visualización del uso del almacenamiento de ELM puede ayudarle a tomar decisiones sobre laasignación de espacio en el dispositivo.




1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Administración deELM.

2 Haga clic en Ver uso.

Aparecerá la página Estadísticas de uso, donde se muestran las estadísticas correspondientes a losgrupos y el dispositivo de almacenamiento de ELM.


Migración de la base de datos de ELMLa base de datos de ELM almacena los registros que rastrean los archivos de registro enviados al ELM.La cantidad de espacio en el disco disponible en el dispositivo ELM para almacenar la base de datos deadministración depende del modelo.

Al agregar el dispositivo por primera vez, el sistema verifica si tiene espacio libre suficiente en el discopara almacenar los registros. De no ser así, se le instará a definir una ubicación alternativa para elalmacenamiento de la base de datos de administración. Si el dispositivo cuenta con espacio suficienteen el disco pero prefiere guardar la base de datos en una ubicación alternativa, puede utilizar Migrarbase de datos en la página Propiedades de ELM para establecer esa ubicación.

Migrar base de datos se puede utilizar en cualquier momento. No obstante, si migra la base de datos deadministración una vez que contiene registros, la sesión de ELM permanece en espera durante variashoras hasta que finaliza la migración, en función del número de registros que contenga. Serecomienda definir esta ubicación alternativa al configurar el dispositivo por primera vez.

Véase también Definición de una ubicación de almacenamiento alternativa en la página 126Sustitución de una base de datos de administración de ELM duplicada en la página 127

Sustitución de una base de datos de administración de ELM duplicadaSi el dispositivo de almacenamiento de la base de datos de administración duplicada tiene unproblema, podría ser necesario sustituirlo.


1 En el árbol de navegación del sistema, seleccione el dispositivo ELM con el dispositivo dealmacenamiento de la base de datos de administración que tiene el problema y haga clic en el

icono Propiedades .

2 Haga clic en Configuración de ELM y seleccione Migrar base de datos.

3 En el campo Dispositivos de almacenamiento de datos, seleccione el dispositivo indicado en la listadesplegable Dispositivo de almacenamiento de datos duplicado.

4 Seleccione un dispositivo nuevo en el campo Dispositivo de almacenamiento de datos duplicado, o bienseleccione Ninguno para detener la duplicación.

Si el dispositivo que desea no aparece en la lista desplegable, agréguelo antes a la tabla Dispositivo dealmacenamiento.



Véase también Migración de la base de datos de ELM en la página 127Definición de una ubicación de almacenamiento alternativa en la página 126

Recuperación de datos de ELMPara recuperar datos del ELM, es necesario crear trabajos de búsqueda y comprobación de integridaden la página Datos.

Un trabajo de comprobación de integridad comprueba si los archivos definidos han sido alteradosdesde que se almacenaron originalmente. Esto puede alertar de la modificación no autorizada dearchivos de contenido o archivos críticos del sistema. Los resultados de esta comprobación muestranqué archivos han sido alterados. Si ninguno lo ha sido, se le notificará que la comprobación ha sidocorrecta.

El sistema está limitado a un total de cincuenta trabajos de búsqueda y comprobación de integridadsimultáneos. Si hay más de cincuenta en el sistema, se le informará de que la búsqueda no se puederealizar. Si hay búsquedas existentes en el sistema, puede eliminarlas para poder llevar a cabo lanueva búsqueda. Si no tiene búsquedas existentes, el administrador del sistema deberá eliminar lostrabajos de búsqueda o comprobación de integridad iniciados por otros usuarios para que pueda llevara cabo su búsqueda.

Una vez iniciada una búsqueda, continúa ejecutándose hasta que termina o alcanza alguno de loslímites establecidos, incluso si se cierra la página Datos. Puede volver a esta pantalla a fin decomprobar el estado, que aparece en la tabla Resultados de la búsqueda.

Véase también Creación de un trabajo de búsqueda en la página 128Creación de un trabajo de comprobación de integridad en la página 128Visualización de los resultados de una búsqueda o una comprobación de integridad en lapágina 130Utilización de expresiones regulares para realizar consultas en el ELM en la página 131

Creación de un trabajo de búsquedaPara buscar en el ELM archivos que coincidan con sus criterios, es necesario definir un trabajo debúsqueda en la página Datos. Ninguno de los campos de esta pantalla es obligatorio; no obstante,cuanto mejor defina la búsqueda, más probable será que pueda recuperar los datos que necesita.

Procedimiento

1 Desde el panel, haga clic en y seleccione Búsqueda de ELM.

2 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Datos.

3 En la ficha Buscar registros y archivos, rellene la información solicitada y haga clic en Buscar.

Véase también Recuperación de datos de ELM en la página 128Creación de un trabajo de comprobación de integridad en la página 128Visualización de los resultados de una búsqueda o una comprobación de integridad en lapágina 130Utilización de expresiones regulares para realizar consultas en el ELM en la página 131

Creación de un trabajo de comprobación de integridadEs posible comprobar si los archivos han sido alterados desde que se almacenaron originalmente através de la creación de un trabajo de comprobación de integridad en la página Datos. Ninguno de loscampos de la ficha Comprobación de integridad es obligatorio; no obstante, cuanto mejor defina la



búsqueda, más probable será que pueda verificar la integridad de los datos que necesita en el menortiempo.

Procedimiento1 Desde el panel, haga clic en y seleccione Búsqueda de ELM.

2 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Datos.

3 Haga clic en la ficha Comprobación de integridad, realice las selecciones solicitadas y haga clic en Buscar.


Opción Definición

Registros, Archivos Indique si desea comprobar los registros de ELM, los archivos de ELM oambos.

Espacio de tiempo Indique el espacio de tiempo de los datos que se deben comprobar.

Dispositivo Haga clic en el icono de filtrado y seleccione los dispositivos que secomprobarán.

Tipo de dispositivo Haga clic en el icono de filtrado y seleccione los tipos de dispositivosque se comprobarán.

Nombre de archivo Si desea que se compruebe un archivo concreto, escriba su nombre.

En el nombre de archivo sedistingue entremayúsculas y minúsculas

Si desea que no se distinga entre mayúsculas y minúsculas en el nombrede archivo, seleccione esta opción.

Limitar tiempo debúsqueda

Para limitar el tiempo que se dedica a la búsqueda, seleccione el número dehoras. Si selecciona cero, no existirá límite de tiempo.

Tamaño máx. del archivode resultados

A fin de limitar el tamaño del archivo de resultados, seleccione el númeromáximo de MB.

Campo abierto Escriba un nombre descriptivo para el trabajo.

Buscar Haga clic aquí para iniciar el trabajo.

Resultados de la búsqueda Ver la lista de los trabajos completados. El estado de cada trabajo seindicará en la columna Estado.• En espera: el trabajo aún no ha empezado a procesarse. El sistema solo

puede procesar diez trabajos a la vez, y los procesa en el orden derecepción.

• En ejecución: el trabajo está en curso.

• Completo: el trabajo ha finalizado. Puede ver los resultados o descargar laexportación.

• Límite alcanzado: se ha alcanzado el límite de tiempo o tamaño. Es posiblever los resultados, pero no están completos.

Ver Ver los resultados del trabajo seleccionado.

Exportar Exportar los resultados del trabajo seleccionado.

Se podrían perder todas las búsquedas de ELM si se elimina más de unaunidad extra de la máquina virtual de ESM al mismo tiempo. Para evitarperder los resultados, exporte los resultados de búsqueda de ELM.

Eliminar Marcar el trabajo seleccionado para su eliminación.

Volver a cargar búsqueda Llevar a cabo el trabajo seleccionado de nuevo.



Véase también Recuperación de datos de ELM en la página 128Creación de un trabajo de búsqueda en la página 128Visualización de los resultados de una búsqueda o una comprobación de integridad en lapágina 130Utilización de expresiones regulares para realizar consultas en el ELM en la página 131

Visualización de los resultados de una búsqueda o una comprobación de integridadCuando termina un trabajo de comprobación de integridad o de búsqueda, es posible ver losresultados.

Antes de empezarEjecute un trabajo de búsqueda o comprobación de integridad que produzca resultados.

Procedimiento1 Desde el panel, haga clic en y seleccione Búsqueda de ELM.

2 Haga clic en Datos y seleccione la ficha Buscar registros y archivos o la ficha Comprobación de integridad.

3 Resalte el trabajo que desee ver en la tabla Resultados de la búsqueda y haga clic en Ver.

Los resultados del trabajo aparecerán en la página Resultados de búsqueda de ELM.

Se pueden perder todas las búsquedas de ELM si se elimina más de una unidad extra de la máquinavirtual de ESM al mismo tiempo. Para evitar perder los resultados, exporte los resultados de búsquedade ELM.


Opción Definición

Parámetros Ver los parámetros utilizados para generar los resultados de la página.

Exportar Exportar un resumen de los datos.

Se podrían perder todas las búsquedas de ELM si se elimina más de una unidad extrade la máquina virtual de ESM al mismo tiempo. Para evitar perder los resultados,exporte los resultados de búsqueda de ELM.

Descargar archivo Para guardar los datos de archivos específicos, resalte los archivos en la tabla y hagaclic en esta opción.

Valor Ver el valor del elemento seleccionado en la lista.

Véase también Recuperación de datos de ELM en la página 128Creación de un trabajo de búsqueda en la página 128Creación de un trabajo de comprobación de integridad en la página 128Utilización de expresiones regulares para realizar consultas en el ELM en la página 131



Utilización de expresiones regulares para realizar consultas en el ELMEl ELM utiliza índices de Bloom para optimizar las consultas. Aunque pueden utilizarse la mayoría deexpresiones regulares compatibles con PERL (PCRE) para las búsquedas del ELM, no todas las PCREpueden optimizarse para el uso de Bloom.

Aunque el optimizador de expresiones regulares de Bloom realiza un ajuste previo para ofrecerbúsquedas óptimas, es posible obtener un rendimiento aún mejor de las consultas si se tienen encuenta algunas cosas.

• Solo pueden utilizarse las partes obligatorias de la expresión regular para el filtrado de Bloom. Elfiltro de Bloom solo emplea las subcadenas de la expresión regular que existen en todas lascadenas coincidentes. La única excepción es que se puede utilizar una agrupación de OR de unnivel de profundidad como (seth|matt|scott|steve).

• No se pueden utilizar las partes obligatorias de una expresión regular con menos de cuatrocaracteres. Por ejemplo, seth.*grover utiliza seth y grover con Bloom, pero tom.*wilson soloemplea wilson porque tom es demasiado corto.

• Las agrupaciones de OR que contienen subcadenas no constantes o una subcadena demasiadocorta no se pueden utilizar. Por ejemplo, no se puede utilizar (start|\w\d+|ending) porque elelemento central de la lista de OR no es una constante que se pueda buscar en Bloom. Otroejemplo sería (seth|tom|steve), que no se puede utilizar porque tom es demasiado corto; sinembargo, se podría utilizar (seth|matt|steve).

El proceso del optimizador de base de datos ejecuta la consulta de expresión regular para Bloom. Esteoptimizador deconstruye la expresión regular y localiza las subcadenas constantes obligatorias.

A modo de ejemplo, la expresión regular original es:

\|\|(626|629|4725|4722)\|\|.*\|\|(bbphk)\|\|

La única parte de esta expresión que utiliza Bloom es bbphk. Este cambio reduce el conjunto debúsqueda de más de un millón de archivos a tan solo 20 000.

La expresión regular se puede optimizar aún más de la forma siguiente:

(\|\|626\|\||\|\|629\|\||\|\|4725\|\||\|\|4722\|\|).*\|\|bbphk\|\|

En este ejemplo, se ha desplazado \|\| de antes y después del primer grupo a delante y detrás decada elemento del grupo, lo cual tiene dos consecuencias:

• Permite la inclusión de los caracteres de barra vertical.

• Permite que los elementos del primer grupo, que se ignoraban porque solo tenían tres caracteres,contengan más de cuatro, lo que implica que pueden utilizarse.

Además, los paréntesis en torno a bbphk se han eliminado, puesto que no se necesitaban e indicabanal filtro de Bloom que se trataba de un nuevo subgrupo. La realización de estos tipos de ajustesmanuales en la expresión regular puede reducir de forma eficaz la búsqueda todavía más, hasta llegara unos 2000 archivos solamente.

Véase también Recuperación de datos de ELM en la página 128Creación de un trabajo de búsqueda en la página 128Creación de un trabajo de comprobación de integridad en la página 128Visualización de los resultados de una búsqueda o una comprobación de integridad en lapágina 130



Configuración de Advanced Correlation Engine (ACE)McAfee Advanced Correlation Engine (ACE) identifica y califica los eventos de amenaza en tiempo realmediante la lógica basada tanto en reglas como en el riesgo.

Solo tiene que identificar lo que le resulta valioso (usuarios o grupos, aplicaciones, servidoresespecíficos o subredes) y el ACE le alertará si el activo está amenazado. Las pistas de auditoría y lasreproducciones históricas son compatibles con el ajuste de reglas, la conformidad y el análisis forense.

El ACE se puede configurar con los modos en tiempo real o histórico.

• Modo en tiempo real: los eventos se analizan a medida que se recopilan para la deteccióninmediata de riesgos y amenazas.

• Modo histórico: se reproducen los datos disponibles recopilados mediante uno de los motores decorrelación o ambos para la detección histórica de amenazas y riesgos. Cuando el ACE descubrenuevos ataques zero-day, determina si la organización ha estado expuesta al ataque en el pasado,permitiendo así la detección de amenazas subzero-day.

Los dispositivos ACE complementan las capacidades de correlación de eventos existentes en el ESM,ya que proporcionan dos motores de correlación dedicados. Puede aplicar a cada dispositivo ACE unaconfiguración propia para administradores de riesgos, recuperación de registros y eventos, conexión ydirectivas.

• Correlación de riesgos: genera una calificación de riesgo mediante la correlación sin reglas. Lacorrelación basada en reglas solo detecta patrones de amenazas conocidas, lo cual requiere unajuste constante de las firmas y actualizaciones para que resulte efectiva. En la correlación sinreglas, las firmas de detección se sustituyen por una configuración única: basta con identificar loque es importante para la empresa (como un servicio o una aplicación particulares, un grupo deusuarios o tipos concretos de datos). La Correlación de riesgos rastrea entonces toda la actividadrelacionada con estos elementos, creando así una calificación de riesgo dinámica que sube o bajaen función de la actividad en tiempo real.

Cuando una calificación de riesgo supera un umbral determinado, el ACE genera un evento y alertadel aumento del nivel de amenaza. Otra posibilidad es que el motor de correlación basado enreglas tradicional emplee el evento como condición para un incidente más amplio. El ACE conservauna pista de auditoría completa de las calificaciones de riesgo a fin de permitir todo tipo de análisise investigaciones sobre la situación de las amenazas a lo largo del tiempo.

• Correlación basada en reglas: detecta las amenazas a través de la correlación de eventostradicional basada en reglas para analizar la información recopilada en tiempo real. El ACEcorrelaciona todos los registros, eventos y flujos de red junto con información contextual comoidentidad, funciones, vulnerabilidades, etc. a fin de detectar patrones indicativos de una amenazamayor.

Los Event Receivers son compatibles con la correlación basada en reglas para toda la red. El ACEcomplementa esta capacidad y proporciona un recurso de procesamiento dedicado paracorrelacionar volúmenes aún mayores de datos, ya sea como suplemento de los informes decorrelación existentes o para sustituirlos por completo.

Puede aplicar a cada dispositivo ACE una configuración propia para administradores de riesgos,recuperación de registros y eventos, conexión y directivas.

Selección del tipo de datos para el ACEESM recopila datos tanto de eventos como de flujos. Seleccione qué tipo de datos se deben enviar alACE. La opción predeterminada es enviar solo datos de eventos.




1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Configuración ACE.

2 Haga clic en Datos y seleccione Datos de evento, Datos de flujo o ambos.


Adición de un administrador de correlaciónPara utilizar la correlación de reglas o riesgos, es necesario agregar administradores de correlación dereglas o riesgos.

Antes de empezarDebe existir un dispositivo ACE en el ESM (véase Adición de dispositivos a la consola deESM).


1 En el árbol de navegación del sistema, seleccione Propiedades de ACE.

2 Haga clic en Administración de correlación y, después, en Agregar.

3 Seleccione el tipo de administrador que desee crear y haga clic en Aceptar.

Véase Configuración de Advanced Correlation Engine (ACE) para obtener información sobre los tiposde administradores.

4 Introduzca la información solicitada y, a continuación, haga clic en Finalizar.

Adición de un administrador de correlación de riesgosEs necesario agregar administradores a fin de contribuir al cálculo de los niveles de riesgo para loscampos designados.




1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Administración decorrelación de riesgos.

2 Haga clic en Agregar y rellene la información solicitada en cada una de las fichas.

3 Haga clic en Finalizar y, después, en Escribir para escribir los administradores en el dispositivo.


Opción Definición

Tabla Ver los administradores de correlación existentes en el ACE.

Agregar Agregar un nuevo administrador de correlación.

Editar Editar el administrador de correlación seleccionado.

Quitar Eliminar el administrador seleccionado.

Activado Activar el administrador seleccionado.

Número máximo de combinacionesde campo

Seleccione el número máximo de combinaciones de campos quepuede tener un administrador. Este límite contribuye a mejorar eltiempo de procesamiento en el sistema. Se trata de un número decuatro cifras.

Escribir Escribir los administradores de correlación en el dispositivo.


Ficha Opción Definición

Principal Nombre Escriba un nombre para el administrador.

Activar Anule la selección de esta opción si desea desactivar eladministrador.

Usar datos de eventos,Usar datos de flujos

Seleccione una opción o ambas para indicar el tipo de datos quedesee usar.

Si selecciona Usar datos de flujos, también debe dirigirse a Propiedades deACE | Configuración ACE | Datos y seleccionar Datos de flujo.

Registro, Grupos dealmacenamiento

Seleccione Registro para guardar los registros en el ELM. Seleccione elgrupo de almacenamiento del ELM donde quiera que se guarden losregistros.

Si no ha seleccionado un ELM para almacenar los datos, véaseEstablecimiento del grupo de registro predeterminado.

Zona Si desea que los datos se asignen a una zona, selecciónela en la listadesplegable (véase Administración de zonas).

Tolerancia de orden detiempo

(Solo Correlación de reglas) Seleccione la cantidad de tiempo que loseventos pueden estar fuera de lugar según la correlación de reglas.Por ejemplo, si el valor es 60 minutos, se utilizará un evento con 59minutos de retraso.

Campos Campo Seleccione los campos que debe usar este administrador paracorrelacionar los eventos (máximo de cinco por administrador).





Porcentaje Seleccione el porcentaje que desee para cada campo. El total debesumar una calificación global del 100 %.

Las actualizaciones de riesgo, cuando se encuentran por debajo del100 % del nivel crítico, informan de su criticidad según lo que sehaya definido como Información, Leve, Advertencia, Grave y Crítico(véase la ficha Umbrales). Por ejemplo, si su idea de Informacióncorresponde al 50 % del valor crítico cuando el riesgo está al 50 %de criticidad, la gravedad será en realidad 20 en lugar de 50.

Correlacionar Seleccione esta opción si no desea que se use un campo paradeterminar la exclusividad. Debido a la memoria necesaria, no serecomienda la correlación con respecto a varios campos decardinalidad alta.

El número de líneas de riesgo generadas dependerá del número decombinaciones exclusivas de todos los campos correlacionados.

Umbrales Sección superior Permite establecer los umbrales de calificación para activar unevento por cada nivel de criticidad.

Sección inferior Permite establecer la tasa de reducción de la calificación. Laconfiguración predeterminada establece que, por cada 120 segundosque una calificación esté en un contenedor, se reducirá en un 10 %hasta que alcance una calificación de 5. Entonces, se elimina elcontenedor de los valores de campos exclusivos.

Filtros AND lógico, OR lógico Permiten configurar la estructura para los filtros mediante elementoslógicos (véase Elementos lógicos).

Componente de filtradode campos Arrastre y suelte el icono Coincidir componente en un elemento lógico

y, después, rellene la página Agregar campo de filtro.

Para editar las condiciones de un componente una vez agregado a

un elemento lógico, haga clic en el icono Menú correspondiente alcomponente y seleccione Editar. Esto le permitirá realizar cambios enla configuración.

Adición de una calificación de correlación de riesgosEs necesario agregar sentencias condicionales que asignen una calificación a un campo de destino.




1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Calificación decorrelación de riesgos.




Opción Definición

Tabla Ver las calificaciones de correlación de riesgos existentes.

Agregar Permite agregar una calificación de correlación de riesgos.

Editar Cambiar la configuración de la calificación seleccionada.

Quitar Eliminar la calificación seleccionada.

Activado Seleccione esta opción si desea activar la calificación de correlación de riesgos para lasentencia condicional seleccionada. La configuración se refleja en la columna Activado dela tabla.

Escribir Escribir la nueva configuración en el dispositivo.


Opción Definición

Calificación activada Seleccione esta opción si desea activar la sentencia condicional.

Tipo de datos Seleccione el tipo de datos que desee que resulte visible para la sentenciacondicional. Puede seleccionar Evento, Flujo o ambos tipos.

Campo de calificación Busque el campo que recibirá la calificación deseada.

Campo de búsqueda Busque el campo con el que hacer coincidir el tipo de origen.

Tipo de origen Seleccione el tipo de origen que utilizar para la comparación. Si el tipo deorigen seleccionado contiene un valor de calificación además del valor decoincidencia, se aplicará esa calificación; también es posible asignar unacalificación introducida manualmente si se marca la casilla de verificaciónde la columna Usar calificación.

Valor Escriba o seleccione el valor de comparación. Las opciones disponibles enesta columna varían en función del tipo de origen seleccionado en lacolumna anterior.

Usar calificación Seleccione la casilla de verificación para utilizar una calificación introducidamanualmente.

Calificación La calificación que se asignará al Campo de calificación seleccionado. Existe laposibilidad de aplicar una calificación fusionada al campo de calificacióncuando se introducen varias reglas en la cuadrícula.

Ponderación Ponderación asignada a la fila o el tipo de origen para una calificaciónfusionada de la sentencia condicional. No puede superar el 100 %.

Botón Agregar fila Permite agregar una nueva fila condicional a la sentencia condicionalgeneral.




Opción Definición

Ponderación total Total de cada una de las filas o tipos de origen bajo la columna deponderación.

Intervalo de calificación deriesgo actual para

El intervalo de calificación que se puede asignar al campo seleccionadocomo campo de calificación en función del resultado de las filascondicionales.

Utilización de la correlación históricaLa opción de correlación histórica permite correlacionar los eventos pasados.

Cuando se descubre una vulnerabilidad nueva, es importante comprobar los eventos y registroshistóricos para ver si ha sido víctima de algún exploit en el pasado. La función de reproducción de redfácil del ACE permite reproducir los eventos históricos mediante el motor de correlación sin reglas deCorrelación de riesgos y el motor de correlación de eventos estándar basado en reglas, con lo cual esposible examinar los eventos históricos con respecto al panorama de amenazas actual. Esto puederesultar útil en las siguientes situaciones:

• No tenía la correlación activada en el momento en que se activaron ciertos eventos y se da cuentade que la correlación podría haber revelado información valiosa.

• Está configurando una nueva correlación en función de los eventos activados en el pasado y deseaprobarla para confirmar que ofrece los resultados esperados.

Tenga en cuenta lo siguiente cuando utilice la correlación histórica:

• La correlación en tiempo real deja de funcionar hasta que se desactiva la correlación histórica.

• La distribución de riesgo se verá distorsionada por la agregación de eventos.

• Al pasar de nuevo a la correlación de riesgos en tiempo real en el administrador de riesgos, esnecesario ajustar los umbrales.

Para configurar y ejecutar la correlación histórica es necesario:

1 Agregar un filtro de correlación histórica.

2 Ejecutar una correlación histórica.

3 Descargar y ver los eventos históricos correlacionados.

Véase también Adición y ejecución de una correlación histórica en la página 137Descarga y visualización de los eventos de correlación histórica en la página 138

Adición y ejecución de una correlación históricaA fin de correlacionar los eventos pasados, es necesario configurar un filtro de correlación histórica y,después, ejecutar la correlación.


1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Histórica.




3 Seleccione Activar correlación histórica y haga clic en Aplicar.

La correlación en tiempo real deja de funcionar hasta que se desactiva la correlación histórica.

4 Seleccione los filtros que desee ejecutar y haga clic en Ejecutar ahora.

El ESM revisa los eventos, aplica los filtros y empaqueta los eventos aplicables.


Opción Definición

Activar correlación histórica Seleccione esta opción si desea que la correlación histórica esté activada en elACE.

La correlación en tiempo real deja de funcionar cuando se activa la correlaciónhistórica.

Tabla Ver los filtros que hay actualmente en el ACE.

Agregar Agregar un filtro para recuperar datos de eventos de correlación histórica.

Editar Cambiar la configuración de filtrado para el filtro seleccionado.

Quitar Eliminar un filtro.

Ejecutar ahora Ejecutar los filtros seleccionados en ese momento. El ESM revisa los eventos,aplica los filtros y empaqueta los eventos aplicables.


Opción Definición

Nombre Escriba un nombre para este filtro.

Espacio de tiempo Seleccione el espacio de tiempo para correlacionar los eventos históricos.

Resto de campos Seleccione o escriba los valores por los que desee filtrar. Aparecerá una sugerenciasobre el campo en el que haga clic en la parte inferior de la página.

Véase también Utilización de la correlación histórica en la página 137

Descarga y visualización de los eventos de correlación históricaUna vez ejecutada la correlación histórica, es posible descargar y ver los eventos que ha generado.


1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Eventos y registros |Obtener eventos.

Los eventos resultantes de la ejecución de la correlación histórica se descargarán al ESM.

2 Cierre la ventana Propiedades de ACE.



3 Para ver los datos:

a En el árbol de navegación del sistema, seleccione el dispositivo ACE para el que acaba deejecutar los datos históricos.

b En la lista desplegable correspondiente al periodo de tiempo de la barra de herramientas,seleccione el periodo especificado al configurar la ejecución.

Los resultados de la consulta aparecerán en el panel de visualización.

Véase también Utilización de la correlación histórica en la página 137

Configuración de Application Data Monitor (ADM)McAfee Application Data Monitor (ADM) rastrea el uso de todos los tipos de datos confidenciales en lared mediante el análisis de los protocolos subyacentes, la integridad de las sesiones y el contenido delas aplicaciones.

Cuando ADM detecta una infracción, conserva todos los detalles de la sesión de aplicación para su usoen la respuesta ante incidentes y el análisis forense, o bien de acuerdo con los requisitos de auditoríade conformidad. Al mismo tiempo, ADM proporciona visibilidad con respecto a las amenazas que seenmascaran como aplicaciones legítimas.

ADM puede detectar la transmisión de información confidencial en los datos adjuntos de correoelectrónico, los mensajes instantáneos, las transferencias de archivos, las solicitudes HTTP POST uotras aplicaciones. Cabe la posibilidad de personalizar las capacidades de detección de ADM mediantela definición de diccionarios propios de información confidencial y delicada. Al hacerlo, ADM puededetectar estos tipos de datos confidenciales, alertar al personal apropiado y registrar la transgresión afin de conservar una traza de auditoría.

ADM supervisa, descodifica y detecta anomalías en los siguientes protocolos de aplicación.

• Transferencia de archivos: FTP, HTTP, SSL (configuración y certificados únicamente)

• Correo electrónico: SMTP, POP3, NNTP, MAPI

• Chat: MSN, AIM/Oscar, Yahoo, Jabber, IRC

• Correo web: Hotmail, Hotmail DeltaSync, Yahoo Mail, AOL Mail, Gmail

• P2P: Gnutella, bitTorrent

• Shell: SSH (solo detección), Telnet

ADM acepta expresiones de regla y las comprueba en relación con el tráfico supervisado, tras lo cualinserta registros en la tabla de eventos de la base de datos por cada regla activada. Almacena elpaquete que activó la regla en el campo correspondiente de la tabla de eventos. También agregametadatos de nivel de aplicación a las tablas de consultas y dbsession de la base de datos por cadaregla activada. Almacena una representación en texto de la pila del protocolo en el campo de paquetede la tabla de consultas.

ADM puede generar los siguientes tipos de eventos.



• Metadatos: ADM genera un evento de metadatos por cada transacción que tiene lugar en la redcon detalles tales como direcciones, protocolo, tipo de archivo y nombre de archivo. La aplicacióncoloca los eventos de metadatos en la tabla de consultas y los agrupa a través de la tabla desesiones. Por ejemplo, si se transfieren tres archivos en una sesión FTP, ADM los agrupa juntos.

• Anomalía de protocolo: las anomalías de protocolo están codificadas de forma permanente enlos módulos de protocolo e incluyen eventos tales como que un paquete TCP sea demasiado corto opara contener un encabezado válido y que un servidor SMTP devuelva un código de respuesta noválido. Los eventos de anomalía de protocolo son poco comunes y se incluyen en la tabla deeventos.

• Activador de regla: los eventos de activación de reglas se generan mediante expresiones de reglaque detectan anomalías en los metadatos generados por el motor de Internet CommunicationsEngine (ICE). Estos eventos podrían incluir anomalías tales como protocolos utilizados fuera de lashoras habituales o que un servidor SMTP se comunique inesperadamente mediante FTP. Loseventos de activación de reglas deberían ser poco habituales, y se colocan en la tabla de eventos.

La tabla de eventos contiene un registro por cada anomalía de protocolo o evento de activación deregla detectados. Los registros de evento se vinculan a las tablas de sesiones y consultas mediante elID de sesión (sessionid), donde hay disponibles más detalles sobre las transferencias de red (eventosde metadatos) que activaron el evento. Cada evento está vinculado también con la tabla de paquetes,donde hay disponibles datos de paquete sin procesar sobre el paquete que activó el evento.

La tabla de sesiones contiene un registro por cada grupo de transferencias de red relacionadas (talescomo un grupo de transferencias de archivos mediante FTP en una misma sesión). Los registros desesión están vinculados con la tabla de consultas a través del ID de sesión, donde se encuentran másdetalles acerca de las transferencias de red individuales (eventos de metadatos). Además, si unatransferencia de la sesión provoca una anomalía de protocolo o activa una regla, existe un vínculo a latabla de eventos.

La tabla de consultas contiene un registro por cada evento de metadatos (transferencias de contenidoque tienen lugar en la red). Los registros de consulta se vinculan a la tabla de sesiones a través del IDde sesión. Si la transferencia de red representada por el registro activa una anomalía de protocolo ouna regla, existe un vínculo con la tabla de eventos. También existe un vínculo con la tabla depaquetes mediante el campo de texto, donde se encuentra una representación textual de la pila decontenido o el protocolo completo.

Configuración de la zona horaria de ADMEl dispositivo ADM está configurado para GMT, pero el código de ADM está preparado para que eldispositivo se configure de acuerdo con su zona horaria. Como resultado, las reglas emplean elactivador de tiempo como si se encontrara en GMT, en lugar de hacerlo cuando se espera.

El ADM se puede configurar de acuerdo con la zona horaria de su elección. Esto se tiene en cuenta a lahora de evaluar las reglas.


1 En el árbol de navegación del sistema, seleccione Propiedades de ADM y haga clic en Configuración de ADM.

2 Haga clic en Zona horaria y seleccione su zona horaria.


Visualización de contraseñas en el Visor de sesiónEl Visor de sesión permite ver los detalles de las últimas 25 000 consultas del ADM de una sesión. Lasreglas correspondientes a algunos de los eventos podrían estar relacionadas con las contraseñas. Es



posible indicar si se deben mostrar o no las contraseñas en el Visor de sesión. De forma predeterminada,no se muestran.


1 En el árbol de navegación del sistema, seleccione Propiedades de ADM y haga clic en Configuración de ADM.

La opción Contraseñas indica que el registro está Desactivado.

2 Haga clic en Contraseñas, seleccione Activar registro de contraseñas y, después, haga clic en Aceptar.

El sistema ejecutará el comando y le avisará cuando haya terminado.

La opción Contraseñas indica ahora que el registro está Activado.

Diccionarios de Application Data Monitor (ADM)Cuando se escriben reglas para ADM, es posible recurrir a diccionarios que convierten las clavescapturadas en la red en valores definidos. Asimismo, se pueden ver las claves sin valor que empleande forma predeterminada el valor booleano verdadero cuando están presentes.

Los diccionarios de ADM permiten especificar las claves de un archivo con rapidez en lugar de tenerque escribir una regla individual por cada palabra. Por ejemplo, configurar una regla a fin deseleccionar el correo electrónico que contenga palabras concretas, compilar un diccionario conpalabras inadecuadas e importar este diccionario. Es posible crear una regla como la siguiente paracomprobar la existencia de correo electrónico que contenga alguna de las palabras del diccionario:

protocol == email && naughtyWords[objcontent]

Cuando se escribe una regla mediante el editor de reglas de ADM, cabe la posibilidad de seleccionar eldiccionario al que debe hacer referencia la regla.

Los diccionarios admiten millones de entradas.

La adición de un diccionario a una regla implica los pasos siguientes:

1 Configurar y guardar un diccionario que incluya las claves y, si procede, los valores.

2 Administrar el diccionario en el ESM.

3 Asignar el diccionario a una regla.

Véase también Configuración de un diccionario de ADM en la página 141Administración de diccionarios de ADM en la página 145Cómo hacer referencia a un diccionario de ADM en la página 143Ejemplos de diccionarios de ADM en la página 144

Configuración de un diccionario de ADMUn diccionario es un archivo de texto sin formato que consta de una entrada por línea. Haydiccionarios de una columna y de dos columnas. Cuando existen dos columnas, se incluyen tanto unaclave como un valor.

Las claves pueden ser IPv4, MAC, números, expresiones regulares y cadenas. Los tipos de valores sonbooleanos, IPv4, IPv6, MAC, números y cadenas. El valor es optativo y, de forma predeterminada, seutiliza el valor booleano verdadero si no se indica otro.



Los valores de un diccionario de una o dos columnas deben ser de los tipos admitidos por ADM:cadena, expresión regular, número, IPv4, IPv6 o MAC. Los diccionarios de ADM deben respetar lassiguientes directrices de formato:Tipo Reglas de sintaxis Ejemplos Contenido de

coincidencia

Cadena • Las cadenas se debendelimitar entre comillas dobles

• Las comillas dobles incluidasen una cadena deben iracompañadas de barrasdiagonales invertidas a modode caracteres de escape antesde cada comilla

“Contenido malo”

“Dijo: \“Contenido malo\””

Contenido malo

Dijo: “Contenidomalo”

Expresiónregular

• Las expresiones regulares sedelimitan mediante barrasdiagonales simples

• Las barras diagonales y loscaracteres de expresiónregular reservados incluidos enla expresión regular se debenacompañar de barrasdiagonales invertidas comocaracteres de escape

/[Aa]pple/

/apple/i

/ [0-9]{1,3}\.[0-9]{1,3}\.[0-9]\.[0-9]/

/1\/2 de todo/

Apple o apple

Apple o apple

Direcciones IP:

1.1.1.1

127.0.0.1

1/2 de todo

Números • Valores decimales (0-9)

• Valores hexadecimales(0x0-9a-f)

• Valores octales (0-7)

Valor decimal

Valor hexadecimal

Valor octal

123

0x12ab

0127

Booleanos • Pueden ser verdaderos o falsos

• Todo en minúscula

Literales booleanos verdadero

falso

IPv4 • Se puede escribir en elformato estándar de cuatronúmeros separados por puntos

• Se puede escribir en notaciónCIDR

• Se puede escribir en formatolargo con máscaras completas

192.168.1.1

192.168.1.0/24

192.168.1.0/255.255.255.0

192.168.1.1

192.168.1.[0 –255]

192.168.1.[0 –255]

Tenga en cuenta lo siguiente sobre los diccionarios:

• Las listas (varios valores separados por comas y delimitados por paréntesis) no se permiten en losdiccionarios.

• Una columna solo puede constar de un tipo compatible con ADM. Esto significa que no se puedencombinar y hacer coincidir varios tipos (cadena, expresión regular e IPv4, por ejemplo) en un únicoarchivo de diccionario de ADM.

• Pueden contener comentarios. Todas las líneas que comienzan con el carácter de almohadilla (#)se consideran comentarios en un diccionario de ADM.

• Los nombres solo pueden constar de caracteres alfanuméricos y de subrayado, además de teneruna longitud total igual o inferior a 20 caracteres.



• No se admiten las listas.

• En las versiones de ADM anteriores a la 8.5.0, se deben editar o crear fuera del ESM mediantecualquier editor de texto. Se pueden importar o exportar desde el ESM para facilitar la modificacióno creación de nuevos diccionarios de ADM.

Véase también Diccionarios de Application Data Monitor (ADM) en la página 141Administración de diccionarios de ADM en la página 145Cómo hacer referencia a un diccionario de ADM en la página 143Ejemplos de diccionarios de ADM en la página 144

Cómo hacer referencia a un diccionario de ADMCuando se importa un diccionario al ESM, es posible hacer referencia a él en el momento de escribirlas reglas.

Antes de empezarImporte el diccionario al ESM.


1 En el panel Tipos de regla del Editor de directivas, haga clic en Nueva | Regla de ADM.

2 Agregue la información solicitada y, después, arrastre y suelte un elemento lógico en el área Lógicade expresión.

3Arrastre y suelte el icono Componente de expresión en el elemento lógico.

4 En la página Componente de expresión, seleccione el diccionario en el campo Diccionario.

5 Rellene los campos restantes y haga clic en Aceptar.

Véase también Diccionarios de Application Data Monitor (ADM) en la página 141Configuración de un diccionario de ADM en la página 141Administración de diccionarios de ADM en la página 145Ejemplos de diccionarios de ADM en la página 144



Ejemplos de diccionarios de ADMEl motor del ADM puede buscar coincidencias entre el contenido de objetos o cualquier otra métrica opropiedad y un diccionario de una única columna para indicar un valor verdadero o falso (existe en eldiccionario o no existe en el diccionario).

Tabla 3-61 Ejemplos de diccionarios de una columna

Tipo de diccionario Ejemplo

Diccionario de cadenas conpalabras comunes en spam

“Cialis”

“cialis”

“Viagra”

“viagra”

“web para adultos”

“Web para adultos”

“¡actúe ahora, no se lo piense!”

Diccionario de expresionesregulares con palabras clavede autorización

/(contraseña|contras|con)[â-z0-9]{1,3}(admin|inicio|contraseña|usuario)/i

/(consumidor|cliente)[â-z0-9]{1,3}cuenta[â-z0-9]{1,3}número/i

/fondos[â-z0-9]{1,3}transacción/i

/fondos[â-z0-9]{1,3}transferencia[â-z0-9]{1,3}[0-9,.]+/i

Diccionario de cadenas convalores de hash deejecutables maliciososconocidos

"fec72ceae15b6f60cbf269f99b9888e9"

"fed472c13c1db095c4cb0fc54ed28485"

"feddedb607468465f9428a59eb5ee22a"

"ff3cb87742f9b56dfdb9a49b31c1743c"

"ff45e471aa68c9e2b6d62a82bbb6a82a"

"ff669082faf0b5b976cec8027833791c"

"ff7025e261bd09250346bc9efdfc6c7c"

Direcciones IP de activoscríticos

192.168.1.12

192.168.2.0/24

192.168.3.0/255.255.255.0

192.168.4.32/27

192.168.5.144/255.255.255.240



Tabla 3-62 Ejemplos de diccionarios de dos columnas


Diccionario de cadenas conpalabras y categoríascomunes en spam

“Cialis” “genérico”

“cialis” “genérico”

“Viagra” “genérico”

“viagra” “genérico”

“web para adultos” “adultos”

“Web para adultos” “adultos”

“¡actúe ahora, no se lo piense!” “fraude”

Diccionario de expresionesregulares con palabras clavey categorías de autorización

/(contraseña|contras|con)[â-z0-9]{1,3}(admin|inicio|contraseña|usuario)/i “credenciales”

/(consumidor|cliente)[â-z0-9]{1,3}cuenta[â-z0-9]{1,3}número/i“pii”

/fondos[â-z0-9]{1,3}transacción/i “sox”

/fondos[â-z0-9]{1,3}transferencia[â-z0-9]{1,3}[0-9,.]+/i “sox”

Diccionario de cadenas convalores de hash y categoríasde ejecutables maliciososconocidos

"fec72ceae15b6f60cbf269f99b9888e9" “Troyano”

"fed472c13c1db095c4cb0fc54ed28485" “Malware”

"feddedb607468465f9428a59eb5ee22a" “Virus”

"ff3cb87742f9b56dfdb9a49b31c1743c" “Malware”

"ff45e471aa68c9e2b6d62a82bbb6a82a" “Adware”

"ff669082faf0b5b976cec8027833791c" “Troyano”

"ff7025e261bd09250346bc9efdfc6c7c" “Virus”

Direcciones IP y grupos deactivos críticos

192.168.1.12 “Activos críticos”

192.168.2.0/24 “LAN”

192.168.3.0/255.255.255.0 “LAN”

192.168.4.32/27 “DMZ”

192.168.5.144/255.255.255.240 “Activos críticos”

Véase también Diccionarios de Application Data Monitor (ADM) en la página 141Configuración de un diccionario de ADM en la página 141Administración de diccionarios de ADM en la página 145Cómo hacer referencia a un diccionario de ADM en la página 143

Administración de diccionarios de ADMUna vez configurado y guardado un diccionario nuevo, es necesario importarlo al ESM. También esposible exportarlo, editarlo y eliminarlo.


1 En el Editor de directivas, haga clic en Herramientas y después seleccione Administrador de diccionarios de ADM.

La pantalla Administrar diccionarios de ADM muestra los cuatro diccionarios predeterminados (botnet,foullanguage, icd9_desc y spamlist) y los diccionarios que se hayan importado al sistema.



2 Lleve a cabo cualquiera de las acciones disponibles y, después, haga clic en Cerrar.


Opción Definición

Importar Importar un diccionario de ADM al ESM.

Exportar Exportar el diccionario de ADM seleccionado a un archivo local.

Editar Editar el diccionario seleccionado.

Eliminar Eliminar el diccionario seleccionado.

Cuando se elimina un diccionario, cualquier intento de desplegar un grupo de reglas conreglas que hagan referencia a este diccionario provocará un error de compilación. Siasigna este diccionario a una regla, vuelva a escribir la regla para que no haga referenciaal diccionario (véase Cómo hacer referencia a un diccionario de ADM) o bien no siga con laeliminación.


Opción Definición

Buscar Si desea buscar una entrada concreta, escriba en el campo y haga clic en esta opción.

Tabla Ver las entradas existentes. Es posible agregar entradas nuevas y cambiar o eliminar lasexistentes.


Opción Definición

Diccionario Buscar el archivo de diccionario y cargarlo.

Tipo de clave Seleccione el tipo de clave empleado en el diccionario.

Si existe una discrepancia entre lo seleccionado en los campos Tipo de clave y Tipo de valor yel contenido del archivo, se le informará de que los datos no son válidos.

Tipo de valor Seleccione el tipo de valor empleado en el diccionario.

Véase también Diccionarios de Application Data Monitor (ADM) en la página 141Configuración de un diccionario de ADM en la página 141Cómo hacer referencia a un diccionario de ADM en la página 143Ejemplos de diccionarios de ADM en la página 144

Material de referencia para reglas de ADMEste apéndice incluye material que puede ayudarle a la hora de agregar reglas de ADM al Editor dedirectivas.

Véase también Sintaxis de las reglas de ADM en la página 147Tipos de términos para reglas de ADM en la página 149Referencias métricas para reglas de ADM en la página 151Propiedades específicas de protocolos en la página 153



Sintaxis de las reglas de ADMLas reglas de ADM son muy similares a las expresiones de C.

La principal diferencia es un conjunto más amplio de literales (números, cadenas, expresionesregulares, direcciones IP, direcciones MAC y booleanos). Los términos de cadena se pueden compararcon literales de cadena y expresión regular a fin de comprobar su contenido, pero también se puedencomparar con números para comprobar su longitud. Los términos numéricos, de dirección IP y dedirección MAC solo se pueden comparar con el mismo tipo de valor literal. La única excepción es quecualquier cosa se puede tratar como un booleano para comprobar su existencia. Algunos términospueden tener varios valores, como por ejemplo la siguiente regla, que se activaría en el caso de losarchivos PDF contenidos en archivos .zip: type = = application/zip && type = = application/pdf.

Tabla 3-66 Operadores

Operador Descripción Ejemplo

&& AND lógico protocol = = http && type = = image/gif

|| OR lógico time.hour < 8 || time.hour > 18

^ ^ XOR lógico email.from = = "[email protected]" ^^email.to = = "[email protected]"

! NOT unario ! (protocol = = http | | protocol = = ftp)

= = Igual que type = = application/pdf

! = No igual que srcip ! = 192.168.0.0/16

> Mayor que objectsize > 100M

> = Mayor o igual que time.weekday > = 1

< Menor que objectsize < 10K

< = Menor o igual que time.hour < = 6

Tabla 3-67 Literales

Literal Ejemplo

Número 1234, 0x1234, 0777, 16K, 10M, 2G

Cadena "una cadena"

Expresión regular /[A-Z] [a-z]+/

IPv4 1.2.3.4, 192.168.0.0/16, 192.168.1.0/255.255.255.0

MAC aa:bb:cc:dd:ee:ff

Booleano true, false

Tabla 3-68 Compatibilidad entre tipos y operadores

Tipo Operadores Notas

Número = =, ! =, >, > =, <, < =

Cadena = =, ! = Comparar el contenido de la cadena con una cadena/expresiónregular

Cadena >, > =, <, <= Comparar la longitud de la cadena

IPv4 = =, ! =



Tabla 3-68 Compatibilidad entre tipos y operadores (continuación)


MAC = =, ! =

Booleano = =, ! = Comparar con verdadero/falso; también admite la comparaciónimplícita con verdadero, por ejemplo, lo siguiente comprueba siaparece el término “email.bcc”: email.bcc

Tabla 3-69 Gramática de las expresiones regulares de ADM

Operadores básicos

| Alternancia (o)

* Cero o más

+ Uno o más

? Cero o uno

( ) Agrupación (a | b)

{ } Intervalo repetitivo {x} o {,x} o {x,} o {x,y}

[ ] Intervalo [0-9a-z] [abc]

[^ ] Intervalo exclusivo [^abc] [^0-9]

. Cualquier carácter

\ Carácter de escape

Caracteres de escape

\d Dígito [0-9]

\D No dígito [^0-9]

\e Escape (0x1B)

\f Avance de página (0x0C)

\n Avance de línea (0x0A)

\r Retorno de carro (0x0D)

\s Espacio en blanco

\S No espacio en blanco

\t Tabulación (0x09)

\v Tabulación vertical (0x0B)

\w Palabra [A-Za-z0-9_]

\W No palabra

\x00 Representación hexadecimal

\0000 Representación octal

^ Inicio de línea




S Fin de línea

Los caracteres de anclaje de inicio y fin de línea (^ y $) no funcionan con objcontent.

Clases de caracteres POSIX

[:alunum:] Dígitos y letras

[:alpha:] Todas las letras

[:ascii:] Caracteres ASCII

[:blank:] Espacio y tabulación

[:cntrl:] Caracteres de control

[:digit:] Dígitos

[:graph:] Caracteres visibles

[:lower:] Letras minúsculas

[:print:] Espacios y caracteres visibles

[:punct:] Puntuación y símbolos

[:space:] Todos los caracteres de espacio en blanco

[:upper:] Caracteres en mayúscula

[:word:] Caracteres de palabras

[:xdigit:] Dígito hexadecimal

Véase también Material de referencia para reglas de ADM en la página 146Tipos de términos para reglas de ADM en la página 149Referencias métricas para reglas de ADM en la página 151Propiedades específicas de protocolos en la página 153Anomalías de protocolo en la página 154

Tipos de términos para reglas de ADMTodos los términos de una regla de ADM son de un tipo concreto.

Cada uno de los términos es una dirección IP, una dirección MAC, un número, una cadena o un valorbooleano. Además, existen dos tipos adicionales de literales: expresiones regulares y listas. Untérmino de un tipo específico, por lo general, solo se puede comparar con un literal del mismo tipo ouna lista de literales de ese tipo (o una lista de listas de...). Existen tres excepciones a esta regla:

1 Un término de cadena se puede comparar con un literal numérico para comprobar su longitud. Laregla siguiente se activa si una contraseña tiene menos de ocho caracteres de longitud (“password”es un término de cadena): password < 8

2 Es posible comparar un término de cadena con una expresión regular. La siguiente regla se activasi una contraseña solo contiene letras minúsculas: password == /^[a-z]+$/

3 Todos los términos se pueden comprobar con respecto a literales booleanos a fin de averiguar siestán presentes o no. La siguiente regla se activa si un mensaje de correo electrónico tiene unadirección CC (“email.cc” es un término de cadena): email.cc == true



Tipo Descripción del formato

DireccionesIP

• Los literales de dirección IP se escriben con el formato estándar de cuatro númerosseparados por puntos y no se delimitan mediante comillas: 192.168.1.1

• Las direcciones IP pueden presentar una máscara expresada en notación CIDRestándar; no deben existir espacios en blanco entre la dirección y la máscara:192.168.1.0/24

• Las direcciones IP también se pueden escribir con el formato largo:192.168.1.0/255.255.255.0

DireccionesMAC

• Los literales de dirección MAC se escriben mediante la notación estándar y, al igualque las direcciones IP, no se delimitan mediante comillas: aa:bb:cc:dd:ee:ff

Números • Todos los números de las reglas de ADM son enteros de 32 bits. Se pueden expresaren formato decimal: 1234

• Se pueden expresar en formato hexadecimal: 0xabcd

• Se pueden expresar en formato octal: 0777

• Se les puede agregar una letra para multiplicarlos por 1024 (K), 1 048 576 (M) o1 073 741 824 (G): 10M

Cadenas • Las cadenas se delimitan mediante comillas dobles: "esto es una cadena"

• Las cadenas pueden usar secuencias de escape estándar de C: "\tEsto es una\"cadena\" que contiene\x20secuencias de escape\n"

• Al comparar un término con una cadena, el término debe coincidir con la cadena alcompleto. Si un mensaje de correo electrónico tiene la dirección de origen“[email protected]”, no se activará la siguiente regla: email.from == “@lugar.com”

• Para usar la coincidencia parcial con un término, hay que usar un literal deexpresión regular en su lugar. Se deben utilizar literales de cadena siempre que seaposible, ya que resultan más eficaces.

Todos los términos de dirección de correo electrónico y URL se normalizan antes de lacoincidencia, por lo que no es necesario tener en cuenta cosas como los comentariosincluidos en las direcciones de correo electrónico.

Booleanos • Los literales booleanos son verdadero (true) y falso (false).




Expresionesregulares

• Los literales de expresión regular emplean la misma notación que algunoslenguajes, como Javascript y Perl, por lo que la expresión regular se delimitamediante barras diagonales: /[a-z]+/

• Las expresiones regulares pueden ir seguidas de indicadores de modificaciónestándar, aunque "i" es el único que se reconoce actualmente (sin distinción entremayúsculas y minúsculas): /[a-z]+/i

• Los literales de expresión regular deben emplear la sintaxis ampliada POSIX. En estemomento, las extensiones Perl funcionan para todos los términos excepto el decontenido, pero esto podría cambiar en versiones futuras.

• Si se compara un término con una expresión regular, esta puede coincidir concualquier subcadena incluida en el término a menos que se apliquen operadores deanclaje dentro de ella. La siguiente regla se activa si se detecta un mensaje decorreo electrónico con la dirección “[email protected]”: email.from == /@lugar.com/

Listas • Los literales de lista constan de uno o varios literales delimitados por corchetes yseparados por comas: [1, 2, 3, 4, 5]

• Las listas pueden contener cualquier tipo de literal, incluidas otras listas:[192.168.1.1, [10.0.0.0/8, 172.16.128.0/24]]

• Las listas solo deben contener un tipo de literal; no es correcto combinar cadenas ynúmeros, cadenas y expresiones regulares o direcciones IP y direcciones MAC.

• Cuando se emplea una lista con cualquier operador relacional distinto de “no igual a”(!=), la expresión es verdadera si el término coincide con cualquier literal de la lista.La siguiente regla se activa si la dirección IP de origen coincide con cualquiera de lasdirecciones IP de la lista: srcip == [192.168.1.1, 192.168.1.2, 192.168.1.3]

• Esto es equivalente a: srcip == 192.168.1.1 || srcip == 192.168.1.2 || srcip ==192.168.1.3

• Cuando se utiliza con el operador “no igual a” (!=), la expresión es verdadera si eltérmino no coincide con todos los literales de la lista. La siguiente regla se activa sila dirección IP de origen no es 192.168.1.1 ni 192.168.1.2: srcip != [192.168.1.1,192.168.1.2]

• Esto es equivalente a: srcip != 192.168.1.1 && srcip != 192.168.1.2

• Las listas también se pueden usar con otros operadores relacionales, aunque notiene mucho sentido. La siguiente regla se activa si el tamaño del objeto es superiora 100, o bien si es superior a 200: objectsize > [100, 200]

• Esto es equivalente a: objectsize > 100 || objectsize > 200

Véase también Material de referencia para reglas de ADM en la página 146Sintaxis de las reglas de ADM en la página 147Referencias métricas para reglas de ADM en la página 151Propiedades específicas de protocolos en la página 153Anomalías de protocolo en la página 154

Referencias métricas para reglas de ADMA continuación se incluyen listas de referencias métricas para expresiones de regla de ADM, las cualesestán disponibles en la página Componente de expresión cuando se agrega una regla de ADM.

En el caso de las propiedades y las anomalías comunes, el valor de parámetro o tipo que se puedeindicar para cada una se muestra entre paréntesis tras la referencia métrica.

Propiedades comunes



Propiedad o término Descripción

Protocol (número) El protocolo de aplicación (HTTP, FTP, SMTP, etc.).

Object Content (cadena) El contenido de un objeto (texto de un documento, mensaje de correoelectrónico o mensaje de chat, etc.). La coincidencia de contenido noestá disponible para los datos binarios. Sin embargo, los objetosbinarios se pueden detectar mediante el tipo de objeto (objtype).

Object Type (número) Especifica el tipo de contenido de acuerdo con ADM (documentos deOffice, mensajes, vídeos, audio, imágenes, archivos, ejecutables, etc.).

Object Size (número) Tamaño del objeto. Es posible agregar los multiplicadores numéricos K,M y G tras el número (10K, 10M, 10G).

Object Hash (cadena) El hash del contenido (actualmente, MD5).

Object Source IP Address(número)

Dirección IP de origen del contenido. La dirección IP se puedeespecificar como 192.168.1.1, 192.168.1.0/24 o192.168.1.0/255.255.255.0.

Object Destination IPAddress (número)

Dirección IP de destino del contenido. La dirección IP se puedeespecificar como 192.168.1.1, 192.168.1.0/24 o192.168.1.0/255.255.255.0.

Object Source Port(número)

El puerto TCP/UDP de origen del contenido.

Object Destination Port(número)

El puerto TCP/UDP de destino del contenido.

Object Source IP v6Address (número)

Dirección IPv6 de origen del contenido.

Object Destination IPv6Address (número)

Dirección IPv6 de destino del contenido.

Object Source MAC Address(nombre de MAC)

Dirección MAC de origen del contenido (aa:bb:cc:dd:ee:ff).

Object Destination MACAddress (nombre de MAC)

Dirección MAC de destino del contenido (aa:bb:cc:dd:ee:ff).

Flow Source IP Address(IPv4)

Dirección IP de origen del flujo. La dirección IP se puede especificarcomo 192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0.

Flow Destination IP Address(IPv4)

Dirección IP de destino del flujo. La dirección IP se puede especificarcomo 192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0.

Flow Source Port (número) Puerto TCP/UDP de origen del flujo.

Flow Destination Port(número)

Puerto TCP/UDP de destino del flujo.

Flow Source IPv6 Address(número)

Dirección IPv6 de origen del flujo.

Flow Destination IPv6Address (número)

Dirección IPv6 de destino del flujo.

Flow Source MAC Address(nombre de MAC)

Dirección MAC de origen del flujo.

Flow Destination MACAddress (nombre de MAC)

Dirección MAC de destino del flujo.

VLAN (número) ID de LAN virtual.

Day of Week (número) El día de la semana. Los valores válidos oscilan entre 1 y 7; el 1corresponde al lunes.

Hour of Day (número) La hora del día correspondiente a GMT. Los valores válidos oscilan entre0 y 23.




Declared Content Type(cadena)

Tipo de contenido de acuerdo con el servidor. En teoría, el tipo deobjeto (objtype) es siempre el tipo real, mientras que el tipo decontenido declarado (content-type) no resulta fiable, ya que el servidoro la aplicación lo pueden falsificar.

Password (cadena) La contraseña utilizada por la aplicación para la autenticación.

URL (cadena) URL del sitio web. Solo es aplicable en el caso del protocolo HTTP.

File Name (cadena) Nombre del archivo transferido.

Display Name (cadena)

Host Name (cadena) Nombre de host de acuerdo con la búsqueda DNS.

Anomalías comunes

• User logged off (literal booleano)

• Authorization error (literal booleano)

• Authorization successful (literal booleano)

• Authorization failed (literal booleano)

Véase también Material de referencia para reglas de ADM en la página 146Sintaxis de las reglas de ADM en la página 147Tipos de términos para reglas de ADM en la página 149Propiedades específicas de protocolos en la página 153Anomalías de protocolo en la página 154

Propiedades específicas de protocolosAdemás de proporcionar propiedades que son comunes a la mayoría de protocolos, el ADM tambiénofrece propiedades específicas de algunos protocolos que pueden emplearse con reglas de ADM. Todaslas propiedades específicas de protocolos están disponibles también en la página Componente de expresióna la hora de agregar una regla de ADM.

Ejemplos de propiedades específicas de protocolos

Estas propiedades se aplican a las tablas siguientes:

* Solo detección** Sin descifrado, se capturan los certificados X.509 y los datos cifrados*** A través del módulo RFC822

Tabla 3-70 Módulos de protocolo de transferencia de archivos

FTP HTTP SMB* SSL**

Nombre de pantallaNombre de archivo

Nombre de host

URL

Nombre de pantalla

Nombre de archivo

Nombre de host

Referer

URL

Todos los encabezados HTTP

Nombre de pantalla

Nombre de archivo

Nombre de host

Nombre de pantalla

Nombre de archivo

Nombre de host



Tabla 3-71 Módulos de protocolo de correo electrónico

DeltaSync MAPI NNTP POP3 SMTP

CCO***

CC***

Nombre de pantalla

De***

Nombre de host

Asunto***

Para***

CCO

CC

Nombre depantalla

De

Nombre de host

Asunto

Para

Nombre deusuario

CCO***

CC***

Nombre depantalla

De***

Nombre de host

Asunto***

Para***

CCO***

CC***

Nombre de pantalla

De***

Nombre de host

Asunto***

Para***

Nombre de usuario

CCO***

CC***

Nombre depantalla

De***

Nombre de host

Para***

Asunto***

Tabla 3-72 Módulos de protocolo de correo web

AOL Gmail Hotmail Yahoo

Nombre de datosadjuntos

CCO***

CC***

Nombre de pantalla

Nombre de archivo

Nombre de host

De***

Asunto***

Para***


CCO***

CC***

Nombre de pantalla

Nombre de archivo

Nombre de host

De***

Asunto***

Para***


CCO***

CC***

Nombre de pantalla

Nombre de archivo

Nombre de host

De***

Asunto***

Para***


CCO***

CC***

Nombre de pantalla

Nombre de archivo

Nombre de host

De***

Asunto***

Para***

Véase también Material de referencia para reglas de ADM en la página 146Sintaxis de las reglas de ADM en la página 147Tipos de términos para reglas de ADM en la página 149Referencias métricas para reglas de ADM en la página 151Anomalías de protocolo en la página 154

Anomalías de protocoloMás allá de las propiedades comunes y las propiedades de protocolos específicos, ADM tambiéndetecta cientos de anomalías en protocolos de bajo nivel, de transporte y de aplicación. Todas laspropiedades de anomalía de protocolo son de tipo booleano y están disponibles en la página Componentede expresión cuando se agrega una regla de ADM.

Tabla 3-73 IP

Término Descripción

ip.too-small El paquete IP es demasiado pequeño para contener un encabezado válido.

ip.bad-offset El desplazamiento de datos de IP sobrepasa el final del paquete.

ip.fragmented El paquete IP está fragmentado.



Tabla 3-73 IP (continuación)


ip.bad-checksum La suma de comprobación del paquete IP no coincide con los datos.

ip.bad-length El campo totlen del paquete IP sobrepasa el final del archivo.

Tabla 3-74 TCP


tcp.too-small El paquete TCP es demasiado pequeño para contener unencabezado válido.

tcp.bad-offset El desplazamiento de datos de TCP sobrepasa el final delpaquete.

tcp.unexpected-fin El indicador TCP FIN está definido con un estado no establecido.

tcp.unexpected-syn El indicador TCP SYN está definido con un estado establecido.

tcp.duplicate-ack Los datos de ACK del paquete TCP ya se han confirmado.

tcp.segment-outsidewindow El paquete TCP está fuera de la ventana (la ventana pequeñade TCP del módulo, no la ventana real).

tcp.urgent-nonzero-withouturg- flag El campo urgent de TCP no tiene un valor igual a cero pero nose ha definido el indicador URG.

Tabla 3-75 DNS


dns.too-small El paquete DNS es demasiado pequeño para contener unencabezado válido.

dns.question-name-past-end El nombre de pregunta de DNS sobrepasa el final del paquete.

dns.answer-name-past-end El nombre de respuesta de DNS sobrepasa el final del paquete.

dns.ipv4-address-length-wrong La dirección IPv4 de la respuesta de DNS no tiene 4 bytes delongitud.

dns.answer-circular-reference La respuesta de DNS contiene una referencia circular.


Configuración de Database Event Monitor (DEM)McAfee Database Event Monitor (DEM) consolida la actividad de base de datos en un repositorio deauditoría centralizado y proporciona funciones de normalización, correlación, análisis y generación deinformes sobre dicha actividad. Si la actividad de la red o un servidor de base de datos coincide conpatrones conocidos que indican un acceso a datos malicioso, el DEM genera una alerta. Además, todaslas transacciones se registran para garantizar la conformidad.

El DEM permite administrar, editar y ajustar las reglas de supervisión de bases de datos desde lamisma interfaz que proporciona las funciones de análisis y generación de informes. Resulta fácilajustar perfiles específicos de supervisión de bases de datos (qué reglas se implementan, quétransacciones se registran, etc.), lo cual reduce los falsos positivos y mejora la seguridad en general.



El DEM auditar de forma no intrusiva las interacciones de los usuarios y las aplicaciones con las basesde datos mediante la supervisión de paquetes de red, de forma similar a los sistemas de detección deintrusiones. Para garantizar que la actividad de todos los servidores de base de datos se puedasupervisar a través de la red, coordine el despliegue inicial del DEM junto con sus equipos de conexiónde red, seguridad, conformidad y bases de datos.

Los equipos encargados de las funciones de red emplean puertos SPAN en los conmutadores, TAP dered o concentradores para replicar el tráfico de base de datos. Este proceso permite escuchar osupervisar el tráfico en los servidores de base de datos y crear un registro de auditoría.

Visite el sitio web de McAfee para obtener información sobre las plataformas y las versiones deservidor de base de datos compatibles.

Sistema operativo Base de datos Appliance DEM

Windows (todas las versiones) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008,2012

Windows, UNIX/Linux (todas lasversiones)

Oracle² Oracle 8.x, 9.x, 10g, 11g (c),11g R2³

Sybase 11.x, 12.x, 15.x

DB2 8.x, 9.x, 10.x

Informix (disponible en laversión 8.4.0 o posterior)

11.5

Windows, UNIX/Linux (todas lasversiones)

MySQL Sí, 4.x, 5.x, 6.x

PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x

Teradata 12.x, 13.x, 14.x

InterSystems Cache 2011.1.x

UNIX/Linux (todas las versiones) Greenplum 8.2.15

Vertica 5.1.1-0

Mainframe DB2/zOS Todas las versiones

AS400 DB2 Todas las versiones

1 Compatibilidad con descifrado de paquetes para Microsoft SQL Server disponible en la versión 8.3.0y posteriores.

2 Compatibilidad con descifrado de paquetes para Oracle disponible en la versión 8.4.0 y posteriores.

3 Oracle 11g está disponible en la versión 8.3.0 y posteriores.

Lo siguiente es aplicable a estos servidores y estas versiones:

• Se admiten tanto las versiones de 32 bits como las de 64 bits de los sistemas operativos y lasplataformas de base de datos.

• MySQL solo se admite en plataformas Windows de 32 bits.

• El descifrado de paquetes se admite en MSSQL y Oracle.

Actualización de la licencia de DEMEl DEM incluye una licencia predeterminada. Si cambia las capacidades del DEM, McAfee le enviaráuna nueva licencia en un mensaje de correo electrónico y deberá actualizarla.




1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Configuración de DEM.

2 Haga clic en Licencia | Actualizar licencia y pegue la información que le ha enviado McAfee en el campo.


El sistema actualizará la licencia y le avisará cuando haya terminado.

4 Despliegue la directiva en el DEM.


Opción Definición

Actualizar licencia Permite actualizar la licencia del DEM.

Página Actualizar licencia Copie la licencia que le ha enviado McAfee, péguela aquí y haga clic enAceptar.

Sincronización de los archivos de configuración de DEMCuando los archivos de configuración de DEM no están sincronizados con el dispositivo DEM, esnecesario escribirlos en el DEM.



2 Haga clic en Sincronizar archivos.

Aparecerá un mensaje que indica el estado de la sincronización.

Configuración de opciones avanzadas de DEMEstas opciones avanzadas cambian o aumentan el rendimiento del DEM.





2 Haga clic en Opciones avanzadas y defina la configuración o anule la selección de algunas opciones siexperimenta una carga muy elevada en el DEM.



Opción Definición

Defina las opciones de configuración siguientes según proceda.

Nivel de detalle delarchivo de registro

Permite establecer el nivel de detalle de la información de registro enviada delagente de DEM al administrador del DEM. Estas son las tres opciones:Información, Advertencia y Depuración.

Si selecciona Depuración, la información será muy detallada y puede consumiruna gran parte de espacio de disco.

Puerto de registro deagente y Puerto deservicio de agente

Cambiar los puertos predeterminados de registro y servicio del agente. Setrata de los puertos que se emplean para comunicarse con el agente.

Usar cifrado Indique si se debe cifrar o no la información enviada al administrador de DEMdesde el agente de DEM. Este registro se descifra cuando se recibe.

IP de servidorKerberos

Indique la dirección IP del servidor Kerberos si desea recuperar los nombresde usuario mediante el análisis del protocolo Kerberos para la autenticación dela base de datos con el uso de la Seguridad integrada de Windows.

Es posible especificar diversas opciones de IP, puertos y VLAN mediante elformato siguiente: IP;PUERTO;VLAN;IP;PUERTO (por ejemplo,10.0.0.1;88;11,10.0.0.2;88;12). IPv6 también se admite con este mismoformato.

Memoria compartida Elija el tamaño del búfer que empleará el DEM para procesar eventos de basede datos. El aumento del tamaño del búfer proporciona un mejor rendimiento.

Repositorio de eventos Seleccione la ubicación desde la que se recuperarán los eventos. Si seleccionaArchivo, se leerá el archivo del DEM local y se analizarán esos eventos. Siselecciona EDB, se recopilarán los eventos de la base de datos.


Opción Definición

Anule la selección de cualquiera de estas opciones si experimenta una sobrecarga en el DEM.

Captura de paquetes de McAfeeFirewall

Proporciona al DEM una forma más rápida de analizar los datos de labase de datos.

Rastreo de transacciones Rastrear las transacciones de base de datos y conciliar los cambiosautomáticamente. Anule su selección para aumentar la velocidad delDEM.

Rastreo de identidades de usuario Rastrear las identidades de usuario cuando no se propagan a la basede datos debido al uso de nombres de usuario genéricos para accedera la base de datos. Anule su selección para aumentar la velocidad delDEM.




Opción Definición

Enmascaramiento de datosconfidenciales

Evitar la visualización no autorizada de datos confidenciales gracias ala sustitución de la información de carácter confidencial por unacadena genérica definida por el usuario, denominada “máscara”.Anule su selección para aumentar la velocidad del DEM.

Auditoría de hosts locales Auditar los hosts locales para rastrear las rutas de accesodesconocidas a la base de datos y enviar eventos en tiempo real.Anule su selección para aumentar la velocidad del DEM.

Análisis de consultas Llevar a cabo inspecciones de consultas. Anule su selección paraaumentar la velocidad del DEM.

Captura de primera fila deresultado

Permite ver la primera fila del resultado de una consulta cuando serecupera un paquete para un evento y se ha establecido unagravedad para la sentencia de selección inferior a 95. Anule suselección para aumentar la velocidad del DEM.

Compatibilidad de variable deenlace

Reutilizar la variable de enlace de Oracle una y otra vez sin necesidadde volver a analizar el comando cada vez que se ejecuta.

Aplicación de las opciones de configuración al DEMLos cambios realizados en las opciones de configuración del DEM deben aplicarse al dispositivo DEM.En caso de no aplicar algún cambio de configuración, la opción Aplicar correspondiente a Configuración deDEM permite hacerlo para todas las opciones de configuración del DEM.




Un mensaje le informará de la escritura de las opciones de configuración en el DEM.

Definición de acciones para eventos de DEMLa configuración de Administración de acciones del DEM define las acciones y operaciones para los eventosque se emplean en las reglas de filtrado y las directivas de acceso a datos. Es posible agregar accionespersonalizadas y establecer la Operación para las acciones predeterminadas y personalizadas.El DEM incluye acciones predeterminadas que pueden verse haciendo clic en Editar globales en la páginaAdministración de acciones, y estas son las operaciones predeterminadas:

• ninguna • secuencia de comandos

• ignorar • restablecer

• rechazar

Si se selecciona Secuencia de comandos como operación, se necesita un alias (alias de secuencia decomandos) que apunte a la secuencia de comandos real (nombre de secuencia de comandos), la cualse ejecutará cuando se produzca un evento con la importancia indicada. Se pasan dos variables deentorno a la secuencia de comandos: ALERT_EVENT y ALERT_REASON. ALERT_EVENT contiene unalista de métricas separadas por comas. El DEM proporciona una secuencia de comandos bash demuestra (/home/auditprobe/conf/sample/process_alerts.bash) para demostrar cómo se puedecapturar la acción de importancia en una secuencia de comandos.

Recuerde lo siguiente cuando trabaje con acciones y operaciones:



• Las acciones aparecen por orden de prioridad.

• Un evento no lleva a cabo una acción, como por ejemplo enviar una captura SNMP o un mensaje aun localizador, a menos que se especifique como acción de alerta.

• Cuando una regla cumple los requisitos para más de un nivel de alerta, solo se puede realizar unaacción para el nivel de alerta más alto.

• Los eventos se escriben en un archivo de eventos independientemente de la acción. La únicaexcepción es una operación Rechazar.

Véase también Adición de una acción de DEM en la página 160Edición de una acción personalizada de DEM en la página 160Establecimiento de la operación para una acción de DEM en la página 161

Adición de una acción de DEMSi se agrega una acción a la administración de acciones de DEM, aparece en la lista de accionesdisponibles para una regla de DEM en el Editor de directivas. A continuación, es posible seleccionarla comoacción para una regla.


1 En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas y, después, enHerramientas | Administrador de acciones de DEM.

La página Administración de acciones de DEM enumera las acciones existentes por orden de prioridad.

No es posible cambiar el orden de prioridad de las acciones predeterminadas.

2 Haga clic en Agregar y, después, escriba un nombre y una descripción para la acción.

No es posible eliminar una acción personalizada una vez agregada.


La nueva acción se agregará a la lista de Administración de acciones de DEM.

La operación predeterminada para una acción personalizada es Ninguno. Para cambiarla, véaseEstablecimiento de la operación para una acción de DEM.


Opción Definición

Nombre de la acción Escriba el nombre para la acción.

Descripción (Opcional) Escriba una descripción para esta acción.

Véase también Definición de acciones para eventos de DEM en la página 159Edición de una acción personalizada de DEM en la página 160Establecimiento de la operación para una acción de DEM en la página 161

Edición de una acción personalizada de DEMTras agregar una acción a la lista de administración de acciones del DEM, podría ser necesario editarsu nombre o cambiar la prioridad.




1 En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas y, después, enHerramientas | Administrador de acciones de DEM.

2 Haga clic en la acción personalizada que necesite cambiar y realice una de estas acciones:

• Para cambiar el orden de prioridad, haga clic en las flechas hacia arriba o hacia abajo hasta quese encuentre en la posición correcta.

• Para cambiar el nombre o la descripción, haga clic en Editar.


Véase también Definición de acciones para eventos de DEM en la página 159Adición de una acción de DEM en la página 160Establecimiento de la operación para una acción de DEM en la página 161

Establecimiento de la operación para una acción de DEMTodas las acciones de regla tienen una operación predeterminada. Cuando se agrega una acción deDEM personalizada, la operación predeterminada es Ninguna. Es posible cambiar la operación decualquier acción a Ignorar, Rechazar, Secuencia de comandos o Restablecer.


1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Administración deacciones.

2 Resalte la acción que desee editar y haga clic en Editar.

3 Seleccione una operación y haga clic en Aceptar.


Opción Definición

Operación Seleccione lo que desea que haga esta acción si la regla activa un evento. Lasopciones son las siguientes:• Ninguna: no se hace nada.

• Ignorar: el evento se mantiene en la base de datos pero no aparece en la interfazde usuario.

• Rechazar: el evento no se mantiene en la base de datos ni aparece en la interfazde usuario.

• Secuencia de comandos: se ejecuta una secuencia de comandos previamentedefinida.

• Restablecer: se intenta interrumpir la conexión de la base de datos mediante elenvío de paquetes TCP RST al cliente y el servidor.

Nombre desecuencia decomandos

Si selecciona Secuencia de comandos como operación, deberá definir el nombre de lasecuencia de comandos. Si no hay ninguna secuencia de comandos en la listadesplegable, haga clic en Nombre de secuencia de comandos y seleccione un archivo enla página Administración de archivos de secuencias de comandos.




Opción Definición

Agregar Agregar una acción nueva.

No es posible eliminar una acción personalizada una vez agregada.

Editar Cambiar el nombre o la descripción de la acción personalizada seleccionada.

Flechas Subir y Bajar Permiten cambiar el orden de las acciones personalizadas.

No es posible cambiar el orden de prioridad de las acciones predeterminadas.

Véase también Definición de acciones para eventos de DEM en la página 159Adición de una acción de DEM en la página 160Edición de una acción personalizada de DEM en la página 160

Utilización de máscaras de datos confidencialesLas máscaras de datos confidenciales evitan que se puedan ver sin la autorización pertinente datosconfidenciales gracias a la sustitución de los datos confidenciales por una cadena genérica,denominada “máscara”. Se agregan tres máscaras de datos confidenciales estándar a la base de datosdel ESM cuando se agrega un dispositivo DEM al sistema, pero es posible agregar otras nuevas yeditar o eliminar las existentes.

Estas son las máscaras estándar:

• Nombre de máscara de datos confidenciales: Máscara de número de tarjeta de crédito

Expresión: ((4\d{3})|(5[1-5]\d{2})|(6011))-?\d{4}-?\d{4}-?\d{4}|3[4,7]\d{13}

Índice de subcadenas: \0

Patrón de enmascaramiento: ####-####-####-####

• Nombre de máscara de datos confidenciales: Enmascarar primeros 5 caracteres de NSS

Expresión: (\d\d\d-\d\d)-\d\d\d\d


Patrón de enmascaramiento: ###-##

• Nombre de máscara de datos confidenciales: Enmascarar contraseña de usuario en sentencias SQL

Expresión: create\s+user\s+(\w+)\s+identified\s+by\s+(\w+)


Patrón de enmascaramiento: ********

Véase también Administración de máscaras de datos confidenciales en la página 162

Administración de máscaras de datos confidencialesA fin de proteger la información confidencial introducida en el sistema, es posible agregar máscaras dedatos confidenciales y editar o eliminar las existentes.




1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Máscaras de datosconfidenciales.

2 Seleccione una opción y rellene la información solicitada.

3 Haga clic en Aceptar y, después, en Escribir para agregar la configuración al DEM.


Opción Definición

Nombre de máscara de datosconfidenciales

Escriba un nombre para la máscara de datos confidenciales.

Expresión Escriba una expresión regular conforme a la sintaxis de expresiónregular compatible con Perl (PCRE) (véase Utilización de máscaras dedatos confidenciales para ver ejemplos).

Índice de subcadenas Seleccione una opción.

Las opciones dependen del número de paréntesis () utilizados en laexpresión. Si solo dispone de un conjunto de paréntesis, las opcionesserán \0 y \1. Si selecciona \0, toda la cadena se sustituirá por lamáscara. Si selecciona \1, solo se sustituyen las cadenas por lamáscara.

Patrón de enmascaramiento Escriba el patrón de enmascaramiento que debe aparecer en lugar delvalor original.

Véase también Utilización de máscaras de datos confidenciales en la página 162

Administración de la identificación de usuariosGran parte de la seguridad se basa en el simple principio de que los usuarios deben identificarse ydistinguirse unos de otros, aunque a menudo se emplean nombres de usuario genéricos para accedera la base de datos. La administración de identificadores proporciona una forma de capturar el nombre



de usuario real en caso de estar presente en alguna parte de la consulta mediante el uso de patronesde expresión regular.

Resulta bastante fácil que las aplicaciones puedan sacar partido de esta función de seguridad. Seagregan dos reglas de identificador de usuario a la base de datos del ESM cuando se agrega undispositivo DEM al sistema.

• Nombre de regla de identificador: Obtener nombre de usuario de sentencia SQL

Expresión: select\s+username=(\w+)

Aplicación: Oracle


• Nombre de regla de identificador: Obtener nombre de usuario de procedimiento almacenado

Expresión: sessionStart\s+@appname='(\w+)', @username='(\w+)',

Aplicación: MSSQL


Es posible realizar una correlación avanzada de usuarios mediante la correlación de los registros deadministración de identidad y acceso presentes en el ESM y correspondientes a: DEM, aplicación,servidor web y sistema.

Véase también Adición de una regla de identificador de usuario en la página 164

Adición de una regla de identificador de usuarioA fin de asociar las consultas de base de datos con personas, cabe la posibilidad de usar las reglas deidentificación de usuarios existentes o de agregar una regla.




1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Administración deidentificadores.


3 Haga clic en Aceptar y, después, en Escribir para escribir la configuración en el DEM.


Opción Definición

Nombre de regla deidentificador

Escriba un nombre para esta regla de identificador.

Expresión Escriba una expresión regular conforme a la sintaxis PCRE (véaseAdministración de la identificación de usuarios para ver ejemplos).

El operador de la expresión regular implementa la biblioteca PCRE para lacoincidencia de patrones mediante la misma semántica que Perl 5. Lasintaxis general es: <"nombre métrica"> EXPRESIÓN REGULAR<"patrón">. Para obtener información sobre PCRE, consulte http://www.pcre.org.

Aplicación Seleccione la aplicación (tipo de base de datos) donde se observa lainformación.

Índice de subcadenas Seleccione una subcadena.

Las opciones dependen del número de paréntesis () utilizados en laexpresión. Si dispone de un conjunto de paréntesis, las opciones serán \0 y\1.

Véase también Administración de la identificación de usuarios en la página 163

Acerca de los servidores de base de datosLos servidores de base de datos supervisan la actividad de base de datos. Si la actividad detectada enun servidor de base de datos coincide con un patrón conocido que indica un acceso a datos malicioso,se genera una alerta. Cada DEM puede supervisar un máximo de 255 servidores de base de datos.

El DEM admite actualmente los siguientes servidores y versiones de base de datos.

SO Base de datos Appliance DEM

Windows (todas las versiones) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008, 2012

Windows UNIX/Linux (todaslas versiones)

Oracle² Oracle 8.x, 9.x, 10g, 11g³, 11g R2

Sybase 11.x, 12.x, 15.x

DB2 8.x, 9.x, 10.x

Informix (véase la nota 4) 11.5

MySQL Sí, 4.x, 5.x, 6.x

PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x



http://www.pcre.org

http://www.pcre.org

SO Base de datos Appliance DEM

Teradata 12.x, 13.x, 14.x

InterSystems Cache 2011.1.x

UNIX/Linux (todas lasversiones)

Greenplum 8.2.15

Vertica 5.1.1-0

Mainframe DB2/zOS Todas las versiones

AS 400 DB2 Todas las versiones

1 Compatibilidad con descifrado de paquetes para Microsoft SQL Server disponible en las versiones8.3.0 y posteriores.

2 Compatibilidad con descifrado de paquetes para Oracle disponible en las versiones 8.4.0 yposteriores.

3 Oracle 11g está disponible en la versión 8.3.0 y posteriores.

4 Existe compatibilidad con Informix en las versiones 8.4.0 y posteriores.

• Se admiten tanto las versiones de 32 bits como las versiones de 64 bits de los sistemas operativosy las plataformas de base de datos.

• MySQL solo se admite en plataformas Windows de 32 bits.

• El descifrado de paquetes se admite para MSSQL y Oracle.

Véase también Administración de servidores de base de datos en la página 166Administración de notificaciones de descubrimiento de base de datos en la página 168

Administración de servidores de base de datosLa página Servidores de base de datos es el punto de inicio para la administración de la configuración detodos los servidores de base de datos del dispositivo DEM.


1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Servidores de base dedatos.

2 Seleccione cualquiera de las opciones disponibles.



Opción Definición

Tabla Ver la lista de servidores de base de datos del DEM.

Agregar Agregar un nuevo servidor de base de datos.

Agregar agente El agente de McAfee DEM ya no se comercializa. Si adquirió la licencia para el agentede DEM de una versión anterior a la 9.2 y necesita ayuda, póngase en contacto conel Soporte de McAfee.

Editar Realizar cambios en el servidor de base de datos seleccionado.




Opción Definición

Quitar Eliminar el servidor de base de datos seleccionado.

Copiar Crear una copia del servidor de base de datos seleccionado.

Escribir Aplicar la configuración de los servidores de base de datos al DEM.

Activar Haga clic si desea recibir una notificación de alerta cuando se encuentren servidoresde bases de datos nuevos.

Desactivar Permite desactivar la notificación.


Opción Definición

Activado Indique si desea que el DEM procese los datos correspondientes a esteservidor de base de datos. Si se desactiva, las opciones de configuración seguardan en el ESM para su uso en el futuro.

Grupo dealmacenamiento

Haga clic y seleccione un grupo de almacenamiento si desea que los datosrecibidos se envíen al dispositivo ELM.

Zona Si tiene zonas definidas en el sistema, seleccione la zona a la que deseeasignar este servidor de base de datos. Para agregar una zona al sistema,haga clic en Zona.

Tipo de base de datos Seleccione el tipo de base de datos. Los campos restantes variarán en funciónde lo que se seleccione en este campo.

El DEM implementa un controlador PI JDBC para conectar con el sistema PI.PI SQL Data Access Server (DAS) actúa como gateway entre el controlador PIJDBC y PI OLEDB. Proporciona comunicación de red segura (HTTPS) con PIJDBC y ejecuta consultas como cliente PI OLEDB.

Nombre del servidor debase de datos

Escriba un nombre para este servidor de base de datos.

Si ha seleccionado PIServer en el campo Tipo de base de datos, este campo seráNombre de origen de datos DAS, que corresponde al nombre del servidor PI al queaccederá el gateway de Data Access Server (DAS). Debe coincidirexactamente con el especificado en la configuración de DAS. Puede ser elmismo que el nombre de host de DAS si el servidor DAS está instalado en elmismo host que el servidor PI.

URL del dispositivo Si está disponible, escriba la dirección URL para ver la información delservidor de base de datos. Si la dirección URL introducida incluye la direcciónde una aplicación de terceros, puede adjuntar variables a la dirección URLmediante el icono correspondiente .

Dirección IP Introduzca una única dirección para este servidor de base de datos o DAS enel campo de dirección IP. Este campo acepta una única dirección IP conformato de notación de puntos IPv4. No se aceptan las máscaras para estasdirecciones IP.

Grupo de prioridad Asigne el servidor de base de datos a un grupo de prioridad. Esto permiteequilibrar la carga de datos procesados por el DEM. Es posible ver una lista delos servidores de base de datos y los grupos de prioridad a los quepertenecen en la tabla Servidores de base de datos.

ID de LAN virtual Escriba el ID de LAN virtual, en caso de ser necesario. Si introduce el valor"0", representa todas las VLAN.

Opción de codificación Seleccione una de las opciones disponibles: Ninguna, UTF8 o BIG5.




Opción Definición

Seleccionar opcionesespeciales

Seleccione una de las opciones siguientes (las opciones disponibles dependendel tipo de base de datos seleccionado):• Es necesario especificar la Redirección de puerto cuando se supervisa un

servidor Oracle que se ejecuta en una plataforma Windows.

• Se debe seleccionar El servidor usa canalizaciones con nombre si el servidor de basede datos emplea el protocolo SMB de canalizaciones con nombre. El nombrede canalización predeterminado para MSSQL es \\.\pipe\sql\query, y elpuerto predeterminado es el 445.

• Se debe seleccionar Puertos dinámicos si el servidor de base de datos tienepuertos dinámicos TCP activados. Introduzca un número de puerto para elservidor de base de datos o DAS en el campo Puerto. Este puerto es elpuerto de servicio del servidor de base de datos donde este escucha lasconexiones. Algunos números de puertos predeterminados habituales son:1433 para Microsoft SQL Server (MSSQL), 1521 para Oracle, 3306 paraMySQL, 5461 para Data Access Server (DAS) y 50000 para DB2/UDB.

Autenticación Kerberos Indique si desea que SQL Server emplee la autenticación Kerberos.

Tipo de cifrado RSA Seleccione Ninguno o RSA.

Nivel de cifrado RSA Seleccione la opción adecuada en función de lo que haya elegido para elcifrado forzado: Descifrar paquetes de inicio de sesión si el valor de Cifrado forzado esNo y Descifrar todos los paquetes si el valor de Cifrado forzado es Sí.

Clave RSA Haga clic en Examinar y seleccione el archivo de Clave RSA, o bien copie la clavedel archivo y péguela en el campo Clave RSA.

La consola de ESM solo acepta certificados RSA con el formato dearchivo .pem y sin contraseña.

Nombre de usuario Escriba el nombre de usuario para el inicio de sesión de PI DAS. Ya que PIDAS se instala en Windows, emplea la seguridad integrada de Windows. Elnombre de usuario debe especificarse con el formato dominio\nombre deinicio de sesión.

Contraseña Escriba la contraseña correspondiente al nombre de usuario de DAS.

Recuperar registros dearchivado

Indique si desea que se sondee la base de datos de archivos del servidor PIen busca de cambios para todos los puntos.

Puntos que supervisar Introduzca una lista de puntos separados por comas para que se supervisensolamente esos puntos.

Véase también Acerca de los servidores de base de datos en la página 165Administración de notificaciones de descubrimiento de base de datos en la página 168

Administración de notificaciones de descubrimiento de base de datosEl DEM cuenta con una función de descubrimiento de bases de datos que proporciona una lista deexcepciones de servidores de base de datos que no se supervisan. Esta lista permite a unadministrador de seguridad descubrir los nuevos servidores de base de datos agregados al entorno ylos puertos de escucha no autorizados abiertos para acceder a los datos a través de bases de datos.Cuando esta función está activada, aparece una notificación de alerta en la vista Análisis de eventos. Esposible elegir entonces si agregar o no el servidor a los supervisados en el sistema.




1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y, después, haga clic en Servidoresde base de datos | Activar.

Se le notificará la activación.

2 Haga clic en Aceptar para cerrar Propiedades de DEM.

3 Para ver las notificaciones, haga clic en el dispositivo DEM en el árbol de navegación del sistema yseleccione Vistas de evento | Análisis de eventos.

4Para agregar el servidor al sistema, seleccione la vista Análisis de eventos, haga clic en el icono Menú y seleccione Agregar servidor.

Véase también Acerca de los servidores de base de datos en la página 165Administración de servidores de base de datos en la página 166

Configuración del ESM distribuido (DESM)El ESM distribuido (DESM) proporciona una arquitectura distribuida que permite a un ESM principalconectar con un máximo de 100 dispositivos y recopilar datos en ellos. Además, es posible acceder ainformación detallada fácilmente sobre los datos que se originan y se conservan en el ESM deldispositivo.

Si inicia sesión con derechos de administrador en el DESM, aparece una notificación que indica "EsteESM se ha agregado como ESM distribuido en otro servidor. A la espera de aprobación para conectar."Cuando se hace clic en Aprobar ESM jerárquicos, se puede seleccionar el tipo de comunicación que el ESMprincipal puede tener con el DESM.

Cuando se aplica una clave a un ESM distribuido tras cambiar la dirección IP del dispositivosecundario, el puerto 443 debe estar abierto para volver a conectar con el ESM.

El ESM principal

El dispositivo principal extrae los datos del dispositivo en función de los filtros que haya definido. ElDESM debe aprobar el ESM principal para permitirle extraer eventos. El dispositivo principal puedeestablecer filtros, sincronizar orígenes de datos e insertar sus tipos personalizados. No puede obtenerreglas ni eventos del DESM hasta que está aprobado.

El ESM principal no administra los dispositivos que pertenecen al ESM del dispositivo. El ESM principalmuestra el Árbol de sistemas del ESM del dispositivo al que está directamente conectado. No extraeeventos ni muestra los ESM secundarios de los dispositivos. Las barras de herramientas se desactivanen todos los dispositivos secundarios del DESM.

El dispositivo principal no administra los datos que residen en el ESM del dispositivo. En su lugar, unsubconjunto de los datos de cada dispositivo ESM se transfiere y almacena en el ESM principal segúnlos filtros que se hayan definido.

Adición de filtros de DESMLos datos transferidos desde el dispositivo ESM al DESM principal dependen de los filtros definidos porel usuario. Cuando se guardan estos filtros, equivale a aplicar el filtro en el dispositivo ESM, de formaque se puedan generar los hashes o conjuntos de bits apropiados. Ya que la finalidad de la función del



DESM es permitir la recopilación de datos específicos del dispositivo ESM (no TODOS los datos), esnecesario establecer filtros para que se recuperen los datos del ESM.


1 En el árbol de navegación del sistema, seleccione Propiedades de DESM y haga clic en Filtros.

2 Introduzca los datos solicitados y, a continuación, haga clic en Aceptar.

Configuración de ePolicy OrchestratorEs posible agregar un dispositivo ePolicy Orchestrator al ESM, cuyas aplicaciones aparecerán comoelementos secundarios en el árbol de navegación del sistema. Una vez autenticado, podrá acceder aalgunas funciones del ESM, además de asignar etiquetas de ePolicy Orchestrator a direcciones IP deorigen o destino directamente y a los eventos generados por alarmas.

ePolicy Orchestrator se debe asociar con un receptor, ya que los eventos se extraen del receptor, no deePolicy Orchestrator.

Debe contar con privilegios de lectura en la base de datos principal y la base de datos de ePolicyOrchestrator para poder usar ePolicy Orchestrator.

Si el dispositivo McAfee ePO tiene un servidor de McAfee®

Threat Intelligence Exchange (TIE), seagrega automáticamente al agregar el dispositivo McAfee ePO al ESM (véase Integración con ThreatIntelligence Exchange).

Ejecución de ePolicy OrchestratorSi dispone de un dispositivo ePolicy Orchestrator o un origen de datos en el ESM y la dirección IP deePolicy Orchestrator se encuentra en la red local, puede ejecutar la interfaz de ePolicy Orchestratordesde ESM.

Antes de empezarAgregue un dispositivo ePolicy Orchestrator o un origen de datos al ESM.

Esta función está disponible en ePolicy Orchestrator 4.6 o posterior.


1 En el árbol de navegación del sistema, seleccione una vista.

2 Seleccione un resultado de un componente de tabla, lista o gráfico de barras o circular quedevuelva datos de IP de origen o destino.



3En el menú del componente , haga clic en Acción | Ejecutar ePO.

• Si solo dispone de un dispositivo ePolicy Orchestrator o un origen de datos en el sistema y haseleccionado una IP de origen o de destino en el Paso 1, se ejecutará ePolicy Orchestrator.

• Si dispone de más de un dispositivo ePolicy Orchestrator u origen de datos en el sistema,seleccione aquel al que desee acceder y se ejecutará ePolicy Orchestrator.

• Si ha seleccionado un evento o un flujo en un componente de tabla en el Paso 1, indique sidesea acceder a la dirección IP de origen o de destino y, después, se ejecutará ePolicyOrchestrator.

Autenticación de dispositivos McAfee ePOSe requiere autenticación para poder utilizar las etiquetas o acciones de McAfee ePO o McAfee RealTime for McAfee ePO.

Hay dos tipos de autenticación:

• Cuenta global única: si pertenece a un grupo que dispone de acceso a un dispositivo McAfee ePO,puede utilizar estas funciones tras introducir las credenciales globales.

• Cuenta distinta para cada dispositivo por usuario: se necesitan privilegios para ver el dispositivo enel árbol de dispositivos.

Cuando utilice acciones, etiquetas o McAfee Real Time for McAfee ePO, emplee el método deautenticación seleccionado. Si las credenciales no se encuentran o no son válidas, se le solicitará queintroduzca credenciales válidas, las cuales deberá guardar para futuras comunicaciones con estedispositivo.

Al ejecutar informes, enriquecimiento de datos y listas de vigilancia dinámicas en segundo planomediante McAfee Real Time for McAfee ePO, se utilizan las credenciales de McAfee ePO suministradasoriginalmente.

Configuración de la autenticación mediante cuentas independientes

La configuración predeterminada es la autenticación mediante una cuenta global. Hay dos cosas quedebe hacer para configurar la autenticación mediante cuentas independientes.

1 Cerciórese de que Solicitar autenticación de usuario esté seleccionado al agregar el dispositivo McAfee ePOal ESM o al establecer su configuración de conexión (véase Adición de dispositivos a la consola deESM o Cambio de la conexión con ESM).

2 Introduzca sus credenciales en la página Opciones (véase Adición de credenciales de autenticaciónde McAfee ePO).

Adición de credenciales de autenticación de McAfee ePOAntes de utilizar las etiquetas o acciones de McAfee ePO o McAfee Real Time for McAfee ePO, esnecesario agregar las credenciales de autenticación al ESM.

Antes de empezarInstale un dispositivo McAfee ePO en el ESM (véase Adición de dispositivos a la consola deESM).

Si no dispone de nombre de usuario y contraseña para el dispositivo, póngase en contactocon el administrador del sistema.




1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones y, después, enCredenciales de ePO.

2 Haga clic en el dispositivo y, después, en Editar.

3 Proporcione el nombre de usuario y la contraseña; a continuación, haga clic en Probar conexión.


Asignación de etiquetas de ePolicy Orchestrator a las direcciones IPLa ficha Etiquetado de ePO muestra las etiquetas disponibles. Es posible asignar etiquetas a los eventosgenerados por una alarma y ver si una alarma dispone de etiquetas de ePolicy Orchestrator. Tambiénse puede seleccionar una o varias etiquetas en esta página y aplicarlas a una dirección IP.

A fin de acceder a la funcionalidad de etiquetado, es necesario disponer de los permisos Aplicar, excluir yborrar etiquetas y Activar agentes; ver el registro de actividad del agente en ePolicy Orchestrator.


1 En el árbol de navegación del sistema, seleccione Propiedades de ePO y haga clic en Etiquetando.

2 Introduzca la información solicitada y, a continuación, haga clic en Asignar.

Las etiquetas seleccionadas se aplicarán a la dirección IP.


Opción Definición

Tabla de etiquetado Contiene las etiquetas disponibles en el dispositivo.

Dirección IP para asignar lasetiquetas seleccionadas

Escriba un nombre de host o dirección IP (se puede usar una listadelimitada por comas) y, después, seleccione una o varias etiquetas en lalista Etiquetas.

Para acceder a la funcionalidad de etiquetado, es necesario disponer delos permisos Aplicar, excluir y borrar etiquetas y Activar agentes; ver el registro deactividad del agente.

Activar cliente Permite activar la aplicación para aplicar las etiquetas inmediatamente.

Asignar Permite aplicar las etiquetas seleccionadas a la dirección IP.

Adquisición de datos de McAfee Risk AdvisorEs posible especificar varios servidores de ePolicy Orchestrator en los que adquirir los datos de McAfeeRisk Advisor. Los datos se adquieren mediante una consulta de base de datos procedente de la basede datos de SQL Server de ePolicy Orchestrator.

La consulta de base de datos tiene como resultado una lista de calificaciones de reputación dedirecciones IP, y se proporcionan valores constantes para los valores de reputación baja y reputaciónalta. Todas las listas de ePolicy Orchestrator y McAfee Risk Advisor se combinan, de forma que las IPduplicadas obtienen la calificación más elevada. Esta lista combinada se envía, con los valores bajos yaltos, a todos los dispositivos ACE empleados para calificar los campos IP de origen e IP de destino.



Cuando agregue ePolicy Orchestrator, se le preguntará si desea configurar los datos de McAfee RiskAdvisor. Si hace clic en Sí, se crearán y desplegarán una regla de origen de enriquecimiento de datos ydos reglas de calificación ACE (si procede). Para verlas, acceda a las páginas Enriquecimiento de datos yCalificación de correlación de riesgos. Si desea utilizar las reglas de calificación, es necesario crear unadministrador de correlación de riesgos.

Activación de la adquisición de datos de McAfee Risk AdvisorCuando se activa la adquisición de datos de McAfee Risk Advisor en ePolicy Orchestrator, se generauna lista de calificaciones que se envía a todos los dispositivos ACE para que la usen en la calificaciónde los campos IP de origen e IP de destino.


1 En el árbol de navegación del sistema, seleccione Propiedades de ePO | Administración de dispositivos y,después, haga clic en Activar.

Se le informará cuando la adquisición haya sido activada.



Opción Definición

Administrar registro deELM

Configurar el grupo de registro predeterminado para el dispositivoseleccionado (véase Establecimiento del grupo de registro predeterminado).Esta opción solo está disponible si hay un ELM presente en el ESM.

Zona Asignar McAfee ePO a una zona o cambiar la configuración actual (véaseAdministración de zonas).

Actualizar dispositivomanualmente

Actualizar la lista de aplicaciones desde el dispositivo McAfee ePO y crear unorigen de datos cliente por cada aplicación.

Hora de últimaactualización

Ver la última vez que se actualizaron las aplicaciones.

Activar MRA Activar la adquisición de datos de McAfee Risk Advisor (véase Adquisición dedatos de McAfee Risk Advisor).

Prioridad Cabe la posibilidad de que tenga más de un dispositivo McAfee ePO, origen deactivos o dispositivo de evaluación de vulnerabilidades configurado para recibirlos mismos activos o amenazas. En tal caso, seleccione la prioridad que debetener la información de este dispositivo McAfee ePO si los dispositivos recibenla misma información.Por ejemplo, su equipo está supervisado por ePO-1 y EV-1. ePO-1 recopilainformación sobre el software y el hardware de su equipo, mientras que EV-1recopila el hecho de que su equipo tiene Windows instalado. Establezca ePO-1para que tenga una prioridad superior a la de EV-1, de manera que lainformación que recopile no se pueda sobrescribir con la informaciónrecopilada por EV-1.

Planificar actualizaciónde aplicación

A fin de actualizar automáticamente la lista de aplicaciones del dispositivoePolicy Orchestrator, seleccione la frecuencia en la lista desplegable.



Realización de acciones de McAfee Real Time for McAfee ePOEs posible ejecutar acciones de McAfee Real Time for McAfee ePO en los resultados de una preguntadesde el ESM y el componente que muestra una dirección IP en la vista.

Antes de empezarDiseñe y ejecute una pregunta de McAfee Real Time for McAfee ePO (véase Consulta enMcAfee ePO del panel de McAfee Real Time for McAfee ePO).


1En la consola de ESM, haga clic en el icono de menú de un componente de vista que muestre losresultados de una pregunta de McAfee Real Time for McAfee ePO.

2 Resalte Acciones y, a continuación, haga clic en Acciones de Real Time for ePO.

3 En la ficha Dispositivos, seleccione el dispositivo McAfee ePO para realizar la acción.

4 En la ficha Acciones, haga clic en una acción de la lista de acciones disponibles para los dispositivosseleccionados.

5 En la ficha Filtros, especifique un conjunto de filtros que aplicar a la pregunta y, a continuación,pulse Finalizar.

Los filtros no están disponibles en el panel o los componentes de McAfee ePO.

Integración con Threat Intelligence ExchangeThreat Intelligence Exchange verifica la reputación de los programas ejecutables en los endpointsconectados a estos archivos.

Cuando se agrega un dispositivo McAfee ePO al ESM, el sistema detecta de forma automática si hayun servidor de Threat Intelligence Exchange conectado al dispositivo. De ser así, el ESM empieza aescuchar los eventos de DXL y de registro.

Cabe la posibilidad de experimentar un retardo cuando el ESM conecta con DXL.

Cuando se detecta el servidor de Threat Intelligence Exchange, las listas de vigilancia, elenriquecimiento de datos y las reglas de correlación de Threat Intelligence Exchange se agreganautomáticamente y las alarmas de Threat Intelligence Exchange se activan. Recibirá una notificaciónvisual con un vínculo al resumen de los cambios realizados. También se le notificará si el servidor deThreat Intelligence Exchange se agrega al servidor de McAfee ePO después de que el dispositivo sehaya agregado al ESM.

Cuando se hayan generado eventos de Threat Intelligence Exchange, podrá ver su historial deejecución (véase Visualización del historial de ejecución y configuración de acciones de ThreatIntelligence Exchange) y seleccionar las acciones que desee realizar con los datos maliciosos.

Reglas de correlación

Existen seis reglas de correlación optimizadas para los datos de Threat Intelligence Exchange. Estasreglas generan eventos que se pueden buscar y ordenar.

• TIE - Reputación de GTI cambiada de limpia a contaminada

• TIE - Archivo malicioso (SHA-1) encontrado en un número creciente de hosts



• TIE - Nombre de archivo malicioso encontrado en un número creciente de hosts

• TIE - Varios archivos maliciosos encontrados en un único host

• TIE - Reputación de TIE cambiada de limpia a contaminada

• TIE - Aumento de archivos maliciosos detectado en todos los hosts

Alarmas

El ESM tiene dos alarmas que se podrían activar al detectar eventos importantes de ThreatIntelligence Exchange.

• Umbral de archivos dañados de TIE superado se activa a partir de la regla de correlación TIE - Archivo malicioso(SHA-1) encontrado en un número creciente de hosts.

• Archivo desconocido ejecutado de TIE se activa a partir de un evento de TIE específico y agregainformación a la lista de vigilancia IP de orígenes de datos de TIE.

Lista de vigilancia

La lista de vigilancia IP de orígenes de datos de TIE conserva una lista de sistemas que han activado laalarma Archivo desconocido ejecutado de TIE. Se trata de una lista de vigilancia estática sin caducidad.

Historial de ejecución de Threat Intelligence Exchange

Es posible ver el historial de ejecución de cualquier evento de Threat Intelligence Exchange (véaseVisualización del historial de ejecución y configuración de acciones de Threat Intelligence Exchange),el cual incluye una lista de las direcciones IP que han intentado ejecutar el archivo. En esta página,puede seleccionar un elemento y realizar cualquiera de estas acciones:

• Crear una lista de vigilancia. • Agregar la información a una lista negra

• Anexar la información a una lista devigilancia

• Exportar la información a un archivo .csv

• Crear una alarma.

Véase también Visualización del historial de ejecución y configuración de acciones de Threat IntelligenceExchange en la página 175

Visualización del historial de ejecución y configuración de acciones de ThreatIntelligence ExchangeLa página del historial de ejecución de Threat Intelligence Exchange muestra una lista de los sistemasque han ejecutado el archivo asociado con el evento seleccionado.

Antes de empezarEs necesario que exista un dispositivo ePolicy Orchestrator con un servidor de ThreatIntelligence Exchange conectado en el ESM.




1 En el árbol de navegación del sistema de la consola de ESM, haga clic en el dispositivo ePolicyOrchestrator.

2 En la lista desplegable de vistas, seleccione Vistas de evento | Análisis de eventos y, después, haga clic enel evento.

3Haga clic en el icono de menú y seleccione Acciones | Historial de ejecución de TIE.

4 En la página Historial de ejecución de TIE, vea los sistemas que han ejecutado el archivo de ThreatIntelligence Exchange.

5 Para agregar estos datos a su flujo de trabajo, haga clic en un sistema, haga clic en el menúdesplegable Acciones y seleccione una opción para abrir su página de ESM.

6 Configure la acción seleccionada (véase la Ayuda online para obtener instrucciones).

Véase también Integración con Threat Intelligence Exchange en la página 174

Consultas en dispositivos McAfee ePO sobre informes o vistasEs posible consultar varios dispositivos McAfee ePO en relación con un informe o vista si estánintegrados con McAfee Real Time for McAfee ePO.

Antes de empezarCompruebe que los dispositivos McAfee ePO consultados estén integrados con McAfee RealTime for McAfee ePO.


1 En el árbol de navegación del sistema, haga clic en el sistema en cuestión, haga clic en el icono

Propiedades y, después, en Informes.

2 Haga clic en Agregar, rellene las secciones de la 1 a la 4 y, a continuación, haga clic en Agregar en lasección 5.

3 En el editor Diseño del informe, arrastre y suelte un componente de Tabla, Gráfico de barras o Gráfico circular.

4 En el Asistente de consultas, seleccione Real Time for McAfee ePO en la lista desplegable y, a continuación,seleccione el elemento o la pregunta para la consulta.

5 Haga clic en Siguiente, después en Dispositivos y, a continuación, seleccione los dispositivos McAfeeePO que consultar.

6 (Opcional) Haga clic en Filtros, agregue valores de filtrado para la consulta y, después, haga clic enAceptar.



7 Si ha seleccionado Pregunta de ePO personalizada en la lista desplegable, haga clic en Campos, seleccionelos elementos que desee incluir en la pregunta y haga clic en Aceptar.

8 Haga clic en Finalizar para cerrar el Asistente de consultas, defina las propiedades en el panel Propiedades yguarde el informe.

Consultas en dispositivos McAfee ePO para el enriquecimiento de datosEs posible ejecutar una consulta en varios dispositivos McAfee ePO para el enriquecimiento de datos siestán integrados con McAfee Real Time for McAfee ePO.



1 En el árbol de navegación del sistema, seleccione el sistema, haga clic en el icono Propiedades y,después, haga clic en Enriquecimiento de datos.

2 Haga clic en Agregar, escriba un nombre y realice las selecciones en la ficha Principal.

3 En la ficha Origen, seleccione McAfee Real Time for McAfee ePO en el campo Tipo y, después,seleccione los dispositivos en el campo Dispositivo.

4 Establezca el resto de la configuración en las fichas Consulta, Calificación y Destino; a continuación,haga clic en Finalizar.

Consulta de dispositivos McAfee ePO en el panel de McAfee Real Time forMcAfee ePOSe puede ejecutar una consulta de varios dispositivos McAfee ePO en la vista del panel de McAfee RealTime for McAfee ePO.



1 En el árbol de navegación del sistema, haga clic en los dispositivos McAfee ePO que consultar.

2 En la consola de ESM, haga clic en la lista de vistas y seleccione McAfee Real Time for McAfee ePO.



3 Seleccione los filtros en el panel Filtros:

a En la sección Elementos, haga clic en el campo abierto y seleccione los elementos para laconsulta.

b En la sección Filtros, seleccione el tipo de filtro y escriba el filtro en el campo abierto.

c Seleccione la acción de filtrado y escriba el valor.

4 Haga clic en el icono Ejecutar consulta .

Configuración de McAfee Vulnerability ManagerMcAfee Vulnerability Manager se puede agregar al ESM a modo de dispositivo, lo cual permite iniciarun análisis de McAfee Vulnerability Manager desde el ESM. Esto resulta útil si ha adquirido undispositivo McAfee Vulnerability Manager y desea ejecutarlo desde el ESM.

McAfee Vulnerability Manager se debe asociar con un receptor, ya que los eventos se extraen delreceptor, no de McAfee Vulnerability Manager.

Véase también Obtención del certificado y la frase de contraseña de McAfee Vulnerability Manager en lapágina 178Ejecución de análisis de McAfee Vulnerability Manager en la página 178Configuración de la conexión con McAfee Vulnerability Manager en la página 179

Obtención del certificado y la frase de contraseña de McAfee VulnerabilityManagerEs necesario obtener el certificado y la frase de contraseña de McAfee Vulnerability Manager antes deconfigurar las conexiones de McAfee Vulnerability Manager. Esta tarea no se lleva a cabo en el ESM.


1 En el servidor donde se ejecute el administrador de certificados de Foundstone, ejecute FoundstoneCertificate Manager.exe.

2 Haga clic en la ficha Create SSL Certificates (Crear certificados SSL).

3 En el campo Host Address (Dirección del host) escriba el nombre de host o la dirección IP del sistemaque alberga la interfaz web de McAfee Vulnerability Manager y, a continuación, haga clic en Resolver.

4 Haga clic en Create Certificate using Common Name (Crear certificado mediante nombre común) paragenerar la frase de contraseña y un archivo .zip.

5 Cargue el archivo .zip y copie la frase de contraseña generada.

Véase también Configuración de McAfee Vulnerability Manager en la página 178Ejecución de análisis de McAfee Vulnerability Manager en la página 178Configuración de la conexión con McAfee Vulnerability Manager en la página 179

Ejecución de análisis de McAfee Vulnerability ManagerLa página Análisis muestra todos los análisis de vulnerabilidades que se están ejecutando o se hanejecutado desde McAfee Vulnerability Manager, así como su estado. Cuando se abre esta página, unaAPI comprueba si existen credenciales de inicio de sesión web predeterminadas. De ser así, la lista de



análisis se rellena en función de esas credenciales y se carga cada 60 segundos. También es posibleiniciar un nuevo análisis desde esta página.


1 En el árbol de navegación del sistema, seleccione Propiedades de MVM y haga clic en Análisis.

2 Haga clic en Nuevo análisis y rellene la información solicitada.


Una vez terminado el análisis, se agrega a la lista de análisis.

Véase también Configuración de McAfee Vulnerability Manager en la página 178Obtención del certificado y la frase de contraseña de McAfee Vulnerability Manager en lapágina 178Configuración de la conexión con McAfee Vulnerability Manager en la página 179

Configuración de la conexión con McAfee Vulnerability ManagerEs necesario configurar las conexiones de McAfee Vulnerability Manager con la base de datos a fin deextraer los datos de evaluación de vulnerabilidades de McAfee Vulnerability Manager, así como paraque la interfaz de usuario web pueda llevar a cabo análisis en McAfee Vulnerability Manager.

Antes de empezarEs necesario obtener el certificado y la frase de contraseña correspondientes a McAfeeVulnerability Manager.

El cambio de esta configuración no afecta al dispositivo en sí. Solamente afecta a la forma en que eldispositivo se comunica con ESM.


1 En el árbol de navegación del sistema, seleccione Propiedades de MVM y haga clic en Conexión.


Véase también Configuración de McAfee Vulnerability Manager en la página 178Obtención del certificado y la frase de contraseña de McAfee Vulnerability Manager en lapágina 178Ejecución de análisis de McAfee Vulnerability Manager en la página 178

Configuración de McAfee Network Security ManagerEs posible agregar McAfee Network Security Manager al ESM a modo de dispositivo, lo que permiteacceder a algunas funciones desde el ESM. Esto resulta útil si ha adquirido un dispositivo y deseaacceder a él desde el ESM.

Cuando se agrega un dispositivo McAfee Network Security Manager al ESM, los sensores deldispositivo aparecen como elementos secundarios debajo del dispositivo en el árbol de navegación delsistema. El dispositivo se debe asociar con un receptor, ya que los eventos se extraen del receptor, node McAfee Network Security Manager.



Véase también Adición de una entrada de lista negra en la página 180Adición o eliminación de una entrada de lista negra previamente borrada en la página 180Recopilación de capa 7 en un dispositivo NSM en la página 181

Adición de una entrada de lista negraMcAfee Network Security Manager aplica la inclusión en lista negra a través de los sensores. La páginaLista negra muestra las entradas de lista negra definidas para el sensor seleccionado. Desde esta página,es posible agregar, editar y eliminar elementos de la lista negra.

Es necesario ser superusuario para utilizar la función de lista negra.


1 En el árbol de navegación del sistema, seleccione Propiedades de NSM, haga clic en Lista negra yseleccione un sensor.

2 Para aplicar las entradas de la lista negra global a este sensor, seleccione Incluir lista negra global.

El elemento de lista negra global se agregará a la lista. Si existen direcciones IP duplicadas, ladirección de la lista negra global sobrescribirá la dirección de McAfee Network Security Manager.

Una vez que se selecciona esta opción, no se puede deshacer de forma automática. Elimine loselementos manualmente.


La entrada aparecerá en la lista negra hasta que caduque.


Opción Definición

Dirección IP Escriba la dirección IP que desee incluir en la lista negra.

Duración Seleccione la cantidad de tiempo que desee que esta dirección permanezca en la listanegra.

Descripción Escriba una descripción para esta entrada.

Véase también Configuración de McAfee Network Security Manager en la página 179Adición o eliminación de una entrada de lista negra previamente borrada en la página 180Recopilación de capa 7 en un dispositivo NSM en la página 181

Adición o eliminación de una entrada de lista negra previamente borradaCualquier entrada iniciada en el ESM se muestra con un icono indicador y el estado Eliminado si tieneuna duración que no ha caducado pero, sin embargo, no aparece en la lista de entradas de lista negracuando se realiza una consulta en McAfee Network Security Manager (Manager).

Esta situación se produce si la entrada ha sido eliminada pero la eliminación no se ha iniciado en elESM. Es posible volver a agregar esta entrada o eliminarla de la lista negra.




1 En el árbol de navegación del sistema, seleccione Propiedades de NSM y haga clic en Lista negra.

2 Seleccione la entrada eliminada en la lista de entradas de la lista negra y, después, haga clic enAgregar o en Eliminar.


Véase también Configuración de McAfee Network Security Manager en la página 179Adición de una entrada de lista negra en la página 180Recopilación de capa 7 en un dispositivo NSM en la página 181

Recopilación de capa 7 en un dispositivo NSMLos datos de capa 7 se introducen en la base de datos de NSM una vez escrito el evento de NSM en subase de datos. No se insertan en el sistema como parte del evento.

Para extraer la información de capa 7 de NSM, es posible retrasar el momento de extracción delevento a fin de incluir los datos de capa 7. Este retraso se aplica a todos los eventos de NSM, no soloa los que tienen datos de capa 7 asociados.

Puede configurar este retraso al llevar a cabo tres acciones distintas relacionadas con NSM:

• Adición de un dispositivo McAfee NSM a la consola

• Configuración de un dispositivo NSM

• Adición de un origen de datos NSM

Adición de un dispositivo McAfee NSM

Al agregar el dispositivo NSM al ESM (véase Adición de dispositivos a la consola de ESM), seleccioneActivar recopilación de capa 7 y establezca el retraso en la cuarta página del Asistente de adición de dispositivos.

Configuración de un dispositivo NSM

Tras agregar un dispositivo NSM a la consola de ESM, puede establecer la configuración de conexiónpara el dispositivo (véase Cambio de la conexión con ESM). Es posible seleccionar Activar recopilación de capa 7 yestablecer el retraso en la página Conexión.

Adición de un origen de datos NSM

Para agregar un origen de datos NSM a un receptor (véase Adición de un origen de datos), seleccioneMcAfee en el campo Proveedor de origen de datos y Network Security Manager - SQL Pull (ASP) en el campo Modelo deorigen de datos. Es posible seleccionar Activar recopilación de capa 7 y establecer el retraso en la página Agregarorigen de datos.

Véase también Configuración de McAfee Network Security Manager en la página 179Adición de una entrada de lista negra en la página 180Adición o eliminación de una entrada de lista negra previamente borrada en la página 180



Configuración de los servicios auxiliaresEntre los servicios auxiliares se cuentan los servidores de Remedy, los servidores del protocoloNetwork Time Protocol (NTP) y los servidores DNS. Configure estos servidores para que secomuniquen con el ESM.

Contenido Información general del sistema Opciones de configuración del servidor de Remedy Detención de la actualización automática del Árbol de sistemas de ESM Definición de la configuración de los mensajes Configuración de NTP en un dispositivo Página Administrar listas negras globales Configuración de las opciones de red Sincronización de la hora del sistema Instalación de un nuevo certificado Configuración de perfiles Configuración de SNMP

Información general del sistemaEn la página Propiedades del sistema | Información del sistema , se puede ver información general sobre elsistema y el estado de diversas funciones. En la página Registro del sistema, se pueden ver los eventosque se han producido en el sistema o los dispositivos.

Es posible hacer referencia a esta información al intercambiar información con el soporte de McAfeeacerca de su sistema. También es necesaria a la hora de configurar funciones tales como la agregaciónde eventos o flujos, o bien para comprobar el estado de una actualización de reglas o de una copia deseguridad del sistema.

• Las opciones Sistema, ID de cliente, Hardware y Número de serie proporcionan información sobre el sistema ysu estado actual.

• La opción Estado de base de datos aparece cuando la base de datos está realizando otras funciones (porejemplo, una reconstrucción de la base de datos o en segundo plano) junto con el estado de esasfunciones. El estado OK significa que la base de datos funciona de la forma normal.

• Reloj del sistema muestra la hora y la fecha en que se abrieron o actualizaron por última vez lasPropiedades del sistema.

• Actualización de reglas muestra la última vez que se actualizaron las reglas.

• En el modo FIPS, Prueba automática de FIPS y Estado muestran la última vez que se realizó una pruebaautomática de FIPS, así como su estado.

• Ver informes muestra los informes Recuento de tipos de dispositivos y Hora de evento.


Opción Definición

Sistema El tipo de dispositivo, la versión del software y el número de compilación, y elID de equipo, que es un número exclusivo asignado a cada dispositivo.

ID de cliente El número que se le asigna cuando configura sus credenciales permanentesen McAfee.

Hardware Información sobre el hardware y la memoria.

Número de serie El número de serie del fabricante de este dispositivo.

3 Configuración del ESMConfiguración de los servicios auxiliares



Opción Definición

Reloj del sistema (GMT) La fecha y la hora en que se abrió o actualizó por última vez la páginaPropiedades del sistema. Si hace clic en el vínculo, podrá realizar cambios en elreloj del sistema y la configuración de NTP.

Sincronizar relojes dedispositivos

Permite sincronizar la hora del ESM y los servidores NTP con la de losdispositivos.

Actualización de reglas La última vez que se actualizaron las reglas y cómo se actualizaron. En casode no haber configurado las credenciales permanentes, muestra cuándocaduca la licencia (véase Comprobación de la existencia de actualizaciones dereglas u Obtención y adición de credenciales de actualización de reglas).

Estado de base de datos El estado de la base de datos. Si se está realizando alguna función, como porejemplo la reconstrucción de la base de datos o una reconstrucción ensegundo plano, muestra el estado de esa función. El estado OK significa quefunciona de la forma normal.

Actualizar información delsistema

Actualiza los datos que aparecen en la página.

Informes de resumen dedispositivos

Muestra los informes Recuento de tipos de dispositivos y Hora de evento. Es posibleexportar estos datos a un archivo .csv.

Opciones de configuración del servidor de RemedySi utiliza un sistema Remedy, debe configurar las opciones correspondientes para que el ESM se puedacomunicar con él.

Antes de empezarConfigure el sistema Remedy.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic enConfiguración personalizada | Remedy.

2 En la página Configuración de Remedy, introduzca la información sobre su sistema Remedy y haga clicen Aceptar.

Al seleccionar Enviar evento a Remedy en la vista Análisis de eventos, el correo electrónico se rellena con lainformación introducida en esta página.


Opción Definición

Host Escriba el host del sistema Remedy.

Puerto Cambie el número de puerto, si procede.

Usar TLS Seleccione esta opción si desea usar TLS como protocolo de cifrado.

Nombre de usuario Escriba el nombre de usuario del sistema Remedy, en caso de ser necesario.

Contraseña Escriba la contraseña del sistema Remedy, en caso de ser necesaria.

Configuración del ESMConfiguración de los servicios auxiliares 3



Opción Definición

Dirección de origen Escriba la dirección de correo electrónico del remitente del mensaje de Remedy.

Dirección de destino Escriba la dirección de correo electrónico a la que se enviará el mensaje de Remedy.

Detención de la actualización automática del Árbol de sistemasde ESMEl Árbol de sistemas de ESM se actualiza automáticamente cada cinco minutos. Puede detener estaactualización automática si es necesario.

Antes de empezarEs necesario disponer de derechos de Administración del sistema para cambiar estaconfiguración.

Durante la actualización, no es posible seleccionar dispositivos en el árbol. Si tiene muchosdispositivos en el ESM, esto puede interferir con el acceso a la página Propiedades de los dispositivos.


1 En el Árbol de sistemas, seleccione el ESM y haga clic en el icono Propiedades .

2 Haga clic en Configuración personalizada y anule la selección de Actualización automática del Árbol de sistemas.

Para actualizar manualmente el Árbol de sistemas, haga clic en el icono Actualizar dispositivos , situadoen la barra de herramientas de acciones del Árbol de sistemas.

Definición de la configuración de los mensajesCuando se definen las acciones de alarma o se configuran los métodos de entrega informes, se puedeoptar por enviar mensajes. Pero, en primer lugar, es necesario conectar el ESM con el servidor decorreo e identificar los destinatarios de los mensajes de correo electrónico, SMS, SNMP o syslog.

ESM envía notificaciones de alarma mediante el protocolo SNMP v1. SNMP emplea UDP como protocolode transporte para transmitir datos entre los administradores y los agentes. En una configuraciónSNMP los agentes, como el ESM, reenvían eventos a los servidores SNMP (denominados estación deadministración de red o NMS) mediante paquetes de datos conocidos como capturas. Otros agentes dela red pueden recibir informes de eventos de la misma forma que reciben notificaciones. Debido a laslimitaciones de tamaño de los paquetes de captura SNMP, el ESM envía cada línea de informe en unacaptura distinta.

Syslog también puede enviar informes de consulta en CSV generados por el ESM. Syslog envía estosinformes de consulta en CSV con el método de una línea por mensaje de syslog, con los datos de cadalínea de los resultados de la consulta organizados mediante campos separados por comas.

Véase también Conexión con el servidor de correo en la página 185Administración de destinatarios en la página 185Administración de grupos de destinatarios de correo electrónico en la página 186Creación de plantillas de mensajes de alarma en la página 284Configuración de alarmas de correlación para la inclusión de eventos de origen en la página286Administración de los destinatarios de alarmas en la página 287



Conexión con el servidor de correoConfigure las opciones para conectar con el servidor de correo de manera que pueda enviar mensajesde alarma e informes.

Antes de empezarVerifique que dispone de derechos de administrador o pertenece a un grupo de acceso conprivilegios de administración de usuarios.

Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, hagaclic en ? o en Ayuda.

Procedimiento1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono

Propiedades .

2 Haga clic en Configuración de correo electrónico e introduzca la información solicitada para conectar con elservidor de correo.


Host y Puerto Introduzca el host y el puerto del servidor de correo electrónico.

Usar TLS Indique si desea usar el protocolo de cifrado TLS.

Nombre de usuario yContraseña

Escriba el nombre de usuario y la contraseña para acceder al servidor decorreo electrónico.

Título Escriba un título genérico para todos los mensajes de correo electrónicoenviados desde su servidor de correo, por ejemplo, la dirección IP de ESM,a fin de identificar qué ESM ha generado el mensaje.

De Escriba su nombre.

Configurar destinatarios Permite agregar, editar o eliminar destinatarios (véase Administración delos destinatarios de alarmas en la página 287).

3 Envíe un mensaje de correo electrónico de prueba para verificar la configuración.

4 Permite agregar, editar o eliminar destinatarios (véase Administración de los destinatarios dealarmas en la página 287).

5 Haga clic en Aplicar o en Aceptar para guardar la configuración.

Véase también Definición de la configuración de los mensajes en la página 184Administración de destinatarios en la página 185Administración de grupos de destinatarios de correo electrónico en la página 186

Administración de destinatariosEs posible enviar mensajes de alarma o informe en diversos formatos, cada uno con una lista dedestinatarios que se puede administrar. Las direcciones de correo electrónico se pueden agrupar, deforma que es posible enviar un mensaje a varios destinatarios a la vez.




1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración decorreo electrónico.

2 Haga clic en Configurar destinatarios y seleccione la ficha a la que desee agregarlos.



El destinatario se agregará al ESM y podrá seleccionarlo en cualquier parte donde se empleendestinatarios dentro del ESM.

Véase también Definición de la configuración de los mensajes en la página 184Conexión con el servidor de correo en la página 185Administración de grupos de destinatarios de correo electrónico en la página 186

Administración de grupos de destinatarios de correo electrónicoAgrupe los destinatarios de correo electrónico para poder enviar un mensaje a varios destinatarios a lavez.

Antes de empezarLos destinatarios y sus direcciones de correo electrónico deben definirse para los usuariosen el ESM (véase Adición de un usuario).


1 En el árbol de navegación del sistema, haga clic en el sistema y, después, en el icono de Propiedades

.

2 Haga clic en Configuración de correo electrónico, después en Configurar destinatarios | Grupos de correo electrónico.

Aparecerá una lista de los grupos de destinatarios de correo electrónico existentes y verá losmiembros del grupo seleccionado.

3 Haga clic en Agregar, Editar o Quitar para administrar la lista de grupos de destinatarios.

4 Proporcione la información solicitada y, a continuación, haga clic en Aceptar.

El grupo se agregará a la sección Grupos de destinatarios de correo electrónico de la página Grupos de correoelectrónico.


Opción Definición

Nombre de grupo de correo electrónico Escriba un nombre que describa el grupo.

Seleccione las direcciones de correo electrónico quepertenecerán a este grupo

En la lista de todos los destinatarios del sistema,seleccione los que formarán parte de este grupo.



Véase también Definición de la configuración de los mensajes en la página 184Conexión con el servidor de correo en la página 185Administración de destinatarios en la página 185

Configuración de NTP en un dispositivoCabe la posibilidad de sincronizar la hora del dispositivo con el ESM mediante un servidor NTP(Network Time Protocol).



.

2 Haga clic en Configuración | NTP.



Opción Definición

Usar servidores NTP parasincronización de tiempo

Seleccione esta opción para utilizar los servidores NTP a fin de sincronizarla hora del dispositivo en lugar de emplear el reloj del sistema.

Tabla Ver los servidores NTP predeterminados y los que se han agregado aldispositivo.

Columna Servidor NTP Haga clic en esta columna para agregar las direcciones IP de losservidores NTP que desee agregar al dispositivo. Se pueden agregar hastadiez servidores.

Las direcciones de servidores NTP en dispositivos de tipo IPS deben serdirecciones IP.

Columnas Clave deautenticación e ID de clave

Escriba la clave de autenticación y el ID de clave de cada uno de losservidores NTP (póngase en contacto con el administrador de red si no losconoce).

Estado Haga clic para ver el estado de los servidores NTP de la lista. Si harealizado cambios en la lista de servidores, deberá hacer clic en Aceptarpara guardar los cambios y cerrar la página; después, vuelva a abrirlaantes de hacer clic en Estado.

Procedimientos• Visualización del estado de los servidores NTP en la página 188

Es posible ver el estado de todos los servidores NTP del ESM.

Véase también Visualización del estado de los servidores NTP en la página 188



Visualización del estado de los servidores NTPEs posible ver el estado de todos los servidores NTP del ESM.

Antes de empezarAgregue servidores NTP al ESM o los dispositivos (véase Sincronización de la hora delsistema o Configuración de NTP en un dispositivo).


1 En el árbol de navegación del sistema, realice una de las siguientes acciones:

• Seleccione Propiedades del sistema | Información del sistema y haga clic en Reloj del sistema.

• En el árbol de navegación del sistema, seleccione un dispositivo, haga clic en el icono Propiedadesy seleccione Configuración | NTP.

2 Haga clic en Estado, visualice los datos del servidor NTP y haga clic en Cerrar.


Opción Definición

Columna ServidorNTP

Incluye las direcciones IP de los servidores NTP. Estas marcas pueden aparecerantes de la dirección:• * – Servidor al que se hace referencia

• + – Seleccionado, incluido en el conjunto final

• # – Seleccionado, la distancia supera el valor máximo

• o – Seleccionado, con el uso de Pulso Por Segundo (PPS)

• x – Marca de falso de origen

• . – Seleccionado al final de la lista de candidatos

• - – Descartado por el algoritmo de clúster

Columna Accesible Sí significa que se puede acceder al servidor, y No que no se puede.

ColumnaAutenticación

Ninguna significa que no se han proporcionado las credenciales, Incorrecta significaque las credenciales no eran correctas y Sí significa que se han proporcionadolas credenciales.

ColumnaCondición

La condición corresponde a la marca de la columna Servidor NTP. Candidatosignifica que es una opción posible, sys.peer significa que es la opción actual yrechazo significa que no resulta accesible. Si todos los servidores presentan elvalor rechazo, es posible que la configuración de NTP se esté reiniciando.

Véase también Configuración de NTP en un dispositivo en la página 187



Página Administrar listas negras globalesSeleccione los dispositivos de red compatibles con la lista negra global.


Opción Definición

Tabla Permite ver una lista de los dispositivos de red del ESM y si tienen o no activada lalista negra global.

Columna Activado Seleccione los dispositivos que utilicen la lista negra global.

Configuración de las opciones de redConfigure la forma en que ESM conecta con la red mediante la adición del gateway de servidor de ESMy las direcciones IP de servidor DNS, la definición de la configuración del servidor proxy, laconfiguración de SSH y la adición de rutas estáticas.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración dered.

2 Rellene la información para configurar la conexión con la red.




Principal Interfaz 1 e Interfaz 2 Seleccione Interfaz 1, Interfaz 2 o ambas opciones y, después, haga clicen Configuración. Siempre se debe tener activada al menos unainterfaz.

Las versiones 4 y 5 de Firefox actualmente no pueden eliminar"[ ]" de la dirección al verificar el certificado, por lo que no puedenresolver las direcciones IPv6 mientras intentan obtener loscertificados a través de IPv6. Para solucionar este problema,agregue un registro para la dirección IPv6 en el archivo /etc/hosts(Linux) o C:\WINDOWS\system32\drivers\etc\hosts (Windows) yutilice el nombre de host en lugar de la dirección IPv6 paranavegar al ESM.

Activar SSH(no disponible enel modo FIPS)

Seleccione esta opción para permitir las conexiones SSH. Se debedefinir al menos una interfaz para activar SSH.

ESM y los dispositivos emplean una versión de SSH compatiblecon FIPS. Los clientes SSH OpenSSH, Putty, dropbear, Cygwin ssh,WinSCP y TeraTerm han sido sometidos a pruebas y se sabe quefuncionan. Si utiliza Putty, la versión 0.62 es compatible, y puededescargarla en http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html.

Puerto SSH Introduzca el puerto concreto mediante el que se permite el acceso.

Administrar clavesSSH

Haga clic en Claves SSH. Si ha activado las conexiones SSH, losequipos de la lista se comunicarán. Para detener la comunicación,elimine el ID de equipo de la lista.





Configuración IPv6 Seleccione Manual o Automático para activar el modo IPv6.

• Si el valor es Desactivado, el modo IPv6 estará desactivado.

• Si selecciona Automático, se desactivan los campos de IPv6 Principaly Secundario. Cada host determinará su dirección a partir delcontenido de las publicaciones de usuario recibidas. Se emplea elestándar IEEE EUI-64 para definir la parte del ID de red de ladirección.

• Si selecciona Manual, se activan los campos de IPv6 Principal ySecundario. Agregue las direcciones IPv6 en estos campos.

Avanzada Permite configurar los mensajes del protocolo Internet Control Message Protocol(ICMP) e Intelligent Platform Management Interface (IPMI) en el ESM o susdispositivos.

Mensajes de ICMP Seleccione cualquiera de las siguientes opciones para ICMP.• Redirigir: el ESM ignora los mensajes de redirección.

• Destino inaccesible: el ESM genera un mensaje cuando un paqueteno se puede entregar en su destino por motivos distintos a lacongestión.

• Activar PING: el ESM envía un mensaje Echo Reply en respuesta aun mensaje Echo Request enviado a una dirección IPv6 demultidifusión/difusión por proximidad.

Configuración IPMI Si tiene un NIC IPMI conectado a un conmutador y necesitaadministrar de forma remota los dispositivos ESM a través de unatarjeta IPMI, agregue la configuración de IPMI.• Activar configuración IPMI: permite el acceso a los comandos de IPMI.

• VLAN, Dirección IP, Máscara de red, Gateway: introduzca los valores deconfiguración de la red para el puerto IPMI.

Proxy Si la red cuenta con un servidor proxy, deberá configurar la conexión con el ESM.

IPv4 o IPv6 En los dispositivos, si dispone de una interfaz que emplea unadirección IPv6, puede seleccionar IPv6. De lo contrario, seselecciona IPv4.

Dirección IP, Puerto,Nombre de usuario,Contraseña

Introduzca la información necesaria para conectar con el servidorproxy.

Autenticación básica Permite implementar la comprobación de autenticación básica.

Tráfico Defina un valor máximo de salida de datos para una red y una máscara a fin decontrolar la tasa de envío del tráfico saliente.

Tabla Permite ver los controles que se han configurado.

Columna Red Permite ver las direcciones de las redes en las que el sistemacontrola el tráfico saliente en función de lo que se ha definido.

Columna Máscara (Opcional) Ver las máscaras para las direcciones de red.

ColumnaRendimiento máximo

Ver el rendimiento máximo definido para cada red.





Agregar, Editar,Eliminar

Administrar las direcciones de red que se desea controlar.

Rutasestáticas

Rutas estáticas Permite agregar, editar o eliminar rutas estáticas. Una ruta estáticaes un conjunto especificado de instrucciones sobre cómo llegar a unhost o una red no disponibles a través del gateway predeterminado.Cuando se agrega una ruta estática, el cambio se inserta en el ESMy entra en vigor inmediatamente al hacer clic en Aplicar. Tras laaplicación de los cambios, el ESM se reinicializa y, por tanto, sepierden todas las sesiones en curso.


Opción Definición

IPv4 o IPv6 (no disponible en todas lasfichas Proxy)

Si dispone de una interfaz que emplea una dirección IPv6,puede seleccionar IPv6. De lo contrario, se seleccionaIPv4.

Dirección IP, Puerto, Nombre de usuario,Contraseña

Introduzca la información necesaria para conectar con elservidor proxy.

Autenticación básica Permite implementar la comprobación de autenticaciónbásica.

Tabla 3-97 Definiciones de opciones de la ficha Red

Opción Definición

Configuración deNIC de omisión

Establezca el NIC de omisión de forma que el dispositivo deje pasar todo eltráfico, incluido el malicioso (véase Configuración de NIC de omisión). Losdispositivos en el modo IDS no tienen capacidad de omisión, de forma que suestado será Funcionamiento normal.

Recopilar flujos (Opcional) Seleccione esta opción a fin de recopilar flujos para el tráfico conorigen y destino en el dispositivo.

ELM EDS SFTP Si dispone de privilegios de usuario de tipo Acceso a ELM mediante SFTP, podrá ver ydescargar los archivos de registro de ELM almacenados para los dispositivos. Sidispone de privilegios de tipo Administración de dispositivo, podrá cambiar el puertopara acceder a estos archivos en el campo ELM EDS SFTP. No utilice los puertossiguientes: 1, 22, 111, 161, 695, 1333, 1334, 10617 y 13666.

Se recomienda usar esta función con uno de los siguientes clientes FTP: WinSCP5.11, FileZilla, CoreFTP LE o FireFTP.

HOME_NET Escriba las direcciones IP pertenecientes a la organización que determinen ladirección del tráfico de flujo que recopila el dispositivo.

Interfaces Seleccione las interfaces que se utilizarán y proporcione las direcciones IP detipo IPv4 o IPv6. Si introduce una dirección IPv4, agregue la dirección demáscara de red también. Si introduce una dirección IPv6, incluya la máscara dered en la dirección o, de lo contrario, recibirá un mensaje de error.A fin de permitir que el dispositivo se utilice desde varias redes (limitadosolamente a Admin. 1 <interfaz principal> y Admin. 2 <primera interfaz de listadesplegable>), agregue más interfaces.

Para activar el enlace de NIC, seleccione Administración en el primer campo y,después, escriba la dirección IP y la máscara de red correspondientes al NICprincipal (primera línea del cuadro de diálogo).



Tabla 3-97 Definiciones de opciones de la ficha Red (continuación)

Opción Definición

Modo IPv6 Seleccione si se debe activar o no el modo IPv6.

• Desactivado: el modo IPv6 no está activado. Los campos correspondientes aIPv6 estarán desactivados.

• Automático: el modo IPv6 está activado. Cada host determinará su dirección apartir del contenido de las publicaciones de usuario recibidas. Se emplea elestándar IEEE EUI-64 para definir la parte del ID de red de la dirección. Loscampos correspondientes a IPv6 estarán desactivados.

• Manual: el modo IPv6 está activado. Los campos correspondientes a IPv6estarán activados.

Puerto SSH Seleccione el puerto a través del cual se permite el acceso entre ESM y eldispositivo.


Opción Definición

DHCP Si no trabaja en el entorno de nube, active los servicios DHCP. DHCP resulta útilsi es necesario restablecer las direcciones IP de la red.

Si emplea un ESM o ELM redundantes, la redundancia dejará de funcionar si secambia la dirección IP del dispositivo redundante.

IPv4, Máscara dered, IPv6

Escriba las direcciones IP y una máscara de red para IPv4.

Las versiones 4 y 5 de Firefox actualmente no pueden eliminar "[ ]" de ladirección al verificar el certificado, por lo que no pueden resolver las direccionesIPv6 mientras intentan obtener los certificados a través de IPv6. Para solucionareste problema, agregue un registro para la dirección IPv6 en el archivo /etc/hosts(Linux) o C:\WINDOWS\system32\drivers\etc\hosts (Windows) y utilice elnombre de host en lugar de la dirección IPv6 para navegar al ESM.

Gateway Introduzca el gateway que funciona con la configuración de red. Debe tratarsede una dirección IPv4.

Servidor DNS 1 y 2 Especifique al menos un servidor DNS. Sin un servidor DNS, el ESM no puedecomprobar la existencia de actualizaciones de firmas y software en los servidoresde McAfee. Las funciones tales como el correo electrónico y WHOIS tambiéndejan de estar disponibles sin un servidor DNS válido. Se trata de campos Y/Opara las direcciones IPv4 e IPv6. Es necesario tener una dirección IPv6 definidaen Interfaz 1 o 2 a fin de usarla como dirección del servidor DNS.

Configurar lasVLAN y los alias

Haga clic en Avanzada.• Si utiliza una VLAN, agréguela al ESM.

• En caso de disponer de más de una dirección IP para un dispositivo de red,agregue un alias.



Tabla 3-99 Definiciones de opciones para la ficha Comunicación en el dispositivoreceptor

Opción Definición

Puerto SNMP,Puerto de syslog,Puerto de sFlow

Seleccione el puerto en el que se abre el firewall del receptor para poderescuchar la información del protocolo de entrada del origen de datos. El puerto 0significa que la recopilación está desactivada.

El receptor lleva a cabo la recopilación de syslog mediante UDP y TCP.

Puerto TLS desyslog

Seleccione el puerto en el que se abre el firewall del receptor para poderescuchar la información del protocolo TLS de entrada del origen de datos. Elpuerto predeterminado es 10514. El puerto 0 significa que la recopilación desyslog mediante TLS está desactivada. Cuando se agrega un origen de datos, sepuede especificar que solo se acepte syslog mediante TLS de los datos para losque el puerto está activado. TLS solo admite certificados autofirmados.

Puerto de MEF Seleccione el puerto en el que se abre el firewall del receptor para poderescuchar la información de MEF de entrada del origen de datos. El puertopredeterminado es 8081. El puerto 0 significa que la recopilación de MEF estádesactivada.

Todos los orígenes de datos MEF con la misma dirección IP deben marcarse comocifrados o sin cifrar.

Puerto IPFIX Seleccione el puerto en el que se abre el firewall del receptor para poderescuchar la información del protocolo IPFIX de entrada del origen de datos. Elpuerto predeterminado es 4739. El puerto 0, que es el predeterminado, indicaque la recopilación de IPFIX está desactivada.

Puertos de NetFlow Seleccione el puerto en el que se abre el firewall del receptor para poderescuchar la información del protocolo NetFlow de entrada del origen de datos.Esta lista puede contener varios puertos separados por comas. Un valor enblanco en este campo significa que la recopilación de NetFlow está desactivada.

Dirección DHCP Un intervalo de direcciones IP DHCP que permite la recopilación de registrosenviados a Event Receiver desde orígenes de datos DHCP contenidos en elintervalo. Un origen de datos DHCP puede presentar cualquier tipo de datosadmitido y enviado al receptor a través del Recopilador de eventos de Windowsde McAfee Labs.

Procedimientos• Configuración del puerto IPMI en el ESM o los dispositivos en la página 198

Configure la red para el puerto IPMI con el fin de configurar IPMI en el ESM o susdispositivos.

• Configuración del control del tráfico de red en el ESM en la página 201Defina un valor de salida de datos máximo para el ESM.

• Configuración de DHCP en la página 204El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP paradistribuir de forma dinámica los parámetros de configuración de la red, tales como lasdirecciones IP de interfaces y servicios.

• Configuración de DHCP en una VLAN en la página 205El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP paradistribuir de forma dinámica los parámetros de configuración de la red, tales como lasdirecciones IP de interfaces y servicios.



Administración de interfaces de redLa comunicación con un dispositivo puede producirse mediante las interfaces pública y privada de lasrutas de tráfico. Esto significa que el dispositivo es invisible en la red porque no requiere una direcciónIP.

Interfaz de administración

Si lo prefieren, los administradores de red pueden configurar una interfaz de administración con unadirección IP para la comunicación entre el ESM y el dispositivo. Estas funciones de un dispositivorequieren el uso de una interfaz de administración:

• Control completo de las tarjetas de red de omisión

• Uso de la sincronización de hora NTP

• Syslog generado por dispositivo

• Notificaciones SNMP

Los dispositivos están equipados al menos con una interfaz de administración, la cual aporta unadirección IP. Con una dirección IP, el ESM puede acceder directamente al dispositivo sin dirigir lacomunicación hacia otra dirección IP o nombre de host de destino.

No conecte la interfaz de red de administración a una red pública, ya que sería visible en la red públicay su seguridad podría ponerse en peligro.

Enlace de interfaz de ESM

El ESM intenta activar automáticamente el modo de enlace de NIC cuando detecta dos interfaces deadministración que utilizan la misma dirección IP. Cuando está activado el modo de enlace, se asignanlas mismas direcciones IP y MAC a ambas interfaces. El modo de enlace utilizado es el modo 0 (roundrobin), que proporciona tolerancia a errores.

Para desactivar el enlace de NIC, cambie la dirección IP de una de las interfaces de forma que deje decoincidir con la otra. Entonces, el sistema desactiva automáticamente el modo de enlace de NIC.

Véase también Configuración de interfaces de red en la página 194Adición de VLAN y alias en la página 196Adición de rutas estáticas en la página 197

Configuración de interfaces de redLa configuración de interfaz determina cómo conecta ESM con el dispositivo. Es necesario definir estasopciones para cada dispositivo.



.

2 Haga clic en la opción Configuración del dispositivo y, después, en Interfaces.

3 Introduzca los datos solicitados y, a continuación, haga clic en Aplicar.

Todos los cambios se insertarán en el dispositivo y entrarán en vigor de inmediato. Tras la aplicaciónde los cambios, el dispositivo se reinicializa y, por tanto, se pierden todas las sesiones en curso.



Tabla 3-100 Definiciones de opciones de la ficha Red

Opción Definición

Configuración deNIC de omisión

Establezca el NIC de omisión de forma que el dispositivo deje pasar todo el tráfico,incluido el malicioso (véase Configuración de NIC de omisión). Los dispositivos enel modo IDS no tienen capacidad de omisión, de forma que su estado seráFuncionamiento normal.

Recopilar flujos (Opcional) Seleccione esta opción a fin de recopilar flujos para el tráfico con origeny destino en el dispositivo.

ELM EDS SFTP Si dispone de privilegios de usuario de tipo Acceso a ELM mediante SFTP, podrá ver ydescargar los archivos de registro de ELM almacenados para los dispositivos. Sidispone de privilegios de tipo Administración de dispositivo, podrá cambiar el puerto paraacceder a estos archivos en el campo ELM EDS SFTP. No utilice los puertos siguientes:1, 22, 111, 161, 695, 1333, 1334, 10617 y 13666.

Se recomienda usar esta función con uno de los siguientes clientes FTP: WinSCP5.11, FileZilla, CoreFTP LE o FireFTP.

HOME_NET Escriba las direcciones IP pertenecientes a la organización que determinen ladirección del tráfico de flujo que recopila el dispositivo.

Interfaces Seleccione las interfaces que se utilizarán y proporcione las direcciones IP de tipoIPv4 o IPv6. Si introduce una dirección IPv4, agregue la dirección de máscara dered también. Si introduce una dirección IPv6, incluya la máscara de red en ladirección o, de lo contrario, recibirá un mensaje de error.A fin de permitir que el dispositivo se utilice desde varias redes (limitado solamentea Admin. 1 <interfaz principal> y Admin. 2 <primera interfaz de listadesplegable>), agregue más interfaces.

Para activar el enlace de NIC, seleccione Administración en el primer campo y,después, escriba la dirección IP y la máscara de red correspondientes al NICprincipal (primera línea del cuadro de diálogo).

Modo IPv6 Seleccione si se debe activar o no el modo IPv6.

• Desactivado: el modo IPv6 no está activado. Los campos correspondientes a IPv6estarán desactivados.

• Automático: el modo IPv6 está activado. Cada host determinará su dirección apartir del contenido de las publicaciones de usuario recibidas. Se emplea elestándar IEEE EUI-64 para definir la parte del ID de red de la dirección. Loscampos correspondientes a IPv6 estarán desactivados.

• Manual: el modo IPv6 está activado. Los campos correspondientes a IPv6 estaránactivados.

Puerto SSH Seleccione el puerto a través del cual se permite el acceso entre ESM y eldispositivo.




Opción Definición

Mensajes de ICMP Seleccione cualquiera de las siguientes opciones para ICMP.

Redirigir: si se selecciona esta opción, el ESM ignora los mensajes de redirección.Destino inaccesible: si se selecciona, el ESM genera un mensaje cuando un paquete nose puede entregar en su destino por motivos distintos a la congestión.

Activar ping: si se selecciona esta opción, el ESM envía un mensaje Echo Reply enrespuesta a un mensaje Echo Request enviado a una dirección IPv6 de multidifusión/difusión por proximidad.

Configuración IPMI Para administrar de forma remota los dispositivos ESM a través de una tarjeta IPMIcuando hay un NIC IPMI conectado a un conmutador, agregue la configuración deIPMI.

• Activar configuración IPMI: permite el acceso a los comandos de IPMI.

• VLAN, Dirección IP, Máscara de red, Gateway: introduzca los valores de configuración de lared para el puerto IPMI.


Opción Definición

Agregar alias Resalte la VLAN a la que desee agregar el alias y haga clic en esta opción. Esta opciónno está disponible cuando se selecciona DHCP.

Agregar VLAN Haga clic aquí para agregar una VLAN a la interfaz.

Editar Resalte un alias o una VLAN en la tabla y haga clic aquí para cambiar la configuración.

Eliminar Resalte un alias o una VLAN en la tabla y haga clic aquí para eliminarlos.

Véase también Administración de interfaces de red en la página 194Adición de VLAN y alias en la página 196Adición de rutas estáticas en la página 197

Adición de VLAN y aliasEs posible agregar redes de área local virtuales (VLAN) y alias a una interfaz de ACE o ELM. Los aliasson pares de dirección IP y máscara de red asignados que se agregan en caso de disponer de undispositivo de red con más de una dirección IP.


1 En el árbol de navegación del sistema, seleccione un dispositivo, haga clic en el icono Propiedades y, después, en la opción Configuración correspondiente al dispositivo.

2 En la sección Interfaces de la ficha Red, haga clic en Configuración y, después, en Avanzada.

3 Haga clic en Agregar VLAN, rellene la información solicitada y haga clic en Aceptar.



4 Seleccione la VLAN a la que desee agregar el alias y haga clic en Agregar alias.



Opción Definición

VLAN Ver la VLAN a la que pertenece este alias. Este campo se rellena previamente con elnúmero de la VLAN a la que se va a agregar este alias. Si se trata de la VLAN Sinetiquetar, el número es el 0.

Versión de IP Seleccione si la dirección IP tiene el formato IPv4 o IPv6.

Dirección IP Escriba la dirección IP del alias.

Máscara de red Si la dirección está en formato IPv4, escriba la máscara de red.


Opción Definición

VLAN Introduzca un número para la VLAN.

DHCP Si no trabaja en el entorno de nube, active los servicios DHCP. DHCP resulta útil si esnecesario restablecer las direcciones IP de la red.

Si emplea un ESM o ELM redundantes, la redundancia dejará de funcionar si secambia la dirección IP del dispositivo redundante.

IPv4 o IPv6 Seleccione la versión de IP. La opción predeterminada es IPv4. Si tiene IPv6configurado con el valor Manual o Automático en la página Configuración de red, el botón deopción IPv6 estará activado. Seleccione esta opción si la dirección IP está en formatoIPv6. Al seleccionarla, se desactiva el campo Máscara de red.

Dirección IP Escriba la dirección IP de la VLAN.

Máscara de red Si la dirección IP está en formato IPv4, agregue la máscara de red.

Véase también Administración de interfaces de red en la página 194Configuración de interfaces de red en la página 194Adición de rutas estáticas en la página 197

Adición de rutas estáticasUna ruta estática es un conjunto de instrucciones sobre cómo llegar a un host o una red nodisponibles a través del gateway predeterminado.



.

2 Haga clic en Configuración | Interfaces.



3 Junto a la tabla Rutas estáticas, haga clic en Agregar.

4 Introduzca la información y, a continuación, haga clic en Aceptar.


Opción Definición

Tabla Rutas estáticas Permite ver las rutas estáticas del sistema.

Agregar Agregar la información de una ruta estática.

Editar Realizar cambios en la configuración de la ruta estática seleccionada.

Quitar Eliminar la ruta estática seleccionada.


Opción Definición

IPv4 o IPv6 Indique si esta ruta estática corresponde al tráfico IPv4 o IPv6.

Red y Gateway Escriba la dirección IP de red y gateway para la ruta.

Máscara Seleccione la máscara.

Véase también Administración de interfaces de red en la página 194Configuración de interfaces de red en la página 194Adición de VLAN y alias en la página 196

Configuración del puerto IPMI en el ESM o los dispositivosEs posible configurar el puerto IPMI en el ESM o cualquiera de sus dispositivos.

Esto permite realizar varias acciones:

• Conectar el controlador de interfaz de red (NIC) de IPMI a un conmutador y tenerlo disponible parael software IPMI.

• Acceder a una máquina virtual basada en el kernel (KVM) de IPMI.

• Establecer la contraseña de IPMI para el usuario predeterminado tras la ampliación a ESM 9.4.0.

• Acceder a comandos IPMI, como, por ejemplo, en el caso del encendido y el estado dealimentación.

• Restablecer la tarjeta IPMI.

• Llevar a cabo un restablecimiento en caliente o en frío.

Configuración del puerto IPMI en el ESM o los dispositivosConfigure la red para el puerto IPMI con el fin de configurar IPMI en el ESM o sus dispositivos.




1 En el árbol de navegación del sistema, seleccione el sistema o cualquiera de los dispositivos y haga

clic en el icono Propiedades .

2 Acceda a la ficha Configuración de red Avanzada.• En el ESM, haga clic en Configuración de red | Avanzada.

• En un dispositivo, haga clic en la opción Configuración correspondiente y, después, en Interfaces |Opciones avanzadas

3 Seleccione Activar configuración IPMI e indique la VLAN, la dirección IP, la máscara de red y el gatewayde IPMI.

Si la opción Activar configuración IPMI no está disponible en la BIOS del dispositivo, es necesarioactualizar la BIOS en el dispositivo. Acceda al dispositivo mediante SSH y abra el archivo /etc/areca/system_bios_update/Contents‑README.txt.


Si está ampliando el dispositivo, puede que reciba un mensaje que solicita el cambio de contraseñao la aplicación de la clave de nuevo al dispositivo. Si recibe este mensaje, cambie la contraseña delsistema o vuelva a aplicar la clave al dispositivo para establecer una nueva contraseña a fin deconfigurar el IPMI.



Principal Interfaz 1 e Interfaz 2 Seleccione Interfaz 1, Interfaz 2 o ambas opciones y, después, haga clic enConfiguración. Siempre se debe tener activada al menos una interfaz.

Las versiones 4 y 5 de Firefox actualmente no pueden eliminar "[ ]"de la dirección al verificar el certificado, por lo que no puedenresolver las direcciones IPv6 mientras intentan obtener loscertificados a través de IPv6. Para solucionar este problema, agregueun registro para la dirección IPv6 en el archivo /etc/hosts (Linux) oC:\WINDOWS\system32\drivers\etc\hosts (Windows) y utilice elnombre de host en lugar de la dirección IPv6 para navegar al ESM.

Activar SSH(no disponible enel modo FIPS)

Seleccione esta opción para permitir las conexiones SSH. Se debedefinir al menos una interfaz para activar SSH.

ESM y los dispositivos emplean una versión de SSH compatible conFIPS. Los clientes SSH OpenSSH, Putty, dropbear, Cygwin ssh,WinSCP y TeraTerm han sido sometidos a pruebas y se sabe quefuncionan. Si utiliza Putty, la versión 0.62 es compatible, y puededescargarla en http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html.

Puerto SSH Introduzca el puerto concreto mediante el que se permite el acceso.

Administrar claves SSH Haga clic en Claves SSH. Si ha activado las conexiones SSH, los equiposde la lista se comunicarán. Para detener la comunicación, elimine elID de equipo de la lista.





Configuración IPv6 Seleccione Manual o Automático para activar el modo IPv6.

• Si el valor es Desactivado, el modo IPv6 estará desactivado.

• Si selecciona Automático, se desactivan los campos de IPv6 Principal ySecundario. Cada host determinará su dirección a partir del contenidode las publicaciones de usuario recibidas. Se emplea el estándarIEEE EUI-64 para definir la parte del ID de red de la dirección.

• Si selecciona Manual, se activan los campos de IPv6 Principal ySecundario. Agregue las direcciones IPv6 en estos campos.

Avanzada Permite configurar los mensajes del protocolo Internet Control Message Protocol (ICMP) eIntelligent Platform Management Interface (IPMI) en el ESM o sus dispositivos.

Mensajes de ICMP Seleccione cualquiera de las siguientes opciones para ICMP.• Redirigir: el ESM ignora los mensajes de redirección.

• Destino inaccesible: el ESM genera un mensaje cuando un paquete nose puede entregar en su destino por motivos distintos a lacongestión.

• Activar PING: el ESM envía un mensaje Echo Reply en respuesta a unmensaje Echo Request enviado a una dirección IPv6 demultidifusión/difusión por proximidad.

Configuración IPMI Si tiene un NIC IPMI conectado a un conmutador y necesitaadministrar de forma remota los dispositivos ESM a través de unatarjeta IPMI, agregue la configuración de IPMI.• Activar configuración IPMI: permite el acceso a los comandos de IPMI.

• VLAN, Dirección IP, Máscara de red, Gateway: introduzca los valores deconfiguración de la red para el puerto IPMI.

Proxy Si la red cuenta con un servidor proxy, deberá configurar la conexión con el ESM.

IPv4 o IPv6 En los dispositivos, si dispone de una interfaz que emplea unadirección IPv6, puede seleccionar IPv6. De lo contrario, se seleccionaIPv4.

Dirección IP, Puerto,Nombre de usuario,Contraseña

Introduzca la información necesaria para conectar con el servidorproxy.

Autenticación básica Permite implementar la comprobación de autenticación básica.

Tráfico Defina un valor máximo de salida de datos para una red y una máscara a fin de controlarla tasa de envío del tráfico saliente.

Tabla Permite ver los controles que se han configurado.

Columna Red Permite ver las direcciones de las redes en las que el sistema controlael tráfico saliente en función de lo que se ha definido.

Columna Máscara (Opcional) Ver las máscaras para las direcciones de red.

ColumnaRendimiento máximo

Ver el rendimiento máximo definido para cada red.





Agregar, Editar,Eliminar

Administrar las direcciones de red que se desea controlar.

Rutasestáticas

Rutas estáticas Permite agregar, editar o eliminar rutas estáticas. Una ruta estática esun conjunto especificado de instrucciones sobre cómo llegar a un hosto una red no disponibles a través del gateway predeterminado.Cuando se agrega una ruta estática, el cambio se inserta en el ESM yentra en vigor inmediatamente al hacer clic en Aplicar. Tras laaplicación de los cambios, el ESM se reinicializa y, por tanto, sepierden todas las sesiones en curso.

Configuración del control del tráfico de red en el ESMDefina un valor de salida de datos máximo para el ESM.

Esta función resulta útil cuando existen restricciones de ancho de banda y es necesario controlar lacantidad de datos que puede enviar cada ESM. Las opciones son kilobits (Kb), megabits (Mb) ygigabits (Gb) por segundo.

Tenga cuidado al configurar esta función, ya que limitar el tráfico puede acarrear una fuga de datos.


1 En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades .

2 Haga clic en Configuración de red y, después, en la ficha Tráfico.

La tabla presenta una lista de los controles existentes.

3 A fin de agregar controles para un dispositivo, haga clic en Agregar, introduzca la dirección y lamáscara de la red, establezca la tasa y, a continuación, haga clic en Aceptar.

Si establece la máscara como cero (0), se controlan todos los datos enviados.


Se controlará la velocidad del tráfico saliente correspondiente a la dirección de red especificada.


Opción Definición

Columna Red Permite ver las direcciones de las redes en las que el sistema controla eltráfico saliente en función de lo que se haya definido.

Columna Máscara Muestra las máscaras para las direcciones de red.

Columna Rendimiento máximo Muestra el rendimiento máximo definido para cada red.

Agregar, Editar, Eliminar Administrar las direcciones de red que se desea controlar.




Opción Definición




Véase también

Página Agregar tasa de rendimiento en la página 202

Página Agregar tasa de rendimientoDefina un valor máximo de salida de datos para una red y una máscara a fin de controlar la tasa deenvío de tráfico saliente.


Opción Definición




Véase también Configuración del control de tráfico de la red en un dispositivo en la página 37Configuración del control del tráfico de red en el ESM en la página 201

Uso de los nombres de hostEl nombre de host de un dispositivo suele resultar más útil que la dirección IP. Puede administrar losnombres de host de forma que se asocien con sus correspondientes direcciones IP.

En la página Hosts, es posible agregar, editar, quitar, buscar, actualizar e importar nombres de host, asícomo establecer el tiempo tras el que caduca un nombre de host de aprendizaje automático.

Al visualizar los datos de un evento, también se pueden ver los nombres de host asociados con las

direcciones IP del evento; para ello, haga clic en el icono Mostrar nombres de host , situado en la parteinferior de los componentes de vista.

Si los eventos existentes no están etiquetados con un nombre de host, el sistema realiza unabúsqueda en la tabla de hosts del ESM y etiqueta las direcciones IP con sus nombres de host. Si lasdirecciones IP no aparecen en la tabla de hosts, el sistema lleva a cabo una búsqueda DNS a fin delocalizar los nombres de host. Los resultados de la búsqueda se muestran entonces en la vista y seagregan a la tabla de hosts.

En la tabla de hosts, estos datos se marcan como Aprendido automáticamente y caducan tras el periodo detiempo designado en el campo Las entradas caducan después de, situado debajo de la tabla de hosts en lapágina Propiedades del sistema | Hosts. Si los datos han caducado, se realiza otra búsqueda DNS lasiguiente vez que se selecciona la opción Mostrar nombres de host en una vista.

La tabla de hosts muestra los nombres de host agregados y de aprendizaje automático, así como susdirecciones IP. Es posible agregar información a la tabla de hosts manualmente mediante laintroducción de una dirección IP y un nombre de host individualmente, o bien a través de laimportación de una lista delimitada por tabulaciones de direcciones IP y nombres de host (véase



Importación de una lista de nombres de host). Cuantos más datos introduzca de esta forma, menostiempo se dedicará a las búsquedas DNS. Si se introduce un nombre de host manualmente no caduca,pero es posible editarlo o quitarlo.

Véase también Administración de los nombres de host en la página 203Importación de una lista de nombres de host en la página 204

Administración de los nombres de hostLleve a cabo las acciones necesarias para administrar los nombres de host mediante la página Hosts,tales como agregar, editar, importar, quitar o realizar búsquedas. También es posible establecer elmomento de caducidad de los hosts de aprendizaje automático.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Hosts.

2 Seleccione una opción e introduzca la información solicitada.



Opción Definición

Agregar Permite agregar un nombre de host, o bien un nombre de host y su direcciónIP. Se agregará a la tabla Hosts.

Editar Cambiar el nombre de host asociado con una dirección IP.

Quitar Eliminar el elemento seleccionado de la tabla.

Búsqueda Permite buscar el nombre de host correspondiente a una dirección IP. Estoresulta útil cuando se configura la información para una red interna. Cuando labúsqueda finaliza, los resultados aparecen en la tabla.

Actualizar hosts Actualizar la tabla para reflejar los cambios realizados en la lista y las entradascaducadas.

Importar Importar una lista delimitada por tabulaciones de direcciones IP y nombres dehost (véase Importación de una lista de nombres de host).

Las entradas caducandespués de

Establezca la cantidad de tiempo que desea que los nombres de host deaprendizaje automático permanezcan en la tabla. Si no desea que caduquen,seleccione cero (0) en todos los campos.


Opción Definición

Nombre de host Escriba un nombre para el host. Puede ser una cadena de hasta 100 caracteres.

Dirección IP Escriba la dirección IP del host en notación IPv4 o IPv6 válidas. Cabe la posibilidadde incluir una máscara.

Véase también Uso de los nombres de host en la página 202Importación de una lista de nombres de host en la página 204



Importación de una lista de nombres de hostEs posible importar un archivo de texto que contenga las direcciones IP y los correspondientesnombres de host a la tabla de hosts.

Antes de empezarCree el archivo delimitado por tabulaciones de direcciones IP y nombres de host.

Todos los registros del archivo deben estar en una línea distinta, con la dirección IP en primer lugar enformato IPv4 o IPv6. Por ejemplo:

102.54.94.97 rhino.acme.com

08c8:e6ff:0100::02ff x.acme.com


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Hosts| Importar.

2 Busque el archivo de texto y haga clic en Cargar. Si el archivo contiene direcciones IP que seencuentran actualmente en la tabla de hosts con otro nombre de host distinto, en la páginaDuplicados aparecerán los registros duplicados.

• Para cambiar el nombre de host de la tabla por el incluido en el archivo de texto, selecciónelo enla columna Uso y haga clic en Aceptar.

• Para conservar los datos de host existentes, no seleccione la casilla de verificación y haga clic enAceptar.

Los nuevos datos de host se agregarán a la tabla. La columna Aprendido automáticamente correspondientea estos datos indicará No. Ya que los datos se introdujeron manualmente, no caducarán.

Véase también Uso de los nombres de host en la página 202Administración de los nombres de host en la página 203

Configuración de DHCPEl protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para distribuir deforma dinámica los parámetros de configuración de la red, tales como las direcciones IP de interfacesy servicios.

Cuando se configura el ESM para el despliegue en el entorno de nube, se activa automáticamenteDHCP y se asigna una dirección IP. Si no se emplea el entorno de nube, puede activar y desactivar losservicios de DHCP en el ESM, el receptor (si no es de disponibilidad alta), el ACE y el ELM en caso dedisponer de derechos de Administración de dispositivo. Esto resultaría útil si es necesario restablecerlas direcciones IP de la red.

Los alias se desactivan cuando se activa DHCP.




1 En el árbol de navegación del sistema, seleccione el sistema o un dispositivo y, a continuación,


2 Siga uno de los procedimientos siguientes:

• En el caso del ESM, haga clic en Configuración de red y, a continuación, en la ficha Principal.

• En el caso de un dispositivo, seleccione la opción Configuración del dispositivo, haga clic enInterfaces y, a continuación, en la ficha Red.

3 Haga clic en la opción Configuración correspondiente al campo Interfaz 1 y, después, seleccione DHCP.

En el caso de los dispositivos distintos de los receptores, se le informará de que los cambiosrequieren el reinicio del servidor de ESM.


Configuración de DHCP en una VLANEl protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para distribuir deforma dinámica los parámetros de configuración de la red, tales como las direcciones IP de interfacesy servicios.

Cuando se configura el ESM para el despliegue en el entorno de nube, se activa automáticamenteDHCP y se asigna una dirección IP. Si no se emplea el entorno de nube, puede activar y desactivar losservicios de DHCP en las VLAN, el ESM, el receptor (si no es de disponibilidad alta), el ACE y el ELM encaso de disponer de derechos de Administración de dispositivo. Esto resultaría útil si es necesariorestablecer las direcciones IP de la red.


1 En el árbol de navegación del sistema, seleccione el sistema o un dispositivo y, a continuación,


2 Siga uno de los procedimientos siguientes:

• En el caso del ESM, haga clic en Configuración de red y, a continuación, en la ficha Principal.

• En el caso de un dispositivo, seleccione la opción Configuración del dispositivo, haga clic enInterfaces y, a continuación, en la ficha Red.

3 Haga clic en la opción Configuración correspondiente al campo Interfaz 1 y, después, seleccione Avanzada.

4 Haga clic en Agregar VLAN, escriba la VLAN y seleccione DHCP.

5 Haga clic en Aceptar para volver a la página Configuración de red y, después, haga clic en Aplicar.

En el caso de los dispositivos distintos de los receptores, se le informará de que los cambios requierenel reinicio del servidor de ESM.

Sincronización de la hora del sistemaYa que las actividades generadas por el ESM y sus dispositivos cuentan con marca de tiempo, esimportante que el ESM y los dispositivos estén sincronizados a fin de mantener una referencia



constante para los datos recopilados. Se puede configurar la hora del sistema del ESM o seleccionarque el ESM y los dispositivos se sincronicen con un servidor NTP.

Véase también Configuración de la hora del sistema en la página 206Sincronización de los relojes de dispositivos en la página 207

Configuración de la hora del sistema

Antes de empezarSi desea agregar servidores NTP al ESM, configure dichos servidores y obtenga sus clavesde autorización y sus ID de clave.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de que estéseleccionada la opción Información del sistema.

2 Haga clic en Reloj del sistema (GMT), defina la configuración y haga clic en Aceptar.

Las direcciones de servidores NTP en dispositivos ADM o DBM deben ser direcciones IP.

La información de los servidores se guarda en el archivo de configuración. Posteriormente, se puedeacceder de nuevo a la lista de servidores NTP y comprobar su estado.


Opción Definición

Establecer la hora del sistemade ESM (GMT) en

Si no utiliza un servidor NTP para sincronizar la hora del sistema,asegúrese de que la fecha y la hora se configuren como GMT.

Usar servidores NTP parasincronización de tiempo

Seleccione esta opción para utilizar servidores NTP a fin de sincronizar lahora del sistema en lugar de emplear el reloj del sistema.

Columna Servidor NTP Es posible agregar las direcciones IP de los servidores NTP haciendo clic enesta columna. Se pueden agregar hasta diez servidores.

Las direcciones de servidores NTP en dispositivos ADM o DBM deben serdirecciones IP.

Columnas Clave deautenticación e ID de clave

Escriba la clave de autenticación y el ID de clave de cada uno de losservidores NTP (póngase en contacto con el administrador de red si no losconoce).

Estado Haga clic para ver el estado de los servidores NTP de la lista. Si harealizado cambios en la lista de servidores, deberá hacer clic en Aceptar paraguardar los cambios y cerrar la página; después, vuelva a abrirla antes dehacer clic en Estado.

Véase también Sincronización de la hora del sistema en la página 205



Sincronización de los relojes de dispositivosEs posible sincronizar los relojes de los dispositivos con el reloj del ESM de forma que los datosgenerados por los diversos sistemas reflejen la misma configuración.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema o la opción Propiedades deldispositivo y, después, haga clic en Sincronizar en el campo Sincronizar reloj del dispositivo.

Se le informará cuando finalice la sincronización o en caso de que exista algún problema.

2 Haga clic en Actualizar a fin de actualizar los datos de la página Información del sistema o la páginaInformación del dispositivo.

Véase también Sincronización de la hora del sistema en la página 205

Instalación de un nuevo certificadoEl ESM incluye un certificado de seguridad autofirmado predeterminado para esm.mcafee.local. Lamayoría de navegadores web muestran una advertencia que indica que la autenticidad del certificadono se puede verificar. Una vez obtenido el par de claves del certificado SSL que desee usar para elESM, deberá instalarlo.



2 Haga clic en la ficha Administración de claves y, después, en Certificado.

3 Realice sus selecciones y, a continuación, haga clic en Cerrar.

Opción Definición

Cargar certificado Instale el certificado, la clave y los archivos de cadena opcionales, en casode disponer de ellos. Se le pedirá que cargue el archivo .crt, después elarchivo .key y, por último, los archivos de cadena.

Filtro de certificadoautofirmado

Genere e instale un certificado de seguridad autofirmado para el ESM.Haga clic en Generar e introduzca la información en la página Administrarcertificado. Haga clic en Aceptar y, después, en Generar.

Solicitud de firma decertificado

Genere una solicitud de certificado que enviar a una autoridad decertificación para su firma.• Haga clic en Generar, introduzca la información en la página Administrar

certificado y, después, haga clic en Aceptar.

• Descargue el archivo .zip que contiene un archivo .crt y otro .key.

• Extraiga el archivo .crt y envíelo a la autoridad de certificación.

Regenerar certificados deMcAfee predeterminados

Regenere el certificado original.



Configuración de perfilesDefina perfiles para el tráfico basado en syslog a fin de poder realizar configuraciones que compartaninformación común sin tener que introducir los detalles en cada ocasión. Cabe la posibilidad tambiénde agregar un perfil de comando remoto (URL o script) y utilizarlo en una vista o una alarma.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración deperfiles.

2 Para agregar un perfil, haga clic en Agregar en la ficha Perfiles del sistema y rellene los datos del perfil.

3 Para agregar un comando remoto, haga clic en la ficha Comando remoto y rellene la informaciónsolicitada.



Opción Definición

Tabla Perfiles del sistema Ver los perfiles que hay actualmente en el sistema.

Agregar Permite agregar un perfil.

Editar Cambiar el perfil seleccionado.

Quitar Eliminar el perfil seleccionado.


Opción Definición

Contraseña deautenticación

Si selecciona authNoPriv o authPriv en el campo Nivel de seguridad, este campoestará activo. Escriba la contraseña para el protocolo de autenticaciónseleccionado en el campo Protocolo de autenticación.

Protocolo deautenticación

Si selecciona authNoPriv o authPriv en el campo Nivel de seguridad, este campoestará activo. Seleccione el tipo de protocolo para este origen: MD5 o SHA1.SHA1 y SHA detectan el mismo tipo de protocolo.

Nombre de comunidad Escriba la cadena de comunidad de la captura SNMP.

Compresión En el caso de un recurso compartido remoto de SCP, seleccione si deseautilizar la compresión.

Cifrado En el caso de un recurso compartido remoto de SCP, seleccione si deseautilizar el cifrado.

ID de motor Introduzca el ID de motor SNMPv3 del remitente de las capturas. No es uncampo obligatorio.

Registros de eventos Los registros de eventos de WMI predeterminados son SYSTEM, APPLICATIONy SECURITY, pero se admiten otros registros. A la hora de introducir nombresadicionales, recuerde que se distingue entre mayúsculas y minúsculas, debensepararse mediante comas y no deben existir espacios entre ellos. Esnecesario disponer de acceso a fin de leer los registros. Solo se puedenextraer los registros de seguridad si se es administrador. Es posible extraerregistros de orígenes de datos WMI sin derechos de administrador si seconfiguran correctamente.

Función Seleccione la función a la que se enviará el mensaje de reenvío de eventos.

Intervalo Seleccione el intervalo en minutos para que el receptor compruebe elproveedor WMI en busca de eventos nuevos.




Opción Definición

Dirección IP Captura SNMP: escriba la dirección IP del servidor de eEye que envíainformación de capturas.Reenvío de eventos: escriba la dirección IP a la que se reenviarán los eventos.

Contraseña La contraseña utilizada para conectar con el proveedor WMI.

Protocolo de privacidad Si selecciona authPriv en el campo Nivel de seguridad correspondiente a SNMP,este campo estará activo. Seleccione DES o AES. En el modo FIPS, la únicaopción disponible es AES.

Agente de perfil Seleccione el agente para este perfil. Los campos restantes variarán enfunción de lo que se seleccione en este campo.

Nombre de perfil Escriba un nombre descriptivo para este perfil.

Tipo de perfil Seleccione el tipo de perfil. Los campos restantes de esta página variarán enfunción de lo que se seleccione en este campo. Su uso es evidente en lamayoría de los casos.

Puerto Cambie el puerto de conexión si el predeterminado no es correcto.

Protocolo Seleccione el protocolo de transporte.

Dirección IP remota,Punto de montajeremoto, Ruta remota

Si ha seleccionado CIFS o NFS como agente de perfil, escriba esta informaciónpara el dispositivo de almacenamiento.

Nivel de seguridad Seleccione el nivel de seguridad de este perfil de SNMPv3.

• noAuthNoPriv: sin protocolo de autenticación y sin protocolo de privacidad

• authNoPriv: con protocolo de autenticación pero sin protocolo de privacidad

• authPriv: con protocolo de autenticación y protocolo de privacidad

Los campos Autenticación y Privacidad se activarán en función del nivel deseguridad seleccionado.

Enviar paquete Seleccione esta opción si desea enviar el paquete de evento.

Gravedad Seleccione la gravedad de la información reenviada.

Nombre de usuario El nombre de usuario utilizado para conectar con el proveedor WMI. En elcaso de los usuarios de dominio, introduzca el nombre de usuario con elformato dominio\usuario.


Opción Definición

Tabla Comandos remotos Ver los comandos remotos que hay disponibles actualmente en el sistema.

Agregar Agregar un nuevo comando remoto.

Editar Cambiar el comando remoto seleccionado.

Quitar Eliminar el comando remoto seleccionado.


Opción Definición

Nombre Escriba un nombre para este perfil de comando remoto.

Descripción Describa lo que hace este comando.

Tipo Seleccione el tipo de comando remoto del que se trata.

Zona horaria Seleccione la zona horaria que se utilizará.




Opción Definición

Formato de fecha Seleccione el formato para la fecha.

Host, Puerto, Nombre de usuario,Contraseña

Escriba la información correspondiente a la conexión SSH.

Cadena de comando Escriba la cadena de comando para la conexión SSH. Para insertarvariables en la cadena de comando, haga clic en el icono Insertar variable

y seleccione las variables.

Configuración de SNMPEstablezca la configuración utilizada por el ESM para enviar capturas de vínculo activo/inactivo y deinicio en caliente/frío, tanto desde el ESM como desde cada dispositivo. Recupere las tablas de sistemae interfaz de Base de datos de información de administración (MIB)-II y permita el descubrimiento delESM a través del comando snmpwalk.

SNMPv3 es compatible con las opciones NoAuthNoPriv, AuthNoPriv y AuthPriv, con el uso de MD5 oSecure Hash Algorithm (SHA) para la autenticación y de Data Encryption Standard (DES) o AdvancedEncryption Standard (AES) para el cifrado. MD5 y DES no están disponibles en el modo deconformidad con FIPS.

Es posible realizar solicitudes SNMP a un ESM para obtener información de estado sobre el ESM y elreceptor. Se pueden enviar capturas SNMPv3 a un ESM para la adición a la lista negra de uno o variosde sus dispositivos gestionados. Todos los appliances de McAfee se pueden configurar también paraenviar capturas de vínculo y de arranque a los destinos de su elección (véase SNMP y la MIB deMcAfee).

Véase también Configuración de las opciones de SNMP en la página 210Configuración de una captura SNMP para la notificación de fallos de alimentación en la página213SNMP y la MIB de McAfee en la página 214Extracción de la MIB de ESM en la página 217

Configuración de las opciones de SNMPConfigure las opciones que utiliza ESM para el tráfico SNMP entrante y saliente. Solo los usuarios connombres que no incluyan espacios pueden realizar consultas SNMP.




1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en ConfiguraciónSNMP.

2 Introduzca la información necesaria en las fichas Solicitudes SNMP y Capturas SNMP.




SolicitudesSNMP

Puerto de solicitud Seleccione el puerto por el que debe pasar el tráfico.

Aceptar Seleccionar los tipos de capturas que se aceptarán.

Permitir SNMPv1/2c Seleccione esta opción si desea permitir el tráfico SNMP de laversión 1 y la versión 2, y escriba el tipo de comunidad.

Permitir SNMPv3 Seleccione esta opción si desea permitir el tráfico SNMP de laversión 3, y seleccione el nivel de seguridad, el protocolo deautenticación y el protocolo de privacidad.

Direcciones IP deconfianza

Ver las direcciones IP que el ESM permite o considera deconfianza. Es posible agregar direcciones nuevas y editar oeliminar las existentes. La dirección IP puede incluir una máscara.

Ver ID dedispositivos

Ver una lista de los ID de dispositivo que se pueden usar al enviarsolicitudes SNMP.

Ver MIB Ver la MIB (Management Information Base, base de datos deinformación de administración) de McAfee, la cual define losidentificadores de objeto (OID) de cada objeto o característica deinterés.

Capturas SNMP Puerto de captura En la ficha Capturas SNMP, establezca el puerto por el que debepasar el tráfico de captura en frío/en caliente, así como el tráficode entrada de lista negra y de vínculo activo/inactivo.

Capturas de vínculoactivo/inactivo

Seleccione esta opción si desea que se envíen capturas de vínculoactivo/inactivo. Si selecciona esta función y emplea variasinterfaces, se le notificará cuando una interfaz deje de funcionar,así como cuando vuelva a estar activa.

El tráfico de captura en frío/en caliente se permite de formaautomática. Se genera una captura de inicio en frío siempre quese reinicia el servicio SNMP. El servicio SNMP se reinicia cuandocambia la configuración de SNMP, se modifica un usuario, semodifica un grupo, un usuario inicia sesión con autenticaciónremota, se reinicia el ESM, se reinicia cpservice, y en otrassituaciones. Se genera una captura de inicio en caliente cuandose reinicia el sistema.

Capturas de base dedatos activa/inactiva

Seleccione esta opción si desea que se envíe una captura SNMPcuando la base de datos (cpservice, IPSDBServer) se active o sedesactive.

Captura de error deregistro deseguridad

Seleccione esta opción si desea que se envíe una captura SNMPcuando no se escriba un registro en la tabla de registros.





Error de hardwaregeneral

Seleccione esta opción si desea recibir una notificación cuandofalle cualquiera de las fuentes de alimentación del ESM (DAS ohardware general). Esto contribuye a evitar el apagado delsistema debido a un fallo de alimentación.

Destinos Seleccione los nombres de perfil de los sistemas a los que deseeenviar las notificaciones. La tabla muestra todos los perfiles decaptura SNMP disponibles en el sistema. Para editar esta lista,haga clic en Editar perfiles y agregue, edite o elimine perfiles en lalista del Administrador de perfiles.


SolicitudesSNMP

Puerto de solicitud Seleccione el puerto por el que debe pasar el tráfico.

Aceptar Permite aceptar las solicitudes de estado de dispositivo.

Permitir SNMPv1 Seleccione esta opción si desea permitir el tráfico SNMP de laversión 1 y la versión 2, y establezca la cadena de comunidad.

Permitir SNMPv3 Seleccione esta opción si desea permitir el tráfico SNMP de laversión 3, y seleccione el nivel de seguridad, el protocolo deautenticación y el protocolo de privacidad.

Direcciones IP deconfianza

Permite ver las direcciones IP que el dispositivo permite oconsidera de confianza. Es posible agregar direcciones nuevas yeditar o eliminar las existentes. La dirección IP puede incluir unamáscara.

Debe existir una dirección IP de confianza.

Ver MIB Ver la MIB (Management Information Base, base de datos deinformación de administración) de McAfee, la cual define losidentificadores de objeto (OID) de cada objeto o característica deinterés.

Capturas SNMP Puerto de captura Establezca el puerto por el que debe pasar el tráfico de captura enfrío/en caliente, así como el tráfico de lista negra y de vínculoactivo/inactivo.

Capturas devínculo activo/inactivo

Seleccione esta opción para enviar capturas de vínculo activo/inactivo. Si selecciona esta función y emplea varias interfaces, sele notificará cuando una interfaz deje de funcionar, así comocuando vuelva a estar activa.

El tráfico de captura en frío/en caliente se permite de formaautomática. Se genera una captura de inicio en frío cuando seproducen un cierre o un restablecimiento completos. Se generauna captura de inicio en caliente cuando se reinicia el sistema.

Capturas de basede datos activa/inactiva

Seleccione esta opción para enviar una captura SNMP cuando labase de datos (cpservice, IPSDBServer) se active o se desactive.

Captura de error deregistro deseguridad

Seleccione esta opción para enviar una captura SNMP cuando no seescriba un registro en la tabla de registros.

Destinos Seleccione los nombres de perfil de los sistemas a los que deseeenviar las notificaciones. La tabla muestra todos los perfiles decaptura SNMP disponibles en el sistema. Para editar esta lista,haga clic en Editar perfiles y agregue, edite o elimine perfiles en lalista del Administrador de perfiles.



Véase también Configuración de SNMP en la página 210Configuración de una captura SNMP para la notificación de fallos de alimentación en la página213SNMP y la MIB de McAfee en la página 214Extracción de la MIB de ESM en la página 217

Configuración de una captura SNMP para la notificación de fallos dealimentaciónSeleccione una captura SNMP para que se le notifiquen los errores de hardware generales y los fallosde alimentación de DAS con objeto de evitar que el sistema se apague debido a esta situación.

Antes de empezar• Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso

con privilegios de administración de alarmas.

• Prepare el receptor de capturas SNMP (necesario solo si no dispone ya de un receptorde capturas SNMP).



Propiedades .

2 Haga clic en Configuración SNMP y, después, en la ficha Capturas SNMP.

3 En Puerto de captura, escriba 162, seleccione Error de hardware general y haga clic en Editar perfiles.

4 Haga clic en Agregar e introduzca la información solicitada como sigue.

• Tipo de perfil: seleccione Captura SNMP.

• Dirección IP: escriba la dirección a la que desee enviar la captura.

• Puerto: escriba 162.

• Nombre de comunidad: escriba Público.

Recuerde lo que introduzca en los campos Puerto y Nombre de comunidad.

5 Haga clic en Aceptar y, después, en Cerrar en la página Administrador de perfiles.

El perfil se agregará a la tabla Destinos.

6 Seleccione el perfil en la columna Uso y haga clic en Aceptar.

Si falla una fuente de alimentación, se envía una captura SNMP y aparece una marca de estado demantenimiento junto al dispositivo en el árbol de navegación del sistema.

Véase también Configuración de SNMP en la página 210Configuración de las opciones de SNMP en la página 210SNMP y la MIB de McAfee en la página 214Extracción de la MIB de ESM en la página 217



SNMP y la MIB de McAfeeEs posible acceder a diversos aspectos de la línea de productos de McAfee a través de SNMP. La MIB(Management Information Base, base de datos de información de administración) de McAfee define elidentificador de objeto (OID) de cada objeto o característica de interés.

La MIB define grupos de objetos para lo siguiente.

• Alertas: un ESM puede generar y enviar capturas de alertas mediante el reenvío de eventos. Unreceptor puede recibir capturas de alertas gracias a la configuración de un origen de datos SNMP deMcAfee.

• Flujos: un receptor puede recibir capturas de flujos gracias a la configuración de un origen dedatos SNMP de McAfee.

• Solicitudes de estado de ESM: un ESM puede recibir solicitudes de estado de sí mismo y de losdispositivos que administra, así como responder a ellas.

• Lista negra: un ESM puede recibir capturas que definen entradas para las listas negras y decuarentena, las cuales a su vez se aplican a los dispositivos que administra.

La MIB de McAfee también define las convenciones textuales (tipos enumerados) de los valores, entrelas que se incluyen:

• La acción realizada cuando se recibe una alerta

• La dirección y el estado del flujo

• Los tipos de orígenes de datos

• Las acciones de lista negra

La MIB de McAfee es sintácticamente conforme con SNMPv2 Structure of Management Information(SNMPv2-SMI). Los productos de McAfee que utilizan SNMP se pueden configurar para funcionar através de SNMPv1, SNMPv2c y SNMPv3, lo cual incluye la autenticación y el control de acceso.

Las solicitudes de estado se realizan mediante la operación GET de SNMP. Las aplicaciones deadministración de SNMP utilizan la operación GET de SNMP para recuperar uno o varios valores de losobjetos administrados que mantiene el agente SNMP (en este caso, el ESM). Las aplicaciones suelenllevar a cabo una solicitud GET de SNMP mediante el suministro del nombre de host del ESM y uno ovarios OID junto con la instancia concreta del OID.

El ESM responde rellenando los enlaces de OID con los resultados de la solicitud de estado.

Las tablas siguientes muestran el significado de los OID del ESM y el receptor.

Tabla 3-119 Estado de ESM

OID de solicitud y respuesta Unidades Valor derespuesta

Significado

1.3.6.1.4.1.23128.1.3.1.1 Porcentaje 4 Porcentaje instantáneocombinado de carga de la CPU

1.3.6.1.4.1.23128.1.3.1.2 MB 3518 Total de RAM

1.3.6.1.4.1.23128.1.3.1.3 MB 25 RAM disponible

1.3.6.1.4.1.23128.1.3.1.4 MB 1468006 Total de espacio de la unidadde disco duro particionadopara la base de datos de ESM

1.3.6.1.4.1.23128.1.3.1.5 MB 1363148 Espacio libre de la unidad dedisco duro disponible para labase de datos de ESM



Tabla 3-119 Estado de ESM (continuación)

OID de solicitud y respuesta Unidades Valor derespuesta

Significado

1.3.6.1.4.1.23128.1.3.1.6 Segundos desde01/01/197000:00:0.0(GMT)

1283888714 Hora actual del sistema en elESM

1.3.6.1.4.1.23128.1.3.1.7 8.4.2 Versión y compilación del ESM

1.3.6.1.4.1.23128.1.3.1.8 4EEE:6669 ID de equipo del ESM

1.3.6.1.4.1.23128.1.3.1.9 ESM Número de modelo del ESM

Tabla 3-120 Estado del receptor

OID de solicitud y respuesta Unidades Valor de respuesta Significado

1.3.6.1.4.1.23128.1.3.3.1.x Receptor Nombre del receptor

1.3.6.1.4.1.23128.1.3.3.2 .x 2689599744 Identificador único delESM para el receptor

1.3.6.1.4.1.23128.1.3.3.3.x 1 Indica que lacomunicación con elreceptor está disponible(1) o no está disponible(0)

1.3.6.1.4.1.23128.1.3.3.4.x Aceptar Indica el estado delreceptor

1.3.6.1.4.1.23128.1.3.3.5.x Porcentaje 2 Porcentaje instantáneocombinado de carga de laCPU

1.3.6.1.4.1.23128.1.3.3.6.x MB 7155 Total de RAM

1.3.6.1.4.1.23128.1.3.3.7.x MB 5619 RAM disponible

1.3.6.1.4.1.23128.1.3.3.8.x MB 498688 Total de espacio de launidad de disco duroparticionado para la basede datos del receptor

1.3.6.1.4.1.23128.1.3.3.9.x MB 472064 Espacio libre de la unidadde disco duro disponiblepara la base de datos delreceptor

1.3.6.1.4.1.23128.1.3.3.10.x Segundosdesde01/01/197000:00:0.0(GMT)

1283889234 Hora actual del sistema enel receptor

1.3.6.1.4.1.23128.1.3.3.11.x 7.1.320070518091421a

Versión y compilación delreceptor

1.3.6.1.4.1.23128.1.3.3.12.x 5EEE:CCC6 ID de equipo del receptor

1.3.6.1.4.1.23128.1.3.3.13.x Receiver Número de modelo delreceptor



Tabla 3-120 Estado del receptor (continuación)

OID de solicitud y respuesta Unidades Valor de respuesta Significado

1.3.6.1.4.1.23128.1.3.3.14.x Alertas porminuto

1 Tasa de alertas (porminuto) durante unmínimo de 10 minutos

1.3.6.1.4.1.23128.1.3.3.15.x Flujos porminuto

2 Tasa de flujos (porminuto) durante unmínimo de 10 minutos

x = ID de dispositivo. Para acceder a una lista de ID de dispositivo, acceda a Propiedades del sistema |Configuración SNMP y haga clic en Ver ID de dispositivos.

Las entradas de eventos, flujos y lista negra se envían mediante capturas SNMP o solicitudes deinformación. Una captura de alerta enviada desde un ESM configurado para el reenvío de eventospodría tener un aspecto similar al siguiente:

OID Valor Significado

1.3.6.1.4.1.23128.1.1.1 780 ID de alerta del ESM

1.3.6.1.4.1.23128.1.1.2 6136598 ID de alerta del dispositivo

1.3.6.1.4.1.23128.1.1.4 2 ID de dispositivo

1.3.6.1.4.1.23128.1.1.5 10.0.0.69 Dirección IP de origen

1.3.6.1.4.1.23128.1.1.6 27078 Puerto de origen

1.3.6.1.4.1.23128.1.1.7 AB:CD:EF:01:23:45 MAC de origen

1.3.6.1.4.1.23128.1.1.8 10.0.0.68 Dirección IP de destino

1.3.6.1.4.1.23128.1.1.9 37258 Puerto de destino

1.3.6.1.4.1.23128.1.1.10 01:23:45:AB:CD:EF MAC de destino

1.3.6.1.4.1.23128.1.1.11 17 Protocolo

1.3.6.1.4.1.23128.1.1.12 0 VLAN

1.3.6.1.4.1.23128.1.1.13 Dirección

1.3.6.1.4.1.23128.1.1.14 20 Recuento de eventos

1.3.6.1.4.1.23128.1.1.15 1201791100 Primera vez

1.3.6.1.4.1.23128.1.1.16 1201794638 Última vez

1.3.6.1.4.1.23128.1.1.17 288448 Última vez (microsegundos)

1.3.6.1.4.1.23128.1.1.18 2000002 ID de firma

1.3.6.1.4.1.23128.1.1.19 ANOMALY Inbound High toHigh

Descripción de firma

1.3.6.1.4.1.23128.1.1.20 5 Acción realizada

1.3.6.1.4.1.23128.1.1.21 1 Gravedad

1.3.6.1.4.1.23128.1.1.22 201 Resultado o tipo de origen de datos



OID Valor Significado

1.3.6.1.4.1.23128.1.1.23 0 ID de firma normalizado

1.3.6.1.4.1.23128.1.1.24 0:0:0:0:0:0:0:0 Dirección IPv6 de origen

1.3.6.1.4.1.23128.1.1.25 0:0:0:0:0:0:0:0 Dirección IPv6 de destino

1.3.6.1.4.1.23128.1.1.26 Aplicación

1.3.6.1.4.1.23128.1.1.27 Dominio

1.3.6.1.4.1.23128.1.1.28 Host

1.3.6.1.4.1.23128.1.1.29 Usuario (origen)

1.3.6.1.4.1.23128.1.1.30 Usuario (destino)

1.3.6.1.4.1.23128.1.1.31 Comando

1.3.6.1.4.1.23128.1.1.32 Objeto

1.3.6.1.4.1.23128.1.1.33 Número de secuencia

1.3.6.1.4.1.23128.1.1.34 Indica si se ha generado en un entornode confianza o no de confianza.

1.3.6.1.4.1.23128.1.1.35 ID de la sesión que generó la alerta

Los números significan lo siguiente.

• 1.3.6.1.4.1.23128: el número de empresa de McAfee asignado por la IANA.

• El número final (1–35): para informar de las diversas características de la alerta.

Para conocer todos los detalles sobre la definición de la MIB de McAfee, véase https://x.x.x.x/BrowseReference/NITROSECURITY-BASE-MIB.txt, donde x.x.x.x es la dirección IP del ESM.

Véase también Configuración de SNMP en la página 210Configuración de las opciones de SNMP en la página 210Configuración de una captura SNMP para la notificación de fallos de alimentación en la página213Extracción de la MIB de ESM en la página 217

Extracción de la MIB de ESMPermite ver los objetos y las notificaciones para crear una interfaz con el ESM.

Los objetos y las notificaciones definidas en la MIB se emplean para enviar solicitudes:

• A un ESM que solicita información de estado del propio ESM o de los dispositivos receptores.

• A un dispositivo para solicitar su información de estado.




1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono

Propiedades .

2 Haga clic en Configuración SNMP y, después, en Ver MIB.

Aparecerá una lista de definiciones de MIB.

Véase también Configuración de SNMP en la página 210Configuración de las opciones de SNMP en la página 210Configuración de una captura SNMP para la notificación de fallos de alimentación en la página213SNMP y la MIB de McAfee en la página 214

Administración de la base de datosEl objetivo de la administración de la base de datos del ESM es proporcionar información y opciones deconfiguración a medida que se establecen las funciones en el sistema.

Las opciones disponibles son las siguientes:

• Administre la configuración de índice de la base de datos.

• Configure la directiva de retención de datos y asignación de espacio para eventos y flujos.

• Vea e imprima la información sobre la utilización de memoria de la base de datos para eventos.

Si cuenta con más de cuatro CPU en una máquina virtual, puede utilizar el espacio de almacenamientoadicional para almacenamiento del sistema, de datos y de alto rendimiento.

Si elimina más de una unidad de la máquina virtual de ESM al mismo tiempo, se pueden perder todaslas búsquedas de ELM anteriores. Para evitarlo, exporte los resultados de búsqueda de ELM antes deretirar las unidades.

Configuración del archivado de base de datosESM divide los datos en particiones. Cuando una partición alcanza su tamaño máximo, pasa a estarinactiva y se elimina. Es posible configurar una ubicación de almacenamiento para las particionesinactivas de forma que no se eliminen.

Para evitar una fuga de datos potencial durante el archivado en un ESM redundante, se recomiendaconfigurar el archivado antes de configurar la redundancia de ESM. Cuando realice esta configuración enun ESM redundante, no utilice la misma ruta de archivado que emplee el principal.

3 Configuración del ESMAdministración de la base de datos



1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Basede datos | Archivado.

2 Rellene los campos, que variarán en función del tipo seleccionado.


Conforme las particiones pasen a estar inactivas, se copiarán en esta ubicación.


Opción Definición

Activado Permite activar el archivado de particiones inactivas.

Tipo Seleccione el tipo de almacenamiento. Las opciones son CIFS, NFS, iSCSI y, sidispone de una tarjeta SAN instalada, SAN.

El uso de un tipo de recurso compartido CIFS con versiones del servidor Sambaposteriores a la 3.2 puede provocar la fuga de datos.

Tamaño Seleccione la cantidad máxima de espacio de almacenamiento que deseeasignar en el dispositivo.

Volumen SAN Si ha seleccionado el tipo SAN, seleccione el volumen de SAN. Aparecerán todoslos volúmenes listos para almacenar datos.

Editar Puede aplicar formato a otros volúmenes y agregarlos a la lista de volúmenesSAN.

Dirección IP remota,Punto de montaje remoto,Ruta remota

Si ha seleccionado CIFS o NFS, escriba la información sobre el dispositivo dealmacenamiento en cada uno de estos campos.

Al configurar el archivado para los ESM redundantes, asegúrese de que la rutaremota difiera de la empleada en la configuración de archivado en el ESMprincipal.

Nombre de usuario,Contraseña

Si ha seleccionado CIFS, deberá introducir el nombre de usuario y la contraseñapara el dispositivo de almacenamiento.

A fin de conectar con un recurso compartido CIFS, no utilice comas en lacontraseña.

Dispositivo iSCSI e IQNde iSCSI

Seleccione el dispositivo de almacenamiento iSCSI y el nombre completo deiSCSI (IQN).

El intento de conectar varios dispositivos a un IQN puede provocar la fuga dedatos y otros problemas de configuración.

Si configura la conexión de ELM con el SAN iSCSI y dispone de un dispositivotodo en uno ESM/Event Receiver/ELM, los campos mostrarán el dispositivo ysus nombres completos de iSCSI (IQN). Si dispone de dispositivos ESM y ELMdedicados, configure la conexión con el dispositivo iSCSI.


Configuración del ESMAdministración de la base de datos 3



Opción Definición

Asignación de datos Ajuste el número total de registros de eventos, flujos y registros que se puedenguardar en este dispositivo en los campos Eventos, Flujos y Registros.

Fichas Particiones deeventos, Particiones deflujos o Particiones deregistro

Es posible reactivar hasta 100 particiones mediante su selección en la columnaActivo.

Configuración del almacenamiento de datos de ESMSi tiene un dispositivo iSCSI (Internet Small Computer System Interface, interfaz estándar de equipospequeños de Internet), SAN (Storage Area Network, red de área de almacenamiento) o DAS(Direct-attached storage, almacenamiento conectado directamente) conectado al ESM, puedeconfigurarlo para el almacenamiento de datos.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Base de datos |Archivado.

2 Haga clic en las fichas del dispositivo de almacenamiento de datos, seleccione una acción y rellenela información solicitada.

Las fichas disponibles dependen de los tipos de almacenamiento conectados al ESM.

3 Haga clic en Cancelar para cerrar la página.


Opción Definición

Nombre Escriba el nombre del dispositivo iSCSI.

Dirección IP Escriba la dirección IP del dispositivo iSCSI.

Puerto Seleccione el puerto del dispositivo iSCSI.

Configuración del almacenamiento de datos de máquina virtualde ESMSi su máquina virtual de ESM tiene más de cuatro CPU, estará disponible la opción Datos de máquina virtualen la página Base de datos, la cual permite utilizar el almacenamiento adicional disponible para elalmacenamiento del sistema, de datos y de alto rendimiento de la máquina virtual.

Cada una de las listas desplegables de la página Asignación de datos incluye las unidades dealmacenamiento disponibles que se montan en la máquina virtual.




1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Basede datos | Datos de máquina virtual.

2 En cada uno de los campos, seleccione la unidad en la que desee almacenar los datos. Solo esposible seleccionar una vez cada unidad.


Aumento del número de índices de acumulación disponiblesDebido al número de índices estándar activados en el ESM, solo se pueden agregar cinco índices a uncampo de acumulación. Si necesita más de cinco, puede desactivar los índices estándar que no utiliceen ese momento, tales como los de ID de sesión, MAC de origen/destino, puerto de origen/destino,zona de origen/destino o geolocalización de origen/destino (hasta un máximo de 42).


El ESM emplea los índices estándar cuando genera consultas, informes, alarmas y vistas. Si desactivaalguno y después intenta generar una consulta, un informe, una alarma o una vista que lo utilice, se lenotificará que no se puede procesar porque un índice está desactivado. No se le indicará qué índiceafecta al proceso. Debido a esta limitación, no desactive los índices estándar a menos que determineque es absolutamente necesario.

1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Base de datos.

2 Haga clic en Configuración y, después, en la ficha Indización de acumulación.

3 En la lista desplegable, haga clic en Índices estándar y seleccione Mostrar índices estándar.

Los índices estándar se muestran en el área Activado.

4 Haga clic en los índices estándar que desee desactivar y, después, haga clic en la flecha paramoverlos al área Disponible.

El número de la indicación restante(s), situada en la esquina superior derecha de la página,aumentará con cada índice estándar desactivado.

Ahora podrá activar más de cinco índices de acumulación para el campo acumulativo seleccionado(véase Administración de la indización de acumulación).

Configuración de límites de retención de datosSi cuenta con una configuración que envía datos históricos al sistema, puede seleccionar la cantidadde tiempo que desea que se conserven los eventos y los flujos, así como limitar la cantidad de datoshistóricos insertados.




1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Basede datos | Retención de datos.

2 Seleccione cuánto tiempo desea que se conserven los eventos y flujos, y también si desearestringir los datos históricos.



Opción Definición

Guardar todos los datos que permitael sistema

Seleccione esta opción para mantener el número máximo deeventos o flujos que permita el sistema.

Guardar datos de los últimos Seleccione esta opción si solo desea mantener los eventos y flujosdurante la cantidad de tiempo especificada.

Restringir inserción de datoshistóricos

Seleccione esta opción si desea restringir los datos históricos;indique la antigüedad que pueden tener los datos en el campo Noinsertar datos anteriores a.

Definición de los límites de asignación de datosEl número máximo de registros de eventos y flujos que puede manejar el sistema es un valor fijo. Laasignación de datos permite establecer cuándo espacio se debe asignar a cada uno y cuántos registrosdeben incluirse en las búsquedas para optimizar las consultas.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Basede datos | Asignación de datos.

2 Haga clic en los marcadores de las líneas de números y arrástrelos a los números que desee, o bienhaga clic en las flechas de los campos Eventos y Flujos.



Opción Definición

Control deslizantesuperior

Indique qué parte del espacio total se debe asignar a los eventos y quéparte a los flujos.

Control deslizanteinferior

Defina la cantidad de registros de eventos y flujos en los que se buscarácuando se realice una consulta.

Este control deslizante no aparece si no existe un dispositivo SSD.



Administración de la configuración de índice de la base dedatosEs posible configurar opciones para indizar campos concretos de datos en la base de datos. Los datosse almacenarán aunque no se indicen, pero no se mostrarán en la mayoría de los resultados de lasconsultas.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Basede datos | Configuración.

2 Para cambiar la configuración actual en las columnas Eventos y Flujos, haga clic en el elemento quedesee cambiar y seleccione una nueva configuración en la lista desplegable.

3 Si selecciona Personalizado en las columnas de Puerto, se abrirá la pantalla Valores de puerto para poderseleccionar o agregar un nuevo valor de puerto.



Opción Definición

Tabla Permite ver la configuración de indización del ESM y sus dispositivos.

Columnas Dirección MAC Seleccione la configuración actual y elija una de las opciones. Si laconfiguración de un dispositivo es Heredar, empleará la configuración delsistema.

Columnas Puerto Haga clic en la configuración actual y seleccione una de las opciones. Siselecciona Personalizado, se abrirá la página Valores de puerto para que puedaseleccionar o agregar un valor de puerto.


Opción Definición

Agregar valor Permite agregar el valor seleccionado al campo Valor actual.

Nuevo Permite agregar un nuevo valor de puerto; para ello, escriba un nombre y su valor. Seagregará a la lista y se podrá utilizar en el futuro.

Editar Permite cambiar el nombre o el valor de un puerto personalizado.

Eliminar Permite eliminar un puerto personalizado de la lista de puertos.

Valor actual Introduzca un valor de puerto; para ello, escríbalo o resáltelo y haga clic en Agregarvalor.

Administración de la indización de acumulaciónSi cuenta con campos personalizados que extraen datos numéricos de un origen, la indización deacumulación puede llevar a cabo sumas o promedios con estos datos a lo largo del tiempo. Es posibleacumular varios eventos juntos y obtener un promedio de su valor, o bien generar un valor detendencia.

Antes de empezarConfigure un tipo personalizado de indización de acumulación (véase Creación de tipospersonalizados).




1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Base de datos.

2 Haga clic en Configuración y, después, en la ficha Indización de acumulación.

3 Seleccione los índices y haga clic en Aceptar.

Ahora ya es posible configurar una consulta acumulativa para ver los resultados.


Opción Definición

Lista desplegable Seleccione el campo de acumulación al que desee agregar índices. Si necesitamás de cinco índices, seleccione Índices estándar.

Mostrar índices estándar Seleccione esta opción para ver los índices estándar en las listas Activado yDisponible.

Lista Disponible Si ha seleccionado un campo de acumulación, seleccione los índices queactivar y haga clic en la flecha para moverlos a la lista Activado. La indicaciónrestante(s) en la esquina superior derecha de la página le permitirá sabercuántos índices más puede seleccionar para el campo.

Lista Activado Permite ver los índices activados. Si ha seleccionado Mostrar índices estándar, semostrarán los índices estándar. Para eliminar uno, selecciónelo y haga clic enla flecha a fin de moverlo de nuevo a la lista Disponible. Si elimina un índiceestándar, aumentará el número de índices de acumulación que se puedenagregar al campo acumulativo.

Desde este punto enadelante

Seleccione esta opción si desea usar los índices en los datos generados apartir de este momento.

Reconstruir datos antiguos Seleccione esta opción si desea usar los índices en los datos pasados; acontinuación, seleccione la fecha de inicio de su elección.Si lo hace, será necesario reconstruir las particiones que contienen los datos.

Visualización de la utilización de memoria de la base de datosEs posible ver e imprimir tablas que detallan la forma en que se utiliza la memoria de la base dedatos.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Basede datos | Uso de memoria.

Las tablas Eventos y Flujos incluyen la utilización de memoria por parte de la base de datos.



2 Para imprimir los informes, haga clic en el icono Imprimir .


Opción Definición

Tabla Eventos Ver el uso de memoria para eventos por nombre de índice.

Tabla flujos Ver el uso de memoria para flujos por nombre de índice.

Es posible imprimir un informe de utilización de memoria.

Uso de usuarios y gruposLos usuarios y los grupos se deben agregar al sistema para que tengan acceso al ESM, susdispositivos, sus directivas y sus privilegios asociados.

En el modo FIPS, el ESM tiene cuatro funciones de usuario posibles: Usuario, Usuario avanzado, Administradorde claves y certificados y Administrador de auditorías. Cuando el modo FIPS no está activo, existen dos tipos decuentas de usuario: Administrador del sistema y Usuario general.

La página Usuarios y grupos tiene dos secciones:

• Usuarios: muestra los nombres de los usuarios, el número de sesiones que tiene abiertas cadausuario y los grupos a los que pertenecen.

• Grupos: muestra los nombres de los grupos y una descripción de los privilegios asignados a cadauno.

Para ordenar las tablas, haga clic en Nombre de usuario, Sesiones o Nombre del grupo.

Privilegios de grupo

Cuando se configura un grupo, se establecen los privilegios de sus miembros.

Si selecciona Limitar el acceso de este grupo en la página Privilegios de Agregar grupo (Propiedades del sistema |Agregar grupo), el acceso a estas funciones queda limitado.

• Barra de herramientas de acciones: los usuarios no pueden acceder a la administración dedispositivos, a la administración de varios dispositivos ni al visor de transmisiones de eventos.

• Alarmas: los usuarios del grupo no tienen acceso a los destinatarios, los archivos ni las plantillas dealarmas. No pueden crear, editar, eliminar, activar ni desactivar alarmas.

• Administrador de activos y Editor de directivas: los usuarios no pueden acceder a estas funciones.

• Administración de casos: los usuarios pueden acceder a todas las funciones salvo Organización.

• ELM: los usuarios pueden realizar búsquedas de ELM mejoradas, pero no pueden guardarlas niacceder a las propiedades de dispositivos ELM.

• Filtros: los usuarios no pueden acceder a las fichas de filtros Normalización de cadenas, Active Directory,Activos, Grupos de activos ni Etiquetas.

• Informes: los usuarios solo pueden ejecutar un informe que les envíe el resultado por correoelectrónico.

• Propiedades del sistema: los usuarios solo pueden acceder a Informes y Listas de vigilancia.

• Listas de vigilancia: los usuarios no pueden agregar una lista de vigilancia dinámica.

• Zonas: los usuarios solo pueden ver las zonas a las que tienen acceso en su lista de zonas.

Configuración del ESMUso de usuarios y grupos 3


Adición de un usuarioSi dispone de privilegios de Administración de usuarios, podrá agregar usuarios al sistema para que tenganacceso al ESM, sus dispositivos, directivas y privilegios asociados. Una vez agregada, la configuracióndel usuario se puede editar o eliminar.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Usuarios y grupos.

2 Introduzca la contraseña y, a continuación, haga clic en Aceptar.

3 En la sección Usuarios, haga clic en Agregar y rellene la información solicitada.

4 Haga clic en Aceptar y escriba su contraseña de nuevo.

Los usuarios se agregan al sistema con los privilegios asignados a los grupos a los que pertenecen.Los nombres de usuario aparecen en la sección Usuarios de la página Usuarios y grupos. Junto a cadanombre de usuario, un icono indica si la cuenta está o no activada. Si el usuario tiene privilegios de

administrador, aparecerá un icono diferente junto a su nombre.


Opción Definición

Nombre de usuario Especifique un nombre de usuario. Si va a emplear la configuración de CAC, elnombre de usuario corresponde al EDI-PI de 10 dígitos del usuario.

Alias de usuario (Opcional) Introduzca un alias si no desea que el nombre de usuario resultevisible. Si emplea la configuración de CAC, puede que corresponda al nombre deusuario.

Contraseña Haga clic en Establecer contraseña, introduzca una contraseña exclusiva para lacuenta, confírmela y haga clic en Aceptar.

Función (solomodo FIPS)

Seleccione una función para este usuario. Las opciones son las siguientes.• Usuario: estos usuarios no se pueden agregar a un grupo con privilegios de Usuario

avanzado.

• Usuario avanzado: estos usuarios se consideran administradores del sistema parafines de UCAPL, pero podrían no disponer de todos los privilegios de unadministrador del sistema. Esta función es necesaria para asignar un usuario aun grupo con cualquiera de estos privilegios:

• Administración del sistema • Agregar/eliminar directivas

• Administración de usuarios • Variables y reglas personalizadas

• Administración de directivas • Lista negra global

• Administrador de claves y certificados: esta función es necesaria para llevar a cabofunciones de administración de claves. Un usuario con esta función no se puedeagregar a un grupo con privilegios de Usuario avanzado.

• Administrador de auditorías: esta función es necesaria para configurar los registros.Un usuario con esta función no se puede agregar a un grupo con privilegios deUsuario avanzado.

3 Configuración del ESMUso de usuarios y grupos



Opción Definición

Derechos deadministrador (noen modo FIPS)

Seleccione esta opción si desea que el usuario tenga privilegios de administrador.El administrador del sistema puede otorgar privilegios a los usuarios generalesmediante la creación de grupos de acceso y la asignación de usuarios a estosgrupos. El administrador del sistema es el único usuario que tiene acceso a todaslas áreas del sistema, incluida el área de usuarios y grupos.

Desactivar cuenta Seleccione esta opción si desea bloquear el acceso por parte del usuario a sucuenta en el ESM (véase Desactivación o reactivación de usuarios).

Dirección de correoelectrónico

Agregue la dirección de correo electrónico del usuario, que es opcional a menosque el usuario reciba notificaciones de informe o alarma.• Si la dirección de correo electrónico ya existe en el sistema, selecciónela en la

lista desplegable Dirección de correo electrónico.

• Si la dirección no existe en el sistema, haga clic en Dirección de correo electrónico yagréguela al sistema.

SMS móvil Agregue la dirección de SMS (mensaje de texto) del usuario.• Si el número de SMS ya existe en el sistema, selecciónelo en la lista desplegable

SMS móvil.

• Si el número no existe en el sistema, haga clic en SMS móvil y agréguelo alsistema.

El usuario es miembrode

Seleccione los grupos a los que debe pertenecer el usuario.


Opción Definición

Tabla Usuarios Incluye los usuarios con acceso al ESM.

Tabla Grupos Incluye los grupos que hay configurados en el ESM.

Agregar, Editar y Quitar • A la derecha de la tabla Usuarios, permiten agregar usuarios nuevos y editar oquitar los existentes.

Antes de quitar un usuario, asegúrese de que no esté establecido comousuario asignado en una alarma.

• A la derecha de la tabla Grupos, permiten agregar grupos nuevos, así comoasignarles usuarios y derechos.

Selección de la configuración de usuarioLa página Configuración de usuario ofrece la posibilidad de cambiar diversas opciones predeterminadas. Sepuede cambiar la zona horaria, el formato de fecha, la contraseña, la pantalla predeterminada y elidioma de la consola. También puede elegir si mostrar o no los orígenes de datos desactivados, la fichaAlarmas y la ficha Casos.




1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones.

2 Verifique que esté seleccionada la opción Configuración de usuario.

3 Realice cambios en la configuración según proceda y, después, haga clic en Aceptar.

La consola cambiará de aspecto en función de la configuración establecida.


Opción Definición

Seleccione una zona horaria yun formato de fecha

Cambie la zona horaria en la primera lista desplegable o el formato de losdatos en la segunda.

Todas las vistas, consultas y opciones de configuración muestran datos deeventos, flujos y registro relativos a esta zona horaria y con este formatode fecha a menos que se indique lo contrario de forma explícita. Si cambiaesta zona horaria, podrían generarse datos incorrectos. Por tanto, serecomienda dejar siempre el valor GMT.

Cambiar contraseña En la página Cambiar nombre de usuario y contraseña, cambie el nombre deusuario y la contraseña para acceder a la consola de ESM. Si no desea quesu nombre aparezca en la barra de navegación de la consola, introduzcaotro nombre de usuario en el campo Alias.

Pantalla predeterminada Seleccione el tipo de pantalla del árbol de navegación del sistema quedesee que aparezca de forma predeterminada al abrir el sistema.

Idioma Seleccione el idioma para la consola.

Mostrar orígenes de datosdesactivados en el árbol desistemas

Seleccione esta opción si desea que los orígenes de datos desactivados semuestren en el árbol de navegación del sistema. Se indicarán medianteeste icono: .

Mostrar panel de alarmas Seleccione esta opción si desea que el panel Alarmas aparezca en laconsola.

Mostrar panel de administraciónde casos

Seleccione esta opción si desea que el panel Casos aparezca en la consola.

Configuración de la seguridadUse la seguridad de inicio de sesión para configurar las opciones de inicio de sesión estándar,establecer la lista de control de acceso (ACL) y definir la configuración de Common Access Card (CAC).



También se puede activar la autenticación mediante RADIUS, Active Directory y el protocolo LDAP(solo disponible si se dispone de privilegios de administrador del sistema).

Funciones claveLa familia de soluciones de McAfee resulta difícil de localizar en una red e incluso más difícil aún deatacar. Los dispositivos no cuentan con pila IP de forma predeterminada, así que los paquetes no sepueden dirigir directamente.

La comunicación con un dispositivo se lleva a cabo mediante la tecnología Secure EncryptedManagement (SEM, administración cifrada segura) de McAfee. SEM es un canal cifrado AES en bandaque mitiga el riesgo de ataques de reproducción o de intermediario.

Un dispositivo solo se comunica a través del canal SEM cuando el emisor es un ESM autorizado. Noinicia la comunicación por su cuenta. La comunicación entre un ESM y la consola de ESM también seenvía mediante una conexión cifrada, la cual es conforme con FIPS.

El ESM recupera actualizaciones autenticadas y cifradas de firmas y software a través del servidorcentral de McAfee mediante un mecanismo de comunicación cifrada. Existen mecanismos, tanto dehardware como de software, para garantizar que los dispositivos se administren únicamente desde unESM debidamente autorizado.

Definición de la configuración de inicio de sesión estándarEs posible ajustar la configuración para los procedimientos de inicio de sesión estándar mediante ladefinición de la cantidad de intentos de inicio de sesión que se pueden realizar en un periodo detiempo especificado, cuánto tiempo puede estar inactivo el sistema, las opciones relacionadas con lascontraseñas y si se debe mostrar o no el ID del último usuario al iniciar sesión.




1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de iniciode sesión.

2 Defina las opciones en la ficha Estándar.

3 Haga clic en Aceptar o en Aplicar.


Opción Definición

Intentos de inicio de sesiónfallidos permitidos

Especifique el número de inicios de sesión fallidos consecutivos que sepermiten en una única sesión. Si se supera este número en el tiempoespecificado, la cuenta se bloqueará y el administrador del sistematendrá que desbloquearla mediante Usuarios y grupos. El valor 0 indica quese permite un número infinito de intentos de inicio de sesión.

La cuenta principal no se puede bloquear.

Espacio de tiempo deintentos de inicio de sesiónfallidos

Defina el espacio de tiempo para los intentos de inicio de sesión fallidosconsecutivos. El intervalo oscila entre 0 y 1440 minutos. Este campofunciona junto con Intentos de inicio de sesión fallidos permitidos. Cuando sealcanza el número de intentos fallidos permitido en el espacio de tiempoespecificado, la cuenta se bloquea. Permanecerá bloqueada durante eltiempo definido en el campo Duración de bloqueo en error de inicio de sesión ohasta que la desbloquee el administrador del sistema.

Duración de bloqueo en errorde inicio de sesión

Especifique la cantidad de tiempo que debe permanecer bloqueada unacuenta si se bloquea automáticamente debido a los inicios de sesiónfallidos. El valor máximo es 1440 minutos; 0 significa que no se debedesbloquear automáticamente. Transcurrido ese tiempo, la cuenta sedesbloquea automáticamente. Esto no afecta a las cuentas que se hanbloqueado manualmente. Los administradores pueden desbloquear lacuenta en cualquier momento.

Valor de tiempo de espera deinterfaz de usuario

Especifique la cantidad de tiempo que debe transcurrir sin actividad deforma que aparezca la pantalla de inicio de sesión para la sesión actual.Por ejemplo, si el valor se establece en 30 minutos, la aplicación muestraautomáticamente la pantalla de inicio de sesión tras 30 minutos deinactividad, lo cual obliga a iniciar sesión de nuevo para poder reanudarlas actividades. El valor 0 significa que no existe límite.

Bloquear automáticamentelas cuentas inactivasdespués de

Configure el ESM para que bloquee las cuentas de usuario que no tenganderechos de administrador tras el número especificado de días deinactividad. El valor máximo es 365 días; el mínimo es 0, que equivale adesactivar esta función. El bloqueo permanece hasta que unadministrador desbloquea la cuenta.

Sesiones activas de unusuario

Establezca el número de sesiones activas que puede tener un usuariosimultáneamente. El máximo es 10; el valor 0 desactiva la restricción.

Mostrar el último ID deusuario al iniciar sesión

Indique si desea que el campo de nombre de usuario se relleneautomáticamente con el utilizado en el último inicio de sesión correcto.

Configuración de la ACL Seleccione esta opción si desea establecer una lista de direcciones IP quepueden acceder al sistema o que tienen el acceso bloqueado.



Definición de la configuración de contraseña de inicio de sesiónExisten varias opciones de configuración que se pueden definir en relación con la contraseña de iniciode sesión del sistema.

Antes de empezarDebe tener derechos de administrador del sistema.



2 Haga clic en la ficha Contraseñas, realice sus selecciones y haga clic en Aplicar o en Aceptar.


Opción Definición

Contraseña avanzadarequerida

Seleccione esta opción si desea que el sistema exija que todas lascontraseñas cumplan los siguientes requisitos de longitud y caracteres. Comomínimo:• 15 caracteres de longitud

• 2 números

• 2 símbolos o signos de puntuación

• 2 letras minúsculas

• 2 letras mayúsculas

• No se permiten 4 o más caracteres repetidos consecutivos

Si una contraseña no cumple estos requisitos, no se acepta.

Caducidad de lacontraseña

Especifique con qué frecuencia se debe cambiar la contraseña. El intervalooscila entre 0 y 365 días. Si se selecciona 0, la contraseña no caduca.

Notificación previa acaducar la contraseña

Seleccione el número de días antes de la caducidad de la contraseña pararecordarle al usuario que debe cambiar la contraseña. El valor máximo es 30y el mínimo 1.

Período de gracia decaducidad decontraseña

Seleccione el período de tiempo tras caducar la contraseña de un usuario enque aún podrá iniciar sesión. Tras el período de gracia, la cuenta se bloquea yes necesario que la desbloquee el administrador.

Inicios de sesión enperíodo de gracia

Seleccione las veces que un usuario podrá iniciar sesión durante el período detiempo especificado tras caducar la contraseña. Tras este número de inicios desesión en el período de gracia, la cuenta se bloquea y es necesario que ladesbloquee el administrador.




Opción Definición

Número de historialesde contraseñas

Indique si el historial de contraseñas utilizadas por una persona debealmacenarse en el sistema y cuántos historiales se deben almacenar por cadausuario. El intervalo oscila entre 0 y 100 contraseñas. Si se indica 0, no sealmacena el historial. Si existe un historial, se comprueba cuando un usuariomodifica una contraseña. En caso de no ser exclusiva, se devuelve un error yla contraseña no se actualiza. Si es exclusiva, la contraseña se cambia y seagrega una entrada nueva al historial. Si se alcanza el límite dealmacenamiento, se borra la contraseña más antigua.

Restringir cambios decontraseña una vezcada

Permite restringir la frecuencia con que un usuario puede cambiar lacontraseña. Por ejemplo, si selecciona 12, los usuarios no podrán cambiar suscontraseñas más de una vez cada 12 horas.

Configuración de las opciones de autenticación RADIUSEs posible configurar el ESM para autenticar a los usuarios mediante un servidor RADIUS.



2 Seleccione la ficha RADIUS y rellene los campos correspondientes al servidor principal. El servidorsecundario es opcional.

3 Haga clic en Aceptar o en Aplicar.

Cuando se activa el servidor, todos los usuarios excepto el administrador del sistema se autentican conel servidor RADIUS. Si la autenticación está desactivada, los usuarios configurados para laautenticación mediante RADIUS no pueden acceder a ESM.


Opción Definición

Activado Seleccione esta opción para activar la autenticación RADIUS. Cuandoestá activada, todos los usuarios excepto el administrador del sistemase deben autenticar a través del servidor RADIUS. Si la autenticaciónestá desactivada, los usuarios configurados para la autenticaciónmediante RADIUS no pueden acceder al sistema.

Dirección IP del servidor principal yDirección IP del servidor secundario

Introduzca la dirección IP del servidor RADIUS. No es necesarioindicar la dirección IP, el puerto de servidor y el secreto compartidosecundarios.

Puerto del servidor principal y Puertodel servidor secundario

Introduzca el puerto del servidor RADIUS.

Secreto compartido principal ySecreto compartido secundario

Introduzca el secreto compartido (similar a una contraseña)correspondiente al servidor RADIUS.

Configuración de la lista de control de accesoEs posible configurar una lista con las direcciones IP que pueden acceder al ESM o que tienen elacceso bloqueado.





2 Haga clic en Configuración de la ACL y, después, agregue direcciones IP a la lista.

3 Haga clic en Aceptar para guardar la configuración y cerrar la Lista de control de acceso.

Cabe la posibilidad de editar o quitar direcciones IP en la lista ACL.


Opción Definición

Permitir estas direcciones Seleccione esta opción si desea permitir el acceso de las direcciones IP alsistema.

Rechazar estas direcciones Seleccione esta opción si desea bloquear el acceso de las direcciones IP alESM.

Tabla Dirección/máscara IP Permite ver las direcciones IP ya agregadas a la lista.

Agregar Permite agregar una dirección IP o máscara a la lista.

Editar Permite cambiar la dirección IP resaltada en la lista.

Quitar Permite eliminar la dirección IP resaltada en la lista.

Configuración de CACEs posible autenticarse con el ESM proporcionando credenciales CAC a través del navegador en lugarde introduciendo un nombre de usuario y una contraseña.

Las CAC contienen un certificado de cliente que identifica al usuario, de forma similar a un certificadode servidor que identifica un sitio web. Si activa la función CAC, se da por hecho que está familiarizadocon la autenticación basada en CAC. Se espera que conozca qué navegadores son compatibles conesta funcionalidad y que esté familiarizado con el identificador personal para el intercambio electrónicode datos (EDI-PI) asociado con las CAC.

Los certificados se revocan en ocasiones. Las listas de revocación de certificados (CRL) proporcionanuna forma para que los sistemas estén al tanto de estas revocaciones. Cabe la posibilidad de cargarmanualmente un archivo .zip con archivos CRL.

ActivClient es el único software intermedio CAC compatible con Windows. A fin de usar laautenticación CAC en el ESM desde Windows a través de Internet Explorer, hay que tener ActivClientinstalado en el equipo cliente. Una vez instalado ActivClient, se emplea para administrar lascredenciales CAC en lugar del administrador de tarjetas inteligentes nativo de Windows. Lo másprobable es que el software ActivClient ya esté instalado si el cliente accede a otros sitios compatiblescon CAC. Las instrucciones sobre la configuración de ActivClient y la ubicación del software para sudescarga se pueden obtener en http://militarycac.com/activclient.htm o en la intranet de suorganización.

Cuando se utiliza la validación CAC para la autenticación de aplicaciones, la seguridad del sistemadepende de la seguridad de la autoridad de certificación (CA). Si la CA está expuesta a riesgos, losinicios de sesión mediante CAC también lo estarán.

Véase también Configuración del inicio de sesión mediante CAC en la página 234



Configuración del inicio de sesión mediante CACA fin de configurar el inicio de sesión CAC, es necesario cargar los certificados raíz de CA, activar lafunción de inicio de sesión mediante CAC y activar un usuario CAC mediante el establecimiento delnombre distintivo completo (FQDN) del titular de la tarjeta como nombre de usuario. El titular de latarjeta puede entonces acceder al ESM mediante un navegador compatible con CAC sin tener queintroducir un nombre de usuario y una contraseña.

ESM es compatible con los lectores de tarjetas Gemalto y Oberthur ID One. Llame al Soporte técnico sinecesita ayuda con su lector de tarjetas.


1 Cargue el certificado raíz de CA.

a En el panel de control de su equipo, haga clic en Opciones de Internet | Contenido | Certificados |Entidades de certificación raíz de confianza.

b Seleccione su CA raíz actual y haga clic en Exportar.

c En el Asistente para exportar certificados, haga clic en Siguiente, seleccione X.509 codificado base 64 y hagaclic en Siguiente.

d Introduzca la ubicación y el nombre del archivo que va a exportar, haga clic en Siguiente y,después, en Finalizar.

e En el árbol de navegación del sistema de la consola del ESM, acceda a Propiedades del sistema, hagaclic en Seguridad de inicio de sesión y, después, seleccione la ficha CAC.

f Haga clic en Cargar, navegue hasta el archivo exportado y cárguelo en el ESM.

2 En la ficha Seguridad de inicio de sesión | CAC, introduzca la información y realice las seleccionessolicitadas; a continuación, haga clic en Aceptar.

3 Active cada uno de los usuarios CAC.

a En Propiedades del sistema, haga clic en Usuarios y grupos y escriba la contraseña del sistema.

b En la tabla Usuarios, resalte el nombre del usuario y haga clic en Editar.

c Sustituya el nombre del campo Nombre de usuario por el FQDN.

d (Opcional) Introduzca el nombre de usuario en el campo Alias de usuario y haga clic en Aceptar.




Opción Definición

El modo CAC estáactualmenteestablecido en

Seleccione el modo correspondiente a Common Access Card (CAC). Lasopciones son las siguientes:• DESACTIVADO: esta es la opción predeterminada. El inicio de sesión CAC

está desactivado, así que los usuarios deben iniciar sesión mediante elcuadro de inicio de sesión de ESM.

• OPCIONAL: la autenticación CAC está disponible, pero si el usuario noproporciona un certificado, aparece el cuadro de inicio de sesión de ESMcomo si el modo CAC estuviera desactivado.

• REQUERIDO: solo se puede acceder al sistema mediante el inicio de sesiónCAC. El cuadro de inicio de sesión no se muestra nunca. Si seleccionaesta opción, introduzca un código PIN de seguridad en Código PIN de seguridadpara modo requerido (IPv4). Se trata del código PIN que se introduce en elpanel LCD si es necesario cambiar el modo CAC a OPCIONAL en caso deque se bloquee el acceso al sistema de todos los usuarios. El código PINdebe tener el formato IPv4 (10.0.0.0) porque así lo reconoce el panelLCD.

Los certificados y las autoridades de certificación caducan, así que el modoREQUERIDO podría llegar a bloquear el acceso de todos los usuarios al ESM.Existe un botón de modo a prueba de errores situado en el panel LCD, en laparte delantera del ESM, que cambia el modo CAC de nuevo a OPCIONAL.

Credenciales decertificado

Permite cargar la cadena de certificados raíz de CA de forma que el ESMtenga acceso a ellos. Es posible ver el archivo de certificado o descargarlo auna ubicación seleccionada.

Lista de revocación decertificados

Cargue la lista de certificados revocados o descárguelos a la ubicación de suelección.

Configurar unprograma derecuperación

Configure una planificación de recuperación automática; para ello, escriba ladirección URL y la frecuencia con la que el ESM debería buscaractualizaciones de archivos de revocación.

Véase también Configuración de CAC en la página 233

Configuración de las opciones de autenticación de Active DirectoryEs posible configurar el ESM de forma que los usuarios se autentiquen mediante Active Directory. Cuandoestá activada esta opción, todos los usuarios excepto el administrador del sistema se autentican através de Active Directory. Si la autenticación está desactivada, los usuarios configurados para laautenticación mediante Active Directory no pueden acceder al sistema.

Antes de empezar• Configure un Active Directory al que se pueda acceder desde ESM.

• Cree un grupo (véase Configuración de grupos de usuarios) con el mismo nombre que elgrupo de Active Directory que tiene acceso al ESM. Por ejemplo, si asigna al grupo elnombre "Usuarios de McAfee", deberá acceder a Propiedades del sistema | Usuarios y grupos yagregar un grupo con el nombre "Usuarios de McAfee".





2 Haga clic en la ficha Active Directory y seleccione Activar autenticación de Active Directory.

3 Haga clic en Agregar y agregue la información solicitada para configurar la conexión.

4 Haga clic en Aceptar en la página Conexión de Active Directory.


Opción Definición

Activar autenticación de ActiveDirectory

Seleccione esta opción o anule su selección para activar o desactivar laautenticación de usuarios mediante Active Directory. Si anula laselección de la autenticación, los usuarios configurados para laautenticación mediante Active Directory no podrán acceder al sistema.

Agregar Permite configurar la conexión con Active Directory.

Editar Realizar cambios en el dominio seleccionado en la lista.

Eliminar Eliminar el dominio seleccionado en la lista.


Opción Definición

Usar comopredeterminado

Seleccione esta opción si desea usar este dominio como predeterminado.

Nombre de dominio Escriba el nombre del dominio.

Cuando se inicia sesión en el sistema, se puede utilizar este nombre dedominio como nombre de usuario. Si inicia sesión mediante su nombre deusuario, se empleará el dominio designado como predeterminado.

Botón Agregar Permite agregar direcciones IP utilizadas para Active Directory.• Servidor de administración: seleccione esta opción si se trata de la dirección del

servidor de administración. De lo contrario, anule su selección.

Una de las direcciones introducidas debe identificar el host donde seejecuta el servidor de administración.

• Dirección IP: escriba la dirección IP para Active Directory.

• Puerto y Puerto LDAP: permite cambiar los valores predeterminados, siprocede.

• Usar TLS: seleccione esta opción a fin de utilizar el protocolo de cifrado TLSpara los datos.

Botón Editar Realizar cambios en la configuración existente de direcciones IP.

Botón Eliminar Eliminar una dirección IP existente.



Configuración de credenciales para McAfee ePOEs posible limitar el acceso a un dispositivo McAfee ePO mediante la configuración de credenciales deusuario.

Antes de empezarEl dispositivo McAfee ePO no debe estar configurado para requerir la autenticación deusuario global (véase Configuración de la autenticación de usuarios global).


1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones y seleccioneCredenciales de ePO.

2 Haga clic en el dispositivo y, después, en Editar.

Si la columna de estado del dispositivo indica No necesario, el dispositivo está configurado para laautenticación de usuarios global. Es posible cambiar el estado en la página Conexión del dispositivo(véase Cambio de la conexión con ESM).

3 Escriba el nombre de usuario y la contraseña, compruebe la conexión y haga clic en Aceptar.

Para acceder a este dispositivo, los usuarios necesitan el nombre de usuario y la contraseñaagregados.


Opción Definición

Tabla Ver los dispositivos McAfee ePO del ESM. Si la columna Estado indica No necesario, eldispositivo está configurado para la autenticación de usuarios global. Si indica Sin credenciales,el dispositivo está configurado para requerir la autenticación individual de los usuarios.

Para cambiar la configuración de autenticación de los usuarios, acceda al cuadro de diálogoPropiedades del dispositivo McAfee ePO, haga clic en Conectar y cambie la configuración en elcampo Solicitar autenticación de usuario.

Editar Haga clic en esta opción para agregar o cambiar las credenciales necesarias para que unapersona acceda al dispositivo McAfee ePO seleccionado. Escriba el nombre de usuario y lacontraseña; a continuación, haga clic en Probar conexión.

Eliminar Haga clic en esta opción para eliminar las credenciales del dispositivo seleccionado. Se lepedirá confirmación.

Desactivación o reactivación de usuariosSi un usuario supera los intentos de inicio de sesión permitidos en el espacio de tiempo definido enSeguridad de inicio de sesión, use esta función para reactivar la cuenta. También puede usar esta función sies necesario bloquear el acceso de un usuario temporal o permanentemente sin eliminarlo delsistema.




1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Usuarios y grupos.

2 En la tabla Usuarios, resalte el nombre del usuario y haga clic en Editar.

3 Seleccione o anule la selección de Desactivar cuenta y haga clic en Aceptar.

El icono situado junto al nombre de usuario en Usuarios y grupos refleja el estado de la cuenta.

Autenticación de usuarios mediante un servidor LDAPEs posible configurar ESM de forma que los usuarios se autentiquen mediante un servidor LDAP.



2 Haga clic en la ficha LDAP.

3 Rellene los campos y, después, haga clic en Aplicar o en Aceptar.

Cuando está activada esta opción, todos los usuarios excepto el administrador del sistema se debenautenticar con el servidor LDAP. Si la autenticación está desactivada, los usuarios configurados para laautenticación LDAP no pueden acceder al sistema.


Opción Definición

Activar Si desea que todos los usuarios excepto el administrador del sistema seautentiquen mediante el servidor LDAP, seleccione Activar. Si la autenticaciónestá desactivada, los usuarios configurados para la autenticación medianteLDAP no pueden acceder al sistema.

Dirección IP Escriba la dirección IP del servidor LDAP.

Puerto Cambie el puerto del servidor, si procede.

Usar TLS o Usar SSL Seleccione estas opciones si desea emplear un protocolo de cifrado para losdatos.

Nombre del dominio base Escriba el dominio en el que se deben comprobar las credenciales.

Atributo de grupo Atributo donde se almacena la información sobre el grupo del usuario.Normalmente, no es necesario modificar este campo.

Filtro de grupo Filtro utilizado para recopilar información de grupo. Puede incluir o excluirgrupos específicos de los resultados de la búsqueda.

Filtro de usuario Filtro utilizado para recopilar información de usuario. Puede incluir o excluirusuarios específicos de los resultados de la búsqueda.

Configuración de grupos de usuariosLos grupos constan de usuarios que heredan la configuración aplicada al grupo. Si tiene privilegios deAdministración de usuarios, puede agregar grupos y asignarles dispositivos, directivas y derechos.




1 En el árbol de navegación del sistema, haga clic en Propiedades del sistema | Usuarios y grupos y escribasu contraseña.

2 A la derecha de la tabla Grupos, haga clic en Agregar y rellene la información solicitada en cada unade las fichas.

3 Haga clic en Aceptar y escriba su contraseña de nuevo.

El grupo se agregará a la tabla Grupos de la página Usuarios y grupos.


Opción Definición

Nombre y descripción Escriba el nombre para este grupo y una descripción.

Usuarios Seleccione los usuarios que formarán parte de este grupo.

Privilegios Seleccione los privilegios asociados con este grupo. Cuando resalte un privilegio,podrá ver una descripción en el cuadro Descripción.

Dispositivos Seleccione los dispositivos a los que podrán acceder los usuarios. Si seleccionatodos los dispositivos, los usuarios también tendrán acceso a los dispositivosnuevos que se agreguen al sistema.

Directivas Seleccione las directivas que los usuarios pueden usar y modificar.

Página Filtros dedirección IP

Si desea restringir el acceso por parte de los usuarios a datos de informes oalarmas únicamente para direcciones IP concretas, haga clic en Agregar y escribauna dirección.

Zonas Seleccione las zonas a las que los usuarios pueden acceder y que puedenmodificar.

Reenvío de eventos Seleccione los destinos de reenvío de eventos a los que los usuarios puedenacceder y que pueden modificar. Esto define los dispositivos desde los que unusuario puede reenviar eventos, en caso de que el grupo también disponga delprivilegio de reenvío de eventos, así como los filtros que especifican los tipos deeventos que se reenvían. Cuando se agrega un destino de reenvío de eventos aun usuario concreto, se agrega a todos los grupos de los que forma parte elusuario, siempre que los grupos tengan el privilegio de reenvío de eventos.

Si un destino de reenvío de eventos no pertenece a un grupo de acceso, cuentacon acceso a todos los dispositivos.

Restricciones detiempo para grupo

Permite agregar restricciones de día y hora a fin de limitar el acceso por parte delgrupo al ESM.

Informes Permite seleccionar los informes que pueden ver y modificar los usuarios de estegrupo. El grupo debe tener el privilegio Informes.

Vistas Permite seleccionar las vistas que pueden ver y modificar los usuarios de estegrupo. También puede compartir la visibilidad con otros usuarios y grupos.

Listas de vigilancia Permite seleccionar las listas de vigilancia que pueden ver y modificar losusuarios de este grupo. También puede compartir la visibilidad con otros usuariosy grupos.

Filtros Seleccione los conjuntos de filtros que los usuarios de este grupo podrán ver,modificar o ambas cosas.




Opción Definición

Tabla Muestra todos los usuarios que se han agregado al sistema. Seleccione los usuariosque desee agregar al grupo.

Seleccionar todo Selecciona todos los usuarios. Después, podrá anular la selección de los usuariosque no formarán parte del grupo.

No seleccionar nada Anula la selección de todos los usuarios. Después, podrá seleccionar los usuariosque formarán parte del grupo.


Opción Definición

Limitar el acceso de este grupo Limita los derechos para el grupo.

Lista Privilegios Enumera todos los derechos disponibles en el ESM. Selecciónelos o anulesu selección de forma individual, o bien haga clic en Seleccionar todos o Noseleccionar nada.

Si dispone de derechos de Administración de usuarios, puede desbloquear ocambiar los derechos de los usuarios normales, pero no de losadministradores.

Descripción Muestra una descripción sobre el privilegio seleccionado.


Opción Definición

(Solo vistas)Heredar permisos dela carpeta principal

Es necesario disponer de derechos de tipo Maestro o Administrativo para activar odesactivar esta opción.

Esta opción está seleccionada de forma predeterminada. Si no desea que sehereden los permisos del elemento principal, anule la selección de esta opción. Seactivarán las fichas Grupos y Usuarios.

(Solo informes ylistas devigilancia)Heredarconfiguración demodificación

Es necesario disponer de derechos de tipo Maestro o Administrativo para activar odesactivar esta opción.

Esta opción está seleccionada de forma predeterminada. Los usuarios heredan losderechos de tipo Modificar. Anule la selección de esta opción si desea cambiar laconfiguración predeterminada.




Opción Definición

Ficha Grupos Incluye todos los grupos a los que tiene acceso en función de su pertenencia aellos. Indique los grupos que deben tener acceso a los elementos seleccionados.Puede seleccionar Solo lectura, Modificar o ninguna de las dos opciones. Si noselecciona ninguna, el grupo dispondrá de derechos de denegación. Si seleccionaModificar, se selecciona automáticamente Solo lectura.Se muestra un seudogrupo denominado Predeterminado en el caso de los usuarios detipo Maestro o Administrativo. Los grupos que se creen en el futuro obtendrán esteprivilegio.

Ficha Usuarios Incluye todos los usuarios a los que tiene acceso en función de su pertenencia agrupos. Indique los usuarios que deben tener acceso a los elementosseleccionados. Puede seleccionar Solo lectura, Modificar o ninguna de las dos opciones.Si no selecciona ninguna, el usuario dispondrá de derechos de denegación. Siselecciona Modificar, se selecciona automáticamente Solo lectura.

Los derechos de usuario tienen prioridad sobre los derechos de grupo. Por ejemplo,si a un usuario solo se le asigna el acceso Leer para un recurso pero su grupo tieneacceso para Modificar, el usuario solo podrá Leer los elementos seleccionados.

Es posible agregar usuarios a la lista o eliminarlos de ella.

1 Haga clic en Agregar, haga clic en los usuarios y, después, haga clic en Aceptar.

2 Por cada usuario, seleccione Leer o Modificar y, después, haga clic en Aceptar.

Si un usuario no está en la lista, el sistema utiliza los derechos de grupo delusuario. Si un usuario está en la lista pero no tiene marcadas las opciones Leer oModificar, el usuario tendrá derechos de denegación explícitos para el recurso.


Opción Definición

Lista de directivas Incluye las directivas del ESM. Seleccione las directivas a las que puede accedereste grupo.

Seleccionar todo Seleccionar todas las directivas.

No seleccionar nada Anular la selección de todas las directivas.


Opción Definición

Lista Ver las direcciones IP de la lista.

Agregar Agregar una dirección IP a la lista.

Editar Modificar la dirección IP seleccionada.

Quitar Eliminar la dirección seleccionada de la lista.


Opción Definición

Lista de zonas Enumera las zonas que se han agregado al ESM. Permite seleccionar las zonas a lasque puede acceder este grupo.

Seleccionar todo Permite seleccionar todas las zonas de la lista.

No seleccionar nada Permite anular la selección de todas las zonas de la lista.




Opción Definición

Lista de destinos de reenvíode eventos

Enumera los destinos que se han agregado al ESM. Seleccione losdestinos a los que podrá acceder este grupo.

Si un destino no pertenece a un grupo de acceso, debe disponer deacceso a todos los dispositivos.

Seleccionar todo Permite seleccionar todos los destinos de la lista.

No seleccionar nada Permite anular la selección de todos los destinos de la lista.


Opción Definición

Activar restricciones Permite activar restricciones para el grupo.

Zona horaria Seleccione la zona horaria en la que se encuentra el grupo.

Hora de inicio / Hora de fin Seleccione la hora del día de inicio y fin para el acceso por parte del grupo. Sidebe disponer de acceso las 24 horas en los días seleccionados, seleccione00:00 en ambos campos.

Días de la semana Seleccione los días de la semana que los miembros del grupo pueden accederal ESM.


Opción Definición

Columna Nombre Incluye los informes del ESM.

Columna Leer Seleccione los informes que este grupo podrá leer. Si selecciona Modificar, tambiénse selecciona Leer.

Columna Modificar Seleccione los informes que este grupo podrá modificar.

Compartir Haga clic en esta opción para seleccionar otros grupos o usuarios a fin decompartir la visibilidad de los informes seleccionados.


Opción Definición

Columna Nombre Incluye todas las vistas del ESM.

Columna Leer Seleccione las vistas que este grupo podrá leer.

Columna Modificar Seleccione las vistas que este grupo podrá modificar.

Compartir Haga clic en esta opción para seleccionar otros grupos o usuarios a fin decompartir la visibilidad de los elementos seleccionados.


Opción Definición

Columna Nombre Incluye todas las listas de vigilancia del ESM.

Columna Leer Seleccione las listas de vigilancia que este grupo podrá leer. Si selecciona Modificar,también se selecciona Leer.

Columna Modificar Seleccione las listas de vigilancia que este grupo podrá modificar.

Compartir Haga clic en esta opción para seleccionar otros grupos o usuarios a fin decompartir la visibilidad de los elementos seleccionados.



Adición de un grupo con acceso limitadoPara restringir el acceso de usuarios concretos a funciones del ESM, cree un grupo que incluya dichosusuarios. Esta opción limita su acceso a: alarmas, administración de casos, informes de ELM, listas devigilancia, administración de activos, editor de directivas, zonas, propiedades del sistema, filtros ybarra de herramientas de acciones (véase Uso de usuarios y grupos). El resto de funciones estarándesactivadas.



2 Haga clic en Usuarios y grupos y escriba la contraseña del sistema.


• Si el grupo ya está configurado, selecciónelo en la tabla Grupo y haga clic en Editar.

• Si va a agregar un grupo, haga clic en Agregar junto a la tabla Grupos, rellene el nombre y ladescripción y, a continuación, seleccione los usuarios.

4 Haga clic en Privilegios y seleccione Limitar el acceso de este grupo.

Casi todos los privilegios están desactivados.

5 Seleccione los privilegios que desee que tenga este grupo en la lista de privilegios restantes.

6 Haga clic en cada una de las fichas y defina el resto de la configuración del grupo.

Copia de seguridad y restauración de la configuración delsistema

Guarde las opciones de configuración actuales del sistema de forma automática o manual de maneraque se puedan restaurar en caso de fallo del sistema o fuga de datos. También se puede establecer yguardar la configuración actual en un ESM redundante.

Una copia de seguridad estándar guarda todas las opciones de configuración, incluidas lascorrespondientes a la directiva, SSH, la red y los archivos SNMP. Cuando se agrega un dispositivoESM, se activa Copia de seguridad y restauración para crear una copia de seguridad cada siete días.

Es posible crear copias de seguridad de los eventos, flujos y registros recibidos por el sistema. En laprimera copia de seguridad de datos de eventos, flujos o registros solamente se guardan datos apartir del inicio del día en curso. En las copias de seguridad subsiguientes, se guardan los datos apartir del momento de la última copia de seguridad.

Para restaurar el sistema, seleccione los archivos de copia de seguridad en el ESM, un equipo local ouna ubicación remota a fin de revertir toda la configuración y los datos a un estado anterior. Al poneren práctica esta función, se pierden todos los cambios realizados en la configuración tras la creaciónde la copia de seguridad. Por ejemplo, si lleva a cabo una copia de seguridad diaria y desea restaurarlos datos de los últimos tres días, seleccione los tres últimos archivos de copia de seguridad. Loseventos, flujos y registros de los tres archivos de copia de seguridad se agregarán a los eventos, flujosy registros que haya en ese momento en el ESM. Todas las opciones de configuración se sobrescribenentonces con la configuración contenida en la copia de seguridad más reciente.

Configuración del ESMCopia de seguridad y restauración de la configuración del sistema 3


Véase también Copias de seguridad de la configuración y los datos de sistema de ESM en la página 244Restauración de la configuración de ESM en la página 245Restauración de archivos de configuración con copias de seguridad en la página 246Uso de los archivos de copia de seguridad en ESM en la página 246Administración del mantenimiento de archivos en la página 247

Copias de seguridad de la configuración y los datos de sistemade ESMCree una copia de seguridad de los archivos de configuración del ESM y guárdelos antes de iniciarcualquier ampliación de software.

Cuando se agrega un dispositivo ESM, se activa Copia de seguridad y restauración para crear una copia deseguridad cada siete días. Es posible tanto desactivar esta opción como cambiar la configuraciónpredeterminada. Véase el artículo de la base de conocimiento Backup process for McAfee ESM devices(Proceso de copia de seguridad para dispositivos ESM de McAfee) para obtener detalles.

Se recomienda realizar una Copia de seguridad completa de todos los dispositivos antes de iniciar unaampliación. Una copia de seguridad completa contiene:

• Configuración de los dispositivos ESM, ERC, DEM, ADM y ACE.

Las copias de seguridad completas de ELM solo incluyen los ajustes de configuración. Deberá crearuna copia de seguridad independiente de la configuración de la base de datos o perderá todas lasconexiones de base de datos con sus recursos compartidos locales, recursos compartidos remotos ySAN.

• Detenga CPService y, después, DBServer; cree una copia del contenido de /usr/local/ess/data/, /etc/NitroGuard y otras carpetas en un recurso compartido remoto.

Si algo va mal durante la ampliación, puede:

• Reinstalar el software en la versión existente.

• Reinstalar los archivos de copia de seguridad.

• Intentar de nuevo la ampliación a la siguiente versión.

Las copias de seguridad solo son compatibles con la versión actual del dispositivo ESM. No se puedeinstalar una copia de seguridad de una versión anterior en un dispositivo ESM ampliado.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración deESM | Mantenimiento | Copia de seguridad.

2 Defina la configuración de la copia de seguridad.

3 Haga clic en Aceptar para cerrar la página Copia de seguridad y restauración.

3 Configuración del ESMCopia de seguridad y restauración de la configuración del sistema


https://kc.mcafee.com/resources/sites/MCAFEE/content/live/CORP_KNOWLEDGEBASE/80000/KB80012/en_US/Backup%20process%20for%20McAfee%20devices.pdf


Opción Definición

Frecuencia de copiade seguridad

Cuando se agregan nuevos dispositivos ESM al sistema, la función Copia deseguridad y restauración está activada para crear una copia de seguridad cada sietedías. Es posible cambiar la frecuencia o desactivar las copias de seguridad.

Hacer copia deseguridad de datospara

Seleccione lo que desee incluir en la copia de seguridad.

Ubicación de copia deseguridad

Seleccione dónde desea guardar la copia de seguridad.• ESM: se guarda en el ESM y se accede a ella mediante la página Mantenimiento

de archivos.

• Ubicación remota: se guarda en la ubicación definida en los campos que seactivan. Si va a guardar una copia del ESM y todos los datos del sistemamanualmente, deberá seleccionar esta opción.

Cuando cree una copia de seguridad en un recurso compartido CIFS, escribauna barra (/) en el campo de ruta remota.

Hacer una copia deseguridad ahora

Permite crear manualmente una copia de seguridad de la configuración delESM, así como de los eventos, flujos y registros (si se selecciona esta opción).Haga clic en Cerrar cuando finalice la copia de seguridad correctamente.

Copia de seguridadcompleta ahora

Guardar manualmente una copia de la configuración y los datos del sistema deldispositivo. Esto no se puede guardar en el ESM, así que deberá seleccionarUbicación remota en el campo Ubicación de copia de seguridad e introducir la informaciónsobre la ubicación.

Se recomienda encarecidamente realizar una copia de seguridad completaantes de cualquier actualización a una versión principal a fin de evitar la fugade datos.

El uso de un tipo de recurso compartido CIFS con versiones del servidor Sambaposteriores a la 3.2 puede provocar la fuga de datos.

Véase también Copia de seguridad y restauración de la configuración del sistema en la página 243Restauración de la configuración de ESM en la página 245Restauración de archivos de configuración con copias de seguridad en la página 246Uso de los archivos de copia de seguridad en ESM en la página 246Administración del mantenimiento de archivos en la página 247

Restauración de la configuración de ESMEn caso de fallo del sistema o fuga de datos, es posible restaurar el sistema a un estado anteriormediante la selección de un archivo de copia de seguridad.

Procedimiento

Si la base de datos contiene el máximo de registros permitidos y los registros que se van a restaurarestán fuera del intervalo de datos actual del ESM, los registros no se restauran. Para guardar datosfuera de este intervalo y acceder a ellos, es necesario disponer de una configuración de archivado departición inactiva.




1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración deESM | Mantenimiento | Restaurar copia de seguridad.

2 Seleccione el tipo de restauración que desee realizar.

3 Seleccione el archivo que desee restaurar o introduzca la información sobre la ubicación remota y,después, haga clic en Aceptar.

La restauración de una copia de seguridad puede tardar bastante tiempo en función del tamaño delarchivo de restauración. El ESM permanecerá offline hasta que termine la restauración por completo.Durante este tiempo, el ESM intentará conectar cada 5 minutos. Cuando el proceso finaliza, se abre lapágina Inicio de sesión.

Véase también Copia de seguridad y restauración de la configuración del sistema en la página 243Copias de seguridad de la configuración y los datos de sistema de ESM en la página 244Restauración de archivos de configuración con copias de seguridad en la página 246Uso de los archivos de copia de seguridad en ESM en la página 246Administración del mantenimiento de archivos en la página 247

Restauración de archivos de configuración con copias deseguridadEs posible restaurar archivos de configuración de SSH, red, SNMP y de otros tipos con copias deseguridad creadas en el ESM para cada dispositivo.

Antes de empezarCree una copia de seguridad de los archivos de configuración del ESM (véase Copias deseguridad de la configuración y los datos de sistema de ESM).


1 En el árbol de navegación del sistema, haga clic en el dispositivo y, después, en el icono de

Propiedades .

2 Haga clic en la opción Configuración correspondiente al dispositivo, haga clic en Restaurar configuración y,finalmente, haga clic en Sí en la página de confirmación.

Véase también Copia de seguridad y restauración de la configuración del sistema en la página 243Copias de seguridad de la configuración y los datos de sistema de ESM en la página 244Restauración de la configuración de ESM en la página 245Uso de los archivos de copia de seguridad en ESM en la página 246Administración del mantenimiento de archivos en la página 247

Uso de los archivos de copia de seguridad en ESMLos archivos de copia de seguridad guardados en el ESM se pueden descargar, eliminar o visualizar.También puede cargar archivos para agregarlos a la lista de archivos de copia de seguridad.

3 Configuración del ESMCopia de seguridad y restauración de la configuración del sistema



1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Mantenimiento dearchivos.

2 En la lista desplegable Seleccionar tipo, seleccione Archivos de copia de seguridad.

3 Seleccione la acción que desee realizar.


Véase también Copia de seguridad y restauración de la configuración del sistema en la página 243Copias de seguridad de la configuración y los datos de sistema de ESM en la página 244Restauración de la configuración de ESM en la página 245Restauración de archivos de configuración con copias de seguridad en la página 246Administración del mantenimiento de archivos en la página 247

Administración del mantenimiento de archivosEl ESM almacena archivos de copia de seguridad, actualizaciones de software, registros de alarmas yregistros de informes. Es posible descargar, cargar y quitar archivos de cada una de estas listas.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Mantenimiento dearchivos.

2 En el campo Seleccionar tipo de archivo, seleccione Archivos de copia de seguridad, Archivos de actualización desoftware, Archivos de registro de alarmas o Archivos de registros de informes.

3 Seleccione los archivos y haga clic en una de las opciones disponibles.



Opción Definición

Seleccionar tipo de archivo Seleccionar el tipo de archivo que se desea administrar.

Descargar Guardar el archivo seleccionado en una ubicación ajena al ESM.

Cargar Permite agregar un archivo al ESM.

Quitar Eliminar el archivo seleccionado para que ya no se encuentreen el ESM.

Actualizar Actualizar la lista de archivos a fin de reflejar los cambiosrecientes.

Detalles (solo para archivos decopia de seguridad)

Ver los detalles de la copia de seguridad seleccionada.

Configuración (solo para archivosde copia de seguridad)

Acceda a la página Copia de seguridad y restauración.



Véase también Copia de seguridad y restauración de la configuración del sistema en la página 243Copias de seguridad de la configuración y los datos de sistema de ESM en la página 244Restauración de la configuración de ESM en la página 245Restauración de archivos de configuración con copias de seguridad en la página 246Uso de los archivos de copia de seguridad en ESM en la página 246

ESM redundanteLa función de ESM redundante permite guardar la configuración actual del ESM en ESM redundantesque se pueden convertir en el ESM principal en caso de fallo del sistema o fuga de datos. Esta funciónsolo está disponible para los usuarios con privilegios de administrador del sistema.

Para configurar la redundancia, agregue el dispositivo redundante, que recibe la configuración y losdatos del dispositivo principal, y a continuación defina la configuración del dispositivo principal, queenvía la configuración y los datos de copia de seguridad al dispositivo redundante. Los datos deconfiguración y directiva del ESM principal se sincronizan automáticamente cada cinco minutos con elESM redundante.

La función de redundancia de ESM no está disponible en los dispositivos combinados ESMREC.

Véase también Configuración de la redundancia de ESM en la página 248Eliminación de un ESM redundante en la página 249

Configuración de la redundancia de ESM Para guardar la configuración del sistema en un ESM redundante, es necesario configurar cada uno delos ESM de forma que se comuniquen entre ellos. La configuración del sistema se sincroniza cada cincominutos. Las tablas de datos se sincronizan si el ESM principal se configura para ello.

Antes de empezarConfigure los ESM principal y redundantes.


1 Active SSH en el ESM principal y en todos los ESM redundantes.

a En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuraciónde red.

b Asegúrese de que esté seleccionada la opción Activar SSH y haga clic en Aceptar.

3 Configuración del ESMESM redundante


2 Ya que el archivado depende de ESM, configúrelo en el ESM redundante si necesita archivar suseventos, flujos y registros.

a En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Base de datos| Archivado.

b Rellene los campos, que variarán en función del tipo seleccionado.

Asegúrese de que los datos de archivado del ESM redundante se almacenen en una ubicacióndiferente de la del ESM principal.

c Haga clic en Aceptar para guardar la configuración.

El ESM redundante archiva los mismos datos que el ESM principal una vez agregado el redundante.

3 Cierre la sesión en los ESM redundantes.

4 Inicie sesión en el ESM principal.

5 Acceda a Propiedades del sistema y haga clic en Administración de ESM | Redundancia.

6 Para activar en el ESM principal el envío de consultas al ESM redundante, seleccione Consultascompartidas.

7 Para sincronizar las tablas de datos, seleccione Planificar sincronización e indique cuándo desea que seproduzca la sincronización en el campo Hora de sincronización.

8 En el campo Puerto SSH, seleccione el puerto SSH que emplean los dispositivos para comunicarse.

9 Agregue la información del ESM redundante al ESM principal.

Puede agregar un máximo de cinco ESM redundantes.

a Haga clic en Agregar y escriba un nombre para el ESM redundante.

b Escriba la dirección IP, el nombre de usuario y la contraseña del ESM redundante y haga clic enSiguiente.

El ESM principal intenta comunicarse con el ESM redundante.

c Cuando se le informe de que se ha aplicado correctamente la clave al dispositivo, haga clic enFinalizar.

d Repita estos pasos para todos los ESM redundantes que desee agregar a este ESM principal.


Los ESM principal y redundante empiezan a sincronizarse.

Véase también ESM redundante en la página 248Eliminación de un ESM redundante en la página 249

Eliminación de un ESM redundanteEs posible eliminar un ESM de la lista de ESM redundantes que se comunican con el ESM principal.

Configuración del ESMESM redundante 3



1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración deESM | Redundancia.

2 En la tabla de ESM redundantes, verifique que el estado del ESM que se va a eliminar sea Redundantecorrecto o Comunicación perdida.

Si el estado es Sincronizando, no intente eliminar el ESM redundante.

3 Seleccione el ESM y haga clic en Quitar.

El ESM redundante se eliminará de la lista y dejará de estar disponible para recibir datos de copia deseguridad del ESM principal. El resto de ESM de la lista seguirá sincronizándose con el ESM principal.

Véase también ESM redundante en la página 248Configuración de la redundancia de ESM en la página 248Eliminación de un ESM redundante en la página 249

Desactivación de las consultas compartidasLa función de consultas compartidas reduce la carga sobre el ESM principal en un sistema redundante.

La reducción se logra mediante la ejecución de consultas en los ESM redundantes cuando el intervalode fechas especificado de la consulta indica que los datos de la consulta están presentes en un ESMredundante.

Esta función emplea de forma efectiva los recursos proporcionados por los ESM redundantes. Cuandola función Consultas compartidas está activada, se envían consultas al ESM redundante si los datossolicitados abarcan más de 30 días o la hora de inicio de la consulta es anterior a 12 horas. Losresultados de estas consultas siempre se devuelven al ESM principal.

La opción Consultas compartidas está activada de forma predeterminada. Si el ESM redundante es de unmodelo anterior, es posible que se tarde más en procesar las consultas. Si necesita que las consultasse procesen con mayor rapidez, puede desactivar esta función.


1 En el árbol de navegación del sistema, seleccione el ESM y haga clic en el icono Propiedades .

2 Haga clic en Administración de ESM | Redundancia.

3 En la página Configuración de redundancia, anule la selección de Consultas compartidas y, después, haga clicen Aceptar.

Se produce un reinicio de CPService.

Conversión del ESM redundante en el ESM principalCuando existe redundancia de ESM, es posible convertir el ESM redundante en el ESM principal. Estosería necesario si el ESM principal fallara o si tuviese que ser desactivado por algún motivo.

3 Configuración del ESMESM redundante



1 En el árbol de navegación del sistema del ESM redundante, seleccione el sistema y, a continuación,


2 Haga clic en Administración de ESM | Redundancia y, después, haga clic en Conmutación en caso de error.

Se le informará cuando los dispositivos se hayan intercambiado correctamente y se esténreinicializando.

3 Cuando se le indique, escriba la contraseña del ESM redundante que se convertirá en el ESMprincipal.

Administración de ESMExisten varias operaciones que se pueden realizar para administrar el software, los registros, loscertificados, los archivos de funciones y las claves de comunicación de ESM.


Configuración Administrar registros Configurar los tipos de eventos que se almacenan en el registro deeventos.

Jerarquía de ESM Configurar las opciones de datos cuando se emplean dispositivosESM jerárquicos.

Camuflaje Definir la configuración global para enmascarar ciertos datos encualquier registro de alerta enviado mediante el reenvío de eventoso enviado a un ESM principal.

Registro Enviar eventos internos al ELM para su almacenamiento. Estosdatos se pueden usar con fines de auditoría.

Configuraciónregional del sistema

Seleccionar el idioma del sistema que se usará para registrareventos, como en el caso del registro de dispositivos y el monitorde estado.

Asignación denombre

Permite anular la selección de los puertos y los protocolos de formaque muestren números sin procesar en lugar de nombres. Porejemplo, si se anula la selección de Puerto de origen o Puerto de destino,http:80 se mostrará como 80. Si se selecciona Protocolos, elnúmero sin procesar 17 aparecerá como udp.

Red local Agregue una lista de las direcciones IP o subredes incluidas en lared local.

Redundancia Configure uno o varios ESM redundantes para crear copias deseguridad de todos los datos del ESM principal (véase ESMredundante).

Administraciónde claves

Certificado Instalar un nuevo certificado de Secure Socket Layer (SSL).

Regenerar SSH Volver a generar el par de claves privada/pública de SSH utilizadopara comunicarse con todos los dispositivos.

Exportar todas lasclaves

Exportar las claves de comunicación de todos los dispositivos delsistema en lugar de tener que exportarlas una a una.

Configuración del ESMAdministración de ESM 3



Restaurar todas lasclaves

Restaurar las claves de comunicación de todos los dispositivos o losdispositivos seleccionados que se exportaron mediante la funciónExportar todas las claves.

Mantenimiento Actualizar ESM Actualizar el software del ESM mediante el servidor de reglas y lasreglas de McAfee o a través de un ingeniero de seguridad deMcAfee.

Datos de ESM Permite descargar un archivo .tgz que contiene información sobreel estado del ESM. Este estado puede ayudar al Soporte de McAfeea solucionar problemas y corregir errores.

Administrador detareas

Ver las consultas en ejecución en el ESM y detenerlas, si procede.

Apagar Apagar el ESM. Se le advertirá de que esta acción provoca lapérdida de comunicación de todos los usuarios con el ESM.

Reiniciar Detener y reiniciar el ESM. Se le advertirá de que esta acciónprovoca la pérdida de comunicación de todos los usuarios con elESM.

Obtener funciones Si ha adquirido funciones adicionales, actívelas en el ESM mediantela descarga de un archivo cifrado que contiene información sobrelas funciones que admite el ESM.

Establecer funciones Instalar el archivo descargado mediante Obtener funciones.

Conectar Sirve para otorgar al Soporte de McAfee acceso a su sistemacuando solicita ayuda.

Esta opción no es conforme a FIPS, así que no está disponiblecuando se emplea el modo FIPS.

Ver estadísticas Permite acceder a la información siguiente sobre cualquierdispositivo ESM:• Estadísticas de utilización de memoria y espacio de intercambio

• Uso de la CPU

• Actividad de conmutación del sistema

• Estadísticas de velocidad de transferencia y entrada/salida

• Promedios de longitud de cola y carga

Administración de registrosExisten diversos tipos de eventos que se generan en el ESM. Es posible seleccionar los que se deseaguardar en el registro de eventos.



2 Haga clic en Administrar registros y seleccione los tipos de eventos que desee registrar.


3 Configuración del ESMAdministración de ESM


Ficha Opción Descripción

FichaConfiguración

Administrar registros Configurar los tipos de eventos que se almacenan en el registrode eventos.

Jerarquía de ESM Configurar las opciones de datos cuando se emplean dispositivosESM jerárquicos.

Camuflaje Enmascarar los campos seleccionados en cualquier registro dealerta enviado mediante el reenvío de eventos o enviado a unESM principal.

Registro Enviar eventos internos al ELM para su almacenamiento. Estosdatos se pueden usar con fines de auditoría.

Configuraciónregional del sistema

Seleccione el idioma que se usará para los registros de eventos,como el monitor de estado y el registro de dispositivos.

Asignación denombre

Permite anular la selección de los puertos y los protocolos deforma que muestren números sin procesar en lugar de nombres.Por ejemplo, si se anula la selección de Puerto de origen o Puerto dedestino, http:80 se mostrará como 80. Si se selecciona Protocolos,el número sin procesar 17 aparecerá como udp.

Red local Agregue una lista de las direcciones IP o subredes incluidas en lared local.

Redundancia Configure uno o varios ESM redundantes para crear copias deseguridad de todos los datos del ESM principal (véase ESMredundante).

FichaAdministraciónde claves

Certificado Instalar un nuevo certificado SSL.

Regenerar SSH Volver a generar el par de claves privada/pública de SSHutilizado para comunicarse con todos los dispositivos. Cuando seregenere la clave, se sustituirá el par de claves anterior en todoslos dispositivos administrados por el ESM.

Exportar todas lasclaves

Exportar las claves de comunicación de todos los dispositivos delsistema en lugar de tener que exportarlas una a una.

Restaurar todas lasclaves

Restaurar las claves de comunicación de todos los dispositivos olos dispositivos seleccionados que se exportaron mediante lafunción Exportar todas las claves.

Mantenimiento Actualizar ESM Actualizar el software del ESM mediante el servidor de reglas ylas reglas de McAfee o a través de un ingeniero de seguridad deMcAfee.

Datos de ESM Permite descargar un archivo .tgz que contiene informaciónsobre el estado del ESM. Este estado puede ayudar al Soporte deMcAfee a solucionar problemas y corregir errores.

Administrador detareas

Permite ver y administrar las consultas que se están ejecutandoen el ESM.

Apagar Apagar el ESM. Se le advertirá de que esta acción provoca lapérdida de comunicación de todos los usuarios con el ESM.

Reiniciar Iniciar el ESM. Se le advertirá de que esta acción provoca lapérdida de comunicación de todos los usuarios con el ESM.

Obtener funciones Para activar las funciones nuevas de ESM adquiridas, descargueen primer lugar un archivo cifrado que contiene informaciónsobre las funciones de ESM admitidas en su caso actualmente.

Establecer funciones Instalar el archivo descargado mediante Obtener funciones.



Ficha Opción Descripción

Conectar oDesconectar

Otorgar al personal de soporte técnico acceso a su sistemacuando se llama a McAfee para solicitar ayuda.

Esta opción no es conforme a FIPS, así que no está disponiblecuando se emplea el modo FIPS.

Ver estadísticas Permite acceder a la información siguiente sobre cualquierdispositivo ESM:• Estadísticas de utilización de memoria y espacio de

intercambio

• Uso de la CPU

• Actividad de conmutación del sistema

• Estadísticas de velocidad de transferencia y entrada/salida

• Promedios de longitud de cola y carga

Copia de seguridad Puede crear una copia de seguridad de la configuración de ESMde inmediato o de forma automática. La copia de seguridad sepuede almacenar en el ESM o en una ubicación remota. Tambiénpuede restaurar la configuración del sistema mediante una copiade seguridad anterior.

Restaurar copia deseguridad

Puede crear una copia de seguridad de los eventos, flujos yregistros de inmediato o de forma automática. También puederestaurar los eventos, flujos y registros de dispositivo para elintervalo de fechas especificado.


Opción Definición

Especifique qué tipos de registros de eventosse deben generar en este dispositivo

Seleccione tipos o anule su selección para especificar quétipos de registros de eventos desea que recopile este ESM.Al hacer clic en un tipo, aparece una descripción.

Enmascaramiento de direcciones IPExiste la posibilidad de enmascarar ciertos datos en los registros de eventos enviados mediante elreenvío de eventos a un ESM principal.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic enAdministración de ESM | Jerarquía de ESM.

2 Seleccione Camuflar en el caso de los ESM en los que desee enmascarar los datos.

Se abrirá la página Selección de campos de ocultación.

3 Seleccione los campos que desee enmascarar.


Una vez realizada esta configuración, si un ESM principal solicita un paquete de un ESM secundario,los datos seleccionados se ocultarán.




Opción Definición

Especifique qué tipos de registros de eventos sedeben generar en este dispositivo

Seleccione tipos o anule su selección para especificar quétipos de registros de eventos desea que recopile este ESM. Alhacer clic en un tipo, aparece una descripción.


Opción Definición

Lista Disponible para ocultación Muestra los campos que se pueden ocultar. Esta lista incluye camposque podrían contener datos confidenciales, así como todos los tipospersonalizados. Para localizar un campo en la lista, escriba el nombreen el campo de búsqueda.

Lista Campos seleccionados Muestra los campos ocultos actualmente.

Flechas Permiten mover los campos seleccionados de una lista a otra.

Vínculo Configurar las opciones deocultamiento globales

Haga clic en esta opción para agregar o cambiar la configuración deocultación para el sistema.


Opción Definición

Valor de origen Si desea asegurarse de que el camuflaje se lleve a cabo de la misma formasiempre, introduzca un origen en el campo Valor de origen o haga clic en Generarpara generar un origen aleatorio. Esto resulta útil cuando se ocultan lasdirecciones IP de varios ESM y se desea mantener los valores sincronizados.

Incluir red local Seleccione esta opción para ocultar las direcciones IP de dentro y fuera de lared local. Esto abarca los tipos personalizados de IP, tales como lasdirecciones IPv4 e IPv6.

Modificar configuración dered local

Haga clic en esta opción para editar las direcciones IP de la red local.


Opción Definición

Campo Red local Introduzca una lista de las direcciones IP o subredes incluidas en la red local,separadas por comas. Este campo admite un máximo de 2000 caracteres. Si su redlocal es más larga, puede consolidar varias subredes en una red local más cortagracias a la notación CIDR.

Configuración del registro de ESMSi tiene un dispositivo ELM en el sistema, puede configurar el ESM de forma que los datos de eventosinternos que genere se envíen al ELM. Para ello, es necesario configurar el grupo de registropredeterminado.

Antes de empezarAgregue un dispositivo ELM al sistema.





2 En la ficha Configuración, haga clic en Registro.

3 Lleve a cabo las selecciones necesarias y, a continuación, haga clic en Aceptar.


Opción Definición

Página Configuración de registro Seleccione Registro.

Página Asociación dispositivo -ELM

Si no ha asociado un ELM con este ESM, se le preguntará si deseahacerlo. Haga clic en Sí.

Página Seleccionar ELM pararegistro

Si dispone de más de un dispositivo ELM en el sistema, seleccione elELM donde desee almacenar los datos. Este ESM siempre registrarálos datos en el ELM seleccionado.

Página Seleccionar dirección IPde ELM

Seleccione la dirección IP mediante la cual desee que se comuniqueel ESM con el ELM. Se le notificará cuando el ELM seleccionado estécorrectamente asociado con el dispositivo.

Página No hay grupos de ELM Si no se han configurado grupos de almacenamiento en el ELM, se leinformará de que es necesario agregar grupos de almacenamiento alELM antes de activar el registro.

Página Opciones de registro deELM

Seleccione el grupo de almacenamiento donde se deben registrar losdatos.

Exportación y restauración de claves de comunicaciónEs posible exportar las claves de comunicación de todos los dispositivos del sistema a un únicoarchivo. Una vez exportadas las claves de comunicación, cabe la posibilidad de restaurarlas si esnecesario.

• En el árbol de navegación del sistema, seleccione Propiedades del sistema | Administración de ESM; acontinuación, haga clic en la ficha Administración de claves.


Exportar todas lasclaves de comunicación

1 Haga clic en Exportar todas las claves.

2 Establezca la contraseña del archivo de claves y haga clic en Aceptar.

3 Seleccione la ubicación donde guardar el archivo y haga clic en Guardar.

Restaurar todas lasclaves de comunicación

1 Haga clic en Restaurar todas las claves.

2 Localice el archivo creado al exportar las claves y haga clic en Abrir.

3 Haga clic en Cargar e introduzca la contraseña establecida.

4 Seleccione los dispositivos que desee restaurar y haga clic en Aceptar.

Regeneración de una clave SSHEs posible volver a generar el par de claves privada/pública de SSH utilizado para comunicarse contodos los dispositivos.





2 En la ficha Administración de claves, haga clic en Regenerar SSH.

Se le advertirá de que la nueva clave sustituirá a la anterior.

3 Haga clic en Sí.

Cuando se regenere la clave, sustituirá al par de claves anterior en todos los dispositivosadministrados por el ESM.

Administrador de tareas de consultasSi cuenta con derechos de administrador o usuario principal, puede acceder al Administrador de tareas, quemuestra la lista de las consultas en ejecución en el ESM. A partir de aquí, puede cerrar consultasconcretas si están afectando al rendimiento del sistema. Las consultas de larga ejecución tienen másprobabilidades de afectar al rendimiento.

La finalidad de esta función es solucionar problemas en tiempo de ejecución de ESM, no cerrarconsultas. Utilice esta función con la ayuda del Soporte de McAfee.

Entre las características del administrador de tareas se encuentran:

• Es posible cerrar consultas de informes, vistas, listas de vigilancia, ejecución y exportación,alarmas y API externas en el sistema. No es posible cerrar las consultas del sistema.

• Cuando se hace clic en una consulta, los detalles aparecen en el área Detalles de consulta.

• De forma predeterminada, la lista se actualiza automáticamente cada cinco segundos. Si seleccionauna consulta y la lista se actualiza automáticamente, permanece seleccionada y se actualizan losdetalles. Si la consulta se completa, deja de aparecer en la lista.

• Si no desea que la lista se actualice automáticamente, anule la selección de Actualizar listaautomáticamente.

• Para ver las tareas del sistema, que son las tareas que aún no se han identificado, anule laselección de Ocultar tareas del sistema.

• Las columnas de la tabla se pueden ordenar.

• Es posible seleccionar y copiar los datos del área Detalles de consulta.

• Si una consulta se puede cerrar, aparece un icono de eliminación en la última columna. Al hacerclic en él, se solicita confirmación mediante un cuadro de diálogo.

Administración de consultas en ejecución en ESMEl Administrador de tareas muestra una lista de las consultas que se están ejecutando en el ESM. Es posiblever su estado y eliminarlas si afectan al rendimiento del sistema.





2 Haga clic en Administración de ESM, después en la ficha Mantenimiento y, por último, en Administrador detareas.

3 Revise la lista de consultas en ejecución y realice las acciones necesarias.


Opción Definición

Tabla Ver una lista de las consultas que se están ejecutando en el ESM. Lascolumnas de la tabla se pueden ordenar.

Detalles de consulta Ver los detalles sobre la tarea seleccionada en la tabla. Es posibleseleccionar y copiar este texto.

Ocultar tareas del sistema Anule la selección de esta opción para ver las tareas del sistema, queson las tareas que aún no se han identificado.

Actualizar listaautomáticamente

Anule la selección de esta opción si no desea que la lista se actualiceautomáticamente cada cinco segundos. Si selecciona una consulta y lalista se actualiza automáticamente, permanece seleccionada y seactualizan los detalles. Si la consulta se completa, deja de aparecer en lalista.

Haga clic para eliminar la tarea.

Actualización de un ESM principal o redundanteSi va a ampliar un ESM principal o redundante, es necesario llevar a cabo ciertos pasos para evitarperder los datos de eventos, flujos y registros.


1 Desactive la recopilación de eventos, flujos y registros.

a En el árbol de navegación del sistema, seleccione Información del sistema y haga clic en Eventos, flujos yregistros.

b Anule la selección de Intervalo de comprobación automática.

2 Actualice el ESM principal.

3 Actualice el ESM redundante.

4 Active la recopilación de eventos, flujos y registros mediante la selección de Intervalo de comprobaciónautomática una vez más.

Si la actualización falla, véase Ampliación a ESM 9.3.



Uso de una lista negra globalUna lista negra es una forma de bloquear el tráfico a medida que fluye por un dispositivo de red antesde que el motor de inspección profunda de paquetes (DPI) lo analice.

Es posible utilizar la opción Lista negra del dispositivo de red a fin de establecer una lista negra paradispositivos de red individuales en el ESM. La opción Lista negra global permite establecer una lista negraaplicable a todos los dispositivos de red administrados por el ESM. Esta función solo permite entradasde lista negra permanentes. A fin de establecer entradas temporales, hay que utilizar la opción Listanegra del dispositivo de red.

Todos los dispositivos de red pueden utilizar la lista negra global. La función está desactivada en todoslos dispositivos hasta que se activa.

La página Editor de la lista negra global incluye tres fichas:

• Orígenes bloqueados: realiza una comparación con la dirección IP de origen del tráfico que pasa por eldispositivo.

• Destinos bloqueados: realiza una comparación con la dirección IP de destino del tráfico que pasa por eldispositivo.

• Exclusiones: impide la adición automática a cualquiera de las listas negras. Cabe la posibilidad deagregar a las exclusiones las direcciones IP críticas (por ejemplo, los servidores DNS y de otro tipoo las estaciones de trabajo de los administradores del sistema). Esto garantiza que nunca seincluyan en una lista negra de forma automática, independientemente de los eventos que puedangenerar.

Es posible configurar entradas tanto en Orígenes bloqueados como en Destinos bloqueados a fin de limitar elefecto de la lista negra a un puerto de destino concreto.

A la hora de agregar entradas:

• La opción Agregar se activa cuando se cambia la dirección IP o el puerto.

• Las entradas de Orígenes bloqueados y Destinos bloqueados se pueden configurar para que se incluyan enla lista negra en todos los puertos o en un puerto específico.

• Las entradas que usen un intervalo enmascarado de direcciones IP deben configurarse con elpuerto establecido como cualquiera (0), y la duración debe ser permanente.

• Aunque estas listas requieren un formato de dirección IP, se incluyen algunas herramientas queayudan a aportar significado a estas direcciones. Tras escribir una dirección IP o nombre de host enel campo Dirección IP, en el botón situado junto al control se leerá Resolver o Buscar en función delvalor introducido. Si aparece Resolver, al hacer clic se resolverá el nombre de host introducido, serellenará el campo Dirección IP con esa información y se moverá el nombre de host al campoDescripción. De lo contrario, al hacer clic en Buscar se realizará una búsqueda sobre la dirección IP yse rellenará el campo Descripción con los resultados de la búsqueda.

Algunos sitios web tienen más de una dirección IP o cuentan con direcciones IP cambiantes. Noconfíe en esta herramienta para garantizar el bloqueo de algunos sitios web.

Véase también Establecimiento de una lista negra global en la página 259

Establecimiento de una lista negra globalSe puede establecer una lista negra global común para todos los dispositivos seleccionados, de formaque no sea necesario introducir la misma información en varios dispositivos.

Configuración del ESMUso de una lista negra global 3



1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Lista negra global.

2 Seleccione las fichas Orígenes bloqueados, Destinos bloqueados o Exclusiones y administre las entradas de lalista negra.

3 Seleccione los dispositivos que deben usar la lista negra global.



Opción Definición

Ficha Orígenesbloqueados

Permite administrar las direcciones IP de origen que se desea bloquear.

Ficha Destinosbloqueados

Permite administrar las direcciones IP de destino que se desea bloquear.

Ficha Exclusiones Permite administrar la lista de direcciones IP que nunca se deben incluir en lalista negra de forma automática, como los servidores DNS o de otro tipo, obien la estación de trabajo del administrador del sistema.

Dirección IP A la hora de agregar un elemento a una lista, escriba la dirección IP.

Búsqueda Permite buscar la descripción correspondiente a la dirección IP introducida.

Agregar Tras escribir la dirección IP, haga clic aquí para agregarla a la lista.

Puerto Escriba un número de puerto si desea restringir el efecto de la lista negra a unpuerto de destino específico. La configuración predeterminada es cero (0), locual permite cualquier puerto.

Modificar Puede cambiar la descripción de un elemento de lista negra existente y,después, hacer clic en esta opción.

Descripción (Opcional) Introduzca una descripción para la dirección IP o haga clic enBúsqueda para localizar una descripción. A fin de cambiar la descripción de unadirección existente, realice los cambios y haga clic en Modificar.

Administrar Haga clic en esta opción para abrir una lista de dispositivos de red del ESM y,a continuación, seleccione los dispositivos que deberían utilizar la lista negraglobal.

Icono Escribir Haga clic aquí cuando esté listo para guardar los elementos nuevos en el ESM.Si sale de la página de lista negra antes de escribir los cambios, no seguardarán.

Icono Leer Haga clic aquí para actualizar los orígenes bloqueados, los destinosbloqueados y las exclusiones.

Icono Quitar Permite quitar el elemento seleccionado de la lista negra. El campo Estadocambiará a Eliminar en la siguiente operación de escritura.

Icono Ver eventos Permite generar un informe de eventos procedentes de las direcciones IP quelos provocan. El informe se mostrará a modo de vista en la consola.


Opción Definición

Tabla Permite ver una lista de los dispositivos de red del ESM y si tienen o no activadala lista negra global.

Columna Activado Seleccione los dispositivos que utilicen la lista negra global.

3 Configuración del ESMUso de una lista negra global


Véase también Uso de una lista negra global en la página 259

Enriquecimiento de datosPuede enriquecer los eventos enviados por el origen de datos situado en sentido ascendente concontexto no presente en el evento original como, por ejemplo, una dirección de correo electrónico, unnúmero de teléfono o información sobre la ubicación del host. Estos datos enriquecidos pasan a formarparte del evento analizado y se almacenan junto con el evento, de igual forma que los camposoriginales.

Puede configurar orígenes de enriquecimiento de datos mediante la definición de la forma de conectarcon la base de datos y acceder a una o dos columnas de una tabla contenida en esa base de datos. Acontinuación, se definen los dispositivos que recibirán los datos y la forma de enriquecer dichos datos,tanto para eventos como para flujos.

También es posible editar o eliminar orígenes de enriquecimiento, así como ejecutar una consulta en lapágina Enriquecimiento de datos.

Los eventos que se activan en el ESM no se enriquecen. La adquisición de datos tiene lugar en el ESM,no en los dispositivos.

Un conector correspondiente al origen de datos relacionales de Hadoop HBase emplea los pares declave-valor del origen para el enriquecimiento. La asignación de identidad de HBase se puede extraer aun receptor de forma regular para enriquecer los eventos.

Véase también Adición de orígenes de enriquecimiento de datos en la página 261Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 265Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO™ en la página265Adición de un origen de enriquecimiento de datos de Hadoop Pig en la página 266Adición de enriquecimiento de datos de Active Directory para nombres de usuario en la página267

Adición de orígenes de enriquecimiento de datosAgregue un origen de enriquecimiento de datos y defina los dispositivos que recibirán los datos.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic enEnriquecimiento de datos | Agregar.

Las fichas y los campos del Asistente de enriquecimiento de datos varían en función del tipo deenriquecimiento seleccionado.

2 En cada una de las fichas, rellene los campos y, después, haga clic en Siguiente.

3 Haga clic en Finalizar y, después, en Escribir.

4 Seleccione los dispositivos en los que desee escribir las reglas de enriquecimiento de datos y hagaclic en Aceptar.

Configuración del ESMEnriquecimiento de datos 3



Opción Definición

Agregar Permite agregar un nuevo origen de enriquecimiento de datos.

Editar Realizar cambios en un origen existente.

Quitar Eliminar un origen existente.

Ejecutar ahora Ejecutar una consulta en el origen de enriquecimiento de datos seleccionado.

Activado Activar o desactivar el origen de datos de enriquecimiento de datos seleccionado.

Escribir Haga clic aquí para escribir la configuración en los dispositivos seleccionados en laficha Destino al agregar o editar los orígenes.



FichaPrincipal

Nombre Escriba un nombre para el origen.

Activar Indique si desea activar este origen o no.

Tipo de búsqueda Seleccione el tipo de datos que utilizar para la búsqueda.

Tipo de enriquecimiento Seleccione el tipo de datos que desee enriquecer.

Frecuencia deextracción

Seleccione la frecuencia con que se debe ejecutar este origen deenriquecimiento de datos.

FichaOrigen

• Los tipos de orígenes CIFS, NFS, FTP, SFTP y SCP solo pueden utilizar archivosexternos para el enriquecimiento. El resto de tipos de orígenes requieren laescritura de una consulta para una base de datos o una expresión regular.

• El archivo extraído para el enriquecimiento de datos debe tener el formatoValorBúsqueda=ValorEnriquecimiento.

• Cada entrada debe encontrarse en una línea distinta.

• En el caso del enriquecimiento de una única columna, solo se necesitan entradas devalor de búsqueda.

• Para el enriquecimiento de dos columnas, el valor de búsqueda debe estar separadodel valor de enriquecimiento mediante el signo igual (=).

Por ejemplo, un archivo que emplea direcciones IP correspondientes a nombres dehost podría tener un aspecto similar a este:

10.5.2.3=Nueva York10.5.2.4=Houston

Tipo Tipo de controlador de base de datos para el origen.

Autenticación Si se selecciona Básica, indique el nombre de usuario y lacontraseña para el sitio web en caso de que requiera el inicio desesión. La configuración predeterminada es Ninguno.

Nombre de base dedatos

Nombre de la base de datos.

Host El nombre del equipo que ejecuta la base de datos.

Ignorar certificados noválidos

Si el sitio web en el que intenta realizar la búsqueda está en unadirección URL HTTPS, seleccione esta opción para ignorar loscertificados SSL no válidos.

Dirección IP Dirección IP de la base de datos.

Host de Jobtracker Dirección de host o dirección IP de Jobtracker de ApacheHadoop. No es obligatorio indicarlo; si se deja en blanco, elsistema utiliza el host de Namenode.

3 Configuración del ESMEnriquecimiento de datos




Puerto de Jobtracker Puerto de escucha del host de Jobtracker. No es obligatorioindicarlo; si se deja en blanco, el sistema utiliza el host deNamenode.

Método Si se selecciona POST, pueden ser necesarios el contenido oargumento correspondientes para navegar a la página web queincluye el contenido en el que se desea buscar. La configuraciónpredeterminada es GET.

Punto de montaje El directorio para los archivos.

Host de Namenode Dirección de host o dirección IP de Namenode de ApacheHadoop. No incluya el protocolo.

Puerto de Namenode Puerto de escucha del host de Namenode. No es obligatorioindicarlo; si se deja en blanco, el sistema utiliza el host deNamenode.

Contraseña La contraseña para acceder a la base de datos.

Ruta La ruta de acceso a la base de datos. Si selecciona FTP en elcampo Tipo, la ruta hará referencia al directorio de inicio. A fin deespecificar una ruta absoluta en el servidor FTP, inserte unabarra diagonal adicional (/) al principio de la ruta. Porejemplo, //var/local/ruta.

Puerto El puerto de la base de datos.

Nombre de recursocompartido

El directorio para los archivos.

Nombre de usuario El nombre del usuario que puede acceder a la base de datos. Enel caso de LDAP, introduzca un nombre de dominio completo sinespacios. Por ejemplo,uid=blas,ou=Usuarios,dc=ejemplo,dc=com [email protected].

FichaAnálisis

Datos sin procesar Cuando se selecciona HTTP/HTTPS como tipo de origen, permitever las primeras 200 líneas del código fuente HTMLcorrespondiente a la URL introducida en el campo URL de la fichaOrigen. Se trata solo de una vista previa del sitio web, pero essuficiente a fin de escribir una expresión regular para lacoincidencia.Una actualización planificada o ejecutada mediante Ejecutar ahoradel origen de enriquecimiento de datos incluye todas lascoincidencias correspondientes a la búsqueda mediante laexpresión regular. Esta función es compatible con expresionesregulares de la sintaxis RE2, tales como (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}).

Líneas de encabezadoque omitir

Normalmente, un sitio de Internet tiene un código deencabezado en el que no es necesario buscar. Especifiquecuántas líneas del principio del sitio desea omitir para que labúsqueda no incluya los datos del encabezado.

Delimitador de líneanueva

Escriba lo que se utiliza en el sitio para separar los valores en losque esté interesado. Este campo tiene el valor predeterminado\n, que indica que el delimitador es una línea nueva. El otrodelimitador más habitual es la coma.

Ignorar expresión Escriba una expresión regular que elimine los valores nodeseados de los resultados de la búsqueda realizada medianteuna expresión regular.





Expresión regular (Obligatorio) Escriba la lógica empleada para buscar unacoincidencia y extraer los valores del sitio.Los casos de uso más comunes son crear una expresión quecoincida con una lista de direcciones IP o sumas MD5 maliciosasconocidas incluidas en un sitio.

Si ha proporcionado dos grupos de coincidencia en la expresiónregular, puede asignar los resultados de cada coincidencia deregex a Valor de búsqueda o a Valor de enriquecimiento.

Valor de búsqueda o El valor que buscar en los eventos recopilados del ESM donde sedesea agregar más valores. Está asignado al Campo de búsqueda dela ficha Destino.

Valor deenriquecimiento

El valor enriquecido o insertado en los eventos de origen quecoincide con el valor de búsqueda. Está asignado al Campo deenriquecimiento de la ficha Destino.

FichaConsulta

Permite configurar la consulta para los tipos Hadoop HBase (REST), Hive, LDAP,MSSQL, MySQL, Oracle, PIG o McAfee Real Time for McAfee ePO.

FichaCalificación

Ajuste la calificación para cada valor devuelto por una consulta de una únicacolumna. Seleccione el campo de origen y el campo de destino donde desee aplicar lacalificación y haga clic en Ejecutar consulta.

Valor Muestra los valores devueltos.

Calificación Muestra el stepper numérico que se puede utilizar a fin deestablecer la calificación de riesgo para el valor. Realice cambiossi procede y, después, haga clic en Actualizar lista.

FichaDestino

Permite ver los dispositivos y la regla para la asignación de campos correspondiente alos dispositivos alimentados por este origen de enriquecimiento de datos.

Agregar Permite seleccionar los dispositivos y las reglas.

Editar Permite cambiar la configuración de los dispositivos o las reglas.

Quitar Permite eliminar la configuración de dispositivos o reglas.


Opción Definición

Campo de búsqueda Seleccione el campo por el que se buscará.

Campo de enriquecimiento Seleccione el campo que se enriquecerá.

Usar valor estático Seleccione esta opción si desea usar un valor estático.

Valor de enriquecimiento Si ha seleccionado Usar valor estático, deberá introducir el valor deenriquecimiento.

Modificar gravedad Seleccione esta opción si desea utilizar la gravedad como campo deenriquecimiento y, después, seleccione el porcentaje de aumento oreducción.



Véase también Enriquecimiento de datos en la página 261Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 265Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO™ en la página265Adición de un origen de enriquecimiento de datos de Hadoop Pig en la página 266Adición de enriquecimiento de datos de Active Directory para nombres de usuario en la página267

Configuración del enriquecimiento de datos de McAfee RealTime for McAfee ePO™

Cuando se selecciona el origen McAfee Real Time for McAfee ePO en el Asistente de enriquecimiento de datos,es posible probar la consulta y elegir las columnas para Búsqueda y Enriquecimiento.



2 Haga clic en Enriquecimiento de datos, después en Agregar y rellene la información en la ficha Principal.

3 En la ficha Origen, seleccione Real Time for ePO en el campo Tipo, seleccione el dispositivo y haga clic enla ficha Consulta.

4 Agregue la información solicitada y haga clic en Prueba.

Si la consulta no genera la información que necesita, realice ajustes en la configuración.

Véase también Enriquecimiento de datos en la página 261Adición de orígenes de enriquecimiento de datos en la página 261Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 265Adición de un origen de enriquecimiento de datos de Hadoop Pig en la página 266Adición de enriquecimiento de datos de Active Directory para nombres de usuario en la página267

Adición de un origen de enriquecimiento de datos de HadoopHBaseEs posible extraer la asignación de identidad de HBase mediante un receptor a fin de enriquecer loseventos por medio de la adición de Hadoop HBase como origen de enriquecimiento de datos.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Enriquecimiento dedatos.

2 En el Asistente de enriquecimiento de datos, rellene los campos de la ficha Principal y, a continuación, hagaclic en la ficha Origen.



3 En el campo Tipo, seleccione Hadoop HBase (REST) y, a continuación, escriba el nombre de host, elpuerto y el nombre de la tabla.

4 En la ficha Consulta, rellene la columna de búsqueda y la información sobre la consulta:

a La Columna de búsqueda debe tener el formato FamiliaColumna:NombreColumna.

b Rellene la consulta mediante un filtro de analizador con los valores codificados medianteBase64. Por ejemplo:

<Scanner batch="1024"><filter>{"type": "SingleColumnValueFilter","op": "EQUAL","family": " ZW1wbG95ZWVJbmZv","qualifier": "dXNlcm5hbWU=","latestVersion": true,"comparator": {"type": "BinaryComparator","value": "c2NhcGVnb2F0"}}</filter></Scanner>

5 Complete la información de las fichas Calificación y Destino.

Véase también Enriquecimiento de datos en la página 261Adición de orígenes de enriquecimiento de datos en la página 261Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 265Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO™ en la página265Adición de un origen de enriquecimiento de datos de Hadoop Pig en la página 266Adición de enriquecimiento de datos de Active Directory para nombres de usuario en la página267

Adición de un origen de enriquecimiento de datos de HadoopPigEs posible utilizar los resultados de consultas de Apache Pig para enriquecer los eventos de HadoopPig.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema.

2 Haga clic en Enriquecimiento de datos y, después, en Agregar.

3 En la ficha Principal, rellene los campos y, a continuación, haga clic en la ficha Origen. En el campoTipo, seleccione Hadoop Pig y rellene los campos Host de Namenode, Puerto de Namenode, Host deJobtracker y Puerto de Jobtracker.

La información de Jobtracker no es obligatoria. Si la información de Jobtracker se deja en blanco, seutilizan el host y el puerto de Namenode de forma predeterminada.



4 En la ficha Consulta, seleccione el modo Básica y rellene la información siguiente:

a En Tipo, seleccione Archivo de texto y escriba la ruta del archivo en el campo Origen (por ejemplo, /user/default/file.csv). Otra alternativa es seleccionar BD de subárbol e introducir una tablaHCatalog (por ejemplo, sample_07).

b En Columnas, indique cómo enriquecer los datos de columna.

Por ejemplo, si el archivo de texto contiene información sobre los empleados con columnas paranúmero de la Seguridad Social, nombre, sexo, dirección y número de teléfono, introduzca elsiguiente texto en el campo Columnas: emp_Name:2, emp_phone:5. En el caso de una base dedatos de subárbol, utilice los nombres de las columnas de la tabla HCatalog.

c En Filtro, puede utilizar cualquier expresión integrada de Apache Pig para filtrar los datos. Véasela documentación de Apache Pig.

d Si anteriormente ha definido los valores de las columnas, podrá agrupar y agregar esos datosde columnas. Se requiere información en los campos Origen y Columna. El resto de campospueden dejarse en blanco. El uso de funciones de agregación requiere la especificación degrupos.

5 En la ficha Consulta, seleccione el modo Avanzada e introduzca un script de Apache Pig.

6 En la ficha Calificación, establezca la calificación para cada valor devuelto por la consulta de columnaúnica.

7 En la ficha Destino, seleccione los dispositivos a los que desee aplicar el enriquecimiento.

Véase también Enriquecimiento de datos en la página 261Adición de orígenes de enriquecimiento de datos en la página 261Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO™ en la página265Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 265Adición de enriquecimiento de datos de Active Directory para nombres de usuario en la página267

Adición de enriquecimiento de datos de Active Directory paranombres de usuarioEs posible recurrir a Microsoft Active Directory para rellenar los eventos de Windows con los nombresde pantalla de usuario completos.

Antes de empezarVerifique que dispone del privilegio Administración del sistema.


Procedimiento

1 En el árbol de navegación del sistema, seleccione Propiedades del sistema.


3 En la ficha Principal, introduzca un Nombre de enriquecimiento descriptivo con el formatoNombre_Completo_De_ID_Usuario.

4 Establezca tanto el Tipo de búsqueda como el Tipo de enriquecimiento con el valor Cadena.



5 Establezca la Frecuencia de extracción con el valor cada día, a menos que Active Directory se actualicecon una frecuencia mayor.

6 Haga clic en Siguiente o en la ficha Origen.

a En el campo Tipo, seleccione LDAP.

b Rellene la dirección IP, el nombre de usuario y la contraseña.

7 Haga clic en Siguiente o en la ficha Consulta.

a En el campo Atributo de búsqueda, introduzca sAMAccountName.

b En el campo Atributo de enriquecimiento, introduzca displayName.

c En Consulta, introduzca (objectClass=person) para obtener una lista de todos los objetos deActive Directory clasificados como personas.

d Pruebe la consulta, la cual devuelve un máximo de cinco valores independientemente delnúmero de entradas reales.

8 Haga clic en Siguiente o en la ficha Destino.

a Haga clic en Agregar.

b Seleccione su origen de datos de Microsoft Windows.

c En Campo de búsqueda, seleccione el campo Usuario de origen.

Este campo es el valor existente en el evento, el cual se utiliza como índice para la búsqueda.

d Seleccione el Campo de enriquecimiento, donde el valor de enriquecimiento se escribe con el formatoAlias_Usuario o Nombre_Contacto.

9 Haga clic en Finalizar para guardar los cambios.

10 Tras escribir la configuración de enriquecimiento en los dispositivos, haga clic en Ejecutar ahora pararecuperar los valores de enriquecimiento del origen de datos hasta alcanzar el valor de Hora deactivación diaria.

El Nombre completo se escribe en el campo Contact_Name.

Véase también Enriquecimiento de datos en la página 261Adición de orígenes de enriquecimiento de datos en la página 261Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO™ en la página265Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 265Adición de un origen de enriquecimiento de datos de Hadoop Pig en la página 266



4 Uso de las vistas de panel

Las vistas de panel interactivas y visuales de ESM permiten supervisar las amenazas para suorganización de un vistazo. El panel de ESM puede contener varias vistas y fichas interactivas quepermiten pasar rápidamente de una vista a otra. Puede utilizar las vistas predefinidas o crear suspropias vistas exclusivas con widgets y filtros.

Contenido Bloques de creación de paneles Vistas predefinidas (predeterminadas) Apertura de vistas de panel Adición de vistas de panel personalizadas Enlace de widgets de panel Filtrado de vistas de panel Respuesta a las notificaciones Investigación de casos abiertos

Bloques de creación de panelesUna vez que sepa cómo crear una vista de panel, podrá crear vistas interactivas para investigar lasamenazas potenciales propias de su organización.Los paneles son herramientas visuales que se pueden usar para representar datos de forma que leresulte posible ver las posibles amenazas con rapidez.

4


Rellene el espacio de trabajo de paneles del ESM con vistas predefinidas o con sus propias vistaspersonalizadas.

Navegue entre las vistas con rapidez por medio de las fichas. Utilice las fichas para explorar lasamenazas potenciales mediante diversas vistas mientras conserva el contexto histórico que hadado origen a la investigación en una ficha independiente.

Emplee la cinta de filtros para localizar lo que busca en los resultados de las consultas mediantela funcionalidad en tiempo real. La función para completar automáticamente devuelve resultadosa medida que se crea la consulta de filtro.

Cree diversas vistas de panel que le permitan dinamizar, explorar e investigar, así comoresponder a las amenazas potenciales.

Represente datos específicos y acceda a información detallada sobre ellos con rapidez mediantewidgets visuales interactivos.

Investigue los casos abiertos sin abandonar el panel, lo cual ofrece un rápido acceso a losdetalles básicos sobre el caso.

Responda a las alarmas y las notificaciones del sistema activadas y no confirmadas.

Vistas predefinidas (predeterminadas)La lista Vistas predeterminadas ofrece acceso a las vistas de panel que se incluyen en McAfee ESM.

El menú Agregar vista del panel contiene los siguientes tipos de vistas predeterminadas:

• Las vistas de Activo, amenaza y riesgo resumen los datos de activos, amenazas y riesgos, así como suposible efecto sobre su sistema.

• Vistas de panel: proporcionan una descripción general de aspectos específicos del sistema.

• Las vistas de Dispositivo muestran el estado de los dispositivos seleccionados.

• Las Vistas de evento desglosan la información generada por eventos asociados con los dispositivosseleccionados.

• Las Vistas de flujo desglosan la información registrada sobre cada flujo (o conexión).

Apertura de vistas de panelEs posible abrir, importar o exportar más de una vista de panel simultáneamente. También puedecopiar vistas predefinidas (predeterminadas) o crear vistas personalizadas para adaptarse a lasnecesidades de su organización.

Antes de empezarVerifique que dispone de derechos de administrador o que pertenece a un grupo de accesocon permiso para administrar vistas.

4 Uso de las vistas de panelVistas predefinidas (predeterminadas)


Procedimiento1 En el panel, haga clic en Agregar vista y, después, en la flecha deslizante situada junto a una de las

siguientes opciones.

• Para abrir una vista existente, haga clic en Abrir vista.

• Para convertir una vista Flash en una vista de panel HTML, haga clic en Importar vistas Flash.

• Para crear una vista HTML, haga clic en Crear nueva vista. Agregue widgets y guarde su vista.

2 Guarde la vista.

Adición de vistas de panel personalizadasEs posible crear vistas de panel exclusivas mediante la adición y la organización de widgets quepermiten mostrar información específica e interactuar con ella.


Procedimiento1 En el panel, haga clic en Agregar vista.

2 Para crear una vista HTML, haga clic en Crear nueva vista.

3 Haga clic en Editar.

4 Haga clic en Agregar widget y realice estas tareas:

• Asigne un título al widget.

• Entre las opciones disponibles, seleccione un origen de consulta para que se rellenenpreviamente los campos de consulta, los filtros y los valores de clasificación. Puede utilizar losvalores predeterminados o cambiarlos.

El origen de consulta seleccionado determinará las opciones de visualización que se puedenelegir para el widget.

• Seleccione la opción de visualización para el widget. Entre las opciones posibles se encuentran:tablas, gráficos de barras, gráficos circulares, indicadores y gráficos de anillos interactivos.

• Indique si desea enlazar el widget con los datos de otro widget.

5 Haga clic en Crear. Una vez que el widget aparece en el panel, es posible cambiar su tamaño y suposición.

6 Para cambiar el widget una vez que aparece en la vista de panel, haga clic en . Las opciones delsubmenú varían en función del widget y de sus datos correspondientes. Entre las opciones podrían

estar: Configuración, Visualización, Detalles, Acciones, Información detallada, Filtrar por y Eliminar.

7 Haga clic en Guardar.

Uso de las vistas de panelAdición de vistas de panel personalizadas 4


Enlace de widgets de panelAl enlazar los widgets de panel, se vinculan los datos entre esos widgets. A continuación, cuandocambian los datos en un widget principal, también cambian en el widget enlazado, con lo que se creauna vista interactiva. Por ejemplo, si enlaza un widget a una dirección IP de origen y despuésselecciona una dirección IP específica en el widget principal, el widget enlazado filtra sus datos segúnesa dirección IP. Al cambiar la selección en el widget principal, se actualizan los datos en el widgetsecundario.


Procedimiento1 Abra o cree una vista de panel con los widgets que desee enlazar.

Los widgets solo se pueden enlazar a un campo de datos.

2 Para editar la vista de panel, haga clic en Editar.

3 En el widget que desee enlazar, haga clic en . A continuación, seleccione Configuración.

4 En el panel Configuración de widget, active Enlace y seleccione los datos que desee para filtrar (o enlazarcon) el widget.


El icono aparecerá en los widgets enlazados. Al pasar el ratón sobre el icono, se mostrarán losdatos a los que está enlazado el widget.

6 Haga clic en Guardar de nuevo para guardar los cambios en la vista de panel y salir del modo Editar.

Véase también Uso del Asistente de consultas en la página 367Administración de consultas en la página 367Comparación de valores en la página 370Comparación de valores de gráficos en la página 370Configuración de la distribución apilada para vistas e informes en la página 371

Filtrado de vistas de panelFiltre la vista de panel para centrarse en detalles concretos de la vista.

Antes de empezarVerifique que pertenece a un grupo de acceso con permisos para administrar vistas o datosde vista.

4 Uso de las vistas de panelEnlace de widgets de panel


Procedimiento1 Abra la vista de panel que desee filtrar.

2 Para filtrar la vista, realice una de estas acciones:

• Haga clic en la barra Filtro y agregue el campo y los valores relevantes.

Solo se puede utilizar el operador AND en la barra Filtro.

• Acepte el operador predeterminado "igual a" (=) en el filtro.

• Para cambiar el operador a "no es igual que" (!=), haga clic en el signo de igualdad (=).

• Para quitar un campo del filtro, haga clic en en dicho campo.

• Para crear filtros complejos con los operadores AND y OR, haga clic en Búsqueda avanzada.

• Para aplicar conjuntos de filtros predefinidos a la vista, haga clic en la flecha de la listadesplegable Conjuntos de filtros en la esquina superior derecha del panel.

• Seleccione un conjunto de filtros predefinido de la lista.

• Para crear un conjunto de filtros, haga clic en Administrar conjuntos de filtros.

Para obtener detalles sobre cómo crear un conjunto de filtros, haga clic en en la ventanaAdministración de conjuntos de filtros.

3 Para filtrar la vista, haga clic en .

La vista se actualizará para mostrar solo los registros que coincidan con los valores introducidos.

Respuesta a las notificacionesEs posible responder a las alarmas activadas desde el panel. También puede ver las notificaciones delsistema.

Antes de empezarVerifique que dispone de derechos de administrador o pertenece a un grupo de acceso conpermiso para administrar alarmas.

Procedimiento1 Para ver las alarmas activadas y las notificaciones del sistema en el panel, haga clic en .

2 Responda a las alarmas activadas de una de estas formas:

• Para confirmar las alarmas activadas, seleccione la alarma apropiada y haga clic en .El sistema eliminará las alarmas confirmadas del panel Notificaciones. Podrá seguir viendo lasalarmas en la vista Alarmas activadas.

• Para eliminar las alarmas, seleccione la alarma apropiada y haga clic en .

• Filtre las alarmas mediante la barra de filtrado. Después, para actualizar la vista, haga clic en.

• Para asignar las alarmas, haga clic en . A continuación, seleccione la alarma apropiada y hagaclic en Usuario asignado para elegir una persona concreta a fin de que responda a la alarma.

Uso de las vistas de panelRespuesta a las notificaciones 4


• Si desea crear un caso para la alarma, haga clic en . Después, seleccione la alarma adecuaday haga clic en Crear caso.

• Para editar la configuración de la alarma activada, haga clic en la alarma apropiada. Haga clic en

para cambiar la configuración.

• Para ver los detalles acerca de las alarmas activadas, haga clic en . A continuación, realiceuna de las acciones siguientes:

• Para ver el evento que activó la alarma, haga clic en la ficha Evento activador. Para ver ladescripción, haga doble clic en el evento.

• Para ver la condición que activó la alarma, haga clic en la ficha Condición.

• Para ver las acciones que se produjeron como resultado de la alarma activada, haga clic enla ficha Acción.

Investigación de casos abiertosDesde el panel es posible rastrear el trabajo relacionado con los casos abiertos.

Antes de empezarVerifique que dispone de derechos de administrador o que pertenece a un grupo de accesocon permiso para administrar casos.

Procedimiento1 Para ver los casos abiertos desde el panel, haga clic en y seleccione Panel de investigación.

Aparecerá un resumen de los casos abiertos en la parte izquierda del panel.

2 Utilice la flecha de la lista desplegable para expandir el caso que desee investigar. Siga uno de losprocedimientos siguientes.

• Para cambiar los detalles del caso (gravedad, usuario asignado, valores o notas) desde el panel,haga clic en Editar. Realice los cambios y haga clic en Guardar.

• Para ver los detalles del caso, haga clic en Ver en Administración de casos.

3 Cierre el Panel de investigación.

4 Uso de las vistas de panelInvestigación de casos abiertos


5 Administración de Cyber Threat

McAfee ESM permite recuperar indicadores de compromiso (IOC) de orígenes remotos y acceder conrapidez a la actividad de IOC relacionada en su entorno.

La administración de Cyber Threat permite configurar fuentes automáticas que generan listas devigilancia, alarmas e informes, lo cual proporciona visibilidad con respecto a datos procesables. Porejemplo, puede configurar una fuente que agregue automáticamente direcciones IP sospechosas alistas de vigilancia a fin de supervisar el tráfico futuro. Dicha fuente puede generar y enviar informesque indican la actividad pasada. Utilice las vistas de Vistas de flujo de trabajo de evento > Indicadores de CyberThreat para acceder a información detallada con rapidez sobre actividades y eventos específicos de suentorno.

Contenido Configuración de la administración de Cyber Threat Configuración de una fuente de Cyber Threat para el dominio Visualización de resultados de fuentes de Cyber Threat Tipos de indicadores compatibles Errores en la carga manual de un archivo IOC STIX XML

Configuración de la administración de Cyber ThreatConfigure las fuentes para recuperar archivos XML con formato STIX correspondientes a indicadoresde compromiso (IOC) de los orígenes remotos. Después, puede utilizar estas fuentes para generarlistas de vigilancia, alarmas e informes que permitan a los usuarios acceder a la actividad de IOCrelacionada en su entorno.

Antes de empezarVerifique que dispone de los permisos siguientes.

• Administración de Cyber Threat: permite al usuario configurar una fuente de CyberThreat.

• Usuario de Cyber Threat: permite al usuario ver los datos generados por la fuente.


1 En el árbol de navegación del sistema, haga clic en Propiedades del sistema.

2 Haga clic en Fuentes de Cyber Threat y, después, en Agregar.

3 En la ficha Principal, introduzca el nombre de la fuente.

5


4 En la ficha Origen, seleccione el tipo de origen de datos y sus credenciales de conexión. Haga clic enConectar para probar la conexión.

Entre los orígenes admitidos se encuentran McAfee Advanced Threat Defense y MITRE ThreatInformation Exchange (TAXII).

5 En la ficha Frecuencia, indique con qué frecuencia extrae la fuente los archivos IOC (frecuencia deextracción). Entre las frecuencias de extracción disponibles están: cada x minutos, cada día, cadahora, cada semana y cada mes. Especifique la hora de activación diaria.

6 En la ficha Lista de vigilancia, seleccione qué propiedad o campo de un archivo IOC desea anexar a unalista de vigilancia existente. Es posible agregar listas de vigilancia para cualquier propiedad ocampo admitidos.

Si la lista de vigilancia que necesita no existe aún, haga clic en Crear nueva lista de vigilancia.

7 En la ficha Backtrace, identifique los eventos (opción predeterminada) y flujos que analizar, los datoscoincidentes que analizar y la antigüedad para analizar datos con respecto a esta fuente.

a Elija si desea analizar los eventos, los flujos o ambos.

b Indique la antigüedad (en días) para analizar los eventos y los flujos.

c Especifique la acción que desea que realice el ESM si Backtrace encuentra una coincidencia dedatos.

d En el caso de las alarmas, seleccione un usuario asignado y una gravedad.

8 Vuelva a la ficha Principal y seleccione Activado para activar esta fuente.

9 Haga clic en Finalizar.

Se le informará cuando el proceso finalice correctamente.

Se han agregado nuevas validaciones de archivos e indicadores al tipo de origen de carga manual. Sirecibe un error al seleccionar este tipo de origen, véase Errores en la carga manual de un archivo IOCSTIX XML para solucionar el problema.

Véase también Visualización de resultados de fuentes de Cyber Threat en la página 277Tipos de indicadores compatibles en la página 278Errores en la carga manual de un archivo IOC STIX XML en la página 279

Configuración de una fuente de Cyber Threat para el dominioA fin de activar una fuente de dominio, es necesario disponer de dos listas de vigilancia para contenerlos datos de dirección IP y dominio.

5 Administración de Cyber ThreatConfiguración de una fuente de Cyber Threat para el dominio



1 En el árbol de navegación del sistema ESM, seleccione Propiedades del sistema | Fuentes de Cyber Threat |Agregar y, después, cree una fuente (véase Configuración de la administración de Cyber Threat).

2 En la ficha Lista de vigilancia, haga clic en Crear nueva lista de vigilancia y agregue dos listas de vigilancia(véase Adición de una lista de vigilancia).

• Nombre: IPCyberThreat, Tipo: Dirección IP

• Nombre: DominioCyberThreat, Tipo: Web_Domain

3 En el campo Tipo de indicador, seleccione IPv4 y, después, seleccione IPCyberThreat en el campo Lista devigilancia.

4 En el siguiente campo Tipo de indicador, seleccione Nombre de dominio completo y, después, seleccioneDominioCyberThreat en el campo Lista de vigilancia.

5 Complete la configuración de la fuente de Cyber Threat y haga clic en Finalizar.

Visualización de resultados de fuentes de Cyber ThreatCabe la posibilidad de ver indicadores de compromiso (IOC) de orígenes de datos externosidentificados por las fuentes de Cyber Threat de su organización. Es posible acceder con rapidez ainformación detallada sobre las amenazas, las descripciones de los archivos y los eventoscorrespondientes a cada origen de indicadores.

Antes de empezarVerifique que dispone del permiso Usuario de Cyber Threat, el cual permite ver los resultados delas fuentes de Cyber Threat de su organización.

Procedimiento1 Desde el panel, haga clic en y seleccione Indicadores de Cyber Threat.

2 En la consola de ESM, haga clic en la lista de vistas y seleccione Vistas de flujo de trabajo de evento |Indicadores de Cyber Threat.

3 En la lista de espacios de tiempo, seleccione el período de tiempo para la vista.

4 Filtre por el nombre de la fuente o los tipos de datos IOC compatibles.

5 Lleve a cabo cualquier acción de vista estándar, como por ejemplo:

• Crear una lista de vigilancia o anexar datos a una existente.

• Crear una alarma.

• Ejecutar un comando remoto.

• Crear un caso.

Administración de Cyber ThreatVisualización de resultados de fuentes de Cyber Threat 5


• Buscar o repetir la última búsqueda.

• Exportar el indicador a un archivo CSV o HTML.

6 Para acceder a información detallada sobre las amenazas, utilice las fichas Descripción, Detalles, Eventosde origen y Flujos de origen.

Véase también Configuración de la administración de Cyber Threat en la página 275Tipos de indicadores compatibles en la página 278Errores en la carga manual de un archivo IOC STIX XML en la página 279

Tipos de indicadores compatiblesCuando se agrega una fuente de Cyber Threat de carga manual, el ESM envía el archivo StructuredThreat Information Expression (STIX) al motor de indicadores de compromiso (IOC) para suprocesamiento. Si el archivo no contiene un indicador normalizado para el ESM, recibirá un mensajede error.

Tabla 5-1 Tipos de indicadores normalizados para el ESM

Tipo de indicador Tipo de lista de vigilancia

Dirección de correo electrónico Para, De, CCO, CC, ID_Correo, ID_Destinatario

Nombre de archivo, Ruta de archivo Ruta_Archivo, Nombre de archivo, Nombre dearchivo_Destino, Directorio_Destino, Directorio

(Flujos) IPv4, IPv6 Dirección IP, IP de origen, IP de destino

(Flujos) Dirección MAC Dirección MAC, MAC de origen, MAC de destino

Nombre de dominio completo,Nombre de host, Nombre de dominio

Host, Nombre de host_Destino, Nombre de host_Externo,Dominio, Dominio_Web

IPv4, IPv6 Dirección IP, IP de origen, IP de destino, IP_Atacante,IP_Grid_Master, IP_Dispositivo, IP_Víctima

Dirección MAC Dirección MAC, MAC de origen, MAC de destino

Hash MD5 Hash_Archivo, Hash_Archivo_Principal

Hash SHA1 SHA1

Asunto Asunto

URL URL

Nombre de usuario Usuario de origen, Usuario de destino, Alias_Usuario

Clave de Registro de Windows Clave_Registro, Clave.Registro (subtipo del Registro)

Valor de Registro de Windows Valor_Registro, Valor.Registro (subtipo del Registro)

Véase también Configuración de la administración de Cyber Threat en la página 275Visualización de resultados de fuentes de Cyber Threat en la página 277Errores en la carga manual de un archivo IOC STIX XML en la página 279

5 Administración de Cyber ThreatTipos de indicadores compatibles


Errores en la carga manual de un archivo IOC STIX XMLCuando se agrega una fuente de Cyber Threat de carga manual, el ESM envía el archivo StructuredThreat Information Expression (STIX) al motor de indicadores de compromiso (IOC) para suprocesamiento.

Si se produce un problema con la carga, recibirá uno de estos errores.

Tabla 5-2 Errores de carga manual de Cyber Threat

Error Descripción Solución de problemas

ER328: FormatoSTIX no válido.

El formato dearchivo no escorrecto.

• Asegúrese de que el archivo cargado sea un archivoSTIX. El motor es compatible con la versión 1.1 de STIX.

• Lea la documentación de STIX para verificar que elesquema sea válido.

• Open Standards for Information Society (OASIS):organización que se encarga de los estándares STIX(https://www.oasis-open.org/).

• STIX Project: contiene los diversos modelos de datos,esquemas y documentos xsd de STIX (https://stixproject.github.io/).

ER329: No se hanencontradoindicadores IOCadmitidos.

El archivo STIXcargado no contieneindicadoresnormalizados para elESM.

Si necesita procesar un indicador específico, póngase encontacto con el Soporte de McAfee a fin de que lonormalicen para el ESM. Véase Tipos de indicadorescompatibles para ver una lista de los tipos de indicadorescompatibles con el ESM.

Véase también Configuración de la administración de Cyber Threat en la página 275Visualización de resultados de fuentes de Cyber Threat en la página 277Tipos de indicadores compatibles en la página 278

Administración de Cyber ThreatErrores en la carga manual de un archivo IOC STIX XML 5


https://www.oasis-open.org/

https://stixproject.github.io/

https://stixproject.github.io/

5 Administración de Cyber ThreatErrores en la carga manual de un archivo IOC STIX XML


6 Uso de paquetes de contenido

Cuando se produzca una situación de amenaza específica, responda de inmediato con la importación einstalación del paquete de contenido relevante del servidor de reglas. Los paquetes de contenidoincluyen reglas de correlación, alarmas, vistas, informes, variables y listas de vigilancia que se basanen casos de uso para hacer frente a malware o actividades de amenaza específicos. Los paquetes decontenido permiten responder a las amenazas sin perder tiempo en crear herramientas desde cero.

Importación de paquetes de contenidoMcAfee crea paquetes de contenido basados en casos de uso que incluyen reglas de correlación,alarmas, vistas, informes, variables o listas de vigilancia para hacer frente a actividad por malwareespecífica.

Antes de empezarVerifique que dispone de los permisos siguientes.

• Administración del sistema

• Administración de usuarios


1 Compruebe el servidor para obtener las actualizaciones de reglas más recientes.

Los usuarios online reciben los paquetes de contenido disponibles automáticamente como parte delas actualizaciones de reglas. Los usuarios offline deben descargar e importar los paquetes decontenido individuales de forma manual desde el sitio donde se alojan las reglas.

2 En el árbol de navegación del sistema, haga clic en Propiedades del sistema.

3 Haga clic en Paquetes de contenido.

4 Para importar e instalar un nuevo paquete de contenido, haga clic en Examinar.

Al comprobar la existencia de actualizaciones de reglas, se descargan automáticamente los paquetesde contenido nuevos o actualizados.

a Haga clic en Importar y navegue hasta el archivo del paquete de contenido que desee importar.

b Haga clic en Cargar.

Aparecerá un mensaje que indica el estado de la importación.

6


c Haga clic en el paquete de contenido para revisar los detalles sobre lo que incluye.

d Seleccione el paquete de su elección y, después, instale ese paquete de contenido.

5 A fin de actualizar o desinstalar un paquete de contenido existente, marque el paquete en cuestióny haga clic en Actualizar o Desinstalar.

Tenga cuidado a la hora de actualizar los paquetes de contenido existentes. Si previamente hapersonalizado algún elemento del paquete de contenido, la actualización podría sobrescribir loselementos personalizados.

6 Para desinstalar un paquete de contenido existente, marque el paquete en cuestión y haga clic enDesinstalar.

6 Uso de paquetes de contenidoImportación de paquetes de contenido


7 Flujo de trabajo de alarmas

Familiarícese con el flujo de trabajo de las alarmas. Haga clic en el vínculo de tarea relevante paraobtener información detallada paso a paso.

Contenido Preparación para la creación de alarmas Creación de alarmas Supervisión y respuesta para alarmas Ajuste de alarmas

Preparación para la creación de alarmasAntes de crear alarmas y responder a ellas, es necesario asegurarse de que el entorno de ESMcontenga los siguientes componentes: plantillas de mensajes de alarma, grupos de destinatarios demensajes, conexión con el servidor de correo, archivos de audio de alarma, cola de informes dealarma y ficha de alarmas visible en el panel.

Antes de empezarPara ver las alarmas activadas en el panel, véase Selección de la configuración de usuarioen la página 227.

Lea los procedimientos siguientes para obtener información sobre cómo preparar el entorno para lasalarmas.

Procedimientos• Configuración de mensajes de alarma en la página 283

Configure el ESM para enviar mensajes sobre las alarmas activadas mediante correoelectrónico, Short Message Services (SMS), Simple Network Management Protocol (SNMP)o syslog.

• Administración de archivos de audio para las alarmas en la página 288Cabe la posibilidad de cargar y descargar archivos de audio para usarlos como alertassonoras de las alarmas.

Configuración de mensajes de alarmaConfigure el ESM para enviar mensajes sobre las alarmas activadas mediante correo electrónico, ShortMessage Services (SMS), Simple Network Management Protocol (SNMP) o syslog.

Antes de empezarVerifique que dispone de derechos de administrador o pertenece a un grupo de acceso conprivilegios de administración de alarmas.

7


Procedimientos• Creación de plantillas de mensajes de alarma en la página 284

Es posible crear plantillas para los mensajes de alarma de correo electrónico, ShortMessage Services (SMS), Simple Network Management Protocol (SNMP) o syslog.Posteriormente se pueden asociar las plantillas con acciones de alarma y destinatarios demensajes específicos.

• Configuración de alarmas de correlación para la inclusión de eventos de origen en la página286Para incluir la información sobre los eventos de origen en los resultados de alarma,configure una alarma de tipo Coincidencia de evento interno o Coincidencia de campo que emplee unevento de correlación como coincidencia.

• Administración de los destinatarios de alarmas en la página 287Identifique los destinatarios de los mensajes de alarma y configure la forma de envío dedichos mensajes de alarma mediante correo electrónico, Short Message Services (SMS),Simple Network Management Protocol (SNMP) o syslog.

Creación de plantillas de mensajes de alarmaEs posible crear plantillas para los mensajes de alarma de correo electrónico, Short Message Services(SMS), Simple Network Management Protocol (SNMP) o syslog. Posteriormente se pueden asociar lasplantillas con acciones de alarma y destinatarios de mensajes específicos.




Propiedades .

2 Haga clic en Alarmas.

3 Haga clic en la ficha Configuración y, después, en Plantillas.• Para crear plantillas personalizadas, haga clic en Agregar.

• Para cambiar una plantilla personalizada, selecciónela y haga clic en Editar.

No se pueden editar las plantillas predefinidas.

• Para eliminar una plantilla personalizada, selecciónela y haga clic en Quitar.

No se pueden eliminar las plantillas predefinidas.

• Para copiar una plantilla existente, selecciónela y haga clic en Copiar. Guarde la plantilla copiadacon otro nombre.

• Para establecer una plantilla predeterminada para todos los mensajes de alarma, selecciónela yhaga clic en Convertir en predeterminado.

4 En la página Administración de plantillas, agregue o cambie la siguiente información.

7 Flujo de trabajo de alarmasPreparación para la creación de alarmas



Tipo Indique si esta plantilla es para un mensaje de correo electrónico o un SMS.

Los mensajes SMS se envían a modo de correo electrónico a un teléfono y eloperador los convierte en SMS. Los mensajes SMS tienen un límite de 140caracteres.

Nombre Escriba el nombre de esta plantilla.

Descripción Escriba una descripción de lo que incluye la plantilla.

Convertir enpredeterminado

Permite utilizar la plantilla actual como predeterminada al enviar mensajes.

Asunto En el caso de las plantillas de correo electrónico, seleccione el asunto delmensaje. Haga clic en el icono Insertar campo y seleccione la información quedesee incluir en la línea de asunto del mensaje.

Cuerpo del mensaje Seleccione los campos que desee incluir en el cuerpo del mensaje.

En el caso de las plantillas de mensajes de syslog, limite el cuerpo del mensaje amenos de 950 bytes. ESM no puede enviar mensajes de syslog que superen los950 bytes.

• Elimine cualquiera de los campos incluidos de forma predeterminada si nodesea que aparezcan en el mensaje.

• Coloque el cursor en la parte del cuerpo del mensaje donde desee insertar uncampo de datos. Haga clic en el icono Insertar campo, situado sobre el campoAsunto. A continuación, seleccione el tipo de información que desee quemuestre este campo.

• Si selecciona Bloque de repetición, el ESM agrega la sintaxis necesaria para iterarlos registros. Inserte los campos que desee incluir por cada registro entre losmarcadores [$REPEAT_START] y [$REPEAT_END]. El ESM incluirá estainformación en el mensaje para un máximo de diez registros.

• Configuración de alarmas de correlación para la inclusión de eventos de origenen la página 286 Para incluir los eventos de origen en las alarmas que utilizanun evento de correlación como coincidencia ( ), haga clic en el icono Insertarcampo y seleccione Bloque de eventos de origen.

Cuando se selecciona Coincidencia de evento interno o Coincidencia de campo como tipo dealarma, el ESM incluye los datos del campo de evento en el mensaje de correoelectrónico. Seleccione Coincidencia de campo para las alarmas relacionadas con elorigen de datos, las cuales se ejecutan en el receptor en lugar de en el ESM.Seleccione alarmas de Coincidencia de evento interno, las cuales se ejecutan en el ESMy fuerzan la ejecución de una consulta cada vez que caduca la frecuencia de laalarma.

Véase también Definición de la configuración de los mensajes en la página 184Configuración de alarmas de correlación para la inclusión de eventos de origen en la página286Administración de los destinatarios de alarmas en la página 287

Flujo de trabajo de alarmasPreparación para la creación de alarmas 7


Configuración de alarmas de correlación para la inclusión de eventos deorigenPara incluir la información sobre los eventos de origen en los resultados de alarma, configure unaalarma de tipo Coincidencia de evento interno o Coincidencia de campo que emplee un evento de correlacióncomo coincidencia.




Propiedades .


3 Haga clic en la ficha Configuración y, después, en Plantillas.

4 En la página Administración de plantillas, haga clic en Agregar y proporcione la información solicitada.

5 En la sección Cuerpo del mensaje, coloque el cursor donde desee insertar las etiquetas, haga clic en el

icono Insertar campo y seleccione Bloque de eventos de origen.

6 Sitúe el cursor dentro de las etiquetas, haga clic en el icono Insertar campo de nuevo y, después,seleccione la información que desee incluir cuando se active la alarma de correlación.

En el ejemplo siguiente, se muestra el aspecto de una plantilla de mensaje de alarma cuando seinsertan campos para la dirección IP de origen del evento, la dirección IP de destino y la gravedad:

Alarma: [$Alarm Name]Usuario asignado: [$Alarm Assignee]Fecha de activación: [$Trigger Date] Resumen: [$Alarm Summary] [$REPEAT_START] SigIDde correlación: [$Signature ID] Hora de última correlación: [$Last Time][$SOURCE_EVENTS_START] Detalles de evento de origen: Última vez: [$Last Time] SigID:[$Signature ID] Mensaje de regla: [$Rule Message] Gravedad: [$Average Severity]Usuario de origen: [$%UserIDSrc] IP de origen: [$Source IP] Puerto de origen: [$SourcePort] Usuario de destino: [$%UserIDDst] IP de destino: [$Destination IP] Puerto dedestino: [$Destination Port] Host: [$%HostID] Comando: [$%CommandID] Aplicación: [$%AppID] Paquete: [$Packet Data] [$SOURCE_EVENTS_END] [$REPEAT_END]

Si la alarma no se activa mediante un evento correlacionado, el mensaje no incluye estos datos.

Véase también Definición de la configuración de los mensajes en la página 184Creación de plantillas de mensajes de alarma en la página 284Administración de los destinatarios de alarmas en la página 287



Administración de los destinatarios de alarmasIdentifique los destinatarios de los mensajes de alarma y configure la forma de envío de dichosmensajes de alarma mediante correo electrónico, Short Message Services (SMS), Simple NetworkManagement Protocol (SNMP) o syslog.



• Compruebe que existan los perfiles que pretende usar. Véase Configuración de SNMP enla página 210 y Configuración de perfiles en la página 208.



Propiedades .


3 Haga clic en la ficha Configuración y, después, en Destinatarios.• Haga clic en Correo electrónico para ver o actualizar las direcciones de correo electrónico de los

destinatarios individuales.

• Haga clic en Usuarios para ver los nombres de usuarios y las direcciones de correo electrónico.

• Haga clic en SMS para ver o actualizar los destinatarios de SMS y sus direcciones.

• Haga clic en SNMP para ver o actualizar la siguiente información de SNMP:


Perfil Seleccione un perfil de destinatario SNMP existente de la lista desplegable.Para agregar un perfil, haga clic en Perfil.

Tipo de capturaconcreto

Seleccione el tipo de captura específico. El tipo de captura general siempre seestablece en 6 (Específico de empresa).

OID de empresa Introduzca el identificador de objeto de empresa (OID) completo de la capturaque se enviará. Incluya todo desde el primer 1 hasta el número de empresa,incluidos los posibles subárboles de la empresa.

Contenido Incluir enlaces de datos informativos: la captura contiene enlaces de variable coninformación extra, incluido el número de línea del informe procesado, unacadena que identifica el origen de la captura, el nombre de la notificación queha generado la captura y el ID del ESM que envía la captura.Incluir solo datos de informe: los enlaces de variable extra no se incluirán en lacaptura.

Flujo de trabajo de alarmasPreparación para la creación de alarmas 7



Formato Cada captura SNMP generada a partir de un informe contiene una línea dedatos del informe.• Enviar cada línea del informe tal cual: los datos de la línea del informe se envían tal

cual en un único enlace de variable. El sistema construye los OID de enlacede datos mediante la concatenación del ID de empresa, el tipo de capturaconcreta y un número que aumenta automáticamente a partir del 1.

• Analizar resultados y usar estos OID de enlace: el sistema analiza la línea del informey envía cada campo en un enlace de datos distinto.

Lista deidentificadores OIDde enlace

Analizar resultados y usar estos OID de enlace: especifique OID de enlace de datospersonalizados.• Si selecciona esta opción, haga clic en Agregar y escriba el valor de los OID

de enlace.

• Si no especifica suficientes OID de variable para todos los campos de datosdel informe, el ESM iniciará el incremento a partir del último OIDespecificado en la lista.

4 Haga clic en Syslog para ver o actualizar la siguiente información de syslog:


IP del host y Puerto Introduzca la dirección IP del host y el puerto de cada destinatario.

Función y Gravedad Seleccione la función y la gravedad del mensaje.

Véase también Definición de la configuración de los mensajes en la página 184Creación de plantillas de mensajes de alarma en la página 284Configuración de alarmas de correlación para la inclusión de eventos de origen en la página286

Administración de archivos de audio para las alarmasCabe la posibilidad de cargar y descargar archivos de audio para usarlos como alertas sonoras de lasalarmas.




Propiedades .

2 Haga clic en la ficha Configuración y, después, en Audio.

3 Descargue, cargue, elimine o reproduzca los archivos de audio y, a continuación, haga clic en Cerrar.

ESM incluye tres archivos de sonido previamente instalados. Es posible cargar archivos de audiopersonalizados.



Creación de alarmasLas alarmas provocan acciones como respuesta a eventos de amenaza concretos. La creación de unnúmero excesivo o insuficiente de alarmas que se activen con frecuencia puede ser motivo dedistracción. Lo mejor es crear alarmas que escalen los eventos críticos para su organización.

McAfee ESM permite crear alarmas de varias formas: activar alarmas previamente existentes, copiaralarmas existentes y cambiarlas o crear alarmas específicas para su organización.

Lea los procedimientos siguientes para obtener más información sobre la creación de alarmas.

Procedimientos

• Activación o desactivación de la supervisión de alarmas en la página 289Active o desactive la supervisión de alarmas para todo el sistema o para alarmas concretas.La supervisión de alarmas de ESM está activada de forma predeterminada.

• Cómo copiar una alarma en la página 290Es posible utilizar una alarma existente a modo de plantilla para otra alarma nueva si secopia y se guarda con un nombre distinto.

• Creación de alarmas en la página 290Cree una alarma para que se active cuando se cumplan las condiciones definidas.

Activación o desactivación de la supervisión de alarmasActive o desactive la supervisión de alarmas para todo el sistema o para alarmas concretas. Lasupervisión de alarmas de ESM está activada de forma predeterminada.


Si desactiva la supervisión de alarmas para el sistema, el ESM no genera alarmas.


Procedimiento


Propiedades .


3 A fin de desactivar o activar la supervisión de alarmas para todo el sistema, haga clic en la fichaConfiguración y, después, en Desactivar o Activar.

4 Para desactivar o activar alarmas concretas, haga clic en la ficha Alarmas. La columna Estado indica silas alarmas están activadas o desactivadas.

• Para activar una alarma específica, resáltela y seleccione Activado.

• Para desactivar una alarma específica, resáltela y anule la selección de Activado. ESM dejará degenerar esta alarma.


Véase también Cómo copiar una alarma en la página 290Creación de alarmas en la página 290

Flujo de trabajo de alarmasCreación de alarmas 7


Cómo copiar una alarmaEs posible utilizar una alarma existente a modo de plantilla para otra alarma nueva si se copia y seguarda con un nombre distinto.




Propiedades .


3 Seleccione una alarma activada y haga clic en Copiar.

En la página Nombre de alarma, aparecerá el nombre de la alarma actual seguido por _copia.

Solo se pueden copiar las alarmas activadas. Las alarmas desactivadas no se pueden copiar.

4 Cambie el nombre y haga clic en Aceptar.

5 Para realizar cambios en la configuración de alarma, seleccione la alarma copiada y haga clic enEditar.

6 Cambie la configuración según proceda.

Véase también Activación o desactivación de la supervisión de alarmas en la página 289Creación de alarmas en la página 290

Creación de alarmasCree una alarma para que se active cuando se cumplan las condiciones definidas.




Propiedades .

2 Haga clic en Alarmas y, después, en Agregar.

3 Haga clic en la ficha Resumen para definir la configuración general de alarma.

• Asigne un nombre a la alarma.

• En la lista Usuario asignado, seleccione la persona o el grupo a los que asignar esta alarma. Estalista incluye todos los usuarios y grupos con el privilegio Administración de alarmas.

7 Flujo de trabajo de alarmasCreación de alarmas


• En Gravedad, seleccione la prioridad de la alarma en el registro de alarma (66–100 es alta, 33–65es media y 1–32 es baja).

• Seleccione Activado para activar la alarma y anule la selección de la casilla para desactivar laalarma.

4 En la ficha Condición, identifique las condiciones que activan la alarma.

Condición Descripción

Tasa decomprobación

Seleccione la frecuencia con la que el sistema debe comprobar esta condición.

Desviación Especifique un umbral de porcentaje para la comprobación por encima de lareferencia y un porcentaje distinto por debajo de la referencia.• Consulta: seleccione el tipo de datos de la consulta.

• Icono Filtros: seleccione los valores a fin de filtrar los datos para esta alarma.

• Espacio de tiempo: indique si desea que se consulte el último periodo de tiemposeleccionado en el campo de número o el anterior.

• Activar cuando el valor sea: seleccione el alcance de la desviación por encima y pordebajo de la referencia para que el ESM active la alarma.

Tasa de eventos • Recuento de eventos: introduzca el número de eventos que deben producirse antesde que ESM genere la alarma.

• Icono Filtros: seleccione los valores a fin de filtrar los datos.

• Espacio de tiempo: seleccione en qué intervalo se debe producir el número deeventos seleccionado para que el ESM active la alarma.

• Desplazamiento: seleccione la cantidad de tiempo de desplazamiento de forma quela alarma no incluya el brusco aumento al final provocado por la agregación. Porejemplo, si el ESM extrae eventos cada cinco minutos, el último minuto de loseventos recuperados contiene los eventos agregados. Haga coincidir ladiferencia del espacio de tiempo con esa cantidad para que el último minuto nose incluya en la medición de los datos. De lo contrario, el ESM incluirá losvalores de los datos agregados en el recuento de eventos y provocarán un falsopositivo.

Coincidencia decampo

1 Arrastre y coloque los iconos AND u OR para configurar la lógica de la condiciónde alarma.

2 Arrastre y coloque el icono Coincidir componente sobre el elemento lógico y,después, rellene la página Agregar campo de filtro.

3 Limite el número de notificaciones recibidas mediante la configuración de laFrecuencia máxima de activación de condición. Cada desencadenador contiene el primerevento de origen que coincide con la condición de activación, pero no loseventos que se producen durante el periodo de activación de la condición. Loseventos nuevos que coinciden con la condición de activación no activan laalarma de nuevo hasta que transcurre el periodo correspondiente a la frecuenciade activación máxima. Por ejemplo, si establece la frecuencia en diez minutos yse activa una alarma cinco veces en un periodo de diez minutos, el ESM envíaun único aviso que contiene cinco alarmas.

Si establece el intervalo en cero, cada evento que coincida con una condiciónactivará una alarma. En el caso de las alarmas de alta frecuencia, un intervalode cero puede producir muchas alarmas.



Condición Descripción

Estado delmonitor de estado

Seleccione los tipos de cambios de estado del dispositivo. Por ejemplo, siselecciona solo Crítico, no se le notificará si se produce un cambio de estado delmonitor de estado con el nivel Advertencia.

Coincidencia deevento interno

• Activar cuando el valor no coincida: seleccione esta opción si desea que la alarma seactive cuando el valor no coincida con la configuración.

• Usar lista de vigilancia: indique si una lista de vigilancia contiene los valores de estaalarma.

Los valores que contienen comas deben encontrarse en una lista de vigilancia odelimitados por comillas.

• Campo: seleccione el tipo de datos que supervisará esta alarma.

Para las alarmas que se activan cuando se genera un evento del monitor deestado.

• Valor(es): escriba los valores específicos del tipo seleccionado en Campo (límite de1000 caracteres). Por ejemplo, para IP de origen, introduzca las direcciones IP deorigen reales que activen esta alarma.

Frecuenciamáxima deactivación decondición

Seleccione la cantidad de tiempo que debe transcurrir entre condiciones paraevitar un aluvión de notificaciones.

Umbral Solo tipo de condición Diferencia de eventos: seleccione la diferencia máximapermitida para los eventos analizados antes de que se active la alarma.

Tipo Seleccione el tipo de alarma, lo cual determina los campos que hay que rellenar.

5 En la ficha Dispositivos, seleccione los dispositivos que supervisa esta alarma.

6 En la ficha Acciones, identifique lo que ocurre cuando se activa la alarma.

Acción Descripción

Registrar evento Crear un evento en el ESM.

Confirmar alarmaautomáticamente

Confirmar la alarma automáticamente tras su activación. Como resultado, laalarma no aparece en el panel Alarmas, pero el sistema la agrega a la vistaAlarmas activadas.

Alerta visual Se genera una notificación de alarma en la parte inferior derecha de la consola.Para incluir una notificación de audio, haga clic en Configurar --> Reproducir sonido yseleccione un archivo de audio.

Crear caso Crear un caso para la persona o el grupo seleccionados. Haga clic en Configurarpara identificar el propietario del caso y para seleccionar los campos que incluiren el resumen del caso.

Si planea escalar las alarmas, no cree casos.

Actualizar lista devigilancia

Cambiar las listas de vigilancia mediante la adición o eliminación de valores enfunción de la información contenida en un máximo de diez eventos que activanalarmas. Haga clic en Configurar y seleccione qué campo del evento activador sedebe adjuntar o quitar en la lista de vigilancia seleccionada. Cuando estaconfiguración modifica una lista de vigilancia, la ficha Acciones de la vista Alarmaactivada muestra el cambio.

Esta acción requiere que el tipo de condición sea Coincidencia de evento interno.

7 Flujo de trabajo de alarmasCreación de alarmas



Enviar mensaje Enviar un mensaje de correo electrónico o SMS a los destinatariosseleccionados.• Haga clic en Agregar destinatario y seleccione los destinatarios del mensaje.

• Haga clic en Configurar a fin de seleccionar la plantilla (para mensajes decorreo electrónico, SMS, SNMP o syslog), así como la zona horaria y elformato de fecha que utilizar en el mensaje.

Si se emplean los siguientes caracteres en el nombre de una alarma, podríanproducirse problemas al enviar mensajes SMS: coma (,), comillas ("),paréntesis ( ), barra diagonal o barra diagonal invertida (/ \), punto y coma(;), signo de interrogación (?), arroba (@), corchetes ([ ]), signos de mayor ymenor que (< >) y signo de igual (=).

Generar informes Generar un informe, una vista o una consulta. Haga clic en Configurar yseleccione un informe en la página Configuración de informe o haga clic en Agregarpara diseñar un informe nuevo.

Si pretende enviar por correo electrónico un informe a modo de datos adjuntos,consulte con su administrador de correo para determinar el tamaño máximo delos datos adjuntos. Los datos adjuntos de correo electrónico de gran tamañopueden impedir el envío de un informe.

Ejecutar comandoremoto

Ejecutar un comando remoto en cualquier dispositivo que acepte conexionesSSH, excepto los dispositivos de McAfee del ESM. Haga clic en Configurar paraseleccionar el perfil y el tipo de comando, la zona horaria y el formato de fecha,y también el host, el puerto, la contraseña del nombre de usuario y la cadenade comando para la conexión SSH.

Si la condición de alarma es Coincidencia de evento interno, puede rastrear eventos

específicos. Haga clic en el icono Insertar variable y seleccione las variables.

Enviar a Remedy Enviar hasta diez eventos a Remedy por alarma activada. Haga clic en Configurarpara establecer la información necesaria a fin de comunicarse con Remedy:datos De y A, prefijo, palabra clave e ID de usuario (EUID). Cuando se envíaneventos a Remedy, el ESM agrega la opción Enviar evento a Remedy a la fichaAcciones de la vista Alarma activada. Esta acción requiere que el tipo de condiciónsea Coincidencia de evento interno.

Asignar etiqueta conePO

Aplicar etiquetas de McAfee ePolicy Orchestrator a las direcciones IP queactivan esta alarma. Haga clic en Configurar y seleccione la información siguiente.• Seleccionar dispositivo ePO: el dispositivo que usar para el etiquetado.

• Nombre: etiquetas que se desea aplicar (solo aparecen en la lista las etiquetasdisponibles en el dispositivo seleccionado).

• Seleccionar el campo: campo en el que basar el etiquetado.

• Activar cliente: aplicar las etiquetas de inmediato.


Acciones de RealTime for ePO

Realizar las acciones de McAfee Real Time for McAfee ePO en el dispositivoMcAfee ePO seleccionado.

Esta opción requiere el complemento de McAfee Real Time for McAfee ePO(versión 2.0.0.235 o posterior) y que el servidor de McAfee ePO reconozca eldispositivo como uno de sus endpoints.




Lista negra Seleccionar las direcciones IP que se incluirán en la lista negra cuando se activeuna alarma. Haga clic en Configurar y seleccione la información siguiente.• Campo: seleccione el tipo de dirección IP que desee incluir en la lista negra. El

tipo Dirección IP incluye en la lista negra tanto la dirección IP de origen como lade destino.

• Dispositivo: seleccione el dispositivo donde desee incluir las direcciones IP en lalista negra. La opción Global agrega el dispositivo a la Lista negra global.

• Duración: seleccione cuánto tiempo se deben incluir en la lista negra lasdirecciones IP.


Resumen de alarmapersonalizada

Personalizar los campos incluidos en el resumen de una alarma de tipoCoincidencia de campo o Coincidencia de evento interno.

7 En la ficha Escalación, identifique cómo escalar la alarma cuando no se confirme en un período detiempo específico.

Escalación Descripción

Escalar después de Indique el tiempo tras el cual desea que se escale la alarma.

Usuario asignado escalado Seleccione la persona o el grupo que deben recibir la notificación escalada.

Gravedad de escalado Seleccione la gravedad de la alarma una vez escalada.

Registrar evento Indique si desea registrar el escalado como un evento.

Alerta visual Indique si la notificación debe ser una alerta visual. Haga clic en Reproducirsonido y seleccione un archivo si desea que la notificación visual seacompañe de un sonido.

Enviar mensaje Indique si desea enviar un mensaje al usuario asignado. Haga clic en Agregardestinatario, seleccione el tipo de mensaje y, después, seleccione eldestinatario.

Generar informes Indique si desea generar un informe. Haga clic en Configurar para seleccionarel informe.

Ejecutar comando remoto Indique si desea ejecutar un script en cualquier dispositivo que acepteconexiones SSH. Haga clic en Configurar y proporcione el host, el puerto, elnombre de usuario, la contraseña y la cadena de comando.

Véase también Activación o desactivación de la supervisión de alarmas en la página 289Cómo copiar una alarma en la página 290

Supervisión y respuesta para alarmasEs posible ver, confirmar y eliminar las alarmas activadas mediante vistas de panel, detalles dealarmas, filtros e informes.

Lea los procedimientos siguientes para obtener más información sobre cómo supervisar las alarmasactivadas y responder a ellas.

7 Flujo de trabajo de alarmasSupervisión y respuesta para alarmas


• Visualización de alarmas activadas: el panel de registro Alarmas incluye el número total dealarmas clasificadas por gravedad.

Símbolo Gravedad Intervalo

Alta 66–100

Media 33–65

Baja 1–32

• Confirmación de alarmas activadas: el sistema las elimina del panel Alarmas. Las alarmasconfirmadas se conservan en la vista Alarmas activadas.

• Eliminación de alarmas activadas: el sistema las elimina del panel Alarmas y de la vista Alarmasactivadas.

Si emplea alertas visuales y no cierra, confirma o elimina una alarma activada, la alerta visual secerrará tras 30 segundos. Las alertas sonoras se reproducen hasta que la alarma activada se cierra,confirma o elimina, o bien se hace clic en el icono de audio para detener la alerta.

Procedimientos• Visualización y administración de alarmas activadas en la página 295

Es posible ver las alarmas activadas aún no eliminadas, así como responder a ellas.

• Administración de la cola de informes de alarma en la página 296Si una acción de alarma genera informes, es posible ver la cola de informes generados ycancelar uno o varios de ellos.

Visualización y administración de alarmas activadasEs posible ver las alarmas activadas aún no eliminadas, así como responder a ellas.


con permiso para administrar alarmas.

• Verifique con su administrador si su consola está configurada para mostrar el panel deregistro Alarmas.

Procedimiento1 Acceda a las alarmas activadas desde una de las siguientes ubicaciones de ESM:

• En el panel, haga clic en .

• Para ver el panel Alarmas en la consola, haga clic en y seleccione Alarmas.

• Cuando se activa una alarma, se abre una alerta emergente.


Flujo de trabajo de alarmasSupervisión y respuesta para alarmas 7



Confirmar unaalarma

• Para confirmar una alarma, haga clic en la casilla de verificación de laprimera columna de la alarma activada que desee confirmar.

• Para confirmar varias, resalte los elementos y haga clic en .

El sistema elimina las alarmas confirmadas del panel Alarmas, pero seconservan en la vista Alarmas activadas.

Eliminar una alarma • Seleccione la alarma activada que desee eliminar y haga clic en .

Filtrar las alarmas • Introduzca la información que desee usar como filtro en el panel Filtros y

haga clic en .

Cambiar el usuarioasignado de lasalarmas

1 Para ver los detalles de la alarma, haga clic en .

2 Seleccione las alarmas, haga clic en Usuario asignado y seleccione el nuevousuario asignado.

Crear un caso paralas alarmas


2 Seleccione las alarmas, haga clic en Crear caso y realice las seleccionesnecesarias.

Ver detalles sobreuna alarma


2 Seleccione la alarma y realice una de las acciones siguientes:

• Para ver el evento que activó la alarma seleccionada, haga clic en laficha Evento activador. Para ver una descripción, haga doble clic en elevento.

Si un único evento no cumple las condiciones de alarma, es posible queno aparezca la ficha Evento activador.

• Haga clic en la ficha Condición para ver la condición que activó el evento.

• Haga clic en la ficha Acción para ver las acciones resultantes de la alarmay las etiquetas de ePolicy Orchestrator asignadas al evento.

Editar laconfiguración deuna alarma activada

1Haga clic en la alarma activada y, después, en . Seleccione Editar alarma.

2 En la página Configuración de alarma, realice los cambios y haga clic en Finalizar.

Véase también Administración de la cola de informes de alarma en la página 296

Administración de la cola de informes de alarmaSi una acción de alarma genera informes, es posible ver la cola de informes generados y cancelar unoo varios de ellos.



7 Flujo de trabajo de alarmasSupervisión y respuesta para alarmas


Procedimiento


Propiedades .


3 Haga clic en la ficha Configuración.

4 Para ver los informes de alarma a la espera de ejecución, haga clic en Ver. El ESM ejecuta unmáximo de cinco informes de forma simultánea.

• Vea los informes generados por alarmas.

• Para evitar la ejecución de un informe concreto, selecciónelo y haga clic en Cancelar. Los informesrestantes se moverán hacia arriba en la cola.

Si es administrador o usuario principal, esta lista incluirá todos los informes a la espera deejecución en el ESM, lo que permite cancelar cualquiera de ellos.

5 Haga clic en Archivos para seleccionar si desea descargar, cargar, eliminar o actualizar los informesde la lista.



Opción Definición

Tabla Ver los informes generados por el ESM que están a la espera de ejecución.

Cancelar Haga clic en esta opción para evitar que los informes seleccionados se ejecuten. Losinformes seleccionados se cancelarán y el resto de informes avanzarán en la cola.


Opción Definición

Tabla Ver una lista de los archivos de informe generados.

Descargar Guardar los informes seleccionados en otra ubicación.

Cargar Agregar un informe a la lista.

Quitar Eliminar un informe de la lista.

Actualizar Actualizar la lista para reflejar cualquier cambio realizado.

Véase también Visualización y administración de alarmas activadas en la página 295Página Ver informes en la página 297

Página Ver informesPermite ver la cola de informes que se han generado y que se están ejecutando o en espera deejecución.


Opción Definición

Tabla Ver los informes generados por el ESM que están a la espera de ejecución.

Cancelar Haga clic en esta opción para evitar que los informes seleccionados se ejecuten. Losinformes seleccionados se cancelarán y el resto de informes avanzarán en la cola.

Flujo de trabajo de alarmasSupervisión y respuesta para alarmas 7


Véase también Administración de la cola de informes de alarma en la página 296

Ajuste de alarmasPerfeccione y ajuste las alarmas a medida que descubra lo que mejor se adapta a su organización.Lea los procedimientos siguientes para obtener más información sobre el ajuste de las alarmas. Estosprocedimientos describen cómo crear tipos concretos de alarmas.

Procedimientos

• Creación de alarmas UCAPL en la página 298Cree alarmas que cumplan los requisitos de UCAPL (del inglés Unified Capabilities ApprovedProducts List, lista de productos aprobados con capacidades unificadas).

• Adición de alarmas de eventos del monitor de estado en la página 300Cree alarmas basadas en los eventos del monitor de estado que, después, permiten lageneración de un informe de Resumen de eventos de monitor de estado.

• Adición de una alarma de Coincidencia de campo en la página 310Una alarma de Coincidencia de campo coincide con varios campos de un evento y se activacuando el dispositivo recibe y analiza el evento.

• Resumen personalizado para alarmas activadas y casos en la página 312Seleccione los datos que se incluirán en el resumen de alarma y de caso para las alarmasde tipo Coincidencia de campo y Coincidencia de evento interno.

• Adición de una alarma a las reglas en la página 313Si desea recibir una notificación cuando se generen eventos a través de reglas específicas,es posible agregar una alarma a esas reglas.

• Creación de capturas SNMP a modo de acciones de alarma en la página 313Es posible enviar capturas SNMP a modo de acciones de alarma.

• Adición de una alarma de notificación sobre fallos de alimentación en la página 314Es posible agregar una alarma para que se le notifiquen los fallos de cualquiera de lasfuentes de alimentación del ESM.

• Administración de orígenes de datos no sincronizados en la página 314Configure una alarma que le avise cuando los datos no sincronizados generen eventos, deforma que pueda ver una lista de orígenes de datos, editar su configuración y exportar lalista.

Creación de alarmas UCAPLCree alarmas que cumplan los requisitos de UCAPL (del inglés Unified Capabilities Approved ProductsList, lista de productos aprobados con capacidades unificadas).

Antes de empezar

• Verifique que dispone de derechos de administrador o pertenece a un grupo de accesocon privilegios de administración de alarmas.

• Revise los pasos para Creación de alarmas en la página 290.


Procedimiento

• Configure los tipos de alarma aplicables:

7 Flujo de trabajo de alarmasAjuste de alarmas


Tipo de alarma Descripción

Umbral ajustable deerrores de inicio desesión alcanzado

Se activa una alarma cuando el número de errores de inicio de sesión de unmismo usuario alcanza un umbral que se puede ajustar.1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de

firma.

2 Introduzca el valor 306-36.

Umbral deinactividadalcanzado

Activar una alarma cuando se bloquee una cuenta de usuario porque se haalcanzado el umbral de inactividad.1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de

firma.


Número de sesionessimultáneaspermitidasalcanzado

Activar una alarma si un usuario intenta iniciar sesión en el sistemadespués de alcanzar el número máximo de sesiones simultáneas.1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de

firma.


Error en lacomprobación deintegridad dearchivo del sistema

Activar una alarma cuando falle la comprobación de integridad de unarchivo del sistema.1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de

firma.


Certificados a puntode caducar

Activar una alarma cuando haya certificados Common Access Card (CAC) ode servidor web a punto de caducar.1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de

firma.

2 Introduzca el valor 306-50081, 306-50082, 306-50083, 306-50084.

La alarma se activará 60 días antes de la fecha de caducidad del certificadoy, después, semanalmente. No es posible cambiar el número de días.

Envío de capturaSNMP cuando elestado del sistemano sea aprobado

Configurar una captura SNMP de modo que la alarma envíe una captura alNMS cuando detecte que el sistema ha dejado de funcionar en un estadoaprobado o seguro.1 Cree una alarma que coincida con cualquier condición y, después, acceda

a la ficha Acciones y seleccione Enviar mensaje.

2 Haga clic en Agregar destinatario | SNMP, seleccione el destinatario y haga clicen Aceptar.

3 En el campo Enviar mensaje, haga clic en Configurar, después en Plantillas y, porúltimo, en Agregar.

4 Seleccione Plantilla de SNMP en el campo Tipo, escriba el texto del mensaje y,a continuación, haga clic en Aceptar.

5 En la página Administración de plantillas, seleccione la plantilla nueva y hagaclic en Aceptar.

6 Configure el resto de opciones de alarma.

Flujo de trabajo de alarmasAjuste de alarmas 7


Tipo de alarma Descripción

Envío de mensajede syslog cuando elestado del sistemano es aprobado

Configurar un mensaje de syslog de modo que la alarma envíe un mensajede syslog al NMS cuando detecte que el sistema ha dejado de funcionar enun estado aprobado o seguro.1 Cree una alarma que coincida con cualquier condición, acceda a la ficha

Acciones y seleccione Enviar mensaje.

2 Haga clic en Agregar destinatario | Syslog, seleccione el destinatario y haga clicen Aceptar.

3 En el campo Enviar mensaje, haga clic en Configurar, después en Plantillas y, porúltimo, en Agregar.

4 Seleccione Plantilla de Syslog en el campo Tipo, escriba el texto del mensaje y,a continuación, haga clic en Aceptar.

5 En la página Administración de plantillas, seleccione la plantilla nueva y hagaclic en Aceptar.

6 Configure el resto de opciones de alarma.

El registro deseguridad noregistra los eventosnecesarios

Configurar una captura SNMP de modo que la alarma envíe una notificacióna un centro de operaciones de red (NOC) apropiado en un plazo de 30segundos si un registro de seguridad no está registrando los eventosnecesarios.1 Acceda a Propiedades del sistema | Configuración SNMP | Capturas SNMP o Propiedades

del dispositivo | Configuración del dispositivo | SNMP.

2 Seleccione la captura de error del registro de seguridad, configure uno ovarios perfiles para el envío de capturas y haga clic en Aplicar.

ESM enviará capturas SNMP al destinatario del perfil SNMP con el mensajeError al escribir en el registro de seguridad.

Inicio o fin defunciones deauditoría

Configurar una captura SNMP de modo que la alarma envíe una notificacióncuando las funciones de auditoría (como las de base de datos, cpservice oIPSDBServer) se inicien o se detengan; para ello, acceda a Capturas SNMP oConfiguración SNMP y seleccione Capturas de base de datos activa/inactiva. Configureuno o varios perfiles para el envío de las capturas y haga clic en Aplicar.

Existencia de unasesión por cadafunciónadministrativa

Activar una alarma cuando exista una sesión administrativa por cada una delas funciones administrativas definidas.1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de

firma.

2 Introduzca los valores 306–38 para Administrador de auditoría, 306–39para Administrador de criptografía y 306–40 para Usuario avanzado.También es posible configurar alarmas independientes.

Adición de alarmas de eventos del monitor de estadoCree alarmas basadas en los eventos del monitor de estado que, después, permiten la generación deun informe de Resumen de eventos de monitor de estado.

Antes de empezar

• Verifique que dispone de derechos de administrador o pertenece a un grupo de accesocon privilegios de administración de alarmas.

• Revise los ID de firma del monitor de estado en la página 301 disponibles.

• Revise los pasos para Creación de alarmas en la página 290.



Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, hagaclic en ? o en Ayuda.1 Para configurar una alarma antes de que se genere un evento del monitor de estado:

a Configure una Condición de alarma con el tipo Coincidencia de evento interno.

b En la línea Campo, seleccione ID de firma.

c En el campo Valores, introduzca el ID de firma de las reglas del monitor de estado.

d Rellene el resto de opciones de configuración de la alarma.

2 Para configurar una alarma si existe un evento del monitor de estado:

a En el árbol de navegación del sistema, haga clic en el dispositivo de base del sistema

y seleccione una vista que muestre el evento del monitor de estado (Análisis deeventos o Resumen predeterminado).

bHaga clic en el evento y, después, haga clic en el icono Menú .

c Seleccione Acciones | Crear nueva alarma desde y haga clic en ID de firma.

d Rellene el resto de opciones de configuración de la alarma.

Véase también ID de firma del monitor de estado en la página 301

ID de firma del monitor de estadoPuede utilizar estas reglas a fin de crear una alarma que envíe una notificación cuando se genere unevento de regla del monitor de estado. En esta lista se describen las reglas del monitor de estadojunto con sus ID de firma, tipo, dispositivo y gravedad.

Nombre de regla ID defirma

Descripción Tipo Dispositivo Gravedad

Se ha realizado oeliminado unaconexión de interfazde red física

306-50080 Cambio de laconfiguración de interfazde red mediante unasesión SSH.

Monitor desoftware

ESM Media

Se ha producido unerror de RAID

306-50054 Detección de errores deRAID.

Monitor dehardware

Todos Alta

Cuenta desactivadadebido a lainactividad

306-35 La cuenta de usuario seha desactivado debido ala inactividad.

Monitor desoftware

ESM Media

Cuenta desactivadadebido al máximo defallos de inicio desesión

306-36 La cuenta de usuario seha desactivado porquese ha alcanzado elmáximo de fallos deinicio de sesión.

Monitor desoftware

ESM Alta

Agregar/Editarcomando remoto

306-60 Adición o eliminación deun comando remoto dealarma.

Monitor desoftware

ESM Baja

Alerta de cambio deestado delrecopilador delanalizador de syslogavanzado

306-50029 El analizador de ASP seha detenido o iniciado.

Monitor desoftware

Receptor Media





Proceso de destiladorde ADM

306-50066 El motor de extracciónde texto PDF/DOC deADM se ha detenido oiniciado.

Monitor desoftware

ADM Media

Discrepancia conconfiguraciónaprobada

146-7 Cambio de dispositivo dedescubrimiento de redaprobado.

Monitor desoftware

ESM Baja

Cambio deconfiguración dearchivado

306-3 Cambio de laconfiguración dearchivado de ESM.

Monitor desoftware

ESM Baja

Alerta de cambio deestado del procesode archivado

306-50051 El proceso de archivadodel receptor se hadetenido o iniciado.

Monitor desoftware

ADM/REC/DBM

Media

Activo vulnerable aevento

146-10,306-10

Evento de vulnerabilidadcreado.

Monitor desoftware

ESM Baja

Inicio de sesión deusuarioadministrador deauditoría

306-38 Evento UCAPL, inicio desesión de administradorde auditoría.

Monitor desoftware

ESM Baja

Cambio deconfiguración decopias de seguridad

306-1 Cambio de laconfiguración de copiasde seguridad de ESM.

Monitor desoftware

ESM Baja

Copia de seguridadrealizada

306-2 Copia de seguridadrealizada en el sistema.

Monitor desoftware

ESM Baja

Alerta del analizadorde Blue Martini

306-50071 El analizador de BlueMartini se ha detenido oiniciado.

Monitor desoftware

Receptor Media

Alerta de estado deNIC de omisión

306-50001 En el NIC se ha activadoo desactivado el estadode omisión.

Monitor desoftware

IPA/ADM Media

El certificado de laautoridad decertificación hacaducado

306-50082 El certificado de laautoridad decertificación de ESM hacaducado.

Monitor desoftware

ESM Alta

El certificado de laautoridad decertificación caducarápronto

306-50081 El certificado de laautoridad decertificación de ESMcaducará pronto.

Monitor desoftware

ESM Media

Cambio de caso 306-70 El caso ha cambiado. Monitor desoftware

ESM Baja

Estado de casoagregado/modificado/eliminado

306-73 El estado del caso hacambiado.

Monitor desoftware

ESM Baja

Alerta de cambio deestado de canal decomunicación

306-50013 El canal de control se hadetenido o iniciado.

Monitor desoftware

Todos Media

Error de captura deconfiguración (errorde dispositivo)

146-4 Error del dispositivo dedescubrimiento de red.

Monitor desoftware

ESM Baja

Error de captura deconfiguración(dispositivoinaccesible)

146-3 Dispositivo dedescubrimiento de redinaccesible.

Monitor desoftware

ESM Baja





Configuracióncapturada

146-5 La configuración dedescubrimiento de redse ha comprobadocorrectamente.

Monitor desoftware

ESM Baja

Error de directiva deconfiguración

146-8 No se usa en el sistema. Monitor desoftware

ESM Baja

Directiva deconfiguracióncorrecta


ESM Baja

Cambio deconfiguración deasignación de datos

306-7 La configuración deasignación de datos deESM ha cambiado.

Monitor desoftware

ESM Alta

Alerta de espaciolibre en el disco enpartición de datos

306-50005 El espacio libre de cadapartición se estáagotando (por ejemplo,hada_hd tiene un 10 %de espacio libre).

Monitor desoftware

Todos Media

Cambio deconfiguración deconservación dedatos

306-6 La configuración deconservación de datosde ESM ha cambiado.

Monitor desoftware

ESM Alta

Alerta de estado deservicios dedetección de basesde datos

306-50036 El servicio de detecciónautomática de DBM seha detenido o iniciado.

Monitor desoftware

Todos Media

Alerta de cambio deestado de DPI

306-50008 El motor de inspecciónprofunda de paquetesdel ADM se ha detenidoo iniciado.

Monitor desoftware

Todos Media

Eliminar comandoremoto

306-61 Comando remoto dealarma eliminado.

Monitor desoftware

ESM Baja

Eventos eliminados 306-74 El usuario ha eliminadoeventos de ESM.

Monitor desoftware

ESM Baja

Flujos eliminados 306-75 El usuario ha eliminadoflujos de ESM.

Monitor desoftware

ESM Baja

Adición de dispositivo 306-18 Se ha agregado unnuevo dispositivo alsistema.

Monitor desoftware

ESM Baja

Eliminación dedispositivo

306-19 Un dispositivo existentese ha eliminado delsistema.

Monitor desoftware

ESM Baja

Dispositivoposiblemente inactivo

146-2 Evento dedescubrimiento de redque indica que esposible que undispositivo no funcione.

Monitor desoftware

ESM Baja

Dispositivoinaccesible

146-1 Un dispositivo dedescubrimiento de redagregado a ESM no estáaccesible.

Monitor desoftware

ESM Baja





Alerta de error deunidad de disco

306-50018 Comprueba y verifica laintegridad de todos losdiscos duros (internos ode DAS).

Monitor dehardware

Todos Alta

Alerta de cambio deestado del procesode archivado de ELM

306-50045 El motor de compresióndel ELM se ha detenido oiniciado.

Monitor desoftware

ADM/REC/DBM

Media

ELM EDS FTP 306-50074 El programa SFTP delELM se ha detenido oiniciado.

Monitor desoftware

ELM Media

Proceso de archivode ELM

306-50065 El motor de reinsercióndel ELM se ha detenido oiniciado.Si un registro falla poralgún motivo, seintentará de nuevo lainserción. Si el procesode reinserción falla, seactiva esta regla.

Monitor desoftware

ELM Media

Alerta de cambio deestado del punto demontaje de ELM

306-50053 El almacenamientoremoto (CIFS, NFS,ISCSI, SAN) se hadetenido o iniciado.

Monitor desoftware

ELM Media

Alerta de cambio deestado del motor deconsultas de ELM

306-50046 El proceso de trabajosdel ELM (trabajos delELM, tales comoconsultas, inserciones,etc.) se ha detenido oiniciado.

Monitor desoftware

ELM Media

Almacenamientoredundante en ELM

306-50063 La duplicación del ELMse ha detenido oiniciado.

Monitor desoftware

ELM Media

Error de la base dedatos del sistemaELM

306-50044 La base de datos delELM se ha detenido oiniciado.

Monitor desoftware

ELM Alta

Alerta de cambio deestado de recopiladorde correo electrónico

306-50040 El recopilador MARS deCisco se ha detenido oiniciado.

Monitor desoftware

Receptor Media

Etiquetas de ePOaplicadas

306-28 Se han aplicadoetiquetas de McAfeeePO.

Monitor desoftware

ESM Baja

Error al establecercomunicación conELM

306-50047 La comunicación con elELM ha fallado.

Monitor desoftware

ADM/REC/DBM

Alta

Error encomunicación SSH

306-50077 Problemas deldispositivo, tales comodiferencias de versión oun cambio de clave.

Monitor desoftware

Todos Alta

Reinicio de ESM 306-32 ESM se ha reiniciado. Monitor desoftware

ESM Media

Apagado de ESM 306-33 ESM se ha apagado. Monitor desoftware

ESM Media





Alerta del recopiladorde eStreamer

306-50070 El recopilador deeStreamer se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado de recopiladorde eStreamer

306-50041 El recopilador deeStreamer se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Ejecutar comandoremoto

306-62 Comando remoto dealarma ejecutado.

Monitor desoftware

ESM Baja

Error de inicio desesión porque se haalcanzado el máximode sesionessimultáneas

306-37 El usuario no pudoiniciar sesión porque sealcanzó el máximo desesiones simultáneas.

Monitor desoftware

ESM Alta

Error al aplicarformato al dispositivoSAN

306-50057 Se produjo un error alaplicar formato al SANen ELM; el usuario debevolver a intentarlo.

Monitor dehardware

ESM Alta

Error de inicio desesión de usuario

306-31 El usuario no ha podidoiniciar sesión.

Monitor desoftware

ESM Media

Alerta de cambio deestado de recopiladorde archivos

306-50049 El programa derecopilación de montajese ha detenido oiniciado.

Monitor desoftware

Receptor Media

Archivo eliminado 306-50 Cualquier archivo que sepueda agregar oeliminar.

Monitor desoftware

ESM Baja

Alerta de cambio deestado del procesode filtrado

306-50050 El programa de filtradodel dispositivo se hadetenido o iniciado(reglas de filtrado).

Monitor desoftware

Receptor Media

Alerta de cambio deestado de agregadorde alertas de firewall

306-50009 El agregador del firewalldel ADM se ha detenidoo iniciado.

Monitor desoftware

ADM Media

Error de obtencióndatos de evaluaciónde vulnerabilidades

306-52 ESM no ha podidoobtener datos deevaluación devulnerabilidades.

Monitor desoftware

ESM Media

Obtención datos deevaluación devulnerabilidadescorrecta

306-51 ESM ha obtenido datosde evaluación devulnerabilidades.

Monitor desoftware

ESM Baja

Alerta interna demonitor de estado

306-50027 Un proceso del monitorde estado se hadetenido o iniciado.

Monitor desoftware

Todos Media

Alerta de cambio deestado de recopiladorde HTTP

306-50039 El recopilador de HTTPse ha detenido oiniciado.

Monitor desoftware

Receptor Media

Cambio deconfiguración deindización

306-8 La configuración deindizado de ESM hacambiado.

Monitor desoftware

ESM Media





Clave SSH no válida 306-50075 El dispositivo tieneproblemas paracomunicarse con el ELM,tales como diferenciasde versión o un cambiode clave.

Monitor desoftware

Todos Alta

Alerta de cambio deestado de recopiladorde IPFIX

306-50055 El recopilador de IPFIX(flujo) se ha detenido oiniciado.

Monitor desoftware

Receptor Media

Inicio de sesión deusuarioadministrador declaves y certificados

306-39 Evento UCAPL, inicio desesión de administradorde criptografía.

Monitor desoftware

ESM Baja

Alerta de espaciolibre en el disco enparticiones deregistro

306-50004 El espacio de la particiónde registro (/var) seestá agotando.

Monitor desoftware

Todos Media

Alerta de cambio deestado de servidor debase de datos McAfeeEDB

306-50010 La base de datos se hadetenido o iniciado.

Monitor desoftware

Todos Media

Alerta del recopiladorde McAfee ePO

306-50069 El recopilador de McAfeeePO se ha detenido oiniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado del formatode los eventos deMcAfee

306-50031 El recopilador deformatos de eventos deMcAfee se ha detenido oiniciado.

Monitor desoftware

Receptor Media

Error decomunicación deldispositivo de lasolución SIEM deMcAfee

306-26 ESM no se puedecomunicar con otrodispositivo.

Monitor desoftware

ESM Alta

Alerta de MicrosoftForefront ThreatManagementGateway

306-50068 El recopilador deForefront ThreatManagement Gatewayse ha detenido oiniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado derecuperador deMS-SQL

306-50035 El recopilador deMicrosoft SQL se hadetenido o iniciado(cualquier origen dedatos de Microsoft SQL).

Monitor desoftware

Receptor Media

Alerta de registro devarios eventos

306-50062 El recopilador de jEMAILse ha detenido oiniciado.

Monitor desoftware

Receptor Media

Análisis de MVMiniciado

306-27 Se ha iniciado unanálisis de MVM.

Monitor desoftware

ESM Baja

Alerta de cambio deestado de recopiladorde NetFlow

306-50024 El recopilador deNetFlow (flujo) se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Nueva cuenta deusuario

306-13 Se ha agregado unnuevo usuario alsistema.

Monitor desoftware

ESM Baja





Alerta de cambio deestado de recopiladorde NFS/CIFS

306-50048 El montaje remoto paraNFS o CIFS se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado de recopiladorde NitroFlow

306-50026 NitroFlow (flujos deldispositivo) se hadetenido o iniciado.

Monitor desoftware

Receptor Media

No se ha encontradouna clave SSH

306-50076 El dispositivo tieneproblemas paracomunicarse con el ELM,tales como diferenciasde versión o un cambiode clave.

Monitor desoftware

Todos Alta

Agregar/Editar listanegra de NSM

306-29 Una entrada de la listanegra de NSM se haagregado o editado.

Monitor desoftware

ESM Baja

Eliminar lista negrade NSM

306-30 Una entrada de la listanegra de NSM se haeliminado.

Monitor desoftware

ESM Baja

Alerta de cambio deestado de receptorde OPSEC

306-50028 El recopilador de OPSEC(Check Point) se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado de receptorde OPSEC

306-50034 El recopilador de OPSEC(Check Point) se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Alerta del recopiladorde Oracle IdentityManagement

306-50072 El recopilador de OracleIdentity Management seha detenido o iniciado.

Monitor desoftware

Receptor Media

Alerta desobresuscripción

306-50012 El ADM ha entrado osalido del modo desobresuscripción.

Monitor desoftware

ADM Media

Alerta del analizador/recopilador decomplementos

306-50073 El analizador/recopiladorde complementos se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Adición de directiva 306-15 Se ha agregado unadirectiva al sistema.

Monitor desoftware

ESM Baja

Eliminación dedirectiva

306-17 Se ha eliminado unadirectiva del sistema.

Monitor desoftware

ESM Baja

Cambio de directiva 306-16 Se ha cambiado unadirectiva en el sistema.

Monitor desoftware

ESM Baja

Discrepancia conconfiguración previa

146-6 Ha cambiado laconfiguración deldispositivo dedescubrimiento de red.

Monitor desoftware

ESM Baja

Disponibilidad altadel receptor

306-50058 Cualquier proceso dedisponibilidad alta se hadetenido o iniciado(Corosync, script decontrol de disponibilidadalta).

Monitor desoftware

Receptor Media

Configuración OPSECde disponibilidad altadel receptor

306-50059 No se utiliza. Monitor desoftware

Receptor Baja





ESM redundante sinsincronizar

306-76 El ESM redundante noestá sincronizado.

Monitor desoftware

ESM Alta

Alerta de cambio deestado de punto demontaje NFS remoto

306-50020 El montaje de NFS delELM se ha detenido oiniciado.

Monitor desoftware

ELM Media

Alerta de espaciolibre en el disco enpunto de montaje/recurso compartidoremoto

306-50021 Se está agotando elespacio libre en el puntode montaje remoto.

Monitor desoftware

ESM Media

Alerta de cambio deestado de recursocompartido de SMB/CIFS remoto

306-50019 El punto de montajeremoto SMB/CIFS se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado de correlaciónde riesgos

306-50061 El motor de correlaciónde riesgos se hadetenido o iniciado.

Monitor desoftware

ACE Media

Alerta de espaciolibre en el disco enparticiones raíz

307-50002 Se está agotando elespacio libre en lasparticiones raíz.

Monitor desoftware

Todos Media

Adición de regla 306-20 Se ha agregado unaregla al sistema, porejemplo, de ASP, filtradoo correlación.

Monitor desoftware

ESM Baja

Eliminación de regla 306-22 Regla eliminada delsistema.

Monitor desoftware

ESM Baja

Cambio de regla 306-21 Se ha cambiado unaregla en el sistema.

Monitor desoftware

ESM Baja

Error de actualizaciónde regla

306-9 Se ha producido un erroral actualizar una reglade ESM.

Monitor desoftware

ESM Media

Alerta de cambio deestado derecuperador de SDEE

306-50033 El recopilador de SDEEse ha detenido oiniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado de recopiladorde sFlow

306-50025 El recopilador de sFlow(flujo) se ha detenido oiniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado de recopiladorde SNMP

306-50023 El recopilador de SNMPse ha detenido oiniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado de recopiladorde SQL

306-50038 El recopilador de SQL(anteriormente NFX) seha detenido o iniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado de recopiladorde Symantec AV

306-50056 El recopilador deSymantec AV se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado delrecopilador de syslog

306-50037 El recopilador de syslogse ha detenido oiniciado.

Monitor desoftware

Receptor Media

Inicio de sesión deusuarioadministrador delsistema

306-40 El administrador delsistema ha iniciadosesión.

Monitor desoftware

ESM Baja





Error decomprobación deintegridad delsistema

306-50085 Se ha marcado unprograma o procesoexterno no ISO enejecución en el sistema.

Monitor desoftware

Todos Alta

Alerta de cambio deestado de registradordel sistema

306-50014 El proceso de registrodel sistema se hadetenido o iniciado.

Monitor desoftware

Todos Media

Cierre de tarea(consulta)

306-54 Se ha cerrado una tareadel Administrador detareas.

Monitor desoftware

ESM Baja

Alerta de espaciolibre en el disco enparticionestemporales

306-50003 La partición temporal (/tmp) se está quedandosin espacio en el disco.

Monitor desoftware

Todos Media

Alerta de cambio deestado del analizadorde registros de texto

306-50052 El analizador de texto seha detenido o iniciado.

Monitor desoftware

Receptor Media

Cambio de cuenta deusuario

306-14 Ha cambiado una cuentade usuario.

Monitor desoftware

ESM Baja

Error de inicio desesión de dispositivode usuario

306-50079 Un usuario SSH no hapodido iniciar sesión.

Monitor desoftware

ESM Baja

Inicio de sesión dedispositivo de usuario


ESM Baja

Cierre de sesión dedispositivo de usuario

306-50078 Un usuario SSH hacerrado la sesión.

Monitor desoftware

ESM Baja

Inicio de sesión deusuario

306-11 Un usuario ha iniciadosesión en el sistema.

Monitor desoftware

ESM Baja

Cierre de sesión deusuario

306-12 Un usuario ha cerrado lasesión en el sistema.

Monitor desoftware

ESM Baja

Alerta de estado delmotor de datos deevaluación devulnerabilidades

306-50043 El motor de evaluaciónde vulnerabilidades(vaded.pl) se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Adición de variable 306-23 Se ha agregado unavariable de directiva.

Monitor desoftware

ESM Baja

Eliminación devariable

306-25 Se ha eliminado unavariable de directiva.

Monitor desoftware

ESM Baja

Cambio de variable 306-24 Ha cambiado unavariable de directiva.

Monitor desoftware

ESM Baja

El certificado delservidor web hacaducado

306-50084 El certificado delservidor web de ESM hacaducado.

Monitor desoftware

ESM Alta

El certificado delservidor webcaducará pronto

306-50083 El certificado delservidor web de ESMcaducará pronto.

Monitor desoftware

ESM Media





Alerta del recopiladorde Websense

306-50067 El recopilador deWebsense se hadetenido o iniciado.

Monitor desoftware

Receptor Media

Alerta de cambio deestado delrecopilador de WMIEvent Log

306-50030 El recopilador de WMI seha detenido o iniciado.

Monitor desoftware

Receptor Media

Véase también Adición de alarmas de eventos del monitor de estado en la página 300

Adición de una alarma de Coincidencia de campoUna alarma de Coincidencia de campo coincide con varios campos de un evento y se activa cuando eldispositivo recibe y analiza el evento.



• Revise cómo utilizar los elementos lógicos.



Propiedades .


3 Haga clic en Agregar, escriba el nombre de la alarma y seleccione el usuario asignado; acontinuación, haga clic en la ficha Condición.

4 En el campo Tipo, seleccione Coincidencia de campo y configure las condiciones de la alarma.

a Arrastre y coloque los elementos AND u OR para configurar la lógica de la condición de alarma.

b Arrastre y coloque el icono Coincidir componente sobre el elemento lógico y, después, rellene lapágina Agregar campo de filtro.

c En el campo Frecuencia máxima de activación de condición, seleccione la cantidad de tiempo que debetranscurrir entre condiciones para evitar un aluvión de notificaciones. Cada desencadenadorcontiene el primer evento de origen que coincide con la condición de activación, pero no loseventos que se producen durante el periodo de activación de condición. Los eventos nuevos quecoinciden con la condición de activación no activan la alarma de nuevo hasta que transcurre elperiodo correspondiente a la frecuencia de activación máxima.

Si establece el intervalo en cero, cada evento que coincida con una condición activará una alarma.En el caso de las alarmas de alta frecuencia, un intervalo de cero puede producir muchas alarmas.

5 Haga clic en Siguiente y seleccione los dispositivos que se deben supervisar para esta alarma. Estetipo de alarma es compatible con Event Receiver, Enterprise Log Manager (ELM) de receptor local,combinaciones de Event Receiver/ELM, ACE y Application Data Monitor (ADM).



6 Haga clic en las fichas Acciones y Escalación a fin de definir la configuración.


La alarma se escribirá en el dispositivo.

Si la alarma no se escribe en el dispositivo, aparece una marca de falta de sincronización junto aldispositivo en el árbol de navegación del sistema. Haga clic en la marca y, después, en Sincronizar alarmas.


Opción Definición

Botones de opción Permiten cambiar el tipo de elemento lógico. Esto resulta útil si tiene una regla oun componente con varias capas de elementos lógicos y se da cuenta de que unode los elementos situados al principio del diagrama lógico debería ser de otrotipo.

condiciones Seleccione el número de condiciones que se deben cumplir para un elemento SETcon más de una condición.

Secuencia Indique si desea que las condiciones de los elementos lógicos AND o SET seproduzcan en la secuencia en que aparecen en el campo Lógica de correlación paraque se active la regla.

Umbral Defina el número de veces que deben producirse las condiciones para que seactive la regla.

Período de tiempo Defina el límite de tiempo en el que debe alcanzarse el umbral para que la reglase active.

Véase también Resumen personalizado para alarmas activadas y casos en la página 312Elementos lógicos en la página 311

Elementos lógicosCuando agregue un Application Data Monitor (ADM), una base de datos y un componente o una reglade correlación, utilice Lógica de expresión o Lógica de correlación para crear el marco de la regla.

Elemento Descripción

AND Funciona igual que un operador lógico en un lenguaje informático. Todo lo agrupado bajoeste elemento lógico debe ser verdadero para que la condición sea verdadera. Use estaopción si desea que se cumplan todas las condiciones bajo este elemento lógico antes deque se active una regla.

OR Funciona igual que un operador lógico en un lenguaje informático. Solo una de lascondiciones agrupadas bajo este elemento tiene que ser verdadera para que la condiciónsea verdadera. Use este elemento si desea que se active la regla cuando se cumpla unade las condiciones.

SET En el caso de los componentes o las reglas de correlación, SET permite definircondiciones y seleccionar el número de condiciones que deben ser verdaderas para quese active la regla. Por ejemplo, si se deben cumplir dos de las tres condiciones delconjunto para que se active la regla, la configuración será "2 de 3".

Cada uno de estos elementos dispone de un menú con al menos dos de estas opciones:



• Editar: es posible editar la configuración predeterminada (véase Edición de elementos lógicos).

• Quitar elemento lógico: permite eliminar el elemento lógico seleccionado. En caso de existir elementossecundarios no se eliminan, sino que se mueven hacia arriba en la jerarquía.

Esto no se aplica al elemento raíz (el primero de la jerarquía). Si se elimina el elemento raíz,también se eliminan todos los elementos secundarios.

• Quitar el elemento lógico y todos sus elementos secundarios: es posible eliminar el elemento seleccionado ytodos sus elementos secundarios de la jerarquía.

Al establecer la lógica de la regla, es necesario agregar componentes a fin de definir las condicionespara la regla. En el caso de las reglas de correlación, también se pueden agregar parámetros paracontrolar el comportamiento de la regla o el componente cuando se ejecuten.

Véase también Adición de una alarma de Coincidencia de campo en la página 310Edición de elementos lógicos en la página 421

Resumen personalizado para alarmas activadas y casosSeleccione los datos que se incluirán en el resumen de alarma y de caso para las alarmas de tipoCoincidencia de campo y Coincidencia de evento interno.




Propiedades .

2 Haga clic en Alarmas y, después, en Agregar.

3 En la ficha Condición, seleccione el tipo Coincidencia de campo o Coincidencia de evento interno.

4 Haga clic en la ficha Acciones, luego en Crear caso para, después en el icono de las variables y, acontinuación, seleccione los campos que incluir en el resumen de caso.

5 Haga clic en Personalizar resumen de alarma activada, después en el icono de las variables y, acontinuación, seleccione los campos que incluir en el resumen correspondiente a la alarmaactivada.

6 Escriba la información solicitada para crear alarmas y, después, haga clic en Finalizar.

Véase también Adición de una alarma de Coincidencia de campo en la página 310



Adición de una alarma a las reglasSi desea recibir una notificación cuando se generen eventos a través de reglas específicas, es posibleagregar una alarma a esas reglas.



Procedimiento1 En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas situado en la

barra de herramientas de acciones.

2 Seleccione el tipo de regla en el panel Tipos de regla.

3 Seleccione una o varias reglas en el área de visualización de reglas.

4 Haga clic en el icono Alarmas .

5 Crear la alarma.

Creación de capturas SNMP a modo de acciones de alarmaEs posible enviar capturas SNMP a modo de acciones de alarma.



• Prepare el receptor de capturas SNMP (solo si no dispone de un receptor de capturasSNMP).


Procedimiento1 Cree un perfil SNMP para indicar al ESM dónde enviar las capturas SNMP.

a En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el

icono Propiedades .

b Haga clic en Administración de perfiles y seleccione Captura SNMP en el campo Tipo de perfil.

c Rellene los campos restantes y haga clic en Aplicar.

2 Configure SNMP en el ESM.

a En Propiedades del sistema, haga clic en Configuración SNMP y, después, en la ficha Capturas SNMP.

b Seleccione el puerto, seleccione los tipos de capturas que enviar y, después, seleccione el perfilagregado en el Paso 1.

c Haga clic en Aplicar.



3 Defina una alarma con Captura SNMP como acción.

a En Propiedades del sistema, haga clic en Alarmas y, después, en Agregar.

b Rellene la información solicitada en las fichas Resumen, Condición y Dispositivos; seleccioneCoincidencia de evento interno como tipo de condición y haga clic en la ficha Acciones.

c Seleccione Enviar mensaje y haga clic en Configurar a fin de seleccionar o crear una plantilla para losmensajes SNMP.

d Seleccione Plantilla de SNMP básica en el campo SNMP, o bien haga clic en Plantillas y seleccione unaplantilla existente o haga clic en Agregar para definir una plantilla nueva.

e Vuelva a la página Configuración de alarma y continúe con la configuración.

Adición de una alarma de notificación sobre fallos dealimentaciónEs posible agregar una alarma para que se le notifiquen los fallos de cualquiera de las fuentes dealimentación del ESM.



• Configuración de una captura SNMP para la notificación de fallos de alimentación en lapágina 213



Propiedades .


3 Haga clic en Agregar, introduzca los datos solicitados en la ficha Resumen y, a continuación, haga clicen la ficha Condición.

4 En el campo Tipo, seleccione Coincidencia de evento interno.

5 En el campo Campo, seleccione ID de firma y, a continuación, escriba 306-50086 en el campo Valor(es).

6 Introduzca la información restante en cada ficha según sea necesario y, a continuación, haga clicen Finalizar.

Se activará una alarma cuando falle una fuente de alimentación.

Administración de orígenes de datos no sincronizadosConfigure una alarma que le avise cuando los datos no sincronizados generen eventos, de forma quepueda ver una lista de orígenes de datos, editar su configuración y exportar la lista.




Esta herramienta de diagnóstico detecta cuando un origen de datos está recopilando eventos pasadoso futuros, lo cual puede provocar la aparición de una marca roja en el receptor.



Propiedades .

2 Configure una alarma para recibir una notificación cuando llegue al receptor un evento generadopor un origen de datos que no está sincronizado con el ESM.

a Haga clic en Alarmas | Agregar, escriba la información solicitada en la ficha Resumen y haga clic enla ficha Condición.

b Seleccione Diferencia de eventos en el campo Tipo, seleccione la frecuencia con que el ESM debecomprobar los orígenes de datos no sincronizados y seleccione la diferencia de tiempo que debeexistir para que se active la alarma.

c Rellene la información en el resto de fichas.

3 Vea, edite o exporte los orígenes de datos que no están sincronizados.

a En el árbol de navegación del sistema, haga clic en el receptor y, después, en el icono dePropiedades.

b Haga clic en Administración del receptor y seleccione Diferencia de tiempo.

Véase también Orígenes de datos no sincronizados en la página 315

Orígenes de datos no sincronizadosComo resultado de diversas configuraciones posibles, la hora de un origen de datos puede perder lasincronización con el ESM. Cuando un origen de datos no sincronizado genera un evento, aparece unamarca roja junto al receptor en el árbol de navegación del sistema.

Puede configurar una alarma para recibir una notificación cuando esto ocurra. Después, puedeadministrar los orígenes de datos no sincronizados mediante la página Diferencia de tiempo (véaseAdministración de orígenes de datos no sincronizados).

Los eventos no sincronizados pueden ser eventos antiguos o futuros.

Existen varios motivos por los que los orígenes de datos pueden no estar sincronizados con el ESM.

1 El ESM tiene una configuración de zona horaria incorrecta (véase Selección de la configuración deusuario).

2 La hora se configura con la zona incorrecta al agregar el origen de datos (véase Adición de unorigen de datos).

3 El sistema ha estado funcionando mucho tiempo y la hora se ha desajustado.

4 Ha configurado el sistema de esa forma a propósito.

5 El sistema no está conectado a Internet.

6 El evento está desincronizado al llegar al receptor.




Opción Definición

Tabla Incluye los orígenes de datos, las direcciones IP o los nombres de host, el tipo de origen dedatos y la diferencia de tiempo correspondiente a los eventos.

Editar Abre la página Editar origen de datos correspondiente al origen de datos seleccionado. Puedecambiar la configuración de la zona horaria para que el origen de datos genere los eventoscon la hora correcta.

Exportar Exporta la lista de la tabla.

Actualizar Actualiza la información de la tabla para reflejar los cambios recientes.

Intervalo Determina la antigüedad para el análisis de eventos de la base de datos.

Véase también Administración de orígenes de datos no sincronizados en la página 314



8 Uso de los eventos

ESM permite identificar, recopilar, procesar, correlacionar y almacenar miles de millones de eventos yflujos, además de conservar esta información disponible para fines de consulta, análisis forense,validación de reglas y conformidad.

Contenido Eventos, flujos y registros Administración de informes Descripción de los filtros contains y regex Uso de las vistas de ESM Filtros de tipos personalizados Búsquedas de McAfee® Active Response

Eventos, flujos y registrosLos eventos, flujos y registros recopilan distintos tipos de actividades que se producen en undispositivo.

Un evento es una actividad registrada por un dispositivo como resultado de una regla del sistema. Unflujo es la información registrada sobre una conexión realizada entre direcciones IP, una de las cualesal menos se encuentra en la red HOME_NET. Un registro es la información sobre un evento que seproduce en un dispositivo del sistema. Los eventos y los flujos tienen direcciones IP de origen ydestino, puertos, direcciones MAC, un protocolo y una hora de inicio y de fin. Sin embargo, existenvarias diferencias entre los eventos y los flujos:

• Como los flujos no son indicativos de tráfico anómalo o malicioso, normalmente son más comunesque los eventos.

• Los flujos no están asociados a una firma de regla (ID de firma) como los eventos.

• Los flujos no están asociados con acciones de evento tales como alerta, supresión y rechazo.

• Ciertos datos son exclusivos de los flujos, como los bytes de origen y destino o los paquetes deorigen y destino. Los bytes de origen y los paquetes de origen indican el número de bytes ypaquetes transmitidos por el origen del flujo. Los bytes de destino y los paquetes de destinoindican el número de bytes y paquetes transmitidos por el destino del flujo.

• Los flujos tienen una dirección: un flujo entrante es un flujo que se origina fuera de la redHOME_NET. Un flujo saliente se origina fuera de la red HOME_NET.

Los eventos y los flujos generados por el sistema se pueden ver mediante las vistas, que seseleccionan en la lista de vistas. Los registros se pueden ver mediante el Registro del sistema o el Registrode dispositivo, a los que se accede a través de la página Propiedades del sistema o de cada dispositivo.

8


Véase también Configuración de descargas de eventos, flujos y registros en la página 318Limitación del tiempo de recopilación de datos en la página 320Definición de la configuración de umbral de inactividad en la página 320Obtención de eventos y flujos en la página 321Comprobación de eventos, flujos y registros en la página 323Definición de la configuración de geolocalización y ASN en la página 324

Configuración de descargas de eventos, flujos y registrosPuede comprobar manualmente la existencia de eventos, flujos y registros, o bien configurar eldispositivo de forma que lo haga automáticamente.

8 Uso de los eventosEventos, flujos y registros




.

2 Haga clic en Eventos, flujos y registros, Eventos y registros o Registros.

3 Configure las descargas y haga clic en Aplicar.


Opción Definición

Actualizar automáticamentereglas

Si el ESM descarga automáticamente las reglas del servidor de reglas,seleccione esta opción en caso de que desee que las reglas descargadasse desplieguen en el dispositivo.

Descargar automáticamente... Seleccione alguna de estas opciones si desea que el ESM compruebe laexistencia de eventos, flujos o registros de forma automática.

Obtener... Haga clic en esta opción si desea que el ESM busque eventos, flujos oregistros de inmediato. Para ver el estado de estos trabajos, véaseObtener eventos y flujos.

Definir el intervalo de tiempode extracción de datos diario

Seleccione esta opción para planificar un intervalo de tiempo diario deforma que el ESM extraiga datos de cada dispositivo y envíe los datos alELM desde cada dispositivo (véase Limitación del tiempo de recopilaciónde datos).

Tenga cuidado al configurar esta función, ya que la planificación de larecopilación de eventos, flujos y registros puede acarrear una fuga dedatos.

Generar eventos devulnerabilidad

Seleccione esta opción para que los eventos que coincidan con los datosde origen de evaluación de vulnerabilidades agregados al sistema(véase Integración de datos de evaluación de vulnerabilidades) seconviertan en eventos de vulnerabilidad y generen una alerta en el ESMlocal. Las propiedades de directiva del Editor de directivas son las mismaspara todos estos eventos y no se pueden cambiar (por ejemplo, lagravedad siempre es 100).

Proceso de última descarga deeventos o Proceso de últimadescarga de flujos

Permiten ver la última vez que se han recuperado eventos o flujos deldispositivo, si el proceso ha sido correcto o no y el número de eventos oflujos recuperados.

Último registro de eventosdescargado, Último registrode cadena descargado oÚltimo registro de flujosdescargado

Permiten ver la fecha y la hora del último registro de evento, cadena oflujo descargado. Si cambia este valor, es posible establecer la fecha y lahora a partir de las cuales se recuperarán eventos, cadenas o flujos. Porejemplo, si introduce 13.11.16 a las 10:30:00 de la mañana en elcampo Último registro de eventos descargado, haga clic en Aplicar y, después, enObtener eventos; el ESM recuperará todos los eventos del dispositivo desdeese momento hasta la fecha.

Configuración de base dedatos

Permite administrar la configuración de índice de base de datos en elESM.

Configuración de inactividad Permite ver y cambiar la configuración de umbral de inactividad de cadauno de los dispositivos administrados por el ESM (véase Definición de laconfiguración de umbral de inactividad).

Geolocalización Permite configurar el ESM para registrar datos de geolocalización y ASNde cada uno de los dispositivos (véase Definición de la configuración degeolocalización y ASN).

Uso de los eventosEventos, flujos y registros 8


Véase también Eventos, flujos y registros en la página 317Limitación del tiempo de recopilación de datos en la página 320Definición de la configuración de umbral de inactividad en la página 320Obtención de eventos y flujos en la página 321Comprobación de eventos, flujos y registros en la página 323Definición de la configuración de geolocalización y ASN en la página 324

Limitación del tiempo de recopilación de datosPuede planificar un intervalo de tiempo diario para limitar los momentos en que ESM extrae datos decada dispositivo y cuándo se envían los datos al ELM desde cada dispositivo.

Puede utilizar esta función para evitar usar la red en momentos de mucha actividad y que así el anchode banda esté disponible para otras aplicaciones. Esto produce un retraso en la entrega de datos alESM y el ELM, de modo que debe determinar si tal retraso es aceptable en su entorno.

Procedimiento

Tenga cuidado al configurar esta función, ya que la planificación de la recopilación de eventos, flujos yregistros puede acarrear una fuga de datos.


1 En el árbol de navegación del sistema, seleccione el dispositivo y, a continuación, haga clic en el

icono Propiedades .

2 Seleccione una de las siguientes opciones:

• Eventos, flujos y registros

• Eventos y registros

• Registros

3 Seleccione Definir el intervalo de tiempo de extracción de datos diario y, a continuación, defina las horas deinicio y finalización del intervalo de tiempo.

El ESM recopila datos del dispositivo y este envía los datos al ELM para su registro durante el intervalode tiempo que haya definido. Cuando se configura así un ELM, se define cuándo recopila datos el ESMdel ELM y cuándo envía los datos el ESM al ELM para su registro.

Véase también Eventos, flujos y registros en la página 317Configuración de descargas de eventos, flujos y registros en la página 318Definición de la configuración de umbral de inactividad en la página 320Obtención de eventos y flujos en la página 321Comprobación de eventos, flujos y registros en la página 323Definición de la configuración de geolocalización y ASN en la página 324

Definición de la configuración de umbral de inactividadCuando se define un umbral de inactividad para un dispositivo, se recibe una notificación si no segeneran eventos o flujos en el periodo de tiempo especificado. Si se alcanza el umbral, aparece unindicador de estado amarillo junto al nodo del dispositivo en el árbol de navegación del sistema.




1 En el árbol de navegación del sistema, seleccione Propiedades del sistema, asegúrese de que estéseleccionada la opción Información del sistema y haga clic en Eventos, flujos y registros.

2 Haga clic en Configuración de inactividad.

3 Resalte el dispositivo y haga clic en Editar.

4 Realice cambios en la configuración y después haga clic en Aceptar.


Opción Definición

Columna Dispositivo Incluye todos los dispositivos del sistema.

Columna Umbral Muestra el umbral de cada dispositivo.

Columna Heredar Muestra si un dispositivo secundario hereda la configuración de umbral delelemento principal. Seleccione esta opción o anule su selección para cambiarla configuración.

Editar Abre la página Editar umbral de inactividad para poder cambiar la configuración deumbral.

Véase también Eventos, flujos y registros en la página 317Configuración de descargas de eventos, flujos y registros en la página 318Limitación del tiempo de recopilación de datos en la página 320Obtención de eventos y flujos en la página 321Comprobación de eventos, flujos y registros en la página 323Definición de la configuración de geolocalización y ASN en la página 324

Obtención de eventos y flujosEs posible recuperar eventos y flujos para los dispositivos seleccionados en el árbol de navegación delsistema.




1 En el árbol de navegación del sistema, seleccione el sistema, un grupo o un dispositivo y haga clic

en el icono Obtener eventos y flujos en la barra de herramientas de acciones.

2 En la tabla superior, seleccione los eventos y los flujos que se deben recuperar; a continuación,haga clic en Iniciar.

El estado de la recuperación se refleja en la columna Estado. La tabla inferior muestra más detallessobre los dispositivos resaltados en la tabla superior.

3 Una vez finalizada la descarga, seleccione una vista para mostrar estos eventos y flujos; después,

haga clic en el icono Actualizar vista actual en la barra de herramientas de vistas.


Opción Definición

Minimizar la página Obtener eventos y flujos mientras se siguen recuperando loseventos o flujos.

TABLA SUPERIOR

Columna Nombre dedispositivo

Ver los dispositivos para los que se pueden recuperar eventos o flujos segúnlo seleccionado en el árbol de navegación del sistema. Puede seleccionaruno o varios de estos dispositivos a fin de ver los detalles en la tablainferior.

Columna Eventos Seleccionar los dispositivos para los que desee recuperar eventos.

Columna Flujos Seleccionar los dispositivos para los que desee recuperar flujos.

Columna Estado Ver el estado de la recuperación una vez iniciada. Incluye el número detrabajos de inserción y obtención en ejecución para un dispositivo, así comoel último trabajo de obtención ejecutado mientras la ventana estabaabierta. Se actualiza cada dos segundos.

Iniciar Haga clic en esta opción para iniciar la recuperación. Se debe seleccionaruna casilla de verificación como mínimo para que esta opción esté activa.

Cancelar Cancelar el proceso una vez iniciado. El proceso se detiene cuando finalizala operación en curso.

TABLA INFERIOR

Columna Nombre dedispositivo

Ver los nombres de los dispositivos seleccionados en la tabla superior.

Columna Operación Ver la operación realizada en el dispositivo en ese momento.

Columna Hora de inicio Ver la hora de creación del trabajo, que no es necesariamente la hora enque se empezó a procesar en el ESM.

Columna Estado Ver el estado del trabajo.

Actualizar Actualizar la tabla. Se actualiza automáticamente cada cinco segundos.

Véase también Eventos, flujos y registros en la página 317Configuración de descargas de eventos, flujos y registros en la página 318Limitación del tiempo de recopilación de datos en la página 320Definición de la configuración de umbral de inactividad en la página 320Comprobación de eventos, flujos y registros en la página 323Definición de la configuración de geolocalización y ASN en la página 324



Comprobación de eventos, flujos y registrosEs posible configurar el ESM para que compruebe la existencia de eventos, flujos y registros de formaautomática o bien buscarlos manualmente. La tasa de comprobación depende del nivel de actividaddel sistema y de la frecuencia con que se desee recibir actualizaciones de estado. También se puedeespecificar qué dispositivos deben buscar cada tipo de información y establecer la configuración deumbral de inactividad para los dispositivos administrados por el ESM.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Eventos, flujos yregistros.

2 Realice las selecciones y los cambios que desee para la recuperación de eventos, flujos y registros.



Opción Definición

Intervalo de comprobaciónautomática

Seleccione esta opción si desea que el sistema compruebe la existenciade eventos, flujos y registros automáticamente. Defina la frecuenciaque desee para ello.

Comprobar ahora Permite buscar eventos, flujos y registros inmediatamente.

Mostrar dispositivos Seleccione la configuración de descarga automática de eventos, flujos yregistros para cada dispositivo.

Configuración de inactividad Si desea que se le notifique cuando un dispositivo no genere eventos oflujos durante un periodo de tiempo, seleccione esta opción, resalte eldispositivo y haga clic en Editar.


Opción Definición

Columna Nombre de dispositivo Incluye todos los dispositivos del sistema.

Columna Eventos Seleccione los dispositivos que desee que descarguen eventosautomáticamente.

Columna Flujos Seleccione los dispositivos que desee que descarguen flujosautomáticamente.

Columna Registros Seleccione los dispositivos que desee que descarguen registrosautomáticamente.

Véase también Eventos, flujos y registros en la página 317Configuración de descargas de eventos, flujos y registros en la página 318Limitación del tiempo de recopilación de datos en la página 320Definición de la configuración de umbral de inactividad en la página 320Obtención de eventos y flujos en la página 321Definición de la configuración de geolocalización y ASN en la página 324



Definición de la configuración de geolocalización y ASNLa geolocalización proporciona la ubicación geográfica de los equipos conectados a Internet. El númerode sistema autónomo (ASN) es un número que se asigna a un sistema autónomo y que identifica deforma exclusiva cada una de las redes de Internet.

Ambos tipos de datos pueden ayudarle a identificar la ubicación física de una amenaza. Es posiblerecopilar datos de geolocalización de origen y destino para los eventos.



.

2 Haga clic en Eventos, flujos y registros o en Eventos y registros; después, haga clic en Geolocalización.

3 Realice las selecciones para obtener la información necesaria y haga clic en Aceptar.

Es posible filtrar los datos de eventos mediante esta información.


Opción Definición

Recopilar datos de geolocalización Si desea recopilar datos de geolocalización para eventos o flujos,seleccione esta opción.

Datos de origen, Datos de destino Si ha seleccionado Recopilar datos de geolocalización, seleccione si desearecopilar ambos tipos o solo uno de ellos.

Recopilar datos ASN Si desea recopilar datos de ASN para eventos o flujos, seleccione estaopción.

Datos de origen, Datos de destino Si ha seleccionado Recopilar datos ASN, indique si desea recopilar ambostipos o solo uno de ellos.

Desactivado Seleccione esta opción si desea detener la recopilación de datos degeolocalización o ASN para eventos o flujos.

Actualizar Permite volver a la configuración de dispositivo actual.

Véase también Eventos, flujos y registros en la página 317Configuración de descargas de eventos, flujos y registros en la página 318Limitación del tiempo de recopilación de datos en la página 320Definición de la configuración de umbral de inactividad en la página 320Obtención de eventos y flujos en la página 321Comprobación de eventos, flujos y registros en la página 323

Agregación de eventos o flujosUn evento o un flujo pueden generarse miles de veces en potencia. En lugar de repasar miles deeventos idénticos, es posible verlos como si se tratara de un único evento o flujo con un recuento queindica el número de veces que se ha producido.

El uso de la agregación permite un uso más eficiente del espacio de disco, tanto en el dispositivo comoen el ESM, ya que elimina la necesidad de almacenar todos los paquetes. Esta función se aplica solo alas reglas para las cuales se haya activado la agregación en el Editor de directivas.



Direcciones IP de origen y destino

Los valores de dirección IP de origen y destino "no definidos" o los valores agregados aparecen como"::" en lugar de "0.0.0.0" en todos los conjuntos de resultados. Por ejemplo:

• ::ffff:10.0.12.7 se inserta como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 es 10.0.12.7).

• ::0000:10.0.12.7 sería 10.0.12.7.

Eventos y flujos agregados

Los eventos y flujos agregados utilizan los campos de primera vez, última vez y total para indicar laduración y la cantidad de agregación.

Por ejemplo, si se produce el mismo evento 30 veces en los primeros diez minutos tras el mediodía, elcampo Primera vez contiene las 12:00 como hora (la hora de la primera instancia del evento), el campoÚltima vez contiene las 12:10 como hora (la hora de la última instancia del evento) y el campo Totalcontiene el valor 30.

Puede cambiar la configuración de agregación predeterminada de eventos o flujos del dispositivo deforma conjunta. En el caso de los eventos, es posible agregar excepciones a la configuración deldispositivo para reglas individuales.

La agregación recupera registros de acuerdo con la configuración de recuperación de eventos, flujos yregistros. Si se configura para la recuperación automática, el dispositivo solo comprimirá un registrohasta la primera vez que el ESM lo extraiga. Si se configura para la recuperación manual, un registrose comprime un máximo de 24 horas o hasta que se extraiga un nuevo registro manualmente, lo queantes ocurra. Si el tiempo de compresión alcanza el límite de 24 horas, se extrae un nuevo registro yse inicia la compresión en ese registro nuevo.


Opción Definición

Actualizar automáticamentereglas

Si el ESM descarga automáticamente las reglas del servidor de reglas,seleccione esta opción en caso de que desee que las reglas descargadas sedesplieguen en el dispositivo.

Descargar automáticamente... Seleccione alguna de estas opciones si desea que el ESM compruebe laexistencia de eventos, flujos o registros de forma automática.

Obtener... Haga clic en esta opción si desea que el ESM busque eventos, flujos oregistros de inmediato. Para ver el estado de estos trabajos, véase Obtenereventos y flujos.

Definir el intervalo de tiempo deextracción de datos diario

Seleccione esta opción para planificar un intervalo de tiempo diario deforma que el ESM extraiga datos de cada dispositivo y envíe los datos alELM desde cada dispositivo (véase Limitación del tiempo de recopilación dedatos).

Tenga cuidado al configurar esta función, ya que la planificación de larecopilación de eventos, flujos y registros puede acarrear una fuga dedatos.

Generar eventos devulnerabilidad

Seleccione esta opción para que los eventos que coincidan con los datos deorigen de evaluación de vulnerabilidades agregados al sistema (véaseIntegración de datos de evaluación de vulnerabilidades) se conviertan eneventos de vulnerabilidad y generen una alerta en el ESM local. Laspropiedades de directiva del Editor de directivas son las mismas para todosestos eventos y no se pueden cambiar (por ejemplo, la gravedad siemprees 100).




Opción Definición

Proceso de última descarga deeventos o Proceso de últimadescarga de flujos

Permiten ver la última vez que se han recuperado eventos o flujos deldispositivo, si el proceso ha sido correcto o no y el número de eventos oflujos recuperados.

Último registro de eventosdescargado, Último registro decadena descargado o Últimoregistro de flujos descargado

Permiten ver la fecha y la hora del último registro de evento, cadena oflujo descargado. Si cambia este valor, es posible establecer la fecha y lahora a partir de las cuales se recuperarán eventos, cadenas o flujos. Porejemplo, si introduce 13.11.16 a las 10:30:00 de la mañana en el campoÚltimo registro de eventos descargado, haga clic en Aplicar y, después, en Obtenereventos; el ESM recuperará todos los eventos del dispositivo desde esemomento hasta la fecha.

Configuración de base de datos Permite administrar la configuración de índice de base de datos en el ESM.

Configuración de inactividad Permite ver y cambiar la configuración de umbral de inactividad de cadauno de los dispositivos administrados por el ESM (véase Definición de laconfiguración de umbral de inactividad).

Geolocalización Permite configurar el ESM para registrar datos de geolocalización y ASN decada uno de los dispositivos (véase Definición de la configuración degeolocalización y ASN).

Véase también Cambio de la configuración de agregación de eventos o flujos en la página 326Adición de excepciones a la configuración de agregación de eventos en la página 327Administración de las excepciones de agregación de eventos en la página 328

Cambio de la configuración de agregación de eventos o flujosLa agregación de eventos y de flujos está activada de manera predeterminada con el valor Media alta. Esposible cambiar la configuración según proceda. El rendimiento de cada opción de configuración sedescribe en la página Agregación.

Antes de empezarEs necesario disponer de derechos de Administrador de directivas y Administración de dispositivo oAdministrador de directivas y Reglas personalizadas para cambiar estas opciones de configuración.

La agregación de eventos solo está disponible para los receptores y los dispositivos ADM, mientras quela agregación de flujos lo está en los receptores únicamente.





.

2 Haga clic en Agregación de eventos o Agregación de flujos.



Opción Definición

Actualizar Haga clic en esta opción para leer la configuración de agregación actualdel dispositivo. A continuación, se utiliza la tasa de agregación.

Control deslizante Haga clic en la flecha indicadora y arrástrela hasta la configuración quedesee. La descripción de los niveles 2 y 3 cambia para reflejar laconfiguración seleccionada.

Opción Personalizado delcontrol deslizante

Permite establecer los valores de nivel 2 y nivel 3.

Aplicar Permite actualizar el dispositivo con todas las opciones de configuraciónde esta pantalla.

Ver (solo eventos) Permite acceder a la página Excepciones de agregación de eventos (véase Adiciónde excepciones a la configuración de agregación de eventos).

Puertos (solo flujos) Configure los valores de agregación de puertos de flujos que seannecesarios (véase Configuración de los valores de agregación de lospuertos de flujos).

Véase también Agregación de eventos o flujos en la página 324Adición de excepciones a la configuración de agregación de eventos en la página 327Administración de las excepciones de agregación de eventos en la página 328

Adición de excepciones a la configuración de agregación de eventosLa configuración de agregación se aplica a todos los eventos generados por un dispositivo. Es posiblecrear expresiones para reglas individuales si la configuración general no es aplicable a los eventosgenerados por una regla.


1 En el panel de vistas, seleccione un evento generado por la regla a la que desee agregar laexcepción.

2Haga clic en el icono Menú y seleccione Modificar configuración de agregación.



3 Seleccione los tipos de campos que desee agregar mediante las listas desplegables Campo 2 y Campo3.

Los campos seleccionados en Campo 2 y Campo 3 deben ser de tipos distintos o se producirá un error.Cuando seleccione estos tipos de campos, la descripción de cada nivel de agregación cambiará parareflejar las selecciones realizadas. Los límites de tiempo de cada nivel dependen de la configuraciónde agregación de eventos definida para el dispositivo.

4 Haga clic en Aceptar para guardar la configuración y, a continuación, haga clic en Sí para continuar.

5 Anule la selección de dispositivos si no desea que los cambios de desplieguen en ellos.

6 Haga clic en Aceptar para desplegar los cambios en los dispositivos seleccionados.

La columna Estado mostrará el estado de la actualización a medida que se desplieguen los cambios.


Opción Definición

Editar Permite realizar cambios en la excepción seleccionada.

Quitar Eliminar la excepción seleccionada.

Desplegar Desplegar los cambios en el dispositivo.


Opción Definición

Columna Dispositivo Ver los dispositivos del sistema.

Segunda columna Seleccione los dispositivos en los que desee desplegar los cambios.

Columna Estado Permite ver el estado del despliegue en cada dispositivo.

Véase también Agregación de eventos o flujos en la página 324Cambio de la configuración de agregación de eventos o flujos en la página 326Administración de las excepciones de agregación de eventos en la página 328

Administración de las excepciones de agregación de eventosEs posible ver una lista de las excepciones de agregación de eventos agregadas al sistema. Tambiéncabe la posibilidad de editar o eliminar una excepción.



.

2 Haga clic en Agregación de eventos y, después, en Ver, en la parte inferior de la pantalla.

3 Realice los cambios necesarios y haga clic en Cerrar.

Véase también Agregación de eventos o flujos en la página 324Cambio de la configuración de agregación de eventos o flujos en la página 326Adición de excepciones a la configuración de agregación de eventos en la página 327



Configuración del reenvío de eventosEl reenvío de eventos permite enviar eventos desde el ESM a otro dispositivo o instalación mediantesyslog o SNMP (si procede). Es necesario definir el destino, y se puede indicar si se desea incluir elpaquete y camuflar los datos de IP. Se pueden agregar filtros para que los datos de evento se filtrenantes de su reenvío.

Esto no sustituye a la administración de registros, ya que no se trata de un conjunto completo deregistros firmados digitalmente de cada uno de los dispositivos del entorno.

Véase también Agentes de reenvío de eventos en la página 333Envío y reenvío de eventos con el formato de eventos estándar en la página 336Configuración del reenvío de eventos en la página 329Adición de destinos de reenvío de eventos en la página 330Activación o desactivación del reenvío de eventos en la página 333Modificación de la configuración de todos los destinos de reenvío de eventos en la página 334Adición de filtros de reenvío de eventos en la página 334Edición de la configuración de filtrado de reenvío de eventos en la página 335

Configuración del reenvío de eventosEs posible configurar un destino de reenvío de eventos para reenviar los datos de eventos a unservidor syslog o SNMP.

El número de destinos de reenvío de eventos en uso, en combinación con la tasa y el número deeventos recuperados por el ESM, puede afectar al rendimiento global de ESM.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío deeventos.

2 En la página Destinos de reenvío de eventos, seleccione Agregar, Editar o Quitar.

3 Si ha seleccionado agregar o editar un destino, defina su configuración.



Opción Definición

Destinos de reenvío de eventos Ver los destinos que ya se han agregado al sistema.

Agregar Agregar un destino al sistema.

Editar Cambiar la configuración del destino seleccionado.

Quitar Eliminar un destino del sistema.

Configuración Especificar la configuración que se aplica a todos los destinos de reenvíode eventos.



Véase también Configuración del reenvío de eventos en la página 329Agentes de reenvío de eventos en la página 333Envío y reenvío de eventos con el formato de eventos estándar en la página 336Adición de destinos de reenvío de eventos en la página 330Activación o desactivación del reenvío de eventos en la página 333Modificación de la configuración de todos los destinos de reenvío de eventos en la página 334Adición de filtros de reenvío de eventos en la página 334Edición de la configuración de filtrado de reenvío de eventos en la página 335

Adición de destinos de reenvío de eventosEs posible agregar un destino de reenvío de eventos al ESM a fin de reenviar datos de eventos a unservidor syslog o SNMP.








Opción Definición

Nombre Introduzca un nombre para este destino.

Activado Seleccione esta opción para activar el reenvío de eventos a este destino.

Usar perfil del sistema Seleccione esta opción si desea usar un perfil existente; después, seleccioneun perfil en la lista desplegable o haga clic en Usar perfil del sistema a fin deagregar un perfil nuevo.

Formato Seleccione el formato en la lista desplegable. Véase Agentes de reenvío deeventos para obtener una lista detallada de los agentes y la informacióncontenidos en los paquetes.

Dirección IP dedestino

Escriba la dirección IP de destino de syslog.

Puerto de destino Seleccione el puerto de destino en el que escucha syslog.

Protocolo Elija entre los protocolos de transporte UDP y TCP. UDP es el estándar deprotocolo en el que se basa syslog. Los paquetes enviados a través de syslogmediante TCP tienen exactamente el mismo formato que sus homólogos UDP,incluidos la función, la gravedad y el mensaje; la única excepción es uncarácter de nueva línea (código de carácter ASCII 10) al final del mensaje.

Al contrario que en el caso de UDP, que es un protocolo sin conexión, se debeestablecer una conexión TCP entre el ESM y el servidor que escucha loseventos reenviados. Si no se puede establecer una conexión o la conexión seinterrumpe, el ESM rastrea el último evento reenviado correctamente e intentaestablecer la conexión de nuevo tras unos minutos. Una vez restablecida laconexión, el ESM reanuda el reenvío de eventos donde se detuvo.

Si selecciona UDP, no podrá seleccionar SSH o TLS en el campo Modo.

Función Seleccione la función de los paquetes de syslog.

Gravedad Seleccione la gravedad de los paquetes de syslog.

Formato de hora Seleccione el formato de hora para el encabezado del reenvío de eventos desyslog. Si selecciona Heredado, el formato será el mismo que era en lasversiones anteriores a la 9.3.0, que correspondía a GMT. Si selecciona Estándar,podrá seleccionar una zona horaria.

Zona horaria Si ha seleccionado Estándar, seleccione la zona horaria que se usará al enviarregistros de reenvío de eventos.

Ocultar datos Seleccione esta opción si desea enmascarar los datos seleccionados incluidosen los datos reenviados a este destino. Para seleccionar los datos, haga clic enConfigurar.

Enviar paquete Si tiene la directiva configurada para copiar un paquete, seleccione esta opciónen caso de que desee reenviar la información sobre el paquete. Estainformación se incluye, si el paquete está disponible, al final del mensaje desyslog con codificación Base 64.

Filtros de evento Haga clic aquí para aplicar filtros a los datos de evento reenviados a syslog.




Opción Definición

Modo Seleccione el modo de seguridad para el mensaje. Si selecciona SSH, rellene lainformación restante. Si elige utilizar syslog mediante TCP (protocolo), indiquesi desea realizar la conexión TCP a través de SSH o TLS. Ya que syslog es unprotocolo sin cifrar, el uso de SSH o TLS evita que otras personas puedanexaminar sus mensajes de reenvío de eventos. Si utiliza el modo FIPS, puedereenviar datos de registro mediante TLS.

Puerto local deretransmisión

Escriba el puerto que se utilizará en el lado del ESM de la conexión SSH.

Puerto SSH remoto Escriba el puerto en el que escucha el servidor SSH al otro lado de la conexiónSSH.

Nombre de usuarioSSH

Escriba el nombre de usuario de SSH utilizado para establecer la conexiónSSH.

Clave DSA SSH Escriba la clave de autenticación DSA pública empleada para la autenticaciónSSH. El contenido de este campo se agregará al archivo authorized_keys (oequivalente) en el equipo donde se ejecute el servidor SSH.

Véase también Configuración del reenvío de eventos en la página 329Agentes de reenvío de eventos en la página 333Envío y reenvío de eventos con el formato de eventos estándar en la página 336Configuración del reenvío de eventos en la página 329Activación o desactivación del reenvío de eventos en la página 333Modificación de la configuración de todos los destinos de reenvío de eventos en la página 334Adición de filtros de reenvío de eventos en la página 334Edición de la configuración de filtrado de reenvío de eventos en la página 335



Agentes de reenvío de eventosEstos son los agentes de reenvío de eventos y la información contenida en los paquetes cuando sereenvían. El agente se selecciona en el campo Formato de la página Agregar destino de reenvío de eventos.

Agente Contenido

Syslog(registrosdeauditoría)

Hora (segundos desde tiempo), marca de estado, nombre de usuario, nombre decategoría de registro (en blanco para la versión 8.2.0, con valor para las versiones 8.3.0 yposteriores), nombre de grupo de dispositivos, nombre de dispositivo, mensaje deregistro.

Syslog(formatodeeventocomún)

Hora y fecha actuales, IP de ESM, versión de CEF 0, proveedor = McAfee, producto =modelo de ESM de /etc/McAfee Nitro/ipsmodel, versión = versión de ESM de /etc/buildstamp, ID de firma, mensaje de firma, gravedad (de 0 a 10), pares de nombre/valor,dirección convertida de dispositivo.

Syslog(formatodeeventoestándar)

<#>YYYY-MM-DDTHH:MM:SS.S [Dirección IP] McAfee_SIEM:{ "source": { "id": 144120685667549200, "name": "McAfee Email Gateway (ASP)","subnet": "::ffff:10.75.126.2/128" }, "fields": { "packet": { "encoding": "BASE64" } },"data": { "unique_id": 1, "alert_id": 1, "thirdpartytype": 49, "sig": { "id": 5000012,"name": "Random String Custom Type" }, "norm_sig": { "id": 1343225856, "name":"Misc Application Event" }, "action": "5", "src_ip": "65.254.48.200", "dst_ip": "0.0.0.0","src_port": 38129, "dst_port": 0, "protocol": "n/a", "src_mac": "00:00:00:00:00:00","dst_mac": "00:00:00:00:00:00", "src_asn_geo": 1423146310554370000, "firsttime":"2014-05-09T20:43:30Z", "lasttime": "2014-05-09T20:43:30Z", "writetime":"2014-05-09T20:44:01Z", "src_guid": "", "dst_guid": "", "total_severity": 25, "severity":25, "eventcount": 1, "flow": "0", "vlan": "0", "sequence": 0, "trusted": 2, "session_id": 0,"compression_level": 10, "reviewed": 0, "a1_ran_string_CF1": "This is data for customfield 1", "packet":"PDE0PjA5MDUyMDE0IDIwOjE4OjQ0fDIxfDY1LjI1NC40OC4yMDAtMzgxMjl8MXwxMDJ8U3BhbSBNZXNzYWdlIHR5cGU6IFRydXN0ZWRTb3VyY2UgU2lnbmF0dXJlIENvbmZpZGVuY2UgPSBISUdILiBDb25uZWN0aW9uOiA2NS4yNTQuNDguMjAwLTM4MTI5KElQLVBvcnQpfFRoaXMgaXMgZGF0YSBm b3IgY3VzdG9tIGZpZWxkIDF8W10A"

Véase también Configuración del reenvío de eventos en la página 329Envío y reenvío de eventos con el formato de eventos estándar en la página 336Configuración del reenvío de eventos en la página 329Adición de destinos de reenvío de eventos en la página 330Activación o desactivación del reenvío de eventos en la página 333Modificación de la configuración de todos los destinos de reenvío de eventos en la página 334Adición de filtros de reenvío de eventos en la página 334Edición de la configuración de filtrado de reenvío de eventos en la página 335

Activación o desactivación del reenvío de eventosEs posible activar o desactivar el reenvío de eventos en el ESM.



2 Haga clic en Configuración y, después, seleccione Reenvío de eventos activado o anule su selección.




Véase también Configuración del reenvío de eventos en la página 329Agentes de reenvío de eventos en la página 333Envío y reenvío de eventos con el formato de eventos estándar en la página 336Configuración del reenvío de eventos en la página 329Adición de destinos de reenvío de eventos en la página 330Modificación de la configuración de todos los destinos de reenvío de eventos en la página 334Adición de filtros de reenvío de eventos en la página 334Edición de la configuración de filtrado de reenvío de eventos en la página 335

Modificación de la configuración de todos los destinos de reenvío deeventosCabe la posibilidad de cambiar la configuración de todos los destinos de reenvío de eventos de unavez.



2 Haga clic en Configuración y establezca las opciones.


Véase también Configuración del reenvío de eventos en la página 329Agentes de reenvío de eventos en la página 333Envío y reenvío de eventos con el formato de eventos estándar en la página 336Configuración del reenvío de eventos en la página 329Adición de destinos de reenvío de eventos en la página 330Activación o desactivación del reenvío de eventos en la página 333Adición de filtros de reenvío de eventos en la página 334Edición de la configuración de filtrado de reenvío de eventos en la página 335

Adición de filtros de reenvío de eventosEs posible configurar filtros para limitar los datos de eventos reenviados a un servidor syslog o SNMPen el ESM.





2 Haga clic en Agregar y, después, en Filtros de evento.

3 Rellene los campos de filtrado y haga clic en Aceptar.


Opción Definición

Dispositivo Haga clic en el icono de filtrado , seleccione el dispositivo por el que filtrar yhaga clic en Aceptar.

IP de destino Escriba una dirección IP de destino individual (161.122.15.13) o un intervalo dedirecciones IP (192.168.0.0/16) por los que filtrar.

Puerto de destino Escriba el puerto de filtrado; solo se permite uno.

Protocolo Escriba el protocolo de filtrado; solo se permite uno.

IP de origen Escriba la dirección IP de origen individual o un intervalo de direcciones IP por losque filtrar.

Tipo de dispositivo Haga clic en el icono de filtrado, seleccione un máximo de 10 tipos de dispositivoy haga clic en Aceptar.

ID normalizado Seleccione los ID normalizados para el filtrado (véase Normalización).

Gravedad Para filtrar por la gravedad de un evento, seleccione Mayor o igual que y un númerode gravedad entre 0 y 100.

Véase también Configuración del reenvío de eventos en la página 329Agentes de reenvío de eventos en la página 333Envío y reenvío de eventos con el formato de eventos estándar en la página 336Configuración del reenvío de eventos en la página 329Adición de destinos de reenvío de eventos en la página 330Activación o desactivación del reenvío de eventos en la página 333Modificación de la configuración de todos los destinos de reenvío de eventos en la página 334Edición de la configuración de filtrado de reenvío de eventos en la página 335

Edición de la configuración de filtrado de reenvío de eventosEs posible cambiar la configuración de filtrado de reenvío de eventos una vez guardada.

Antes de empezarCuando se edita un filtro de dispositivos, es necesario tener acceso a todos los dispositivosdel filtro. A fin de activar el acceso a los dispositivos, véase Configuración de grupos deusuarios.





2 Haga clic en Editar y, después, haga clic en Filtros de evento.

3 Realice los cambios y haga clic en Aceptar.

Véase también Configuración del reenvío de eventos en la página 329Agentes de reenvío de eventos en la página 333Envío y reenvío de eventos con el formato de eventos estándar en la página 336Configuración del reenvío de eventos en la página 329Adición de destinos de reenvío de eventos en la página 330Activación o desactivación del reenvío de eventos en la página 333Modificación de la configuración de todos los destinos de reenvío de eventos en la página 334Adición de filtros de reenvío de eventos en la página 334

Envío y reenvío de eventos con el formato de eventos estándarEl formato de eventos estándar (SEF) es un formato de eventos basado en la notación de objetosJavaScript (JSON) que permite representar datos de eventos genéricos.

El formato SEF reenvía los eventos desde el ESM a un receptor situado en otro ESM, así como desde elESM a una tercera parte. También puede usarlo al enviar eventos desde una tercera parte a unreceptor, mediante la selección de SEF como formato de datos al crear el origen de datos.

Cuando se configura el reenvío de eventos con SEF desde un ESM a otro ESM, es necesario llevar acabo estos cuatro pasos:

1 Exporte los orígenes de datos, los tipos personalizados y las reglas personalizadas desde el ESMque reenvía los eventos.

— Para exportar los orígenes de datos, siga las instrucciones contenidas en Traslado de orígenes dedatos a otro sistema.

— Para exportar los tipos personalizados, acceda a Propiedades del sistema, haga clic en Tipospersonalizados y, después, haga clic en Exportar.

— Para exportar las reglas personalizadas, siga las instrucciones contenidas en Exportación dereglas.

2 En el ESM con el receptor destino del reenvío, importe los orígenes de datos, los tipospersonalizados y las reglas personalizadas que acaba de exportar.

— Para importar los orígenes de datos, siga las instrucciones contenidas en Traslado de orígenes dedatos a otro sistema.

— Para importar los tipos personalizados, acceda a Propiedades del sistema, haga clic en Tipospersonalizados y, después, haga clic en Importar.

— Para importar las reglas personalizadas, siga las instrucciones contenidas en Importación dereglas.



3 En el ESM que recibe los eventos de otro ESM, agregue un origen de datos de ESM.

— En el árbol de navegación del sistema, haga clic en el dispositivo receptor al que desee agregar

el origen de datos y, después, haga clic en el icono Agregar origen de datos .

— En la página Agregar origen de datos, seleccione McAfee en el campo Proveedor de origen de datos y,después, seleccione Enterprise Security Manager (SEF) en el campo Modelo de origen de datos.

— Rellene la información solicitada y haga clic en Aceptar.

4 Agregue el destino de reenvío de eventos en el ESM que realiza el envío.

— Haga clic en el sistema en el árbol de navegación del sistema y haga clic en el icono Propiedades

.

— Haga clic en Reenvío de eventos y, después, en Agregar.

— En la página Agregar destino de reenvío de eventos, seleccione syslog (Formato de eventos estándar) en elcampo Formato, rellene el resto de campos con la información correspondiente al ESM destino delreenvío y haga clic en Aceptar.

Véase también Configuración del reenvío de eventos en la página 329Agentes de reenvío de eventos en la página 333Configuración del reenvío de eventos en la página 329Adición de destinos de reenvío de eventos en la página 330Activación o desactivación del reenvío de eventos en la página 333Modificación de la configuración de todos los destinos de reenvío de eventos en la página 334Adición de filtros de reenvío de eventos en la página 334Edición de la configuración de filtrado de reenvío de eventos en la página 335

Administración de informesLos informes muestran datos sobre los eventos y flujos administrados en el ESM. Es posible diseñar uninforme propio o ejecutar alguno de los predefinidos, así como enviarlos en formato PDF, HTML o CSV.

Informes predefinidos

Los informes predefinidos se dividen en las siguientes categorías:

• Conformidad • McAfee Database Activity Monitoring (DAM)

• Ejecutivo • McAfee DEM

• McAfee ADM • McAfee Event Reporter

Estos informes generan datos basados en los eventos.

Informes definidos por el usuario

Cuando se crea un informe, se establece su diseño en el editor Diseño del informe mediante la selecciónde la orientación, el tamaño, la fuente, los márgenes, el encabezado y el pie. También se puedenincluir componentes y configurarlos para que muestren los datos de la forma deseada.

Todos los diseños se guardan y se pueden utilizar para diversos informes. Cuando se agrega uninforme, existe la opción de crear un nuevo diseño, utilizar uno existente tal cual o emplear unoexistente como plantilla y editar sus funciones. También es posible eliminar un diseño de informecuando ya no es necesario.

Uso de los eventosAdministración de informes 8


Véase también Establecimiento del mes de inicio para los informes trimestrales en la página 338Adición de informes en la página 338Adición de un diseño de informe en la página 341Inclusión de una imagen en los PDF y los informes en la página 344Adición de una condición de informe en la página 345Visualización de los nombres de hosts en un informe en la página 346

Establecimiento del mes de inicio para los informestrimestralesSi ejecuta informes de forma trimestral, debe definir el primer mes del Trimestre 1. Una vez definido yalmacenado esto en la tabla del sistema, los informes se ejecutan trimestralmente en función de estafecha de inicio.


1 En la consola de ESM, seleccione Propiedades del sistema y haga clic en Configuración personalizada.

2 En el campo Especifique qué mes iniciará el primer trimestre, seleccione el mes.

3 Haga clic en Aplicar para guardar la configuración.

Véase también Administración de informes en la página 337Adición de informes en la página 338Adición de un diseño de informe en la página 341Inclusión de una imagen en los PDF y los informes en la página 344Adición de una condición de informe en la página 345Visualización de los nombres de hosts en un informe en la página 346

Adición de informesAgregue informes y ejecútelos de forma regular según los intervalos definidos, o bien ejecútelos alseleccionarlos manualmente. Es posible seleccionar un diseño de informe existente o crear uno nuevomediante el editor Diseño de informe.

Procedimiento

1 Desde el panel, haga clic en y seleccione Informes.

2 Haga clic en Agregar y defina la configuración en la página Agregar informe.


El informe se agregará a la tabla en la página Informes y se ejecutará según la definición del campoCondición.


Opción Definición

Tabla Informes Ver los informes que hay actualmente configurados en el ESM.

Agregar Definir la configuración de un informe nuevo y agregarlo al ESM.

Editar Cambiar la configuración de un informe existente.

8 Uso de los eventosAdministración de informes



Opción Definición

Quitar Eliminar un informe existente del ESM.

Ejecutar ahora Ejecutar el informe seleccionado en ese momento.

Compartir Comparta los informes seleccionados con los grupos o usuarios de suelección.

Importar Importar informes que se han exportado previamente.

Exportar Exportar informes.

Activado Activar el informe seleccionado en la tabla.

Botón Activar o Desactivar Activar o desactivar la función de generación de informes. Si se desactiva, nose generará ningún informe de la lista.

Condiciones Administrar los tipos de condiciones disponibles para los informes.

Destinatarios Administrar los destinatarios definidos en el ESM.

Ver Ver los informes que hay en cola a la espera de ejecución y cancelarlos siprocede.

Archivos Administrar los archivos de informes generados.


Opción Definición

Nombre del informe Escriba un nombre para el informe.

Descripción Escriba una descripción de la información que genera el informe.

Condición Seleccione esta opción si desea que el informe se ejecute desde la lista deopciones. Si desea agregar una condición a la lista de opciones, haga clic en Editarcondiciones.

Zona horaria Seleccione la zona horaria que se debe emplear para ejecutar las consultas.

Formato de fecha Seleccione el formato que se debe usar para la fecha.

Formato Seleccione el formato que desea que tenga el informe generado.• Si está diseñando un informe nuevo, las opciones son PDF o HTML.

• Si desea incluir una vista en el informe, seleccione Ver PDF.

• Si desea generar un archivo CSV con los resultados de la consulta, seleccioneConsulta en CSV.

Mensaje de correoelectrónico enviado ausuarios y grupos

Seleccione esta opción si desea que el informe se envíe a usuarios o grupos y,después, haga clic en Agregar destinatario para seleccionarlos. Si el formato delinforme es Informe en HTML o Consulta en CSV, indique si desea que el informe se envíecomo datos adjuntos en el mensaje de correo electrónico o directamente.

Archivo guardado enel ESM

Permite guardar el informe dentro de un archivo en el ESM. Prefijo muestra elprefijo predeterminado para el nombre del archivo, el cual se puede cambiar.Una vez generado el archivo, haga clic en Archivos en la página Informes para ver elinforme.

Archivo guardado enubicación remota

Permite guardar el informe en una ubicación remota. Seleccione la ubicación en lalista desplegable. Si no aparece, haga clic en administrar ubicaciones y agregue elperfil de ubicación remota.




Opción Definición

Elija un diseñoexistente o cree unonuevo

Si ha seleccionado el formato PDF o HTML, seleccione un diseño existente o creeotro nuevo. Es posible administrar los diseños.• Elija un diseño existente: localice el diseño en la lista y haga clic en él.

• Agregar: haga clic aquí para abrir el editor Diseño del informe y cree un diseñonuevo.

• Editar: realice cambios en un diseño existente.

• Agregar carpeta: permite agregar una carpeta para organizar los diseños. Acontinuación cabe la posibilidad de agregar un diseño nuevo a la carpeta,arrastrar y soltar un diseño existente en la carpeta o agregar una subcarpeta.

• Importar: a fin de importar un diseño, haga clic en esta opción y busque elarchivo que desee importar.

Si el diseño que va a importar incluye una imagen que se encuentraactualmente en el ESM, se abrirá Importar diseños de informe para informarle delconflicto y ofrecerle las opciones siguientes:

• Mantener local: mantiene la imagen en el ESM y elimina la imagen del diseño deinforme. Se empleará la imagen del ESM para el diseño.

• Reemplazar local: sustituye la imagen del ESM por la imagen del diseño deinforme. Cualquier diseño que utilice la imagen eliminada del ESM pasará ausar la imagen importada con el diseño.

• Cambiar nombre: cambia el nombre de la imagen del diseño de informeautomáticamente y el diseño se importa mediante la imagen con el nombrenuevo.

• Exportar: haga clic aquí para exportar diseños.

• Incluir resumen de filtro en informe: permite incluir un resumen de los filtros decomponentes globales e individuales definidos para este informe. Los filtrosempleados se indican en la parte inferior del informe. Esto resulta útil si deseaconocer los límites definidos para los datos del informe.

Elija una vista Si ha seleccionado Ver PDF como formato, seleccione la vista que desee incluir enel informe en la lista desplegable.

Elija una consultapredefinida

Si ha seleccionado Consulta en CSV, seleccione la consulta predefinida.

Introduzca los valoresa fin de filtrar

Seleccione los filtros que desee aplicar a todos los componentes de este informe(véase Página Filtros de consulta). Puede utilizar los filtros contains y regex enestos campos (véase Descripción de los filtros contains y regex).

Véase también Administración de informes en la página 337Establecimiento del mes de inicio para los informes trimestrales en la página 338Adición de un diseño de informe en la página 341Inclusión de una imagen en los PDF y los informes en la página 344Adición de una condición de informe en la página 345Visualización de los nombres de hosts en un informe en la página 346



Adición de un diseño de informe Defina el diseño de un informe si los diseños predefinidos no satisfacen sus necesidades.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Informes.

2 Haga clic en Agregar para abrir la página Agregar informe y rellene las secciones 1, 2 y 3.

3 En la sección 4, seleccione Informe en PDF o Informe en HTML.

4 En la sección 5, haga clic en Agregar para abrir el editor Diseño del informe.

5 Configure el diseño a fin de mostrar los datos generados por el informe.

El informe se guarda y se puede utilizar tal cual para otros informes o a modo de plantilla editable.


Opción Definición

Deslice el indicador a un lado u otro para ajustar el tamaño dela página del editor.

Seleccione esta opción para que la anchura de la página deleditor coincida con la de la página.

Propiedades de documento Defina la configuración de formato básica para el diseño.• Nombre y Descripción: escriba un nombre para el diseño y una

descripción de sus funciones. El nombre es obligatorio.

• Orientación: indique si desea que la página tenga orientaciónhorizontal o vertical a la hora de imprimir el informe.

• Tamaño: el tamaño predeterminado de la página de informe es8,5 x 11. Para cambiarlo, seleccione el tamaño correcto en lalista desplegable. El cambio se reflejará en la página deleditor.

• Fuente predeterminada: seleccione el tipo de fuente, el tamaño yel color del texto del informe. Al hacer el cambio, este serefleja en el texto de la página del editor. También puedeindicar si desea que el texto esté en negrita, en cursiva,subrayado, centrado o alineado a la derecha de la página.

• Margen: seleccione el margen de los bordes del informe.

• Encabezado y pie de página: indique si desea que el informe tengaencabezado y pie de página.




Opción Definición

Propiedades de encabezado Haga clic en el área de encabezado de la página del editor y,después, haga lo siguiente en la sección Propiedades de encabezado.• Fuente de nombre de informe: seleccione la fuente que desee

utilizar para el nombre del diseño en el encabezado.

• Elementos incluidos: seleccione los elementos que desee incluiren el encabezado. Si cambia la fuente de estos elementos,acceda a Propiedades de documento.

• Logotipo: indique si desea que aparezca un logotipo en elencabezado. De ser así, indique si desea que se encuentre ala derecha o a la izquierda del encabezado, y haga clic en elvínculo situado en el campo Archivo para seleccionar unaimagen.

Propiedades de pie de página Haga clic en el área del pie de la página del editor. En la secciónPropiedades de pie de página, seleccione los elementos que deseeincluir.

Guardar Haga clic aquí para guardar el diseño. Se le notificará si quedaalguna opción requerida sin definir.

Guardar como Permite guardar el diseño con un nombre de archivo nuevo.

Copiar Haga clic aquí para copiar el componente seleccionado en eldiseño. En la parte izquierda se agregará el icono de unportapapeles que indica el tipo de componente copiado.Posteriormente, se puede pegar de dos formas:• Arrastre y suelte el icono en la ubicación donde desee

agregar el componente.

• Resalte un componente en el diseño y haga clic en Pegar. Elcomponente copiado se inserta debajo del componenteresaltado.




Opción Definición

Propiedades de componentes Arrastre y suelte componentes de Texto, Imagen, Tabla, Gráfico debarras, Gráfico circular o Gráfico de distribución en la página del editor ydefina su configuración como sigue.• Asistente de consultas: defina la consulta para el componente

seleccionado.

• Fuente: defina el tipo de fuente, el tamaño y el color del texto;indique si se le debe aplicar negrita, cursiva o subrayado; porúltimo, indique si desea que se justifique a la izquierda, elcentro o la derecha.

• Imagen: seleccione la imagen en la página Selector de imagen.

• Título: cambie el título si procede, establezca la fuente yseleccione su justificación.

• Consulta: realice cambios en la consulta si procede yseleccione el número máximo de resultados que se mostraránen la tabla. En un componente de Tabla, Gráfico de barras o Gráficocircular, seleccione Resolver direcciones IP como nombres de host sidesea que el informe utilice la resolución de DNS para lasdirecciones IP de origen y destino.

• Encabezado de tabla: establezca la fuente para la fila deencabezado de la tabla.

• Tabla: establezca la fuente para los datos de la tabla.

• Borde: indique si desea que aparezca un borde alrededor delcuadro de texto, la imagen o la tabla y, de ser así, el grosor yel color.

• Colores de filas alternativos: si desea que las filas alternativas deuna tabla tengan un color distinto, seleccione ambos colores.

• Columnas: defina los nombres y el formato de cada columna dela tabla.

• Configuración de subtotal: indique si desea que aparezcan lossubtotales en la tabla.

• Otro: en el caso de un gráfico circular, indique si desea queaparezcan etiquetas y una leyenda.

• Para ajustar el tamaño de un componente, haga clic en elcomponente en la página del editor, haga clic en uno de loscuadrados amarillos que indican los bordes y arrástrelohasta obtener el tamaño deseado.

Salto de página Arrástrelo y suéltelo en la ubicación donde desee insertar unsalto de página. Una línea negra en negrita indica dónde seencuentra el salto de página.

Véase también Administración de informes en la página 337Establecimiento del mes de inicio para los informes trimestrales en la página 338Adición de informes en la página 338Inclusión de una imagen en los PDF y los informes en la página 344Adición de una condición de informe en la página 345Visualización de los nombres de hosts en un informe en la página 346



Adición de un componente de imagen a un informeSeleccione una imagen para agregarla al cuerpo de un informe a modo de componente.

Antes de empezarAsegúrese de que el archivo de imagen ya se haya agregado al ESM o se encuentre en unaubicación accesible desde el ESM.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Informes | Agregar y rellene lassecciones de la 1 a la 4.

2 En la sección 5, haga clic en Agregar para establecer un nuevo diseño de informe o seleccione undiseño existente y haga clic en Editar.

3En la página Diseño de informe, arrastre y coloque el icono Imagen en la sección del cuerpo deldiseño.

4 En la página Selector de imagen, haga clic en Agregar para cargar una imagen nueva y selecciónela, obien seleccione una imagen en la lista.

5 Haga clic en Aceptar para agregar la imagen al diseño de informe.

Inclusión de una imagen en los PDF y los informesEs posible configurar el ESM de forma que los PDF exportados y los informes impresos incluyan laimagen que aparece en la pantalla Inicio de sesión.

Antes de empezarAgregue la imagen a la página Configuración personalizada.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuraciónpersonalizada.

2 Seleccione Incluir imagen en PDF exportado desde vistas o informes impresos.



Opción Definición

Tabla Selector de imagen Permite ver las imágenes que hay en el ESM. Seleccione una y haga clic enAceptar.

Agregar Permite agregar una nueva imagen al ESM.

Cambiar nombre Permite cambiar el nombre de una imagen que hay actualmente en el ESM.El nombre de las imágenes de la lista debe ser exclusivo.

Eliminar Permite eliminar una imagen del ESM.



Véase también Administración de informes en la página 337Establecimiento del mes de inicio para los informes trimestrales en la página 338Adición de informes en la página 338Adición de un diseño de informe en la página 341Adición de una condición de informe en la página 345Visualización de los nombres de hosts en un informe en la página 346

Adición de una condición de informeAgregue condiciones para que estén disponibles a la hora de configurar un informe.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Informes.

2 Haga clic en Condiciones y rellene la información solicitada.


Esta opción aparecerá en la lista de condiciones disponibles a la hora de seleccionar la condición paraun informe.


Opción Definición

Tabla Condiciones Ver las condiciones existentes.

Agregar Especificar la configuración de una condición nueva.

Editar Cambiar la configuración de una condición existente.

Quitar Eliminar una condición existente.


Opción Definición

Nombre Escriba un nombre para esta condición.

Tipo Seleccione la frecuencia con que desee que se active la condición.

Notas Escriba notas que expliquen lo que hace la condición.

Propiedades Defina los detalles sobre el momento de activación. Las opciones dependen del tiposeleccionado.

Véase también Administración de informes en la página 337Establecimiento del mes de inicio para los informes trimestrales en la página 338Adición de informes en la página 338Adición de un diseño de informe en la página 341Inclusión de una imagen en los PDF y los informes en la página 344Visualización de los nombres de hosts en un informe en la página 346



Visualización de los nombres de hosts en un informeEs posible configurar los informes a fin de que utilicen la resolución de DNS para las direcciones IP deorigen y destino en los informes.



2 Haga clic en Informes, a continuación, en Agregar y rellene la información solicitada en las seccionesde la 1 a la 4.

3 En la sección 5, haga clic en Agregar, arrastre y suelte un componente de Tabla, Gráfico de barras oGráfico circular y rellene el Asistente de consultas.

4 En la sección Consulta del panel Propiedades del editor Diseño del informe, seleccione Resolver direcciones IPcomo nombres de host.

Además de en el informe, podrá ver los resultados de la búsqueda de DNS en la tabla Hosts (Propiedadesdel sistema | Hosts).

Véase también Administración de informes en la página 337Establecimiento del mes de inicio para los informes trimestrales en la página 338Adición de informes en la página 338Adición de un diseño de informe en la página 341Inclusión de una imagen en los PDF y los informes en la página 344Adición de una condición de informe en la página 345

Descripción de los filtros contains y regexLos filtros contains y regex permiten el uso de caracteres comodín en datos de cadena tanto indizadoscomo no indizados. Estos filtros tienen requisitos de sintaxis.

Estos comandos se pueden utilizar en cualquier campo que permita datos de texto o cadena. Lamayoría de los campos de texto están marcados con el icono de no distinción entre mayúsculas yminúsculas junto al nombre del campo de filtro. Otros campos que permiten el uso de contains notienen ese icono. Para ver la lista completa de campos, consulte la sección Campos compatibles concontains/regex.

Sintaxis y ejemplos

La sintaxis básica de contains es contains(valor) y, en el caso de regex, esregex(expresión_regular).

Para que no se distinga entre mayúsculas y minúsculas, haga clic en el icono o incluya la notaciónde expresión regular /i, como, por ejemplo, regex(/valor/i). La búsqueda devolverá cualquier valorque contenga valor, independientemente de las mayúsculas y minúsculas utilizadas.

Los iconos NOT y OR se aplican a los valores de regex y contains. Si desea que los resultadosincluyan los valores que no contienen un valor, introduzca dicho valor y haga clic en el icono NOT. Sidesea que los resultados incluyan los valores que no contienen un valor u otro, introduzca los valoresy haga clic en el icono OR.

8 Uso de los eventosDescripción de los filtros contains y regex


Ejemplo 1 - Búsqueda simple

Campos indizados: contains(stra), regex(stra)Campos no indizados: straResultado: Devuelve cualquier cadena con stra, como, por ejemplo, administrador,

gmestrad o straub.

Ejemplo 2 - Búsqueda OR

Campos indizados: contains(admin,NGCP), regex((admin|NGCP))Campos no indizados: admin,NGCPResultado: Devuelve cualquier cadena dentro del campo que contenga admin o NGCP. El

par adicional de paréntesis es necesario para que funcione OR con laexpresión regular.

Ejemplo 3 - Búsqueda de caracteres especiales, por ejemplo en cuentas de servicio

Símbolo de dólar:

Campos indizados: contains($), regex(\x24) o regex(\$)Campos no indizados: $Resultado: Devuelven cualquier cadena dentro del campo que contenga $. Diríjase a

http://www.ascii.cl para ver la lista de valores HEX correspondientes a loscaracteres.

Con regex, si intenta utilizar $ sin escape, no obtendrá ningún resultado. La secuencia de escape dePCRE es un método de búsqueda mejor.

Símbolo de porcentaje:

Campos indizados: contains(%), regex(\x25) o regex(\%)Campos no indizados: %

Barra diagonal inversa:

Campos indizados: contains(\), regex(\x5c) o regex(\\)Campos no indizados: \

Barra diagonal inversa doble

Campos indizados: contains(\\), regex(\x5c\x5c) o regex(\\\)Campos no indizados: \\

En algunos casos, si no se emplea el valor HEX o la barra con regex, puede obtener un error deExpresión regular no válida (ER5-0015).

Ejemplo 4 - Búsqueda mediante el carácter comodín *

Uso de los eventosDescripción de los filtros contains y regex 8


Campos indizados: contains (ad*)Campos no indizados: ad*Resultado: Devuelve cualquier cadena que empiece por ad como, por ejemplo,

administrador y adición.

Ejemplo 5 - Búsqueda mediante una expresión regular

Estos dominios corresponden a eventos DNS de Microsoft.

regex(nitroguard\x28[3-4]\x29[com|info}+)(3)www(10)nitroguard(3)com(0)(3)www(10)nitroguard(4)info(0)(3)www(10)nitroguard(3)gov(0)(3)www(10)nitroguard(3)edu(0)(3)www(10)nitroguard(7)oddball(0)Resultado: Esta expresión regular busca una cadena concreta. En este caso, se trata de

nitroguard, un dominio principal de tres o cuatro dígitos y com o info. Estaexpresión regular coincide con las primeras dos expresiones, pero no con lasdemás. Estos ejemplos se emplean para mostrar cómo utilizar regex con estafunción. Las expresiones serán muy distintas en su caso.

Advertencias

• El uso de regex con valores de menos de tres caracteres provoca una sobrecarga mayor y unrendimiento más lento en las consultas. Se recomienda que todas las consultas tengan más de trescaracteres.

• Este filtro no se puede utilizar en alarmas ni reglas de correlación. La única excepción es que sepuede utilizar en reglas de correlación con tipos personalizados de nombre/valor.

• El uso de contains o regex con NOT puede provocar una sobrecarga mayor y un rendimiento máslento en las consultas.

Descripción del filtro Bloom

Para obtener información sobre el filtro Bloom, consulte http://en.wikipedia.org/wiki/Bloom_filter.

Campos compatibles con contains y regex

Access_Resource File_Operation_Succeeded Sitio de referencia

Aplicación Ruta de archivo Clave de registro

Application_Protocol File_Type Valor de registro

Área Filename Request_Type

Authoritative_Answer Estado de reenvío Response_Code

CCO De Return_Code

Proceso del llamador From_Address RTMP_Application

Catalog_Name FTP_Command Sensor_Name

Categoría Host Sensor_Type

Cc HTTP_Req_Cookie Sensor_UUID

8 Uso de los eventosDescripción de los filtros contains y regex


http://en.wikipedia.org/wiki/Bloom_filter

Client_Version HTTP_Req_Host Estado de sesión

Comando HTTP_Req_Method ID de firma

Contact_Name HTTP_Req_Referer Signature_Name

Contact_Nickname HTTP_Req_URL SNMP_Error_Code

Cookie HTTP_User_Agent SNMP_Item

Creator_Name Incoming_ID SNMP_Item_Type

Database_ID Interfaz SNMP_Operation

Database_Name Dest. de interfaz SNMP_Version

ID de centro de datos Job_Name Usuario de origen

Nombre de centro de datos Job_Type Source_Context

DB2_Plan_Name Idioma ID de inicio de sesión de origen

Delivery_ID Local_User_Name Source_Network

Descripción Logical_Unit_Name Source_UserID

Usuario de destino Tipo de inicio de sesión Source_Zone

Directorio de destino LPAR_DB2_Subsystem Comando SQL

Destination_Filename Mail_ID SQL_Statement

Destination_Hostname Buzón de correo Step_Count

ID de inicio de sesión de destino Mainframe_Job_Name Step_Name

Destination_Network Malware_Insp_Action Asunto

Destination_UserID Malware_Insp_Result SWF_URL

Destination_Zone Servidor de administración Table_Name

Método de detección Message_ID Target_Class

Acción de dispositivo Message_Text Target_Context

Dirección Método Nombre de proceso de destino

Directorio NTP_Client_Mode TC_URL

DNS_Class NTP_Opcode Categoría de amenaza

DNS_Name NTP_Request Amenaza gestionada

DNS_Type NTP_Server_Mode Threat_Name

Dominio Objeto To

Event_Class Object_Type To_Address

External_Application Sistema operativo URL

External_DB2_Server Policy_Name Categoría de URL

External_Hostname Privileged_User User_Agent

ID de sesión externo Process_Name User_Nickname

Función Query_Response Versión

File_Operation Motivo ID de máquina virtual

Nombre de máquina virtual

Los siguientes tipos personalizados pueden utilizar contains y regex:

Uso de los eventosDescripción de los filtros contains y regex 8


Vistas• Cadena

• Cadena aleatoria

• Nombre/valor

• Cadena con hash

Administración de casos• Notas

• Resumen

• Historial

Uso de las vistas de ESMEl ESM recupera información sobre eventos, flujos, activos y vulnerabilidades registrada por undispositivo. Esta información se correlaciona y se inserta en el motor Security Event Aggregation andCorrelation (MSEAC) de McAfee.

Contenido Administración de vistas Visualización de detalles de sesión Filtrado de vistas Listas de control Vistas de flujo Vista Búsqueda de ELM mejorada Componentes de vista Uso del Asistente de consultas

Administración de vistasLa administración de vistas ofrece una forma rápida de copiar, importar o exportar más de una vista almismo tiempo. Es posible seleccionar las vistas que incluir en la lista de vistas y asignar permisos ausuarios o grupos específicos para el acceso a vistas concretas.


1 En la consola de ESM, haga clic en el icono Administrar vistas .

2 Lleve a cabo cualquiera de las opciones disponibles y, después, haga clic en Aceptar.


Opción Definición

Tabla Seleccione las vistas que desee ver en la lista de vistas. Si se marca la carpeta,se seleccionan todas sus subcarpetas y vistas. Si la casilla de verificación de lacarpeta está negra, se han seleccionado algunas de sus subcarpetas y vistas.

Agregar carpeta Permite crear una carpeta personalizada para organizar las vistas. Una vezagregada, es posible arrastrar y soltar vistas en ella.

Cambiar nombre Permite renombrar la carpeta o la vista seleccionadas. No es posible cambiar elnombre de las vistas de solo lectura.

Eliminar Eliminar las vistas o carpetas personalizadas seleccionadas. No es posibleeliminar las vistas de solo lectura.

Copiar Copiar una vista y agregarla a la lista de vistas. Una vez copiada una vista, esposible arrastrarla y soltarla en otra carpeta.

8 Uso de los eventosUso de las vistas de ESM



Opción Definición

Compartir Seleccione los usuarios o grupos que deben tener permiso para acceder a lasvistas seleccionadas y modificarlas.

Importar Importar archivos de vista al ESM.

Exportar Exportar un archivo de vistas personalizadas para compartirlas con otro ESM oconservar el archivo a modo de copia de seguridad. Tenga en cuenta que no sepueden exportar las vistas de solo lectura.

Convertir esta vista en mipredeterminada

Seleccione una vista concreta para que sea la vista predeterminada del panelde vistas. Para ello, haga clic en la vista y seleccione esta opción.

Visualización de detalles de sesiónEs posible ver los detalles de un evento con un ID de sesión y guardarlos en un archivo CSV medianteel Visor de sesión.

Para tener un ID de sesión, un evento debe residir dentro de una sesión. Una sesión es el resultado deuna conexión entre un origen y un destino. Los eventos internos del dispositivo o del ESM no cuentancon ID de sesión.


1 En la lista desplegable de vistas, seleccione la vista que incluya la sesión que desee ver.

2 Seleccione el evento, haga clic en el icono de menú de la barra de título del componente y, acontinuación, seleccione Información detallada de evento | Eventos.

3 Haga clic en el evento, después en la ficha Detalles avanzados y, después, en el icono de Ver datos de

sesión situado junto al campo ID de sesión.

Se abrirá el Visor de sesión, donde podrá ver los detalles de la sesión.

Filtrado de vistasEn el panel de filtros situado en la consola principal de ESM, es posible establecer filtros paraaplicarlos a las vistas. Cualquier filtro aplicado a una vista se aplica a la siguiente vista que se abre.

La primera vez que se inicia sesión en el ESM, el panel de filtros personalizados incluye los campos defiltrado Usuario de origen, Usuario de destino, IP de origen e IP de destino. Cabe la posibilidad de agregar yeliminar campos de filtrado, guardar conjuntos de filtros, cambiar el conjunto predeterminado,administrar todos los filtros e iniciar el administrador de normalización de cadenas.

Aparece el icono de un embudo naranja en la esquina superior derecha del panel de vista para alertarde que hay filtros aplicados a la vista. Si hace clic en este icono naranja, se borran todos los filtros yse vuelve a ejecutar la consulta.

Siempre que haya valores de filtrado separados por comas, tales como variables, filtros globales,filtros locales, cadenas normalizadas o filtros de informe, es necesario usar comillas si no forman partede una lista de vigilancia. Si el valor es Salas,Juan, deberá escribir "Salas,Juan". Si hay comillas enel valor, será necesario entrecomillarlas. Si el valor es Salas,"Barbas"Juan, deberá escribirlo como"Salas,""Barbas""Juan".

Puede utilizar los filtros contains y regex (véase Descripción de los filtros contains y regex).

Uso de los eventosUso de las vistas de ESM 8


Véase también Filtrado de una vista en la página 352Adición de filtros de ID de evento de Windows y UCF en la página 378Selección de ID normalizados en la página 353

Filtrado de una vistaLos filtros ayudan a ver los detalles sobre los elementos seleccionados en una vista. Si introduce filtrosy actualiza la vista, los datos de la vista reflejarán los filtros agregados.


1 En la consola de ESM, haga clic en la lista de vistas y seleccione la vista que desee filtrar.

2 En el panel Filtro, rellene los campos con los datos por los que desee filtrar de una de las formassiguientes:

• Escriba la información de filtrado en el campo correspondiente. Por ejemplo, para filtrar la vistaactual de forma que solo se vean los datos con la dirección IP de origen 161.122.15.13, escribaesta dirección IP en el campo IP de origen.

• Escriba un filtro contains o regex (véase Descripción de los filtros contains y regex).

• Haga clic en el icono Mostrar lista de filtros junto al campo y seleccione las variables o las listasde vigilancia por las que filtrar.

• En la vista, seleccione los datos que desee utilizar como filtro y haga clic en el campo en elpanel Filtro. Si el campo está en blanco, se rellenará automáticamente con los datosseleccionados.

En el caso de Promedio de gravedad, use dos puntos (:) para indicar un intervalo. Por ejemplo, 60:80representa un intervalo de gravedad de entre 60 y 80.



Ver datos que coinciden conmás de un filtro

Introduzca los valores en cada campo.

Ver datos que coinciden conalgunos valores de filtrado yexcluyen otros

1 Introduzca los valores de filtrado que desee incluir y excluir.

2 Haga clic en el icono NOT situado junto a los campos quedesee excluir.

Ver datos que coinciden confiltros de expresión regular o detipo OR

1 Introduzca los valores de filtrado en los campos de expresiónregular y OR.

2 Haga clic en el icono OR junto a los campos que tengan losvalores OR.

La vista incluirá los datos que coincidan con los valores de loscampos no marcados como OR y que coincidan con cualquierade los valores de los campos marcados como OR.

Para que funcione este filtro, hay que marcar un mínimo dedos campos como OR.




Hacer que en los valores defiltrado no se distinga entremayúscula y minúscula

Haga clic en el icono Sin distinción mayúsculas/minúsculas junto alcampo de filtrado adecuado.

Reemplazar las cadenasnormalizadas por sus alias

Haga clic en el icono de normalización de cadenas junto alcampo de filtrado adecuado.

4 Haga clic en el icono Ejecutar consulta .

La vista se actualizará y los registros que coincidan con los valores introducidos aparecerán en lavista. Aparecerá un icono de filtrado naranja en la esquina superior derecha del panel de vista queindica que los datos de la vista son el resultado de los filtros. Si se hace clic en este icono, los filtros seborran y la vista muestra todos los datos.


Opción Definición

Tabla Ver los conjuntos de filtros agregados al ESM (véase Panel Filtros), así comotodos los filtros posibles. Para organizar esta lista, agregue carpetas y coloqueen ellas los conjuntos de filtros.

Agregar carpeta Agregar una nueva carpeta para organizar los filtros. Una vez agregada, puedearrastrar y colocar los conjuntos de filtros en la nueva carpeta.

Agregar conjunto defiltros, Editar conjuntode filtros

Agregar un nuevo conjunto de filtros a la lista de filtros posibles o editar unoexistente.

Cambiar nombre Cambiar el nombre de la carpeta o el conjunto de filtros seleccionados.

Eliminar Eliminar una carpeta o un filtro de la lista.

Copiar Copiar un filtro existente. Tras cambiarle el nombre, se agregará al final de lalista. A continuación, puede usarlo como plantilla y realizar cambios en suconfiguración mediante la opción Editar conjunto de filtros.

Compartir Compartir las carpetas o los conjuntos de filtros seleccionados con otrosusuarios o grupos del sistema.

Véase también Filtrado de vistas en la página 351Adición de filtros de ID de evento de Windows y UCF en la página 378Selección de ID normalizados en la página 353

Selección de ID normalizadosCuando se crea una vista nueva o se agrega un filtro a una vista, se puede optar por filtrar los datosmediante ID normalizados.




1 En la consola de ESM, realice una de estas acciones:

• Si va a crear una vista nueva, haga clic en Filtros en la segunda página del Asistente de consultas(véase Definición de la configuración de componentes de vista o informe).

• Si va a agregar filtros a una vista, seleccione la vista a la que desee agregarlos. El panel Filtrosse encuentra en la parte derecha de la pantalla.

2 Localice el campo ID normalizado y haga clic en el icono Filtros .

3 Seleccione los ID y haga clic en Aceptar.

Los números de ID seleccionados se agregarán al campo ID normalizado.

Véase también Filtrado de vistas en la página 351Filtrado de una vista en la página 352Adición de filtros de ID de evento de Windows y UCF en la página 378

Visualización de la hora del eventoEs posible ver la hora exacta a la que se insertó un evento en la base de datos del receptor.

Antes de empezarDebe contar con los siguientes permisos:

• Ver datos para obtener eventos y ver la hora del evento.

• Administración de vistas para crear una vista.

• Administración de eventos para cambiar los eventos.


1 En la consola de ESM, agregue una vista de tabla de eventos que incluya el campo Hora de dispositivo.

a En la barra de herramientas del panel de visualización, haga clic en el icono Crear vista nueva .

b En la Barra de herramientas de edición de vistas, haga clic en el componente Tabla y arrástrelo.

c En el Asistente de consultas, haga clic en Siguiente y, después, en Campos.

d Haga clic en Hora de dispositivo en la lista de la izquierda y muévalo a la lista de la derecha.

e En la página Campos, haga clic en Aceptar y, después, en Finalizar.

f En la Barra de herramientas de edición de vistas, haga clic en Guardar como, escriba el nombre de la vista yhaga clic en Aceptar.

g Cierre la Barra de herramientas de edición de vistas.

La vista se agregará a la lista desplegable de vistas.



2 Visualice la Hora de dispositivo de una de las formas siguientes.

Si envía un evento a Remedy (véase Envío de un mensaje de correo electrónico a Remedy), la horadel dispositivo correspondiente al evento se perderá.

• Visualice la columna Hora de dispositivo en la tabla de eventos de la vista que ha agregado.

• Haga clic en el icono Ver detalles de datos en la barra de herramientas situada en la parte inferiorde la tabla, haga clic en la ficha Detalles avanzados y, después, visualice el campo Hora de dispositivo.

Listas de controlUna lista de vigilancia es un conjunto de información de un tipo concreto que se puede usar comofiltro o como condición de alarma.

Puede ser global o compartida con un usuario o grupo concretos, y puede ser estática o dinámica. Unalista de vigilancia estática consta de valores específicos que se introducen o se importan. Una lista devigilancia dinámica consta de valores que resultan de una expresión regular o de los criterios debúsqueda de cadenas que se definen.

Una lista de vigilancia puede contener un máximo de 1 000 000 de valores. Las listas de valores de laspáginas Agregar lista de vigilancia y Editar lista de vigilancia pueden mostrar un máximo de 25 000 valores. Sihay más, se le informará de que existen demasiados valores para mostrarlos todos. Si desea editaruna lista de vigilancia mediante la adición de valores de forma que el total supere los 25 000, deberáexportar la lista existente a un archivo local, agregar los valores nuevos e importar la nueva lista.

Es posible configurar los valores de una lista de vigilancia de forma que caduquen. Cada valor tieneuna marca de tiempo y caduca cuando se alcanza la duración especificada, a menos que se actualice.Los valores se actualizan si se activa una alarma y los agrega a la lista de vigilancia. Es posibleactualizar los valores configurados para caducar mediante su anexión a la lista a través de la opciónAnexar a lista de vigilancia del menú presente en los componentes de vista (véase Opciones de menú decomponentes).

Es posible configurar los valores de una lista de vigilancia dinámica de forma que se actualicenperiódicamente. Se realiza una consulta en el origen mediante los datos proporcionados y los valoresse actualizan en el momento especificado.

Véase también Adición de listas de vigilancia en la página 355Lista de vigilancia de McAfee GTI en la página 359Creación de una lista de vigilancia de fuentes de amenazas o IOC de Internet en la página359Adición de una lista de vigilancia de Hadoop HBase en la página 360

Adición de listas de vigilanciaUtilice listas de vigilancia a modo de filtros o condiciones de alarma.

Procedimiento

1 Acceda a la página Listas de vigilancia de una de estas formas:

• Desde el panel, haga clic en y seleccione Listas de vigilancia.

• En el árbol de navegación del sistema, haga clic en Propiedades del sistema y, después, en Listas devigilancia.

• En una alarma Coincidencia de evento interno, haga clic en la ficha Acciones, seleccione Actualizar lista devigilancia y haga clic en Configurar.



La tabla Listas de vigilancia muestra todas las listas de vigilancia del sistema.

Las Direcciones IP maliciosas de GTI y las Direcciones IP sospechosas de GTI aparecen en la tabla, pero nocontienen datos a menos que se haya adquirido una licencia de McAfee GTI a través de McAfee.Póngase en contacto con su técnico de ventas de McAfee o con el Soporte de McAfee para adquiriruna licencia.

2 Haga clic en Agregar o en Agregar nueva lista de vigilancia y rellene la información solicitada.

3 Haga clic en Aceptar para agregar la nueva lista de vigilancia a la tabla Listas de vigilancia.



Principal Nombre Escriba un nombre para la lista de vigilancia.

Estática oDinámica

Indique si se tratará de una lista de vigilancia estática o dinámica. Las listasde vigilancia estáticas constan de los valores que se especifican. Las listasde vigilancia dinámicas constan de valores que resultan de los criterios debúsqueda de cadenas o expresiones regulares que se definen.

Los valorescaducan

(Estática) Seleccione esta opción para aplicar una marca de tiempo a cadavalor de la lista de vigilancia de forma que caduque cuando se especifique.Cuando se alcance la duración especificada, caducará a menos que seactualice. Los valores se actualizan si se activa una alarma y los agrega a lalista de vigilancia. A fin de actualizar los valores configurados para caducar,inclúyalos en la lista mediante la opción Adjuntar a lista de vigilancia del menúpresente en los componentes de vista.

Duración (Estática) Seleccione la cantidad de tiempo que desea que se mantenganlos valores. El intervalo oscila entre una hora y 365 días. Cuando transcurraese tiempo, el valor se eliminará de la lista de vigilancia a menos que seactualice.

Activar lasactualizacionesautomáticas

(Dinámica) Seleccione esta opción si desea que esta lista se actualice deforma automática en el momento especificado.

Actualizar Indique la frecuencia de actualización de la búsqueda. La lista de valoresexistentes se sustituye cada vez que se ejecuta la búsqueda.

Origen Seleccione el tipo de origen de búsqueda. Los campos restantes de esta página variarán enfunción del tipo seleccionado. Su uso es evidente en la mayoría de los casos.

Cadenas de ESM Se busca en la tabla StringMap, que contiene cadenas halladas en eventos.Introduzca la expresión regular o los criterios de búsqueda de cadenas en elcampo Buscar. En las búsquedas se distingue entre mayúsculas y minúsculasde forma predeterminada. A fin de llevar a cabo una búsqueda en la que nose tenga en cuenta el uso de mayúsculas y minúsculas, delimite la cadenade búsqueda o la expresión regular mediante barras diagonales seguidas dei, como, por ejemplo, /Exploit/i.

Nombres de reglasde ESM

Se busca en los mensajes de reglas de la tabla Regla, que contiene unadescripción breve de la regla. Introduzca la expresión regular o los criteriosde búsqueda de cadenas en el campo Buscar. En las búsquedas se distingueentre mayúsculas y minúsculas de forma predeterminada. A fin de llevar acabo una búsqueda en la que no se tenga en cuenta el uso de mayúsculas yminúsculas, delimite la cadena de búsqueda o la expresión regularmediante barras diagonales seguidas de i, como, por ejemplo, /Exploit/i.





HTTP/HTTPS Rellene estos campos:

• Autenticación: seleccione Básica si el sitio web requiere un nombre de usuarioy una contraseña para iniciar sesión. La configuración predeterminada esNinguno.

• Ignorar certificados no válidos: si el sitio web en el que intenta realizar labúsqueda está en una dirección URL HTTPS, seleccione esta opción paraignorar los certificados SSL no válidos.

• Método: si el sitio web donde desea buscar requiere un argumento ocontenido, seleccione POST. La configuración predeterminada es GET.

ActiveResponse

Rellene estos campos:• Recopilador: seleccione el recopilador que desee usar para extraer datos.

• Valor: seleccione la columna de datos recuperados que desee incluir en lalista de vigilancia.

• O o Y: indique si desea que se apliquen todos los filtros a los datos (Y) ocualquiera de los filtros (O). Esto solo es aplicable cuando existen dos omás filtros.

• Filtros: los filtros que desee aplicar a la búsqueda.

• Agregar filtro: permite agregar otra línea de filtro. Es posible tener unmáximo de cinco filtros.

Para eliminar un filtro, haga clic en el icono de eliminación situado a laderecha del filtro.

Análisis Datos sin procesar Cuando se selecciona HTTP/HTTPS como tipo de origen, permite ver lasprimeras 200 líneas del código de origen correspondiente al campo URL dela ficha Origen. Se trata solo de una vista previa del sitio web, pero essuficiente a fin de escribir una expresión regular para la coincidencia. Unaactualización planificada o ejecutada mediante Ejecutar ahora de la lista devigilancia incluye todas las coincidencias correspondientes a la búsquedamediante la expresión regular. Esta función es compatible con expresionesregulares de la sintaxis RE2, tales como (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}).

Líneas deencabezado queomitir

Por lo general, un sitio de Internet tiene un código de encabezado en el queno es necesario buscar. Especifique cuántas líneas del principio del sitiodesea omitir para que la búsqueda no incluya los datos del encabezado.

Delimitador delínea nueva

Escriba lo que se utiliza en el sitio para separar los valores. Este campotiene el valor predeterminado \n, que indica que el delimitador es una líneanueva. El otro delimitador más habitual es la coma.

Ignorar expresión Escriba una expresión regular que elimine los valores no deseados de losresultados de la búsqueda realizada mediante una expresión regular.

Expresión regular (Obligatorio) Escriba la lógica empleada para buscar una coincidencia yextraer los valores del sitio. Utilice esto para crear una expresión quecoincida con una lista de direcciones IP maliciosas conocidas o sumas MD5incluidas en un sitio.

Grupo coincidente Si la expresión regular contiene varios grupos de coincidencia, seleccione ungrupo en esta lista desplegable.





Valores Tipo Seleccione un tipo que asigne los resultados de la búsqueda a un tipo decampo. Este tipo permite utilizar la lista de vigilancia en todo el sistema,como por ejemplo en filtros y alarmas. Es posible cambiar estaconfiguración en una lista de vigilancia existente. Si tiene menos de 25 000valores, el ESM comprueba que los tipos anteriores y nuevos seancompatibles, y devuelve un error de no ser así. Si tiene más de 25 000valores, es necesario validar la compatibilidad.

Si se trata de una lista de vigilancia dinámica y selecciona Cadena comoorigen, la aplicación no filtrará la búsqueda por el tipo seleccionado. En sulugar, la búsqueda devolverá todas las cadenas coincidentes.

Valores Si se trata de una lista de vigilancia estática, importe un archivo conformato de valores separados por líneas o escriba manualmente los valores,uno por línea.

Tanto las listas de vigilancia estáticas como las dinámicas están limitadas aun máximo de 1 000 000 valores.

Si se trata de una lista de vigilancia dinámica, la tabla de valores serellenará con valores cada vez que se ejecute una búsqueda.

Si hay más de 25 000 valores en la lista de vigilancia, el campo Valoresindicará que hay más valores de los que se pueden mostrar.

El Nombre de usuario identifica quién puede acceder a la base de datos.En el caso de LDAP, el nombre de usuario debe ser un nombre de dominiocompleto sin espacios, como, por ejemplo:

uid=bob,ou=Users,dc=example,dc=com

o

[email protected]

Borrar valores Haga clic en esta opción si desea eliminar todos los elementos de la listaValores.

Importar Haga clic en esta opción para agregar los valores importados a la listaValores. Si existen más de 25 000 valores importados, aparecerá un mensajeque indica que no se pueden mostrar todos los valores importados.

Exportar Permite exportar la lista de valores.

Ejecutar ahora Permite ejecutar la consulta inmediatamente. Los resultados aparecerán enel cuadro Valores.

Véase también Listas de control en la página 355Lista de vigilancia de McAfee GTI en la página 359Creación de una lista de vigilancia de fuentes de amenazas o IOC de Internet en la página359Adición de una lista de vigilancia de Hadoop HBase en la página 360

Actualización de la lista de vigilancia con datos de alarmaEs posible establecer una alarma para actualizar una lista de vigilancia mediante la adición oeliminación de los datos de eventos activadores generados por un máximo de diez eventos de alarmapor cada alarma activada.




1 En el árbol de navegación del sistema, haga clic en Propiedades del sistema y, después, en Alarmas |Agregar.

2 En la página Configuración de alarma, haga clic en la ficha Condición y seleccione Coincidencia de evento internoo Coincidencia de campo en el campo Tipo.

3 Haga clic en la ficha Acciones, seleccione Actualizar lista de vigilancia y haga clic en Configurar.

4 Seleccione la acción que llevar a cabo, el campo del evento activador que agregar o eliminar y lalista de vigilancia que actualizar; después, haga clic en Aceptar.

Lista de vigilancia de McAfee GTILas listas de vigilancia de McAfee GTI contienen más de 130 millones de direcciones IP sospechosas ymaliciosas recopiladas por McAfee junto con su gravedad. Estas listas de vigilancia se pueden utilizarpara activar alarmas, para filtrar datos en informes y vistas, a modo de filtro en la correlación dereglas y como origen de calificación para un administrador de correlación de riesgos de un ACE.

Para agregar los datos de las listas al sistema, es necesario adquirir una licencia de McAfee GTI pormedio de McAfee. Una vez hecho esto, las listas se agregarán al sistema la siguiente vez quedescargue las reglas. Este proceso puede tardar varias horas debido al tamaño de la base de datos.

Es necesario disponer de una conexión a Internet para descargar las listas. No cabe la posibilidad dedescargarlas sin conexión.

Estas listas no se pueden ver ni editar, pero la tabla Listas de control (Propiedades del sistema | Listas de control)indica si la lista está activa (contiene valores) o inactiva (no contiene valores).

Para adquirir la licencia de McAfee GTI, póngase en contacto con su técnico de ventas de McAfee o conel Soporte de McAfee.

Véase también Listas de control en la página 355Adición de listas de vigilancia en la página 355Creación de una lista de vigilancia de fuentes de amenazas o IOC de Internet en la página359Adición de una lista de vigilancia de Hadoop HBase en la página 360

Creación de una lista de vigilancia de fuentes de amenazas o IOC deInternetCabe la posibilidad de crear una lista de vigilancia, que se puede actualizar periódicamente, paraextraer automáticamente las fuentes de amenazas o indicadores de compromiso (IOC) de Internet.

En esta lista de vigilancia, se puede acceder a una vista previa de los datos que se recuperarán através de la solicitud HTTP, así como agregar expresiones regulares para filtrar dichos datos.





.

2 Haga clic en Listas de vigilancia y, después, en Agregar.

3 Rellene la ficha Principal y seleccione Dinámica.

4 Haga clic en la ficha Origen y seleccione HTTP/HTTPS en el campo Tipo.

5 Complete la información solicitada en las fichas Origen, Análisis y Valores.

El campo Datos sin procesar de la ficha Análisis se rellena con las primeras 200 líneas del código deorigen HTML. Se trata solamente de una vista previa del sitio web, pero es suficiente a fin de escribiruna expresión regular para la coincidencia. Una actualización planificada o ejecutada medianteEjecutar ahora de la lista de vigilancia incluye todas las coincidencias correspondientes a la búsquedamediante la expresión regular. Esta función es compatible con expresiones regulares de la sintaxisRE2, tales como (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}), para la coincidencia con unadirección IP.

Véase también Listas de control en la página 355Adición de listas de vigilancia en la página 355Lista de vigilancia de McAfee GTI en la página 359Adición de una lista de vigilancia de Hadoop HBase en la página 360

Adición de una lista de vigilancia de Hadoop HBaseAgregue una lista de vigilancia con Hadoop HBase como origen.


1 En el árbol de navegación del sistema, seleccione el sistema, haga clic en el icono Propiedades y,después, haga clic en Listas de vigilancia.

2 En la ficha Principal del asistente Agregar lista de vigilancia, seleccione Dinámica, introduzca la informaciónsolicitada y, a continuación, haga clic en la ficha Origen.

3 Seleccione Hadoop HBase (REST) en el campo Tipos y, a continuación, escriba el nombre de host, elpuerto y el nombre de la tabla.



4 En la ficha Consulta, rellene la columna de búsqueda y la información sobre la consulta:

a La Columna de búsqueda debe tener el formato FamiliaColumna:NombreColumna.

b Rellene la consulta mediante un filtro de analizador con los valores codificados medianteBase64. Por ejemplo:

<Scanner batch="1024"><filter>{"type": "SingleColumnValueFilter","op": "EQUAL","family": " ZW1wbG95ZWVJbmZv","qualifier": "dXNlcm5hbWU=","latestVersion": true,"comparator": {"type": "BinaryComparator","value": "c2NhcGVnb2F0"}}</filter></Scanner>

5 Haga clic en la ficha Valores, seleccione el tipo de valor y haga clic en el botón Ejecutar ahora.

Véase también Listas de control en la página 355Adición de listas de vigilancia en la página 355Lista de vigilancia de McAfee GTI en la página 359Creación de una lista de vigilancia de fuentes de amenazas o IOC de Internet en la página 359

Vistas de flujoUn flujo es un registro de una conexión realizada a través del dispositivo. Cuando está activado elanálisis de flujos, se registran datos acerca de cada flujo (o conexión).

Los flujos tienen direcciones IP de origen y destino, puertos, direcciones MAC, un protocolo y una horade inicio y de fin (que indica el tiempo entre el inicio y la finalización de la conexión).

Como los flujos no son indicativos de tráfico anómalo o malicioso, normalmente hay más flujos queeventos. Un flujo no está asociado con una firma de regla (ID de firma) como un evento. Los flujos noestán asociados con acciones de evento tales como alerta, supresión y rechazo.

Ciertos datos son exclusivos de los flujos, como los bytes de origen y destino o los paquetes de origeny destino. Los bytes de origen y los paquetes de origen indican el número de bytes y paquetestransmitidos por el origen del flujo. Los bytes de destino y los paquetes de destino indican el númerode bytes y paquetes transmitidos por el destino del flujo. Los flujos tienen una dirección: un flujoentrante es un flujo que se origina fuera de la red HOME_NET. Un flujo saliente se origina fuera de lared HOME_NET.

A fin de ver los datos de flujo, hay que activar el registro de datos de flujo en el sistema. De hacerloasí, podrá ver los flujos en la vista Análisis de flujos.

Véase también Vista Búsqueda de ELM mejorada en la página 361Realización de una búsqueda de ELM mejorada en la página 362

Vista Búsqueda de ELM mejoradaLa vista Búsqueda de ELM mejorada está disponible cuando existe como mínimo un dispositivo ELM en elsistema. Permite llevar a cabo búsquedas más detalladas y proporciona capacidad de rastreo en



tiempo real del progreso de la búsqueda y sus resultados cuando se realiza una búsqueda de registrosuno o varios ELM.

Esta vista saca partido de las capacidades de generación de informes estadísticos del archivo de ELMpara proporcionar información en tiempo real sobre la cantidad de datos que se deben buscar, lo cualpermite limitar la consulta para minimizar el número de archivos en los que buscar.

Mientras se procesa la búsqueda, los gráficos muestran los resultados estimados:

• Gráfico Distribución de tiempo de resultados: muestra las estimaciones y los resultados de acuerdo con unadistribución temporal. El eje inferior cambia según lo que se seleccione en la lista desplegable deespacios de tiempo.

• Gráfico Resultados de origen de datos: muestra las estimaciones y los resultados de cada origen de datossegún los orígenes de datos de los dispositivos seleccionados en el árbol de navegación delsistema.

• Gráfico Resultados de tipo de dispositivo: muestra las estimaciones y los resultados de cada tipo dedispositivo según los dispositivos seleccionados en el árbol de navegación del sistema.

Estos gráficos presentan datos antes de que empiece la búsqueda y se actualizan a medida que seencuentran resultados. Es posible seleccionar una o varias barras en los gráficos Resultados de origen dedatos y Resultados de tipo de dispositivo, o bien resaltar una sección del gráfico Distribución de tiempo de resultados.Haga clic en Aplicar filtros para limitar la búsqueda una vez que los resultados hayan empezado amostrarse. Esto permite acceder a información detallada sobre los resultados de la búsqueda, ademásde limitar la cantidad de datos en los que hay que buscar. Una vez finalizada la búsqueda, estosgráficos muestran los resultados reales.

Véase también Vistas de flujo en la página 361Realización de una búsqueda de ELM mejorada en la página 362

Realización de una búsqueda de ELM mejoradaCabe la posibilidad de buscar la información definida en los registros de uno o varios dispositivos ELM.


1 En el panel de visualización, seleccione Búsqueda de ELM mejorada en la lista desplegable.

2 Si hay más de un dispositivo ELM en el sistema, seleccione los dispositivos en los que desee buscaren la lista desplegable situada junto al campo de texto.

3 Escriba una búsqueda de texto normal o una expresión regular en el campo de texto.

4 Si desea un espacio de tiempo distinto de Día en curso, selecciónelo en la lista desplegable.

5 En el árbol de navegación del sistema, seleccione los dispositivos en los que desee buscar.

6 Si fuera necesario, seleccione una o varias de estas opciones:

• Sin distinción mayúsculas/minúsculas: en la búsqueda no se tienen en cuenta las mayúsculas yminúsculas.

• Expresión regular: el término del campo de búsqueda se considera como expresión regular.

• NO contiene el término de búsqueda: devuelve las coincidencias que no contienen el término incluido enel campo de búsqueda.



7 Haga clic en Buscar.

Los resultados aparecerán en la sección Resultados de la búsqueda de la vista.

8 Lleve a cabo cualquiera de estas acciones durante la búsqueda o cuando finalice.

Opción Definición

Guardar búsqueda Guardar los resultados de esta búsqueda aunque se abandonela vista. Las búsquedas guardadas se pueden ver en la páginaPropiedades de ELM | Datos.

Descargar archivo de resultados debúsqueda

Descargar los resultados en la ubicación designada.

Copiar elementos seleccionados al

portapapeles

Copiar los elementos seleccionados al portapapeles para poderpegarlos en un documento.

Ver detalles de datos Mostrar los detalles de cualquier registro seleccionado en latabla Resultados de la búsqueda.

Véase también Vistas de flujo en la página 361Vista Búsqueda de ELM mejorada en la página 361

Componentes de vistaEs posible crear vistas personalizadas para mostrar datos de eventos, flujos, activos y vulnerabilidadesde la forma que le resulte más útil.

Las vistas constan de componentes que se seleccionan en la Barra de herramientas de edición de vistas y seconfiguran para que muestren los datos. Cuando se selecciona un componente, se abre el Asistente deconsultas, el cual permite definir los detalles sobre los datos que se mostrarán en el componente.

Búsqueda alrededor de un eventoEn la vista Análisis de eventos es posible buscar eventos que coincidan con uno o varios de los campos delevento en el espacio de tiempo seleccionado.


1 En la consola de ESM, haga clic en la lista de vistas y, después, seleccione Vistas de eventos | Análisis deeventos.

2Haga clic en un evento, haga clic en el icono de menú y, después, en Buscar.

3 Seleccione el número de minutos antes y después de la hora del evento donde desea que elsistema busque una coincidencia.

4 Haga clic en Seleccionar filtro, seleccione el campo con el que desee que coincida la búsqueda yescriba el valor.

Los resultados aparecerán en la vista Resultado de la búsqueda.

Si sale de esta vista y desea volver a ella posteriormente, haga clic en Última búsqueda en el menúAnálisis de eventos.




Opción Definición

Espacio de tiempo Seleccione el número de minutos antes y después de la hora del evento seleccionadoen los desee que el sistema busque una coincidencia.

Seleccionar filtro Seleccione el tipo de campo e introduzca el valor que desee buscar. Cuando se rellenaun campo, se agrega otro, de forma que es posible agregar todos los filtrosnecesarios.

Haga clic para eliminar uno de los campos de filtro.

Visualización de los detalles de dirección IP de un eventoSi cuenta con una licencia de McAfee

®

Global Threat Intelligence™

(McAfee GTI) de McAfee, dispone deacceso a la nueva ficha Detalles de amenaza al ejecutar una búsqueda de Detalles de dirección IP. Cuando seselecciona esta opción, se devuelven detalles sobre la dirección IP, tales como gravedad del riesgo odatos de geolocalización.

Antes de empezarAdquiera una licencia de McAfee GTI (véase Lista de vigilancia de McAfee GTI).

Si su licencia de McAfee GTI ha caducado, póngase en contacto con su técnico de ventas deMcAfee o con el Soporte de McAfee.


1 En la consola de ESM, seleccione una vista que incluya un componente de tabla, como Vistas de evento| Análisis de eventos.

2Haga clic en una dirección IP, después en el icono de menú de cualquier componente que tengauna dirección IP y, a continuación, en Detalles de dirección IP.

La ficha Detalles de amenaza presenta una lista con datos correspondientes a la dirección IP seleccionada.Puede copiar los datos al portapapeles del sistema.

La opción Detalles de dirección IP ha sustituido a la opción Búsqueda de WHOIS en el menú contextual. Noobstante, la página Detalles de dirección IP incluye una ficha Búsqueda de WHOIS donde aparece estainformación.

Envío de un mensaje de correo electrónico a RemedySi configura un sistema Remedy, puede enviar un mensaje de correo electrónico para notificar alsistema la existencia de un evento que requiere solución. Cuando se sigue este proceso, se recibe unnúmero de caso de Remedy que se agrega al registro de evento.


Procedimiento1 En una vista de eventos, resalte el evento que requiera solución.

2 Haga clic en el icono Asignar eventos a un caso o Remedy y, después, seleccione Enviar evento a Remedy.

3 Agregue la información correspondiente a Prefijo, Palabra clave e ID de usuario de empresa.



4 (Opcional) Agregue información en la sección Detalles, que contiene datos generados por el sistemaacerca del evento.

5 Haga clic en Enviar.

Realización de una búsqueda de WHOIS o ASNEn un componente de tabla es posible realizar una búsqueda de WHOIS para localizar informaciónsobre una dirección IP de origen o destino. La función Búsqueda de ASN, disponible en cualquier consultade ASN de un gráfico de barras y cualquier registro de flujo en una tabla con datos de ASN, recuperaun registro WHOIS mediante el identificador ASN.


1 Seleccione una dirección IP o un registro de flujo con datos de ASN incluidos en un componente detabla o una barra de consulta de ASN de un componente de gráfico.

2Haga clic en el menú y seleccione Detalles de dirección IP o Búsqueda de ASN.

3 Para buscar otra dirección IP o identificador:

• En la página de la ficha WHOIS, seleccione una dirección IP en la lista y escriba el nombre dehost.

• En la página Búsqueda de ASN, escriba los números o realice una selección en la lista.


Opción Definición

Nombre de host Si dispone del nombre de host correspondiente a la dirección IP, escríbalo.

Dirección IP Si ha introducido un nombre de host, la dirección IP se indica en este campo. Si nocuenta con el nombre de host, escriba la dirección IP.

Búsqueda Haga clic para iniciar la búsqueda de DNS y recuperar el registro de WHOIS.

Registro de WHOIS Permite ver los resultados de la búsqueda.

Véase también

Adición de un ID de caso de Remedy a un registro de evento en la página 365Exportación de un componente en la página 366

Adición de un ID de caso de Remedy a un registro de eventoCuando se envía un correo electrónico de evento al sistema de Remedy, se recibe un número de ID decaso. Es posible agregar este número al registro de eventos como referencia para el futuro.


1Resalte el evento en la vista Análisis de eventos y haga clic en el menú .

2 Seleccione Establecer ID de caso de Remedy, escriba el número y haga clic en Aceptar.




Opción Definición

ID de evento Si ha accedido a esta página mediante la selección de un evento en una vista, elnúmero de ID del evento aparecerá en este campo.

ID de caso de Remedy Escriba el ID recibido (véase Envío de un mensaje de correo electrónico aRemedy).

Véase también

Realización de una búsqueda de WHOIS o ASN en la página 365Exportación de un componente en la página 366

Exportación de un componenteEs posible exportar los datos incluidos en un componente de vista de ESM. Los componentes degráfico se pueden exportar a texto o formato PDF, mientras que los componentes de tabla se puedenexportar a una lista de valores separados por comas (CSV) o HTML.

Al exportar la página actual de un componente de gráfico, distribución o tabla de una vista, los datosexportados coinciden exactamente con lo que se ve al iniciar la exportación. Si se exporta más de unapágina, la consulta se vuelve a ejecutar conforme se exportan los datos, de modo que puede haberdiferencias respecto de lo que se ve en el componente.


1En una vista, haga clic en el menú correspondiente al componente que desee exportar y haga clicen Exportar.

2 Seleccione uno de los formatos siguientes.

• Texto: exportar los datos en formato de texto.

• PDF: exportar los datos a modo de imagen.

• Imagen a PDF: exportar solo la imagen.

• CSV: exportar una lista de valores delimitados por comas.

• HTML: exportar los datos en forma de tabla.

3 En la página Exportar, especifique los datos que desee exportar.

• Si selecciona Texto o PDF, puede exportar la página de datos actual o un número máximo depáginas a partir de la página 1.

• Si selecciona Imagen a PDF, se genera la imagen.

• Si selecciona CSV o HTML, puede exportar los elementos seleccionados, la página de datos actualo un número máximo de páginas a partir de la página 1.


Se generará el archivo de exportación y se le pedirá que descargue el archivo resultante.




Opción Definición

Solo los elementos seleccionados Resalte los elementos que desee exportar y, después, seleccione estaopción.

Solo la página actual Exporta los elementos que aparecen en la vista en ese momento. Losdatos exportados coinciden exactamente con lo que se ve al iniciar laexportación.

Un número máximo de páginas Seleccione el número máximo de páginas que exportar. La consulta sevuelve a ejecutar conforme se exportan los datos, de modo que puedehaber diferencias respecto a lo que se ve en el componente.

Véase también

Realización de una búsqueda de WHOIS o ASN en la página 365Adición de un ID de caso de Remedy a un registro de evento en la página 365

Uso del Asistente de consultasTodos los informes y vistas del ESM recopilan datos en función de la configuración de consulta de cadacomponente.

A la hora de agregar o editar una vista o un informe, defina la configuración de consulta de cadacomponente del Asistente de consultas mediante la selección del tipo de consulta, la consulta, los camposque incluir y los filtros que usar. Todas las consultas del sistema, tanto predefinidas comopersonalizadas, aparecerán en el asistente para que pueda seleccionar los datos que desee que genereel componente. También cabe la posibilidad de editar o eliminar consultas, así como de copiar unaconsulta existente a fin de usarla como plantilla para configurar una consulta nueva.

Véase también Administración de consultas en la página 367Enlace de widgets de panel en la página 272Comparación de valores en la página 370Comparación de valores de gráficos en la página 370Configuración de la distribución apilada para vistas e informes en la página 371

Administración de consultasEl ESM incluye consultas predefinidas que se pueden seleccionar en el Asistente de consultas a la hora deagregar o editar un informe o una vista. Existe la posibilidad de editar algunas de las opciones deconfiguración, así como de agregar o quitar consultas personalizadas.


1 Acceda al Asistente de consultas de una de las formas siguientes.




Agregar unavista

1 En la barra de herramientas de vistas, haga clic en el icono Crear nueva vista .

2 Arrastre y coloque un componente de la Barra de herramientas de edición de vistas enel panel de vista.

Aparecerá el Asistente de consultas.

Editar una vistaexistente

1 Seleccione la vista que desee editar.

2 Haga clic en el icono Editar vista actual , situado en la barra de herramientasde vistas.

3 Haga clic en el componente que desee editar.

4 Haga clic en Editar consulta en el panel Propiedades.

Se abrirá el Asistente de consultas por la segunda página.

Establecer eldiseño de uninforme nuevo

1 En Propiedades del sistema, haga clic en Informes.

2 Haga clic en Agregar.

3 En la sección 5 de la página Agregar informe, haga clic en Agregar.

4 Arrastre y suelte un componente en la sección de diseño del informe.

Aparecerá el Asistente de consultas.

Editar el diseñode un informeexistente

1 En Propiedades del sistema, haga clic en Informes.

2 Seleccione el informe que desee editar y, a continuación, haga clic en Editar.

3 En la sección 5 de la página Editar informe, seleccione un diseño existente yhaga clic en Editar.

4 Haga clic en el componente en la sección de diseño del informe y haga clic enEditar consulta en la sección Propiedades.

Se abrirá el Asistente de consultas por la segunda página.

2 En el Asistente de consultas, lleve a cabo una de las siguientes acciones:


Agregar una consulta 1 Seleccione la consulta que desee usar como plantilla y haga clic en Copiar.

2 Escriba el nombre de la nueva consulta y haga clic en Aceptar.

3 En la lista de consultas, haga clic en la recién agregada y, después, enSiguiente.

4 En la segunda página del asistente, cambie la configuración mediante losbotones.

Editar una consultapersonalizada

1 Seleccione la consulta personalizada que desee editar y haga clic enEditar.

2 En la segunda página del asistente, cambie la configuración mediante losbotones.

Quitar una consultapersonalizada

Seleccione la consulta personalizada que desee eliminar y, a continuación,haga clic en Quitar.





Opción Definición

Tipo deconsulta

Indica los tipos de consultas que hay disponibles para el componente seleccionado.Entre los tipos posibles están eventos, flujos, varios, activos y vulnerabilidades, yestado de riesgo.

El apilamiento no está disponible para las consultas de distribución de Tasa de recopilaciónni Promedio (por ejemplo, Promedio de gravedad por alerta o Duración media por flujo).

Consultas Indica las consultas predefinidas y personalizadas disponibles para el tiposeleccionado. Si ha agregado tipos personalizados, se incluirán también. Es posibleeditar, copiar y quitar consultas personalizadas en esta lista.

Campos Muestra la información incluida en el componente. Puede cambiar esta configuraciónen el caso de un componente de tabla en la segunda página del asistente.1 Haga clic en Campos.

2 En Campos de consulta, mueva el campo que desee incluir en la lista a la derechamediante las flechas horizontales.

3 Coloque los campos en el orden en que desee que aparezcan en la tabla mediantelas flechas verticales y, después, haga clic en Aceptar.

Filtros Muestra los valores de filtrado establecidos para la consulta. Puede cambiar estaconfiguración en el caso de cualquier consulta en la segunda página del asistente.

Clasificar pororden

Muestra el orden en que se enumeran los resultados de la consulta. Puede cambiaresta configuración en el caso de la mayoría de las consultas en la segunda página delasistente.

Comparar Proporciona una forma de comparar el número de valores diferentes de cualquiera delos archivos de filtrado existentes con la distribución temporal de eventos y flujos.Solo está disponible en un componente de distribución (véase Comparación devalores y Comparación de valores de gráficos).

Apilamiento Permite apilar los gráficos de barras, líneas y área de un componente de distribuciónpara poder ver la distribución de los eventos relacionados con un campo específico.

Máscara CIDR Permite agregar una máscara CIDR, que se utiliza para agrupar direcciones IP. Estaopción solo está disponible cuando se selecciona una consulta de IP de origen o IP dedestino en un componente de Gráfico de barras.

Niveles Permite especificar el nivel de enmascaramiento de ID normalizado para la consulta(véase Normalización). Está disponible en los componentes de gráfico circular, gráficode barras y lista cuando se selecciona la consulta Resumen de evento normalizado.

Véase también Uso del Asistente de consultas en la página 367Enlace de widgets de panel en la página 272Comparación de valores en la página 370Comparación de valores de gráficos en la página 370Configuración de la distribución apilada para vistas e informes en la página 371



Comparación de valoresLos gráficos de distribución tienen una opción que permite superponer una variable adicional sobre elgráfico actual.

De esta forma, es posible comparar dos valores a fin de mostrar con facilidad las relaciones, porejemplo, entre el total de eventos y la gravedad media. Esta función proporciona valiosascomparaciones de datos a lo largo del tiempo de un vistazo. También resulta útil para ahorrar espacioen la pantalla a la hora de crear vistas extensas, gracias a la combinación de los resultados en unúnico gráfico de distribución.

La comparación se limita al mismo tipo que la consulta seleccionada. Por ejemplo, si se selecciona unaconsulta de evento, solamente es posible realizar la comparación con los campos de la tabla deeventos, pero no con la tabla de flujos o de activos y vulnerabilidades.

Cuando se aplican los parámetros de consulta al gráfico de distribución, se ejecuta la consulta de laforma habitual. Si está activado el campo de comparación, se ejecuta una consulta secundaria sobrelos datos al mismo tiempo. El componente de distribución muestra los datos para ambos conjuntos dedatos en el mismo gráfico, pero emplea dos ejes verticales distintos. Si se cambia el tipo de gráfico(esquina inferior izquierda del componente), se siguen mostrando ambos conjuntos de datos.

Véase también Uso del Asistente de consultas en la página 367Administración de consultas en la página 367Enlace de widgets de panel en la página 272Comparación de valores de gráficos en la página 370Configuración de la distribución apilada para vistas e informes en la página 371

Comparación de valores de gráficosEs posible comparar los datos de un gráfico de distribución con la variable que se seleccione.


1 Seleccione el icono Crear vista nueva o el icono Editar vista actual .

2Haga clic en el icono Distribución y, después, arrástrelo y suéltelo en la vista para abrir el Asistentede consultas.

3 Seleccione el tipo de consulta y la consulta; después, haga clic en Siguiente.

4 Haga clic en Comparar y seleccione el campo que desee comparar con la consulta seleccionada.

5 Haga clic en Aceptar y, después, en Finalizar.

6 Mueva el componente a la ubicación correcta en la vista y, después:

• Haga clic en Guardar si va a agregar el componente a una vista existente.

• Haga clic en Guardar como y agregue el nombre de la vista en caso de estar creando una vistanueva.

Véase también Uso del Asistente de consultas en la página 367Administración de consultas en la página 367Enlace de widgets de panel en la página 272Comparación de valores en la página 370Configuración de la distribución apilada para vistas e informes en la página 371



Configuración de la distribución apilada para vistas e informesEs posible configurar el componente de distribución en una vista o informe para poder ver ladistribución de los eventos relacionados con un campo específico.

Puede seleccionar el campo por el que apilar al agregar el componente a una vista o un informe.Cuando se accede a la vista, es posible cambiar la configuración, establecer el intervalo de tiempo ydefinir el tipo y los detalles del gráfico.

No es posible utilizar las funciones Apilamiento y Comparar en la misma consulta.


1 Arrastre y suelte el componente Distribución en una vista (véase Adición de una vista personalizada)o en un informe (véase Adición de un diseño de informe) y, después, seleccione el tipo de consulta.

El apilamiento no está disponible para las consultas de distribución de Tasa de recopilación ni Promedio(por ejemplo, Promedio de gravedad por alerta o Duración media por flujo).

2 En la segunda página del Asistente de consultas, haga clic en Apilamiento y seleccione las opciones.

3 Haga clic en Aceptar en la página Opciones de apilamiento y en Finalizar en el Asistente de consultas.

La vista se agregará. Puede cambiar la configuración, así como establecer el intervalo de tiempo y el

tipo de gráfico, mediante el icono Opciones de gráfico .


Opción Definición

Campo por el que agrupar lossegmentos de barra

Seleccione el campo para el que registrar los datos.

Número de segmentos debarra por barra

Seleccione el número de elementos distintos para los que desee ver datosen las barras. Por ejemplo, si selecciona ID de firma y 10, cada barra mostrarálos diez ID de firma recibidos con mayor frecuencia durante el período detiempo seleccionado.

Mostrar valor "Otros" Indique si desea que el componente incluya una barra Otro. Siguiendo con elejemplo anterior, mostraría el número del resto de ID de firma recibidos.

Mostrar leyenda En una vista, indique si desea que se incluya la leyenda. En un informe, seincluye siempre.

Opciones de intervalo detiempo

(Solo disponible cuando se hace clic en el icono Opciones de gráfico en la vista)Seleccione el intervalo de tiempo que desee que represente cada barra delgráfico.

Opciones de gráfico (Solo disponible cuando se hace clic en el icono Opciones de gráfico en la vista)Seleccione el tipo de gráfico y, después, indique si desea que aparezca lasección de detalles de los datos en la vista.

Véase también Uso del Asistente de consultas en la página 367Administración de consultas en la página 367Enlace de widgets de panel en la página 272Comparación de valores en la página 370Comparación de valores de gráficos en la página 370



Cambio de la vista predeterminadaLa vista Resumen predeterminado aparece en el panel de visualización de forma predeterminada cuando seinicia sesión por primera vez en la consola de ESM. Es posible cambiar esta vista predeterminada porcualquiera de las vistas predefinidas o personalizadas del ESM.


1 En la barra de navegación de la consola de ESM, haga clic en Opciones y seleccione Vistas.

2 En la lista desplegable Vista predeterminada del sistema, seleccione la nueva vista predeterminada y hagaclic en Aceptar.

Normalización de cadenasRecurra a la normalización de cadenas para configurar un valor de cadena que se pueda asociar convalores de alias, así como para importar o exportar un archivo .csv de valores de normalización decadenas.

Esto permite filtrar la cadena y sus aliases mediante la selección del icono de normalización decadenas situado junto al campo apropiado del panel Filtro. En el caso de la cadena de nombre deusuario Juan Doblas, se define un archivo de normalización de cadena donde la cadena principal esJuan Doblas y sus alias son, por ejemplo, DoblasJuan, JDoblas, [email protected] y JuanD. Acontinuación, se puede introducir Juan Doblas en el campo de filtro User_Nickname, seleccionar el iconode filtro de normalización situado junto al campo y actualizar la consulta. En la vista resultante semuestran todos los eventos asociados con Juan Doblas y sus alias, lo cual permite comprobar laexistencia de incoherencias de inicio de sesión en las direcciones IP coincidan pero los nombres no.Esta función también puede ayudarle a cumplir las normativas que requieren informar de la actividadde usuarios con privilegios.

Véase también Administración de archivos de normalización de cadenas en la página 372Creación de un archivo de normalización de cadenas que importar en la página 373

Administración de archivos de normalización de cadenasAntes de usar un archivo de normalización de cadenas, es necesario agregarlo al ESM.


1 En el panel Filtros, haga clic en el icono Iniciar administrador de normalización de cadenas .

2 Lleve a cabo cualquiera de las acciones disponibles y, después, haga clic en Cerrar.


Opción Definición

Agregar Permite agregar una cadena normalizada.

Editar Cambiar la cadena normalizada seleccionada.

Quitar Eliminar la cadena normalizada seleccionada.




Opción Definición

Importar Importar un archivo .csv de alias a la lista de normalización de cadenas (véase Creación deun archivo de normalización de cadenas que importar).

Exportar Permite exportar los elementos seleccionados en la lista de normalización de cadenas. Estearchivo no incluye comandos. Si desea importar este archivo, deberá agregar un comando acada alias del archivo.

Véase también Normalización de cadenas en la página 372Creación de un archivo de normalización de cadenas que importar en la página 373

Creación de un archivo de normalización de cadenas que importarSi crea un archivo .csv de alias, es posible importarlo en la página Normalización de cadenas para poderutilizarlo como filtro.


1 En un programa de procesamiento de texto o de hoja de cálculo, escriba los alias con el formatosiguiente:

comando, cadena principal, alias

Los comandos posibles son agregar, modificar y eliminar.

2 Guárdelo como archivo .CSV y, después, importe este archivo.

Véase también Normalización de cadenas en la página 372Administración de archivos de normalización de cadenas en la página 372

Filtros de tipos personalizadosLos campos de tipos personalizados se pueden usar como filtros para vistas e informes, así como paracrear reglas personalizadas, lo cual permite definir datos relevantes en su caso y, después, acceder aellos.

Los datos generados por estos campos de tipos personalizados se pueden ver en la sección Detalles delas vistas Análisis de eventos o Análisis de flujos.

Es posible agregar, editar o eliminar tipos personalizados, así como exportarlos e importarlos. Use lapágina Editar para cambiar el nombre. Si se trata de un tipo de datos personalizados, también puedecambiar la configuración de subtipo.

Exportación o importación de tipos personalizados

Al exportar los tipos personalizados, se exportan todos a la ubicación seleccionada. Al importar unarchivo de tipos personalizados, los datos importados reemplazan los tipos personalizados existentesen el sistema.

Uso de los eventosFiltros de tipos personalizados 8


Consultas personalizadas

A la hora de configurar una consulta personalizada para una vista, los tipos personalizadospredefinidos aparecen a modo de opciones cuando se seleccionan los campos para la consulta. Siagrega un tipo personalizado como campo en la consulta, actuará a modo de filtro. Si la informaciónconsultada no tiene datos para ese tipo personalizado, la tabla de consultas no muestra resultadoalguno. Para evitar que esto ocurra, seleccione el campo de usuario (campos personalizados del 1 al10 en la columna Campo de evento de la tabla) que devuelva los resultados necesarios en lugar del tipopersonalizado.

Por ejemplo, supongamos que desea que los resultados de la consulta incluyan los datos del usuariode origen, en caso de existir. Si selecciona Usuario de origen como campo de consulta, actuará como unfiltro y, si la información consultada no incluye datos sobre el usuario de origen, la consulta nodevolverá ningún resultado. Sin embargo, si selecciona el campo de usuario 7, designado como campode usuario para el usuario de origen, no actuará a modo de filtro y aparecerá como una columna en latabla de resultados. Si existen datos sobre el usuario de origen, aparecerán en esta columna. En casode no existir datos para este campo, la columna correspondiente al campo de usuario 7 estará vacía,pero otras columnas mostrarán datos.

Tipo de datos personalizados

Cuando se selecciona Personalizado en el campo Tipo de datos, es posible definir el significado de cadacampo en un registro de varios campos.

Por ejemplo, un registro (100300.351) contiene tres campos (100, 300.35 y 1). El subtipopersonalizado permite especificar de qué tipo es cada uno de los campos (entero, decimal obooleano). Por ejemplo:

• Registro inicial: 100300.351

• Tres subtipos: Integer|decimal|boolean

• Subtipo personalizado: 100|300.35|1

Los subtipos pueden incluir un máximo de ocho bytes (64 bits) de datos. Uso de espacio muestra elnúmero de bytes y bits utilizados. Cuando se supera el máximo, este campo indica mediante texto decolor rojo que el espacio se ha superado; por ejemplo: Uso de espacio: 9 de 8 bytes, 72 de 64bits.

Tipo personalizado de nombre/valor

Si selecciona el tipo de datos Grupo de nombre/valor, podrá agregar un tipo personalizado que incluya ungrupo de pares de nombre/valor especificado. A continuación, se pueden filtrar las vistas y lasconsultas por estos pares, así como utilizarlos en alarmas de coincidencia de campo.

A continuación se indican algunas de las características de esta función:

• Los campos de grupo de nombre/valor se deben filtrar mediante una expresión regular.

• Los pares se pueden correlacionar para permitir su selección en el Editor de reglas de correlación.

• La parte del par correspondiente al valor solo se puede recopilar mediante el Analizador de syslogavanzado (ASP).

• El tamaño máximo de este tipo personalizado es de 512 caracteres, incluidos los nombres. Sisupera este tamaño, los valores se truncan cuando se recopilan. McAfee recomienda limitar eltamaño y el número de nombres.

• Los nombres deben constar de más de dos caracteres.

8 Uso de los eventosFiltros de tipos personalizados


• El tipo personalizado de nombre/valor puede tener hasta cincuenta nombres.

• Cada nombre del grupo de nombre/valor aparece en el filtro global como <nombre del grupo> -<nombre>.

Formato de expresión regular para tipos personalizados no indizados

Aplique este formato para los tipos personalizados de cadena indizada y no indizada, cadena aleatoriay cadena con hash:

• Puede utilizar la sintaxis contains(<expresión regular>) o simplemente escribir un valor en loscampos de cadena aleatoria no indizada o cadena con hash y después filtrar los tipospersonalizados.

• Es posible emplear la sintaxis regex().

• Con contains(), si coloca un filtro separado por comas en un campo de tipo personalizado noindizado (Tomás,Juan,Salvador), el sistema lleva a cabo una expresión regular. La coma y elasterisco actúan como una barra (|) y un punto seguido por un asterisco (.*) en un campo decadena con hash, cadena aleatoria no indizada o contains. Si escribe un carácter como un asterisco(*), se sustituye por un punto seguido por el asterisco (.*).

• Una expresión regular no válida o un paréntesis de apertura o cierre ausente pueden provocar unerror que indica que la expresión regular no es válida.

• Solo se puede usar un regex() o contains() en los campos de filtrado de tipo personalizado delas cadenas con hash y las cadenas aleatorias indizadas o no indizadas.

• El campo de ID de firma ahora acepta contains(<en una parte o todo un mensaje de regla>)y regex(<en una parte de un mensaje de regla>).

• Un filtro de búsqueda común para contains es un único valor, no un valor con .* antes y después.

Estos son algunos filtros de búsqueda habituales:

• Un valor único

• Varios valores separados por comas que se convierten en una expresión regular

• Una sentencia contains con un * que actúa como .*

• Expresiones regulares avanzadas donde se emplea la sintaxis regex()

Véase Descripción de los filtros contains y regex.

Véase también Tipos personalizados de nombre/valor en la página 377Creación de tipos personalizados en la página 375Adición de tipos personalizados de tiempo en la página 376Adición de un tipo personalizado de grupo de nombre/valor en la página 377Tabla de tipos personalizados predefinidos en la página 376

Creación de tipos personalizadosAgregue tipos personalizados para usarlos como filtros si dispone de derechos de administrador.




1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Tipospersonalizados.


3 Haga clic en Aceptar para guardar el tipo personalizado.


Opción Definición

Agregar Permite crear una definición para los datos personalizados.

Editar Permite cambiar la configuración de un tipo personalizado previamente creado. No esposible editar un tipo personalizado predefinido.

Exportar Exportar un archivo con todos los tipos personalizados del sistema.

Importar Importar un archivo de tipos personalizados para reemplazar la lista existente en elsistema.

Quitar Eliminar un tipo personalizado previamente creado.

Véase también Filtros de tipos personalizados en la página 373Tipos personalizados de nombre/valor en la página 377Adición de tipos personalizados de tiempo en la página 376Adición de un tipo personalizado de grupo de nombre/valor en la página 377Tabla de tipos personalizados predefinidos en la página 376

Tabla de tipos personalizados predefinidosSi dispone de privilegios de administrador, puede ver una lista de los tipos personalizados predefinidosen la tabla de tipos personalizados (Propiedades del sistema | Tipos personalizados).

Si no dispone de privilegios de administrador, consulte la lista de tipos personalizados predefinidos enel Centro de conocimiento de Intel.

Véase también Filtros de tipos personalizados en la página 373Tipos personalizados de nombre/valor en la página 377Creación de tipos personalizados en la página 375Adición de tipos personalizados de tiempo en la página 376Adición de un tipo personalizado de grupo de nombre/valor en la página 377

Adición de tipos personalizados de tiempoEs posible agregar tipos personalizados que permiten almacenar datos temporales.

Tiempo - Precisión de segundos almacena datos temporales con una precisión de segundos. Tiempo - Precisión denanosegundos almacena datos temporales con una precisión de nanosegundos. Incluye un número decoma flotante con nueve valores de precisión que representan los nanosegundos.

Si selecciona Índice al agregar este tipo personalizado, el campo aparece a modo de filtro en lasconsultas, las vistas y los filtros. No aparece en los componentes de distribución y no está disponible enel enriquecimiento de datos, las listas de vigilancia ni las alarmas.

8 Uso de los eventosFiltros de tipos personalizados


https://support.mcafee.com/ServicePortal/faces/knowledgecenter?_afrWindowId=null&_afrLoop=1877903667958000&_afrWindowMode=0&_adf.ctrl-state=4u2mjzdr7_4#%40%3F_afrWindowId%3Dnull%26_afrLoop%3D1877903667958000%26_afrWindowMode%3D0%26_adf.ctrl-state%3Dupp5bgifa_4


1 En el árbol de navegación del sistema, seleccione el sistema, haga clic en el icono Propiedades y, acontinuación, haga clic en Tipos personalizados | Agregar.

2 En el campo Tipo de datos, haga clic en Tiempo - Precisión de segundos o en Tiempo - Precisión de nanosegundos,rellene la información restante y haga clic en Aceptar.

Véase también Filtros de tipos personalizados en la página 373Tipos personalizados de nombre/valor en la página 377Creación de tipos personalizados en la página 375Adición de un tipo personalizado de grupo de nombre/valor en la página 377Tabla de tipos personalizados predefinidos en la página 376

Tipos personalizados de nombre/valorEl tipo personalizado de nombre/valor consta de un grupo de pares de nombre/valor que se especifica.Es posible filtrar las vistas y las consultas por estos pares, así como utilizarlos en alarmas deCoincidencia de evento interno.

A continuación se indican algunas de las características de esta función:

• Los campos de grupo de nombre/valor se deben filtrar mediante una expresión regular.

• Se pueden correlacionar para permitir su selección en el Editor de reglas de correlación.

• La parte del par correspondiente al valor solo se puede recopilar mediante ASP.

• El tamaño máximo de este tipo personalizado es de 512 caracteres, lo cual incluye los nombres.Durante la recopilación, se truncan los caracteres a partir del 512. McAfee recomienda limitar eltamaño y el número de nombres.

• Los nombres deben constar de más de dos caracteres.

• El tipo personalizado de nombre/valor puede tener hasta cincuenta nombres.

• Cada nombre del grupo de nombre/valor aparece en el filtro global como <nombre del grupo> -<nombre>.

Véase también Filtros de tipos personalizados en la página 373Creación de tipos personalizados en la página 375Adición de tipos personalizados de tiempo en la página 376Adición de un tipo personalizado de grupo de nombre/valor en la página 377Tabla de tipos personalizados predefinidos en la página 376

Adición de un tipo personalizado de grupo de nombre/valorSi agrega un grupo de pares de nombre/valor, puede filtrar las vistas y las consultas con respecto aellos y utilizarlos en las alarmas de tipo Coincidencia de evento interno.





2 Haga clic en Tipos personalizados y, después, en Agregar.

3 En el campo Tipo de datos, haga clic en Grupo de nombre/valor, rellene la información restante y haga clicen Aceptar.

Véase también Filtros de tipos personalizados en la página 373Tipos personalizados de nombre/valor en la página 377Creación de tipos personalizados en la página 375Adición de tipos personalizados de tiempo en la página 376Tabla de tipos personalizados predefinidos en la página 376

Adición de filtros de ID de evento de Windows y UCFUno de los retos que supone la conformidad con las normativas es la naturaleza en constanteevolución de estas normativas. Unified Compliance Framework (UCF) es una organización que asignalas características específicas de cada normativa a ID de control armonizados. A medida que cambianlas normativas, estos ID se actualizan y se insertan en ESM.

• Es posible filtrar por el ID de conformidad a fin de seleccionar la conformidad necesaria osubcomponentes específicos, o bien por el ID de evento de Windows.


Agregar filtrosUCF

1 En el panel Filtros, haga clic en el icono de filtro situado junto al campo ID deconformidad.

2 Seleccione los valores de conformidad que desee usar como filtros y haga clic

en Aceptar | Ejecutar consulta .

Agregar filtrosde ID de eventode Windows

1 Haga clic en el icono de filtro situado junto al ID de firma.

2 En Variables de filtrado, seleccione la ficha Windows.

3 Escriba los ID de evento de Windows (separados por comas) en el campo detexto o seleccione los valores que desee usar como filtro en la lista.

Véase también Filtrado de vistas en la página 351Filtrado de una vista en la página 352Selección de ID normalizados en la página 353

Búsquedas de McAfee® Active ResponseMcAfee Active Response ofrece visibilidad y datos continuos sobre sus endpoints para que puedaidentificar las infracciones a medida que se producen. Ayuda a los profesionales de seguridad a

8 Uso de los eventosBúsquedas de McAfee® Active Response


consultar la postura de seguridad actual, mejorar la detección de amenazas y realizar análisisdetallados e investigaciones forenses.

Si Active Response se instala como una extensión en un dispositivo McAfee ePO que se ha agregado alESM, es posible realizar una búsqueda en Active Response desde el ESM. La búsqueda genera unalista de datos de los endpoints presentes que permite hacer lo siguiente:

• ver la lista de resultados de la búsqueda;

• crear una lista de vigilancia con los resultados de la búsqueda;

• anexar los datos de la búsqueda de Active Response a una lista de vigilancia existente;

• agregar un origen de enriquecimiento de datos con los datos de la búsqueda;

• exportar los datos de la búsqueda.

Las búsquedas se envían mediante DXL, así que debe estar activado en la página Conectar de laspropiedades de McAfee ePO (véase Ejecución de una búsqueda de Active Response.

Recuerde esto cuando utilice Active Response en el ESM:

• DXL no es compatible con los receptores de disponibilidad alta.

• Las fechas de una búsqueda tienen el formato 2015-11-05T23:10:14.263Z y no se convierten alformato de fecha del ESM.

• Cuando se anexan datos a una lista de vigilancia, los datos no se validan, lo que implica que sepodrían agregar datos a una lista de vigilancia que no coincidan con su tipo.

Véase también Ejecución de una búsqueda de Active Response en la página 379Administración de los resultados de las búsquedas de Active Response en la página 380Adición de una lista de vigilancia de Active Response en la página 382

Ejecución de una búsqueda de Active ResponseEs posible realizar una búsqueda de Active Response desde el ESM. La búsqueda genera una lista dedatos de los endpoints presentes que cumple los criterios de búsqueda.

Antes de empezarAgregue un dispositivo McAfee ePO con Active Response al ESM.


1 Asegúrese de que el dispositivo McAfee ePO esté configurado para la búsqueda.

a En la consola de ESM, haga clic en Propiedades de McAfee ePO y, después, en Conexión.

b Compruebe que la opción Activar DXL esté seleccionada y que se haya especificado un Puerto deactivación del agente (el predeterminado es el 8081).

2 En la consola de ESM, seleccione una vista con un componente de Tabla, como, por ejemplo, Análisisde eventos.

Uso de los eventosBúsquedas de McAfee® Active Response 8


3Haga clic en un evento y, después, haga clic en el icono Menú en el componente.

4 Seleccione Acciones | Ejecutar búsqueda de Active Response y, a continuación, seleccione un tipo debúsqueda predefinida.Opción Descripción

Información de archivocompleta de un nombre, MD5 oSHA-1

Muestra los detalles de archivo correspondientes a ladirección IP de origen y destino, tales como el SO y elnombre.

Búsqueda de detalles de usuario Muestra los detalles sobre el usuario.

Información de proceso dedirección IP de origen y hora

Muestra los detalles de proceso de la dirección IP de origenpara la que se estableció la conexión.

Información de proceso dedirección IP de destino y hora

Muestra los detalles de proceso de la dirección IP de destinopara la que se estableció la conexión.

CurrentFlow para dirección IP Muestra a cualquiera que esté conectado a la mismadirección IP de origen o destino.

Los tipos de búsqueda aparecen atenuados si la tabla no contiene los campos apropiados para labúsqueda.

Los datos se recuperan y se muestran en la página Detalles de Active Response.

Véase también Búsquedas de McAfee® Active Response en la página 378Administración de los resultados de las búsquedas de Active Response en la página 380Adición de una lista de vigilancia de Active Response en la página 382

Administración de los resultados de las búsquedas de ActiveResponseTras llevar a cabo una búsqueda de Active Response, existen acciones disponibles a fin de administrarlos datos generados.

Antes de empezarDebe estar visualizando los resultados de una búsqueda de Active Response (véaseEjecución de una búsqueda de Active Response).


1 En la página Detalles de Active Response (véase Ejecución de una búsqueda de Active Response),

seleccione una fila de la tabla y haga clic en el icono de Menú .

2 Seleccione una de las opciones.

• Crear nueva lista de vigilancia desde: crea una lista de vigilancia a partir de la columna seleccionada enla lista desplegable.

Es posible seleccionar más de una fila de la tabla.



• Anexar a lista de vigilancia desde: anexa a una lista de vigilancia existente los valores a partir de lacolumna seleccionada.

Es posible seleccionar más de una fila de la tabla. No se lleva a cabo validación alguna en losdatos seleccionados en esta tabla.

• Exportar: exportar la tabla actual a un archivo CSV.

• Búsqueda de Active Response: realizar otra búsqueda de Active Response en los datos de la filaseleccionada. Si se devuelven resultados, los resultados nuevos sustituyen el conjunto de datosexistente.


Opción Acción Definición

Tabla Muestra los resultados de la búsqueda de Active Response (véaseEjecución de una búsqueda de Active Response).

Icono Menú Crear nueva lista devigilancia desde

Crea una nueva lista de vigilancia estática con los valores de lacolumna seleccionada (véase Administración de los resultados de lasbúsquedas de Active Response). Es posible seleccionar varias filas.

Anexar a lista devigilancia desde

Anexa los valores de la columna seleccionada a la lista de vigilanciaexistente seleccionada (véase Administración de los resultados de lasbúsquedas de Active Response). Es posible seleccionar varias filas.

No se lleva a cabo validación alguna en los datos seleccionados apartir de esta tabla.

Exportar Permite exportar los datos a un archivo .csv.

Búsqueda de ActiveResponse

Se lleva a cabo otra búsqueda de Active Response en la filaseleccionada de la tabla. Si se devuelven resultados, los datos nuevossustituyen los datos presentes.

Véase también Búsquedas de McAfee® Active Response en la página 378Ejecución de una búsqueda de Active Response en la página 379Administración de los resultados de las búsquedas de Active Response en la página 380Adición de una lista de vigilancia de Active Response en la página 382

Adición de un origen de enriquecimiento de datos de ActiveResponseSi se instala Active Response en un dispositivo McAfee ePO agregado al ESM, es posible agregar unorigen de enriquecimiento de datos con los resultados de búsqueda de Active Response.

Antes de empezarAgregue un dispositivo McAfee ePO con una extensión de Active Response al ESM.

Uso de los eventosBúsquedas de McAfee® Active Response 8




.


3 Rellene la información solicitada en la ficha Principal.

4 En la ficha Origen, seleccione Active Response en el campo Tipo y rellene la información solicitada.

5 Rellene la información en las fichas restantes y, después, haga clic en Finalizar.

El origen se agregará y los datos especificados se enriquecerán con los datos de Active Response.

El tipo Active Response no aparecerá si el ESM no puede extraer los recopiladores de Active Responsemediante DXL.

Adición de una lista de vigilancia de Active ResponseSi se instala Active Response en un dispositivo McAfee ePO agregado al ESM, es posible configurar unalista de vigilancia dinámica con los resultados de búsqueda de Active Response.

Antes de empezarAgregue un dispositivo McAfee ePO con una extensión de Active Response al ESM.



.

2 Haga clic en Listas de vigilancia y, después, en Agregar.

3 Rellene la ficha Principal y seleccione Dinámica.

4 En la ficha Origen, seleccione Active Response en el campo Tipo y rellene la información solicitada.

5 Rellene la información en las fichas restantes y, después, haga clic en Finalizar.

La lista de vigilancia se agregará y recopilará los datos especificados de las búsquedas de ActiveResponse.

El tipo Active Response no aparecerá si el ESM no puede extraer los recopiladores de Active Responsemediante DXL.

Véase también Búsquedas de McAfee® Active Response en la página 378Ejecución de una búsqueda de Active Response en la página 379Administración de los resultados de las búsquedas de Active Response en la página 380



9 Administración de casos

Use el administrador de casos de ESM para asignar y rastrear elementos de trabajo y fichas de soporteasociados con eventos de red. Para acceder a esta función, debe formar parte de un grupo que tengael privilegio Usuario administrador de casos activado.

Hay cinco maneras de agregar un caso:

• En la vista Administración de casos

• En el panel Casos, sin vinculación con ningún evento

• En la vista Análisis de eventos, con vinculación a un evento

• Al configurar una alarma

• En una notificación de una alarma activada

Contenido Adición de un caso Creación de un caso a partir de un evento Adición de eventos a un caso existente Edición o cierre de un caso Visualización de detalles de casos Adición de niveles de estado de casos Envío de casos por correo electrónico Visualización de todos los casos Generación de informes de administración de casos

Adición de un casoEl primer paso para rastrear una tarea generada como resultado de un evento de red es agregar uncaso al sistema de administración de casos.


1 En el panel Casos , haga clic en el icono Agregar caso .


El caso se agregará al panel Casos del usuario al que esté asignado. Si ha seleccionado Enviar caso porcorreo electrónico, también se enviará un mensaje (véase Envío de casos por correo electrónico).

9


Véase también Creación de un caso a partir de un evento en la página 384Adición de eventos a un caso existente en la página 384Edición o cierre de un caso en la página 386Visualización de detalles de casos en la página 387Adición de niveles de estado de casos en la página 389Envío de casos por correo electrónico en la página 389Visualización de todos los casos en la página 390Generación de informes de administración de casos en la página 391

Creación de un caso a partir de un eventoPara rastrear un evento en la vista Análisis de eventos, cree un caso. Esto permite rastrear el flujo detrabajo.


1 En la lista de vistas, seleccione Vistas de eventos | Análisis de eventos.

2Haga clic en el evento, haga clic en el icono de menú y, después, en Acciones | Crear un nuevo caso.

3 Complete la información solicitada y, a continuación, haga clic en Aceptar para guardar el caso.

El nuevo caso incluye los datos de evento en la tabla Mensaje.

Véase también Adición de un caso en la página 383Adición de eventos a un caso existente en la página 384Edición o cierre de un caso en la página 386Visualización de detalles de casos en la página 387Adición de niveles de estado de casos en la página 389Envío de casos por correo electrónico en la página 389Visualización de todos los casos en la página 390Generación de informes de administración de casos en la página 391

Adición de eventos a un caso existenteAgregue uno o varios eventos a un caso existente a fin de rastrear las acciones realizadas comorespuesta a esos eventos.

9 Administración de casosCreación de un caso a partir de un evento



1 En el panel de vistas, seleccione Vistas de evento en la lista de vistas y, a continuación, haga clic enAnálisis de eventos.

2 Seleccione los eventos y, después, realice una de las siguientes acciones:

• Haga clic en el icono Asignar eventos a un caso o Remedy y seleccione Agregar eventos a un caso.

•Haga clic en el icono Menú , resalte Acciones y haga clic en Agregar eventos a un caso.

3 Seleccione el caso y haga clic en Agregar.

La página Detalles del caso muestra el ID de evento en la tabla Mensajes.

4 Haga clic en Aceptar y, a continuación, en Cerrar.


Opción Definición

Resumen Un breve resumen descriptivo del caso. Aparece en el panel Casos. Escriba unmáximo de 255 caracteres.

ID de caso Un número exclusivo generado por el sistema que se asigna al caso una vezque se ha agregado. Este número no se puede cambiar.

Usuario asignado Los usuarios o grupos a los que está asignado el caso. Se enumeran todos losusuarios y grupos de usuarios que disponen de derechos de administración decasos (véase Configuración de grupos de usuarios).

Seleccione el usuario o grupo en la lista.

tomar Haga clic en esta opción para reasignarse el caso a sí mismo.

Gravedad La gravedad del caso.

Del 1 al 20 = Verde

Del 21 al 40 = Azul

Del 41 al 60 = Amarillo

Del 61 al 80 = Marrón

Del 81 al 100 = Rojo

Seleccione el nivel de gravedad de este caso.

Organización (Opcional) La organización a la que se asigna el caso. Para agregar unaorganización, haga clic en Organización y, después, en Agregar.

Estado El estado del caso. El administrador de casos ofrece dos estados: Abierto (opciónpredeterminada) y Cerrado. Para agregar más estados a los que asignar loscasos, haga clic en Estado, después en Agregar y, por último, introduzca lainformación solicitada.

Fecha de creación La fecha de creación del caso.

Última actualización La última vez que se modificó el caso.

Administración de casosAdición de eventos a un caso existente 9



Opción Definición

Notas Registra las acciones realizadas y los cambios efectuados en un caso, así comocualquier nota agregada. Las acciones y los cambios siguientes se registraránen esta sección de forma automática una vez agregado el caso:• Apertura del caso • Cambio de gravedad

• Cierre del caso • Cambio de organización

• Cambios en el resumen • Cambios en eventos

• Reasignación del caso

La nota incluye el tipo de acción realizada o cambio efectuado, la fecha y lahora, y el nombre del usuario. En el caso de los cambios, también se mostraránel valor anterior y el nuevo, por ejemplo:

---- Gravedad cambiada el 22-04-2009 a las 09:39antes: Bajaahora: Alta

Historial Incluye los usuarios que han accedido al caso.

Tabla Mensaje Incluye los eventos asociados con el caso. Para ver los detalles de un evento,haga clic en él en la tabla y, después, en Mostrar detalles.

Enviar caso porcorreo electrónico

Permite enviar el caso por correo electrónico a la dirección especificada.

Véase también Adición de un caso en la página 383Creación de un caso a partir de un evento en la página 384Edición o cierre de un caso en la página 386Visualización de detalles de casos en la página 387Adición de niveles de estado de casos en la página 389Envío de casos por correo electrónico en la página 389Visualización de todos los casos en la página 390Generación de informes de administración de casos en la página 391

Edición o cierre de un casoSi dispone de privilegios de Administrador de administración de casos, puede modificar cualquier caso delsistema. Si cuenta con privilegios de Usuario administrador de casos, solamente puede modificar los casosque tenga asignados.


1 Acceda a Detalles del caso de una de las formas siguientes.

9 Administración de casosEdición o cierre de un caso



Un caso que tieneasignado

1 Seleccione el caso en el panel Casos.

2 Haga clic en el icono Editar caso .

Un caso que no tieneasignado

1 Haga clic en el icono Abrir ventana de administración de casos en el panelCasos.

2 Seleccione el caso que desea modificar.

3 Haga clic en el icono Editar caso , situado en la parte inferior de la vista.

2 Edite la configuración o cierre el caso en el campo Estado.


Los cambios se registrarán en la sección Notas de la página Detalles del caso. Si cierra el caso, ya noaparecerá en el panel Casos, pero se conservará en la lista de Administración de casos con el estado Cerrado.

Véase también Adición de un caso en la página 383Creación de un caso a partir de un evento en la página 384Adición de eventos a un caso existente en la página 384Visualización de detalles de casos en la página 387Adición de niveles de estado de casos en la página 389Envío de casos por correo electrónico en la página 389Visualización de todos los casos en la página 390Generación de informes de administración de casos en la página 391

Visualización de detalles de casosEs posible realizar acciones en cualquier caso.


Procedimiento1 En el panel, haga clic en y seleccione Panel de investigación.


2 Use la flecha desplegable para expandir el caso que desee ver y haga clic en Ver en Administración decasos.

Se abrirá la vista Administración de casos con todos los casos del sistema.

3 Revise los datos de las fichas Notas y Eventos de origen.

4 Para obtener más detalles, haga doble clic en el caso y revise la información en la página Detalles delcaso.

Administración de casosVisualización de detalles de casos 9



Opción Definición

Resumen Un breve resumen descriptivo del caso. Aparece en el panel Casos. Escriba unmáximo de 255 caracteres.

ID de caso Un número exclusivo generado por el sistema que se asigna al caso una vez quese ha agregado. Este número no se puede cambiar.

Usuario asignado Los usuarios o grupos a los que está asignado el caso. Se enumeran todos losusuarios y grupos de usuarios que disponen de derechos de administración decasos (véase Configuración de grupos de usuarios).

Seleccione el usuario o grupo en la lista.

tomar Haga clic en esta opción para reasignarse el caso a sí mismo.

Gravedad La gravedad del caso.

Del 1 al 20 = Verde

Del 21 al 40 = Azul

Del 41 al 60 = Amarillo

Del 61 al 80 = Marrón

Del 81 al 100 = Rojo

Seleccione el nivel de gravedad de este caso.

Organización (Opcional) La organización a la que se asigna el caso. Para agregar unaorganización, haga clic en Organización y, después, en Agregar.

Estado El estado del caso. El administrador de casos ofrece dos estados: Abierto (opciónpredeterminada) y Cerrado. Para agregar más estados a los que asignar los casos,haga clic en Estado, después en Agregar y, por último, introduzca la informaciónsolicitada.

Fecha de creación La fecha de creación del caso.

Última actualización La última vez que se modificó el caso.

Notas Registra las acciones realizadas y los cambios efectuados en un caso, así comocualquier nota agregada. Las acciones y los cambios siguientes se registrarán enesta sección de forma automática una vez agregado el caso:• Apertura del caso • Cambio de gravedad

• Cierre del caso • Cambio de organización

• Cambios en el resumen • Cambios en eventos

• Reasignación del caso

La nota incluye el tipo de acción realizada o cambio efectuado, la fecha y la hora, yel nombre del usuario. En el caso de los cambios, también se mostrarán el valoranterior y el nuevo, por ejemplo:

---- Gravedad cambiada el 22-04-2009 a las 09:39antes: Bajaahora: Alta

Historial Incluye los usuarios que han accedido al caso.

Tabla Mensaje Incluye los eventos asociados con el caso. Para ver los detalles de un evento, hagaclic en él en la tabla y, después, en Mostrar detalles.

Enviar caso porcorreo electrónico

Permite enviar el caso por correo electrónico a la dirección especificada.

9 Administración de casosVisualización de detalles de casos


Véase también Adición de un caso en la página 383Creación de un caso a partir de un evento en la página 384Adición de eventos a un caso existente en la página 384Edición o cierre de un caso en la página 386Adición de niveles de estado de casos en la página 389Envío de casos por correo electrónico en la página 389Visualización de todos los casos en la página 390Generación de informes de administración de casos en la página 391

Adición de niveles de estado de casosEl administrador de casos ofrece dos niveles de estado: Abierto y Cerrado. Es posible agregar otrosestados a los que asignar los casos.


1 En el panel Casos, haga clic en el icono Abrir ventana de administración de casos .

2 En la vista Administración de casos, haga clic en el icono Configuración de administración de casos en labarra de herramientas de la parte inferior y, después, haga clic en Agregar.

3 Escriba un nombre para el estado e indique si desea que sea el estado predeterminado de los casosnuevos.

4 Indique si desea que los casos con este estado aparezcan en el panel Casos y haga clic en Aceptar.

Véase también Adición de un caso en la página 383Creación de un caso a partir de un evento en la página 384Adición de eventos a un caso existente en la página 384Edición o cierre de un caso en la página 386Visualización de detalles de casos en la página 387Generación de informes de administración de casos en la página 391

Envío de casos por correo electrónicoEs posible configurar el sistema para que envíe de forma automática un mensaje de correo electrónicoa la persona o el grupo a los que está asignado un caso cada vez que se agregue o se reasigne uncaso.

Antes de empezarEs necesario disponer de privilegios de Administrador de administración de casos.

También se puede enviar por correo electrónico una notificación de caso manualmente, así comoincluir notas sobre el caso y detalles del evento.

Administración de casosAdición de niveles de estado de casos 9



Enviar por correoelectrónico un casoautomáticamente

1 En el panel Casos, haga clic en el icono Abrir ventana de administración de casos .

2 Haga clic en el icono Configuración de administración de casos .

3 Seleccione Enviar un mensaje de correo electrónico cuando se asigne un caso y haga clicen Cerrar.

Las direcciones de correo electrónico de los usuarios deben encontrarse enel ESM (véase Configuración de usuarios).

Enviar un casoexistente por correoelectrónicomanualmente

1 En el panel Casos, seleccione el caso que desee enviar por correoelectrónico y haga clic en el icono Editar caso .

2 En Detalles del caso, haga clic en Enviar caso por correo electrónico y rellene loscampos Desde y Hasta.

3 Indique si desea incluir las notas y adjuntar un archivo CSV con losdetalles de evento.

4 Escriba las notas que desee incluir en el mensaje de correo electrónico yhaga clic en Enviar.


Visualización de todos los casosPuede administrar todos los casos del sistema, tanto abiertos como cerrados.


Procedimiento1 En el panel, haga clic en y seleccione Panel de investigación.


2 Use la flecha desplegable para expandir el caso que desee ver y haga clic en Ver en Administración decasos.

Se abrirá la vista Administración de casos con todos los casos del sistema.

9 Administración de casosVisualización de todos los casos




Agregar un caso Haga clic en el icono Agregar caso , situado en la barra deherramientas de la parte inferior de la vista.

Ver o editar el casoseleccionado

Haga clic en el icono Editar caso , situado en la barra de herramientasde la parte inferior de la vista.

Enviar el casoseleccionado por correoelectrónico

Haga clic en el icono Enviar caso por correo electrónico , situado en labarra de herramientas de la parte inferior de la vista.

Configurar un caso paraque se envíe un mensajede correo electrónicocuando se agregue ocambie

Haga clic en el icono Configuración de administración de casos , situado enla barra de herramientas de la parte inferior de la vista.

Agregar o editar losestados disponibles paralos casos

Haga clic en el icono Configuración de administración de casos y, después,en Agregar, Editar o Eliminar.

Ver las notas, el historial ylos eventos de origen delcaso seleccionado

Haga clic en Notas, Historial o Eventos de origen. Al hacer clic en Eventos deorigen, se abren las fichas de detalles de Eventos de origen. Si las fichasno están visibles o lo están pero desea ocultarlas, haga clic en elicono Ver detalles de evento de origen , situado en la barra deherramientas de la parte inferior de la vista.La ficha Historial registra todas las ocasiones en que un usuariovisualiza un caso. Si el mismo usuario visualiza un caso más de unavez en cinco minutos, el registro no se actualiza en cada ocasión.

Cambiar las columnas deEventos de origen

Haga clic en la ficha Eventos de origen y, después, haga clic en Editarcolumnas visibles en la ficha Eventos de origen.

Filtrar los casos En el panel Filtros, seleccione o escriba los datos por los que deseefiltrar los casos y haga clic en el icono Ejecutar consulta . La lista decasos cambiará para mostrar únicamente los que cumplan loscriterios de filtrado.


Generación de informes de administración de casosExisten seis informes de administración de casos disponibles en el ESM.


1 En la página Propiedades del sistema, haga clic en Informes | Agregar.

2 Rellene las secciones 1, 2 y 3.

Administración de casosGeneración de informes de administración de casos 9


3 En la sección 4, seleccione Consulta en CSV.

4 En la sección 5, seleccione el informe de administración de casos que desee ejecutar.

• Resumen de administración de casos: incluye los números de ID de los casos, la gravedad que tienenasignada, su estado, los usuarios a los que están asignados, las organizaciones a las que estánasignados (si procede), la fecha y la hora de adición de los casos, la fecha y la hora deactualización de los casos (si procede) y los resúmenes de los casos.

• Detalles de administración de casos: incluye toda la información del informe Resumen de administración decasos, además de los números de ID de los eventos vinculados a los casos y la informacióncontenida en las secciones de notas de los casos.

• Tiempo de resolución de caso: muestra el tiempo transcurrido entre cambios de estado (por ejemplo,la diferencia entre la marca de tiempo de Abierto y de Cerrado). De forma predeterminada, semuestran los casos con el estado Cerrado por número de ID de caso, además de la gravedad, laorganización, la Fecha de creación, la última actualización, el resumen y la diferencia de tiempo.

• Casos por usuario asignado: incluye el número de casos asignados a un usuario o grupo.

• Casos por organización: incluye el número de casos por organización.

• Casos por estado: incluye el número de casos por tipo de estado.

5 Complete la sección 6 (véase Descripción de los filtros contains y regex) y haga clic en Guardar.

El informe se guardará y se agregará a la lista de Informes.

Véase también Adición de un caso en la página 383Creación de un caso a partir de un evento en la página 384Adición de eventos a un caso existente en la página 384Edición o cierre de un caso en la página 386Visualización de detalles de casos en la página 387Adición de niveles de estado de casos en la página 389Envío de casos por correo electrónico en la página 389Visualización de todos los casos en la página 390

9 Administración de casosGeneración de informes de administración de casos


10 Uso del administrador de activos

El administrador de activos proporciona una ubicación centralizada para descubrir, crearmanualmente e importar activos.

Contenido Cómo funciona el Administrador de activos Orígenes de activos Administración de orígenes de evaluación de vulnerabilidades Administración de zonas Evaluación de activos, amenazas y riesgo Administración de amenazas conocidas

Cómo funciona el Administrador de activosAsset Manager proporciona una ubicación centralizada para descubrir, crear manualmente e importaractivos.

En la ficha Activo, es posible crear un grupo con uno o varios activos. Cabe la posibilidad de llevar acabo las siguientes operaciones en el grupo al completo:

• Cambiar los atributos de todos los activos del grupo.

Este cambio no es persistente. Si se agrega un activo a un grupo modificado, el activo no heredaráautomáticamente la configuración anterior.

• Realizar operaciones de arrastrar y colocar.

• Cambiar el nombre de un grupo si es necesario.

Los grupos de activos permiten categorizar los activos de formas que no son posibles mediante eletiquetado. Por ejemplo, supongamos que desea crear un grupo de activos por cada edificio de lasinstalaciones. El activo consta de una dirección IP y un conjunto de etiquetas. Las etiquetas describenel sistema operativo que ejecuta el activo y un conjunto de servicios de los que es responsable elactivo.

Las etiquetas de activos se definen de dos formas:

• Cuando el sistema recupera un activo.

• Cuando el usuario agrega o edita un activo.

Si el sistema define las etiquetas, se actualizan cada vez que se recupera el activo, en caso de habercambiado. Si las define el usuario, el sistema no actualiza las etiquetas cuando se recupera el activo,incluso aunque hayan cambiado. Si agrega o edita las etiquetas de un activo pero desea que elsistema las actualice cuando se recupere el activo, haga clic en Restablecer. Es necesario llevar a caboesta acción cada vez que se realicen cambios en la configuración de las etiquetas.

10


La administración de la configuración forma parte de las normativas de conformidad estándar, talescomo PCI, HIPPA y SOX. Permite supervisar cualquier cambio realizado en la configuración de losenrutadores y conmutadores, evitando así las vulnerabilidades del sistema. En el ESM, la función deadministración de configuraciones permite hacer lo siguiente:

• Establecer la frecuencia con la que deben sondearse los dispositivos.

• Seleccionar los dispositivos descubiertos en los que comprobar la configuración.

• Identificar un archivo de configuración recuperado como predeterminado para el dispositivo.

• Ver los datos de configuración, descargar los datos a un archivo y comparar la información deconfiguración de ambos dispositivos.

Contenido Administración de activos Definición de activos antiguos

Administración de activosUn activo es cualquier dispositivo de la red que disponga de una dirección IP. Es posible crear activos,modificar sus etiquetas, crear grupos de activos, agregar orígenes de activos y asignar un activo a ungrupo de activos. Los activos descubiertos mediante alguno de los proveedores de evaluación devulnerabilidades también se pueden manipular.

Antes de empezarVerifique que dispone de derechos de administrador o que pertenece a un grupo de accesocon permiso para administrar dispositivos.

Procedimiento1 Desde el panel, haga clic en y seleccione Administrador de activos.

2 Asegúrese de que esté seleccionada la ficha Activo.

3 Administre los activos según proceda y, después, haga clic en Aceptar.


Opción Definición

Ver activos en árbol Ver los activos con formato de árbol.

Ver lista plana de activos

ordenable

Ver los activos en una lista plana ordenable.

Nuevo | Grupo Haga clic en esta opción para agregar un grupo de activos. Escriba unnombre para el grupo y seleccione su criticidad.

Nuevo | Activo Haga clic en esta opción para agregar un activo.

Nuevo | Agregar grupo defiltrado

Haga clic en esta opción para agregar un grupo de filtrado de activos. Estaopción solo resulta accesible si se trata del primer elemento que se agregaal árbol de activos, o bien si se resalta un grupo existente.

10 Uso del administrador de activosCómo funciona el Administrador de activos



Opción Definición

Archivo | Importar desdearchivo

Permite importar un archivo .csv a la ubicación seleccionada en la lista deactivos.El formato de los datos de activos en el archivo .csv debe ser el siguiente:

Hostname, IPAddress, Mask, ZoneName, UsrSeverity,UseCalcSeverity, TagCount, TagGroupName:TagNameAgregue TagGroupName:TagName por cada etiqueta que tenga (TagCount).Cada activo debe encontrarse en su propia línea.

Archivo | Exportar a archivo Haga clic en esta opción para exportar los archivos de activosseleccionados.

Editar | Modificar Haga clic en esta opción para cambiar el activo o el grupo de activosseleccionados.

Editar | Usar en cálculo deriesgo o Ignorar en cálculo deriesgo

Seleccione un activo y haga clic en una de estas opciones para seleccionarlos activos que se emplearán en el cálculo del riesgo global para laempresa. Usar en cálculo de riesgo es la configuración predeterminada.

Editar | Eliminar Haga clic en esta opción para eliminar el grupo o el activo seleccionados.Si selecciona un grupo, se le preguntará si desea eliminar el grupo y losactivos contenidos en él o únicamente el grupo. Si elige solo el grupo, losactivos se reasignarán a la carpeta Sin asignar.

Herramientas | Crear servidorde base de datos de DEM

Seleccione un activo y agréguelo como servidor de base de datos a undispositivo DEM del sistema.

Herramientas | Crear origen dedatos de receptor

Seleccione un activo y agréguelo como origen de datos a un receptor delsistema.

Etiquetado Agregue etiquetas al activo seleccionado para definir sus atributos y queactúen como filtros.


Opción Definición

Nombre Introduzca un nombre para el activo.

Dirección IP Escriba la dirección IP del activo.

Dirección MAC (Opcional) Escriba la dirección MAC del activo.

GUID (Opcional) Escriba el identificador único global de este activo.

Sistema operativo (Opcional) Seleccione el sistema operativo del activo.

Zona Seleccione una zona para este activo.

Si hay una zona asignada a un activo o grupo de activos, los usuarios sinpermiso para esa zona no tendrán acceso a los activos.

Criticidad Seleccione la criticidad del activo para la empresa: 1 = criticidad más baja,100 = criticidad más alta. La criticidad y la gravedad de una amenaza seemplean para calcular la gravedad global del evento para la empresa.

Tabla de etiquetas Seleccione las etiquetas para este activo.

Nueva categoría de etiqueta Agrega una categoría nueva a la lista de etiquetas. Escriba un nombre para lacategoría e indique si desea que se use esta categoría en el cálculo degravedad de los eventos.

Nueva etiqueta Permite agregar una nueva etiqueta. Escriba un nombre para la etiqueta eindique si desea que se use esta etiqueta en el cálculo de gravedad de loseventos.

Uso del administrador de activosCómo funciona el Administrador de activos 10



Opción Definición

Editar etiqueta Seleccione una etiqueta o categoría que desee editar y haga clic en esteicono.

Quitar etiqueta Seleccione una etiqueta o categoría personalizadas que desee eliminar y hagaclic en este icono.


Opción Definición

Nombre Escriba un nombre para el grupo de filtrado de activos.

Dirección/máscara IP Introduzca la dirección IP y la máscara del grupo.

Zona Si desea asignar este grupo a una zona, selecciónela. Si la zona que desea noaparece, haga clic en Zona y agréguela.

Criticidad Seleccione el nivel de criticidad de este grupo. Esto determina la criticidad quetiene el activo en su caso.

Lista de etiquetas Seleccione las etiquetas que se apliquen como filtros a este grupo. Es posibledefinir un grupo de filtrado en función de la existencia de una o varias etiquetasde activos. Las etiquetas establecidas no definen el conjunto exclusivo deetiquetas que un activo debe tener. El activo puede tener otras etiquetas yseguir siendo miembro del grupo de filtrado.

Nueva categoría deetiqueta

Permite agregar una categoría a la lista de etiquetas. Escriba un nombre parala categoría e indique si desea que se use esta categoría en el cálculo degravedad de los eventos.

Nueva etiqueta Permite agregar una etiqueta. Escriba un nombre para la etiqueta e indique sidesea que se use esta etiqueta en el cálculo de gravedad de los eventos.

Editar etiqueta Seleccione una etiqueta o categoría que desee editar y haga clic en este icono.

Quitar etiqueta Seleccione una etiqueta o categoría personalizadas que desee eliminar y hagaclic en este icono.


Opción Definición

Usar la criticidad de esteactivo

Seleccione esta opción si desea que la criticidad asignada al activo se utilicesiempre para calcular la gravedad del evento.

Usar la criticidad globalcalculada

Seleccione esta opción si desea que siempre se use el valor de criticidad másalto al calcular la gravedad del evento.

Si selecciona esta opción y cambia la tasa en el campo Criticidad, se activaránlos botones Calcular y Grupos.

Calcular Haga clic en este botón para calcular la gravedad total, la cual se agrega alcampo Calcular.

Grupos Permite ver una lista de los grupos a los que pertenece este activo y lacriticidad de cada uno.

Restablecer Hace que el sistema establezca automáticamente las etiquetas del activo.

10 Uso del administrador de activosCómo funciona el Administrador de activos


Véase también Administración de orígenes de activos en la página 398Administración de orígenes de evaluación de vulnerabilidades en la página 399Administración de amenazas conocidas en la página 406Definición de activos antiguos en la página 397

Definición de activos antiguosEl grupo Activos antiguos del Administrador de activos permite almacenar activos que no se han detectado enel periodo de tiempo definido.


1Haga clic en el icono de inicio rápido de Asset Manager .

2 En la ficha Activo, haga doble clic en el grupo Activos antiguos de la lista de activos.

3 Seleccione el número de días desde la última detección de un activo antes de que deba moverse ala carpeta Activos antiguos y, después, haga clic en Aceptar.

Véase también Administración de activos en la página 394

Orígenes de activos Es posible recuperar datos de Active Directory o, en caso de existir, de un servidor Altiris a través deOrígenes de activos.

Active Directory permite filtrar los datos de eventos mediante la selección de los usuarios o gruposrecuperados en los campos de filtrado de consultas de vista Usuario de origen o Usuario de destino. Estoaumenta la capacidad de proporcionar datos sobre conformidad a fin de satisfacer requisitos como losde PCI. Altiris y Active Directory recuperan activos, tales como equipos con direcciones IP, y los agregan ala tabla de activos.

Con el fin de recuperar activos en Altiris, es necesario disponer de privilegios para Asset Manager en laconsola de administración de Altiris.

Active Directory no suele almacenar información sobre direcciones IP. El sistema emplea DNS paraconsultar la dirección una vez que obtiene el nombre de Active Directory. Si no puede encontrar ladirección del equipo, no se agrega a la tabla Activos. Por este motivo, el servidor DNS del sistema debecontener la información de DNS correspondiente a los equipos de Active Directory.

Es posible agregar direcciones IP a Active Directory. Si lo hace, modifique el atributo networkAddress delos objetos de su equipo de forma que el sistema utilice esas direcciones IP en lugar de realizar unaconsulta DNS.

Véase también Administración de orígenes de activos en la página 398

Uso del administrador de activosOrígenes de activos 10


Administración de orígenes de activosEs posible recuperar datos de Active Directory o un servidor Altiris.


1Haga clic en el icono de inicio rápido de Asset Manager y, después, en la ficha Orígenes de activos.

El árbol de Orígenes de activos mostrará el ESM y los receptores del sistema, así como sus orígenes deactivos actuales.

Un ESM puede tener un origen de datos, mientras que los receptores pueden tener varios.

2 Seleccione un dispositivo y, después, seleccione alguna de las acciones disponibles.


Opción Definición

Tabla Ver el ESM y los receptores del sistema, así como sus orígenes de activos actuales.

Agregar Agregar un nuevo origen de activos al ESM o a uno de los receptores.

Editar Cambiar el origen de activos seleccionado.

Quitar Eliminar el origen de activos seleccionado.

Recuperar Recuperar datos inmediatamente.

Escribir Utilice esta opción cuando cambie cualquier configuración del origen de activos a fin deescribir los cambios en los en dispositivos.


Opción Definición

Activado Seleccione esta opción si desea activar la recuperación automática. Si no laselecciona, podrá recuperar los datos manualmente haciendo clic en Recuperaren la página Orígenes de activos. Si la selecciona, los datos se recuperarán segúnel intervalo de tiempo especificado en el campo Recuperar datos.

Tipo Seleccione esta opción si se trata de un origen de activos de Active Directory oAltiris.

Nombre Introduzca un nombre para el origen de activos.

Zona Si desea asignar un origen de datos a una zona, selecciónela.

Prioridad Seleccione la prioridad que desee que tenga este origen de activos si descubreun activo al mismo tiempo que Evaluación de vulnerabilidades o Descubrimiento de red.

Dirección IP Escriba la dirección IP de este origen de activos.

Puerto Seleccione el puerto de este origen de activos.

Usar TLS o Usar SSL Seleccione estas opciones si desea emplear un protocolo de cifrado para losdatos. Active Directory emplea TLS, mientras que Altiris usa SSL.

Nombre de usuario Escriba el nombre de usuario necesario para acceder al origen de activos.

Contraseña Escriba la contraseña necesaria para acceder al origen de activos.

Base de búsqueda En el caso de Active Directory, escriba el nombre distintivo del objeto dondedesee que empiece la búsqueda de activos (dc=mcafee,dc=com).

Información de proxy En el caso de Altiris, escriba la dirección IP, el puerto de escucha, el nombredel usuario de proxy y la contraseña del servidor proxy.

10 Uso del administrador de activosOrígenes de activos



Opción Definición

Recuperar datos Si desea que los datos se recuperen automáticamente, seleccione lafrecuencia.

Conectar Haga clic para probar la conexión con el servidor de Altiris.


Opción Definición

Dispositivo Enumera los dispositivos en los que se están aplicando los cambios.

Estado Muestra el estado del proceso en cada dispositivo.

Véase también Administración de activos en la página 394Administración de orígenes de evaluación de vulnerabilidades en la página 399Administración de amenazas conocidas en la página 406Orígenes de activos en la página 397

Administración de orígenes de evaluación de vulnerabilidadesEs posible recuperar datos de una serie de proveedores de evaluación de vulnerabilidades mediante eluso de Evaluación de vulnerabilidades. Para comunicarse con los orígenes de evaluación de vulnerabilidadesdeseados, debe agregarlos al sistema. Una vez agregado un origen al sistema, es posible recuperar losdatos de evaluación de vulnerabilidades.


1Haga clic en el icono de inicio rápido de Asset Manager y, después, en Evaluación de vulnerabilidades.

2 Agregue, edite, quite o recupere orígenes de evaluación de vulnerabilidades y, después, escríbalosen el dispositivo.



Opción Definición

Dispositivo Indica los dispositivos que se eliminarán.

Estado Muestra el estado del proceso en cada uno de los dispositivos que se eliminarán.

Véase también Administración de orígenes de activos en la página 398Administración de activos en la página 394Administración de amenazas conocidas en la página 406

Uso del administrador de activosAdministración de orígenes de evaluación de vulnerabilidades 10


Administración de zonasEs posible utilizar zonas para categorizar los dispositivos y los orígenes de datos de la red.

Esto permite organizar los dispositivos y los eventos que estos generan en grupos basados en laubicación geográfica y la dirección IP. Por ejemplo, si dispone de oficinas en Madrid y Barcelona ydesea que los eventos generados por cada oficina se agrupen juntos, puede agregar dos zonas yasignar los dispositivos cuyos eventos deban agruparse juntos a cada una de ellas. A fin de agruparlos eventos de cada oficina según las direcciones IP específicas, puede agregar subzonas a cada unade las zonas.

Véase también Administración de las zonas en la página 400Adición de una zona en la página 401Exportación de la configuración de zonas en la página 401Importación de la configuración de zonas en la página 402Adición de una subzona en la página 403

Administración de las zonasLas zonas ayudan a categorizar los dispositivos y los orígenes de datos según la geolocalización o elASN. Es necesario agregar zonas, ya sea individualmente o mediante la importación de un archivoexportado de otro equipo, y asignar los dispositivos o los orígenes de datos a las zonas.


1Haga clic en el icono de inicio rápido de Asset Manager y, después, en Administración de zonas.

2 Agregue una zona o subzona, edite o quite las zonas existentes, o bien importe o exporte laconfiguración de zonas.

3 Despliegue los cambios realizados y, después, haga clic en Aceptar


Opción Definición

Agregar zona Permite agregar una zona nueva al ESM.

Agregar subzona Agregar una subzona a la zona seleccionada para dividirla por direcciones IP.

Editar Cambiar la configuración de la zona o la subzona seleccionadas.

Quitar Eliminar la zona o subzona seleccionadas.

Importar Importar un archivo de definición de zonas o un archivo de asignación de dispositivosa zonas exportado de otro ESM.

Exportar Exportar la configuración de zonas del ESM.

Desplegar Desplegar los cambios realizados en el ESM.


Opción Definición

Seleccionar columna Seleccione los dispositivos en los que desee desplegar los cambios.

Columna Dispositivo Ver los dispositivos del sistema.

Columna Estado Permite ver el estado del despliegue en cada dispositivo.

10 Uso del administrador de activosAdministración de zonas


Véase también Administración de zonas en la página 400Adición de una zona en la página 401Exportación de la configuración de zonas en la página 401Importación de la configuración de zonas en la página 402Adición de una subzona en la página 403

Adición de una zonaEl primer paso para la administración de zonas es agregar las zonas empleadas para categorizar losdispositivos y los orígenes de datos. Se pueden agregar individualmente mediante la función Agregarzona, o bien se puede importar un archivo exportado de otro sistema. Cuando se agrega una zona, esposible editar su configuración en caso de ser necesario.


1Haga clic en el icono de inicio rápido de Asset Manager y, después, en Administración de zonas.

2 Introduzca la información solicitada y asigne dispositivos a la zona; después, haga clic en Aceptar.


Opción Definición

Nombre Escriba un nombre para esta zona.

Usar como asignación de zonapredeterminada

Seleccione esta opción si desea que esta asignación de zona sea lapredeterminada para los eventos generados por los dispositivos asignados aesta zona que no pertenecen a ninguna de sus subzonas.

Geolocalización Si desea usar la geolocalización para definir los límites de esta zona, hagaclic en el icono Filtro y, después, seleccione la ubicación que desee incluir enesta zona.

ASN Para definir los límites de esta zona mediante el ASN, que identifica deforma exclusiva cada red de Internet, introduzca los números en estecampo.

Dispositivos asignados Seleccione los dispositivos que desee asignar a esta zona.

Véase también Administración de zonas en la página 400Administración de las zonas en la página 400Exportación de la configuración de zonas en la página 401Importación de la configuración de zonas en la página 402Adición de una subzona en la página 403

Exportación de la configuración de zonasEs posible exportar la configuración de zonas del ESM para poder importarla a otro ESM.

Uso del administrador de activosAdministración de zonas 10



1Haga clic en el icono de Asset Manager y, después, en Administración de zonas.

2 Haga clic en Exportar y seleccione el tipo de archivo que desee exportar.

3 Haga clic en Aceptar y seleccione el archivo que descargar inmediatamente.


Opción Definición

Archivo de definición de exportación de zona Exportar un archivo que incluye las zonas principales y lassubzonas, así como todos los detalles acerca de suconfiguración.

Archivo de asignación de exportación dedispositivo a zona

Permite exportar un archivo que incluye los dispositivos y lazona a la que están asignados.

Véase también Administración de zonas en la página 400Administración de las zonas en la página 400Adición de una zona en la página 401Importación de la configuración de zonas en la página 402Adición de una subzona en la página 403

Importación de la configuración de zonasLa función de importación permite importar un archivo de zonas tal cual está o editar los datos antesde su importación.

Antes de empezarExporte un archivo de configuración de zonas de otro ESM para poder importarlo a su ESM.


1 Abra el archivo de configuración de zonas que desee importar.

• Si se trata de un archivo de importación de definición de zonas, tendrá ocho columnas:Comando, Nombre de zona, Nombre de principal, Geolocalización, ASN, Predeterminado, Iniciode IP y Fin de IP.

• Si es un archivo de importación de asignación de dispositivos a zonas, tendrá tres columnas:Comando, Nombre de dispositivo y Nombre de zona.



2 Introduzca comandos en la columna Comando para especificar la acción que debe realizarse por cadalínea cuando se importe.

• add (agregar): importar los datos de la línea tal cual están.

• edit (editar): importar los datos con los cambios que se realicen en ellos (solo disponible parael archivo de definición de zonas).

Para realizar cambios en un intervalo de subzonas, es necesario eliminar el intervalo existente y,después, agregar el intervalo con los cambios. No es posible la edición directa.

• remove (quitar): eliminar la zona que coincide con esta línea del ESM.

3 Guarde los cambios realizados y cierre el archivo.

4Haga clic en el icono de inicio rápido de Asset Manager y, después, en la ficha Administración de zonas.

5 Haga clic en Importar y seleccione el tipo de importación.

6 Haga clic en Aceptar, localice el archivo que se debe importar y haga clic en Cargar.

El sistema le notificará si se detectan errores en el archivo.

7 En caso de existir errores, realice las correcciones necesarias en el archivo y vuelva a intentarlo.

8 Despliegue los cambios a fin de actualizar los dispositivos.


Opción Definición

Archivo de definición deimportación de zona

Importar un archivo que incluye las zonas principales y las subzonas,así como todos los detalles acerca de su configuración.

Para realizar cambios en un intervalo de subzonas, es necesarioeliminar el intervalo existente y, después, agregar el intervalo con loscambios. No es posible la edición directa.

Archivo de asignación deimportación de dispositivo a zona

Importar un archivo que incluye los dispositivos y la zona a la queestán asignados.

Véase también Administración de zonas en la página 400Administración de las zonas en la página 400Adición de una zona en la página 401Exportación de la configuración de zonas en la página 401Adición de una subzona en la página 403

Adición de una subzonaUna vez agregada una zona, es posible agregar subzonas a fin de categorizar aún más los dispositivosy eventos según la dirección IP.

Antes de empezarAgregue zonas en la ficha Administración de zonas.

Uso del administrador de activosAdministración de zonas 10



1Haga clic en el icono de inicio rápido de Asset Manager y, después, en la ficha Administración de zonas.

2 Seleccione una zona y haga clic en Agregar subzona.



Opción Definición

Nombre Escriba un nombre para esta subzona.

Descripción Escriba una descripción para esta subzona.

Tabla Intervalos Ver los intervalos de direcciones IP de esta subzona.

Agregar Agregar intervalos de direcciones IP, además de información sobre geolocalización oASN, para este intervalo.

Editar Cambiar el intervalo seleccionado.

Quitar Eliminar el intervalo seleccionado.


Opción Definición

IP de inicio e IP final Escriba la dirección IP de inicio y fin para este intervalo.

Geolocalización Si desea que este intervalo tenga una geolocalización distinta de lapredeterminada, seleccione la geolocalización que permitirá omitir el valorpredeterminado en este campo.

ASN Si desea que este intervalo tenga un ASN distinto del predeterminado, escriba elASN que permitirá omitir el valor predeterminado en este campo.

Véase también Administración de zonas en la página 400Administración de las zonas en la página 400Adición de una zona en la página 401Exportación de la configuración de zonas en la página 401Importación de la configuración de zonas en la página 402



Evaluación de activos, amenazas y riesgoMcAfee Threat Intelligence Services (MTIS) y los orígenes de evaluación de vulnerabilidades delsistema generan una lista de amenazas conocidas. Se utilizan la gravedad de estas amenazas y lacriticidad de cada activo para calcular el nivel de riesgo que para la empresa.

Administrador de activos

Cuando se agrega un activo al Administrador de activos (véase Administración de activos), se le asigna unnivel de criticidad. Esto determina la criticidad que tiene el activo en su caso. Por ejemplo, si tiene unúnico equipo para administrar la configuración de la empresa y no cuenta con copia de seguridad, sucriticidad es alta. No obstante, si tiene dos equipos para administrar la configuración, cada uno deellos con una copia de seguridad, el nivel de criticidad es considerablemente menor.

Puede elegir entre usar o ignorar un activo en el cálculo del riesgo para la empresa mediante el menúEditar de la ficha Activo.

Administración de amenazas

La ficha Administración de amenazas del Administrador de activos muestra una lista de amenazas conocidas, sugravedad, el proveedor y si se emplean o no para el cálculo del riesgo. Es posible activar o desactivaramenazas específicas para que se empleen o no al calcular el riesgo. También puede ver los detallesde las amenazas en la lista. Entre estos detalles se incluyen recomendaciones para la gestión de laamenaza, así como las contramedidas que se pueden utilizar.

Vistas predefinidas

Hay tres vistas predefinidas (véase Uso de las vistas de ESM) que resumen y muestran los datos sobreactivos, amenazas y riesgo.

• Resumen de amenazas de activo: muestra los activos principales por calificación de riesgo y niveles deamenaza, y los niveles de amenaza según el riesgo.

• Resumen de amenazas recientes: muestra las amenazas recientes por proveedor, riesgo, activo yproductos de protección disponibles.

• Resumen de vulnerabilidades: muestra las vulnerabilidades por amenazas y activos.

Es posible acceder a detalles sobre los elementos individuales de estas vistas desde los menús delcomponente.

Vistas personalizadas

Se han agregado opciones al Asistente de consultas para que sea posible configurar vistas personalizadas(véase Adición de una vista personalizada) que muestren los datos necesarios.

• En los componentes Dial de control y Recuento, se pueden mostrar la calificación de riesgo empresarialmedia y la calificación de riesgo empresarial total.

• En los componentes Gráfico circular, Gráfico de barras y Lista, se pueden mostrar los activos en riesgo, laprotección frente a amenazas del producto, las amenazas por activo, las amenazas por riesgo y lasamenazas por proveedor.

• En el componente Tabla, se pueden mostrar los activos, las amenazas más recientes, los activosprincipales por calificación de riesgo y las amenazas principales por calificación de riesgo.

Uso del administrador de activosEvaluación de activos, amenazas y riesgo 10


Administración de amenazas conocidasSeleccione qué amenazas conocidas se deben usar en los cálculos de riesgo.

Cada amenaza tiene una calificación de gravedad. Esta calificación y la calificación de criticidad de losactivos se emplean para calcular la gravedad global de una amenaza para su sistema.


1En la consola de ESM, haga clic en el icono de inicio rápido de Administrador de activos .

2 Haga clic en la ficha Administración de amenazas para ver la lista de amenazas conocidas.

3 Seleccione una amenaza conocida y haga una de estas cosas:

• Haga clic en Detalles de amenaza para ver los detalles sobre la amenaza.

• Si la columna Calcular riesgo tiene el valor Sí y no desea que se utilice en los cálculos de riesgo,haga clic en Desactivar.

• Si la columna Calcular riesgo tiene el valor No y desea que se utilice en los cálculos de riesgo, hagaclic en Activar.


Véase también Administración de orígenes de activos en la página 398Administración de orígenes de evaluación de vulnerabilidades en la página 399Administración de activos en la página 394

10 Uso del administrador de activosAdministración de amenazas conocidas


11 Administración de directivas y reglas

Es posible crear, aplicar y ver las reglas y plantillas de directiva.

Contenido Descripción del Editor de directivas El Árbol de directivas Administración de directivas en el Árbol de directivas Configuración de la regla y el informe para las pistas de auditoría de base de datos Normalización Tipos de reglas y sus propiedades Configuración de la directiva predeterminada Operaciones relacionadas con reglas Asignación de etiquetas a reglas o activos Modificación de la configuración de agregación Omisión de la acción en las reglas descargadas Ponderaciones de gravedad Visualización del historial de cambios de directiva Aplicación de cambios de directivas Activación de Copiar paquete

Descripción del Editor de directivasEl Editor de directivas permite crear plantillas de directiva y personalizar las directivas individuales.

Las plantillas de directiva, así como la configuración de directiva de cualquier dispositivo, puedenheredar valores de sus elementos principales. La herencia permite que la configuración de directivaaplicada a un dispositivo presente infinidad de opciones de configuración, a la vez que se mantiene elnivel de simplicidad y facilidad de uso. Todas las directivas agregadas, al igual que todos losdispositivos, cuentan con una entrada en el Árbol de directivas.

En el modo FIPS, las reglas no se deben actualizar a través del servidor de reglas. En su lugar, hay queactualizarlas manualmente (véase Comprobación de la existencia de actualizaciones de reglas).

El servidor de reglas de McAfee mantiene todas las reglas, variables y preprocesadores con usos ovalores predefinidos. La Directiva predeterminada hereda sus valores y opciones de configuración de estasconfiguraciones mantenidas por McAfee, y es la predecesora del resto de directivas. De formapredeterminada, las opciones de configuración del resto de directivas y dispositivos heredan losvalores de la Directiva predeterminada.

Para abrir el editor, haga clic en el icono del Editor de directivas o seleccione el nodo del sistema o eldispositivo en el árbol de navegación. A continuación, haga clic en el icono del Editor de directivas en la

barra de herramientas de acciones .

11


1 Barra de menús 4 Pantalla de reglas

2 Panel de ruta de navegación 5 Campo de búsqueda de etiquetas

3 Panel de tipos de reglas 6 Panel Filtros/etiquetado

Los tipos de reglas indicados en el panel Tipos de regla varían en función del tipo de dispositivoseleccionado en el árbol de navegación del sistema. El panel de ruta de navegación muestra lajerarquía de la directiva seleccionada. Para cambiar la directiva actual, haga clic en el nombre de ladirectiva en el panel de ruta de navegación. Después, haga clic en la flecha del panel de ruta denavegación, que muestra los elementos secundarios de la directiva. Si lo prefiere, puede hacer clic en

el icono del Árbol de directivas . El menú del Árbol de directivas indica las cosas que se pueden hacer conuna directiva.

Al seleccionar un tipo en el panel Tipo de regla, se muestran todas las reglas de ese tipo en la sección devisualización de reglas. Las columnas indican los parámetros de regla específicos que se puedenajustar para cada regla (excepto para las de tipo Variable y Preprocesador). Existe la posibilidad decambiar la configuración; para ello, haga clic en el valor actual y seleccione otro en la lista.

El panel Filtros/etiquetado filtra las reglas mostradas en el Editor de directivas. A continuación, solo podrá verlas que cumplen los criterios, o bien agregar etiquetas a las reglas para definir sus funciones.

Véase también El Árbol de directivas en la página 409Tipos de reglas y sus propiedades en la página 414Administración de directivas en el Árbol de directivas en la página 409Aplicación de cambios de directivas en la página 470

11 Administración de directivas y reglasDescripción del Editor de directivas


El Árbol de directivasEl Árbol de directivas enumera las directivas y los dispositivos del sistema.

El Árbol de directivas permite:

• Navegar para ver los detalles de una directiva o un dispositivo concretos

• Agregar una directiva al sistema

• Cambiar el orden de las directivas o los dispositivos

• Localizar cualquier directiva o dispositivo por su nombre

• Renombrar, eliminar, copiar o copiar y reemplazar, importar o exportar una directiva

Icono Descripción

Directiva

El dispositivo no está sincronizado

El dispositivo está preparado

El dispositivo está actualizado

Véase también Descripción del Editor de directivas en la página 407Tipos de reglas y sus propiedades en la página 414Administración de directivas en el Árbol de directivas en la página 409Aplicación de cambios de directivas en la página 470

Administración de directivas en el Árbol de directivasEs posible administrar las directivas del sistema mediante la realización de acciones en el Árbol dedirectivas.

Antes de empezarVerifique que dispone de derechos de administrador o que pertenece a un grupo de accesocon permiso para administrar directivas.


1 Desde el panel, haga clic en y seleccione Editor de directivas.

2 En la consola de ESM, haga clic en el icono del Editor de directivas y, después, en el icono del Árbol

de directivas .


Administración de directivas y reglasEl Árbol de directivas 11



Ver las reglas deuna directiva

• Haga doble clic en la directiva. Las reglas se enumeran en la sección devisualización de reglas del Editor de directivas.

Convertir unadirectiva ensecundaria deotra

• Seleccione el elemento secundario, arrástrelo y colóquelo en el principal.

Solo se pueden arrastrar y colocar dispositivos en directivas.

Localizar unadirectiva o undispositivo

• Escriba el nombre en el campo de búsqueda.

Agregar unadirectiva

1 Seleccione la directiva a la que desee agregar una directiva y haga clic en el

icono Elementos de menú del árbol de directivas .

2 Haga clic en Nueva, introduzca un nombre para la directiva y haga clic enAceptar.

Cambiar elnombre de unadirectiva

1 Seleccione la directiva que desee renombrar y haga clic en el icono Elementosde menú del árbol de directivas.

2 Haga clic en Cambiar nombre, introduzca el nombre nuevo y haga clic en Aceptar.

Eliminar unadirectiva

1 Seleccione la directiva que desee eliminar y haga clic en el icono Elementos demenú del árbol de directivas.

2 Haga clic en Eliminar y después en Aceptar en la página de confirmación.

Copiar unadirectiva

1 Seleccione la directiva que desee copiar y haga clic en el icono Elementos demenú del árbol de directivas.

2 Haga clic en Copiar, introduzca un nombre para la nueva directiva y haga clicen Aceptar.

Moverdispositivos a unadirectiva

1 Seleccione los dispositivos que quiera mover y haga clic en el icono Elementos

de menú del árbol de directivas .

2 Resalte la opción Mover y seleccione la directiva a la que desee mover losdispositivos.

Copiar yreemplazar unadirectiva

1 Seleccione la directiva que desee copiar, haga clic en el icono Elementos demenú del árbol de directivas y seleccione Copiar y reemplazar.

2 En Seleccionar directiva, seleccione la directiva que desee reemplazar.

3 Haga clic en Aceptar y, a continuación, en Sí.

La configuración de la directiva copiada se aplicará a la directiva reemplazada,pero el nombre seguirá siendo el mismo.

11 Administración de directivas y reglasAdministración de directivas en el Árbol de directivas



Importar unadirectiva

La importación se produce desde el dispositivo seleccionado hacia abajo.1 Seleccione en el árbol el nivel al que desee importar la nueva directiva, haga

clic en el icono Elementos de menú del árbol de directivas y seleccione Importar.

2 Busque el archivo que desee importar y cárguelo.

Si aparece un mensaje de error, véase Importar directiva para encontrar unasolución.

3 Seleccione las opciones de importación que desee usar y, a continuación,haga clic en Aceptar.

Exportar unadirectiva

1 Seleccione la directiva que desee exportar.La exportación incluye desde el nodo seleccionado hacia arriba en lajerarquía. Solo se exportan las reglas estándar con configuraciónpersonalizada o las reglas personalizadas, así que es necesario seleccionaruna de estas opciones para que se active la función Exportar.

2 Haga clic en Menú y seleccione Exportar.

3 Seleccione las opciones de exportación que desee emplear, haga clic enAceptar y seleccione la ubicación para guardar el archivo de directivaexportado.

4 A fin de cerrar el Árbol de directivas, haga doble clic en una directiva o un dispositivo, o bien haga clicen el icono de cierre .


Opción Definición

Barra de menús Pase el cursor sobre un elemento de esta barra y seleccione cualquiera de lasopciones disponibles. Las opciones varían en función del tipo de regla o laregla seleccionada.

Barra de ruta denavegación

El icono del Árbol de directivas permite acceder a la lista de todas las directivasdel ESM. La lista de la barra de ruta de navegación indica la directiva en laque se está trabajando.

Panel Tipos de regla Haga clic en cualquiera de los tipos de reglas en este panel a fin de ver lasreglas de ese tipo en el panel de visualización de reglas.

Panel de visualizaciónde reglas

Haga clic en una regla para ver su descripción en la parte inferior del panel,o bien lleve a cabo cualquiera de las opciones disponibles en la barra demenús o en las columnas del panel de visualización de reglas.

Campo de búsquedade etiquetas

Escriba el nombre de una etiqueta que esté buscando y, después, seleccioneuna etiqueta de la lista de posibles coincidencias.

Panel Filtros/etiquetado En la ficha Filtro, ordene las reglas del panel de visualización de reglas pororden alfabético o por hora, además de filtrar la lista para ver únicamente lasreglas que cumplan los criterios seleccionados. En la ficha Etiquetas, agregueetiquetas a las reglas seleccionadas en el panel de visualización de reglaspara poder filtrar las reglas según sus etiquetas. Es posible agregar, editar yeliminar etiquetas personalizadas y categorías de etiquetas.

Icono Crear alarma Permite agregar una alarma para recibir una notificación cuando la reglaseleccionada genere un evento.

Icono Ponderaciones degravedad

Permite establecer la gravedad de los activos, etiquetas, reglas yvulnerabilidades de forma que se puedan utilizar a la hora de calcular lagravedad de los eventos.

Administración de directivas y reglasAdministración de directivas en el Árbol de directivas 11



Opción Definición

Icono Ver historial decambios de directiva

Ver y exportar una lista de los cambios realizados en la directiva actual.

Icono Configuración Definir la configuración para el modo de solo alertas y el modo desobresuscripción, actualizar las reglas mediante el servidor de McAfee y verel resumen del estado de actualización de los dispositivos en el árbol dedirectivas.

Icono Desplegar Permite desplegar los cambios de directiva en el ESM.


Opción Definición

Sobrescribir directiva seleccionada(excluido el nombre)

Permite importar la configuración de directiva al elemento seleccionadoen el árbol de directivas. Si se importan varias directivas, la primerasobrescribe la directiva seleccionada y todas las directivas subsiguientesse insertan como elementos secundarios del nodo actual, dejandointacta su relación jerárquica. Esta opción no cambia el nombre de ladirectiva seleccionada.

Insertar como directiva secundariade la directiva seleccionada

Permite importar la directiva como elemento secundario del elementoseleccionado en el árbol de directivas. Si se importan varias directivas,todas se insertan como elementos secundarios en el nodo actual,dejando intacta su relación jerárquica.

Sobrescribir reglas existentes Permite eliminar la regla existente y sobrescribirla con la reglaperteneciente a la directiva que se importa.

Crear una regla nueva cuandoexista un conflicto

Permite conservar ambas reglas gracias a la creación de un nuevo IDpara la regla importada.

Omitir la regla cuando ya existaotra regla

Permite conservar la regla existente y no importar la regla en conflicto.

Importar directiva Haga clic en esta opción para iniciar la importación de la directiva.


Opción Definición

Configuración del métodode exportación

Indique si desea que se incluyan las variables y las reglas personalizadascomo parte de la exportación. Debido a la posible dependencia de las reglaspersonalizadas de variables personalizadas, las reglas personalizadas no sepueden exportar sin exportar también las variables personalizadas. Seleccionela opción de variables y reglas personalizadas que mejor se adapte a la accióndeseada para la exportación actual.

Opciones avanzadas Permite seleccionar los niveles de directiva que exportar.

Exportar directiva actual Permite exportar la directiva junto con toda su jerarquía. Se simplifica, lo cualquiere decir que la configuración se comprime en un nivel de directiva, dondela configuración de directiva más inmediata tiene prioridad en el caso de cadaelemento. Por ejemplo, si tiene un dispositivo seleccionado, se exportarán lasdos directivas situadas sobre la directiva seleccionada. Es necesarioseleccionar un elemento secundario si se desea que se exporte el elementoprincipal correspondiente. Asimismo, la configuración de la directivaseleccionada tiene prioridad sobre la configuración de la directiva principalcuando el archivo se comprime a un nivel de directiva.

11 Administración de directivas y reglasAdministración de directivas en el Árbol de directivas



Opción Definición

Directiva actual sinconfiguración de ladirectiva principal

Permite exportar solamente la configuración de la directiva seleccionada.

Directiva actual condirectivas principales

Permite exportar la directiva seleccionada y todos sus elementos principalescon la estructura jerárquica intacta.

Véase también Descripción del Editor de directivas en la página 407El Árbol de directivas en la página 409Tipos de reglas y sus propiedades en la página 414Aplicación de cambios de directivas en la página 470

Configuración de la regla y el informe para las pistas deauditoría de base de datos

Un informe de tipo Pistas de auditoría de usuario con privilegios permite ver la pista de auditoría de lasmodificaciones realizadas en la base de datos o rastrear el acceso a una base de datos o tablaasociadas con un evento de base de datos concreto.

Una vez configurados los parámetros para generar este informe, se reciben notificaciones de informede conformidad que muestran la pista de auditoría asociada con cada evento. Para generar los eventosde pista de auditoría, es necesario agregar una regla Acceso a datos y un informe Pistas de auditoría de usuariocon privilegios.


1 En el panel Tipos de regla del Editor de directivas, seleccione DEM | Acceso a datos.

2 Resalte DEM - Regla de plantilla - Acceso de uso de confianza desde intervalo de IP en el panel de visualización dereglas.

3 Haga clic en Editar | Copiar y, después, en Editar | Pegar.

4 Cambie el nombre y las propiedades de la nueva regla.

a Resalte la nueva regla y seleccione Editar | Modificar.

b Introduzca un nombre para la regla y, después, escriba el nombre de usuario.

c Seleccione el tipo de acción No fiable y haga clic en Aceptar.

5 Haga clic en el icono Desplegar .

6 Configure el informe:

a En Propiedades del sistema, haga clic en Informes | Agregar.

b Rellene las secciones de la 1 a la 3 y la sección 6.

c En la sección 4, seleccione Informe en PDF o Informe en HTML.

Administración de directivas y reglasConfiguración de la regla y el informe para las pistas de auditoría de base de datos 11


d En la sección 5, seleccione Conformidad | SOX | Pistas de auditoría de usuario con privilegios (Base de datos).

e Haga clic en Guardar.

7 Para generar el informe, haga clic en Ejecutar ahora.

NormalizaciónCada proveedor pone nombre a sus reglas y las describe. Como resultado, a menudo un mismo tipode regla tiene distintos nombres, lo cual dificulta la recopilación de información sobre los tipos deeventos que se producen.

McAfee ha compilado y actualiza de forma constante una lista de ID normalizados que describen lasreglas, de forma que los eventos se puedan agrupar en categorías útiles. Cuando se hace clic enNormalización en el panel Tipos de regla del Editor de directivas, aparecen estos ID, nombres y descripciones.

Estas funciones de evento ofrecen la opción de organizar la información sobre eventos mediante IDnormalizados:

• Ver campos de componentes: Resumen de evento normalizado es una opción disponible al definir loscampos para una consulta de evento en un gráfico circular, un gráfico de barras y los componentesde lista (véase Administración de consultas).

• Ver filtros de componentes: cuando se crea una vista nueva, es posible filtrar los datos de eventosen un componente por los ID normalizados (véase Administración de consultas).

• Ver filtros: ID normalizado es una opción presente en la lista de filtros de vista (véase Filtrado devistas).

• Ver lista: hay disponible una vista Resumen de evento normalizado en la lista de Vistas de evento.

La ficha Detalles de la vista Análisis de eventos muestra el ID de normalización de los eventos que aparecenen la lista.

Al agregar filtros de ID normalizado a una vista nueva o existente, es posible:

• Filtrar según todos los ID normalizados en una carpeta de primer nivel. Se incluye una máscara (/5para una carpeta de primer nivel) al final del ID para indicar que los eventos también se filtraránsegún los ID secundarios de la carpeta seleccionada.

• Filtrar por los ID de una carpeta de segundo o tercer nivel. Se incluye una máscara (/12 para unacarpeta de segundo nivel y /18 para una carpeta de tercer nivel) al final del ID para indicar que loseventos se filtrarán según los ID secundarios de la subcarpeta seleccionada. El cuarto nivel nodispone de máscara.

• Filtrar por un ID único.

• Filtrar por varias carpetas o ID al mismo tiempo mediante su selección con las teclas Ctrl o Mayús.

Tipos de reglas y sus propiedadesEl panel Tipos de regla de la página Editor de directivas permite acceder a todas las reglas por tipo.

Es posible importar, exportar, agregar y editar las reglas, así como realizar diversas operaciones conellas cuando se seleccionan. Las funciones que se pueden llevar a cabo están limitadas según el tipode regla.

11 Administración de directivas y reglasNormalización


Todas las reglas se basan en un sistema jerárquico en el que cada regla hereda su uso del elementoprincipal. La regla (excepto las de tipo Variable y Preprocesador) se marca con un icono para indicar dóndehereda su uso. El icono cuenta con un punto en la esquina inferior izquierda si la cadena de herenciase ha roto en algún punto por debajo de la fila actual.

Icono Descripción

El uso de este elemento está determinado por la configuración del elemento principal. Lamayoría de las reglas están configuradas para heredar la configuración de formapredeterminada, pero el uso se puede cambiar.

Indica que la cadena de herencia está rota en este nivel y el valor de herencia estádesactivado.

Se emplea el uso actual de la regla cuando la cadena de herencia se ha roto.

Indica que la cadena de herencia está rota en este nivel. Los elementos por debajo de estepunto no heredan nada que se encuentre en un nivel superior de la cadena. Estaconfiguración resulta útil para forzar a las reglas a usar los valores predeterminados.

Indica un valor personalizado; el valor se configura de forma distinta a la predeterminada.

Propiedades

Cuando se selecciona un tipo de regla, el panel de visualización de reglas muestra todas las reglas deese tipo que hay en el sistema y la configuración de sus propiedades. Entre estas propiedades puedenencontrarse Acción, Gravedad, Lista negra, Agregación y Copiar paquete.

Estapropiedad...

Permite...

Acción Establecer la acción que realiza esta regla. Las opciones disponibles dependen deltipo de regla.

Los elementos de lista negra no se pueden mover a su destino; si se seleccionaPaso en la columna Lista negra, el sistema lo cambia automáticamente por Alerta.

Gravedad Seleccione la gravedad de la parte de regla cuando se active la regla. La gravedadpuede oscilar entre 1 y 100, siendo 100 la gravedad más alta.

Lista negra Permite crear automáticamente una entrada de lista negra por cada regla cuandose activa en el dispositivo. Puede elegir entre incluir en la lista negra solo ladirección IP o la dirección IP y el puerto.

Agregación Establezca para cada regla la agregación de los eventos creados cuando se activela regla. La configuración de agregación definida en las páginas de Agregación deeventos (véase Agregación de eventos o flujos) solo se aplica a las reglas definidasen el Editor de directivas.

Copiar paquete Permite copiar los datos de paquete en el ESM, lo cual resulta útil en caso de quese produzca una pérdida de comunicación. Si existe una copia de los datos depaquete, es posible acceder a la información a través de su recuperación.

Para cambiar estas opciones de configuración, haga clic en ellas y seleccione otro valor.

Véase también Descripción del Editor de directivas en la página 407El Árbol de directivas en la página 409Administración de directivas en el Árbol de directivas en la página 409Aplicación de cambios de directivas en la página 470

Administración de directivas y reglasTipos de reglas y sus propiedades 11


Reglas de ADMMcAfee ADM consta de una serie de dispositivos de red con tecnología de motor de ICE para lainspección profunda de paquetes (Deep Packet Inspection, DPI).

El motor de ICE es una biblioteca de software y una recopilación de módulos de complementos deprotocolo y contenido que puede identificar y extraer contenido a partir del tráfico de red sin procesaren tiempo real. Es capaz de volver a ensamblar y descodificar por completo el contenido de nivel deaplicación, para lo cual transforma los crípticos flujos de paquetes de red en contenido fácilmentelegible, como si se leyera en un archivo local.

El motor de ICE puede identificar automáticamente protocolos y tipos de contenido sin necesidad deconfiar en números de puerto de TCP o extensiones de archivo concretos. El motor de ICE no empleafirmas para realizar los análisis y la descodificación; en su lugar, sus módulos implementananalizadores completos para cada protocolo o tipo de contenido. Esto tiene como resultado unaidentificación y una descodificación extremadamente precisas del contenido, y permite identificar yextraer el contenido aunque esté comprimido o codificado de cualquier otra forma (es decir, que nopasa por la red sin cifrar).

Gracias a la identificación y descodificación altamente precisas, el motor de ICE puede ofrecer unavisión del tráfico de red con una profundidad única. Por ejemplo, el motor de ICE podría recibir unflujo de documento PDF que pasó por la red dentro de un archivo zip a modo de datos adjuntoscodificados en BASE-64 con dirección a una dirección de correo electrónico SMTP y procedente de unservidor proxy SOCKS.

Este reconocimiento de aplicaciones y documentos permite al ADM proporcionar un contexto deseguridad inestimable. Ofrece la posibilidad de detectar amenazas que no se detectan fácilmentemediante un sistema de detección o prevención de intrusiones tradicional, tales como:

• Fuga de información y documentos de carácter confidencial o infracciones de la directiva decomunicación.

• Tráfico de aplicación no autorizado (por ejemplo, quién utiliza Gnutella).

• Aplicaciones utilizadas de formas inesperadas (por ejemplo, HTTPS en un puerto no estándar).

• Documentos potencialmente maliciosos (por ejemplo, un documento que no coincide con suextensión).

• Exploits de última generación (por ejemplo, un documento PDF con un ejecutable incrustado).

El ADM también detecta patrones de tráfico malicioso mediante la localización de anomalías en losprotocolos de transporte y aplicación (por ejemplo, una conexión RPC que tiene un formato incorrectoo que el puerto TCP es 0).

Aplicaciones y protocolos compatibles

Existen más de 500 aplicaciones y protocolos compatibles en los que el ADM puede supervisar,descodificar y detectar anomalías. Esta lista incluye algunos ejemplos:

• Protocolos de red de bajo nivel: TCP/IP, UDP, RTP, RPC, SOCKS, DNS, etc.

• Correo electrónico: MAPI, NNTP, POP3, SMTP, Microsoft Exchange

• Chat: MSN, AIM/Oscar, Yahoo, Jabber, IRC

• Correo web: AOL Mail, Hotmail, Yahoo! Mail, Gmail, Facebook y correo de MySpace

• P2P: Gnutella, bitTorrent

• Shell: SSH (solo detección), Telnet

11 Administración de directivas y reglasTipos de reglas y sus propiedades


• Mensajería instantánea: AOL, ICQ, Jabber, MSN, SIP y Yahoo

• Protocolos de transferencia de archivos: FTP, HTTP, SMB y SSL

• Protocolos de compresión y extracción: BASE64, GZIP, MIME, TAR, ZIP, etc.

• Archivos de almacenamiento: RAR, ZIP, BZIP, GZIP, Binhex y archivos codificados con UU

• Paquetes de instalación: paquetes de Linux, archivos CAB de InstallShield, archivos CAB deMicrosoft

• Archivos de imagen: GIF, JPEG, PNG, TIFF, AutoCAD, Photoshop, mapa de bits, Visio, RAW digital eiconos de Windows

• Archivos de audio: WAV, MIDI, RealAudio, Dolby Digital AC-3, MP3, MP4, MOD, RealAudio,SHOUTCast, etc.

• Archivos de vídeo: AVI, Flash, QuickTime, Real Media, MPEG-4 , Vivo, Digital Video (DV), MJPEG,etc.

• Otras aplicaciones y archivos: bases de datos, hojas de cálculo, faxes, aplicaciones web, fuentes,archivos ejecutables, aplicaciones de Microsoft Office, juegos e incluso herramientas de desarrollode software

• Otros protocolos: impresora de red, acceso a shell, VoIP, y peer-to-peer

Conceptos clave

Para comprender cómo funciona el ADM, es fundamental conocer los siguientes conceptos:

• Objeto: un objeto es un elemento individual de contenido. Un mensaje de correo electrónico es unobjeto, pero también un contenedor de objetos, ya que consta del cuerpo del mensaje y de datosadjuntos. Una página HTML es un objeto que puede contener otros objetos, tales como imágenes.Un archivo .zip y cada uno de los archivos contenidos en él son objetos. El ADM desempaqueta elcontenedor y trata cada uno de los objetos que hay dentro como un objeto en sí mismo.

• Transacción: una transacción es un envoltorio que rodea la transferencia de un objeto(contenido). Una transacción contiene como mínimo un objeto; no obstante, si ese objeto es uncontenedor, como un archivo .zip, la transacción podría contener varios objetos.

• Flujo: un flujo es la conexión de red TCP o UDP. Un flujo podría contener muchas transacciones.

Administración de reglas de correlación, DEM o ADM personalizadasCopie una regla predefinida y utilícela como plantilla para crear una regla personalizada. Al agregaruna regla personalizada, es posible editar la configuración, copiarla y pegarla a fin de emplearla amodo de plantilla para una regla personalizada nueva, o bien eliminarla.


1 En el Editor de directivas, seleccione ADM o DEM | Base de datos, Acceso a datos o Rastreo de transacciones.





Ver todas las reglaspersonalizadas de ADM oDEM

1 Seleccione la ficha Filtro en el panel Filtros/etiquetado.

2 Haga clic en la barra Avanzadas en la parte inferior del panel.

3 En el campo Origen, seleccione definido por el usuario.

4 Haga clic en Ejecutar consulta.

Las reglas personalizadas del tipo seleccionado aparecerán en el panelde visualización de reglas.

Copiar y pegar una regla 1 Seleccione una regla predefinida o personalizada.

2 Haga clic en Editar | Copiar

3 Haga clic en Editar | Pegar.La regla copiada se agregará a la lista de reglas existentes con elmismo nombre.

4 Para cambiar el nombre, haga clic en Editar | Modificar.

Modificar una reglapersonalizada

1 Seleccione la regla personalizada.

2 Haga clic en Editar | Modificar.

Eliminar una reglapersonalizada

1 Seleccione la regla personalizada.

2 Haga clic en Editar | Eliminar.

Adición de reglas de correlación, base de datos o ADM personalizadasAdemás de usar las reglas de correlación, base de datos y ADM predefinidas, es posible crear reglascomplejas mediante expresiones regulares y lógicas. Los editores empleados para agregar estos tiposdistintos de reglas se parecen mucho entre ellos, así que se describen en las mismas secciones.


1 En el panel Tipos de regla del Editor de directivas, seleccione ADM, DEM | Base de datos o Correlación.

2 Haga clic en Nueva y seleccione el tipo de regla que desee agregar.

3 Introduzca la información solicitada y, después, arrastre y suelte elementos lógicos y componentesde expresión de la barra de herramientas en el área Lógica de expresión a fin de crear la lógica de laregla.



Opción Definición

Nombre Escriba un nombre descriptivo para la regla.

Gravedad Seleccione una configuración de gravedad.

ID de normalización Cambie el ID normalizado predeterminado si lo desea.

Etiquetas Seleccione etiquetas que definan las categorías a las que pertenece laregla.




Opción Definición

Tipo Seleccione el tipo de regla de base de datos del que se trata.

Acción predeterminada Seleccione la acción de alerta que activa esta regla.

Es posible agregar acciones a la lista de acciones predeterminadas (véaseAdición de una acción de DEM).

Área Lógica de expresión Arrastre y suelte componentes y elementos lógicos en esta área paradefinir la lógica de la regla.

Elementos lógicos AND yOR

Arrastre y suelte elementos lógicos en el área Lógica de expresión para definirla lógica de la regla.

Icono Componente de

expresión

Arrastre y suelte el icono para definir los detalles de los elementoslógicos.

Descripción Escriba una descripción de la regla, la cual aparecerá en el área dedescripción del Editor de directivas al seleccionarla.


Opción Definición





Tipo Seleccione el tipo de regla de base de datos del que se trata.

Acción predeterminada Seleccione la acción de alerta que activa esta regla.

Es posible agregar acciones a la lista de acciones predeterminadas (véaseAdición de una acción de DEM).

Área Lógica de expresión Arrastre y suelte componentes y elementos lógicos en esta área paradefinir la lógica de la regla.

Elementos lógicos AND yOR

Arrastre y suelte elementos lógicos en el área Lógica de expresión para definirla lógica de la regla.

Icono Componente de

expresión

Arrastre y suelte el icono para definir los detalles de los elementoslógicos.

Descripción Escriba una descripción de la regla, la cual aparecerá en el área dedescripción del Editor de directivas al seleccionarla.


Opción Definición








Opción Definición

Agrupar por Cree una lista de campos que se pueda usar para agrupar los eventos amedida que lleguen al motor de correlación.

Área Lógica de correlación Arrastre y suelte componentes y elementos lógicos en esta área paradefinir la lógica de la regla (véase Ejemplo de regla de correlaciónpersonalizada).

Parámetros Personalice las instancias de una regla y la reutilización de componentes(véase Adición de parámetros a un componente o una regla decorrelación).

Elementos lógicos AND,OR y SET

Arrastre y suelte los elementos lógicos en el área Lógica de correlación paradefinir la lógica de la regla.

Iconos Coincidir componente,Componente de desviación yReglas/componentes

Arrastre y suelte componentes para definir los detalles de los elementoslógicos.

Descripción Agregue una descripción de la regla, la cual aparecerá en el área dedescripción del Editor de directivas al hacer clic en ella.


Opción Definición

Eventos, Flujos Seleccione el tipo de datos a los que desee aplicar el filtrado. Esposible seleccionar ambos tipos.

Agregar Permite agregar filtros para este componente.

Opcionesavanzadas

Es necesario respetarun cierto número deValores distintos...

Seleccione esta opción si es necesario que exista un númeroespecífico de valores en un campo concreto para que se active elcomponente.• Valores distintos: haga clic en el icono Valor predeterminado para

seleccionar el número de valores que debe existir.

• Campos supervisados: haga clic en el icono Valor predeterminado paraseleccionar el campo donde deben existir los valores.

Este componentesolo debe activarsesi...

Seleccione esta opción si desea que el componente solo se active sino se producen coincidencias en el período de tiempo especificadoen el campo Período de tiempo en el nivel de puerta.

Omitir Agrupar por Seleccione esta opción para personalizar la agrupación de loseventos en una regla de correlación. Si dispone de una regla queagrupa según un campo específico, puede omitir uno de suscomponentes para que la coincidencia se produzca con un campoespecificado en la página Configurar omisiones de Agrupar por. Haga clic enConfigurar para establecer el campo de omisión (véase Omisión deAgrupar por).


Opción Definición

Not Seleccione esta opción para excluir los valores seleccionados.

Plazo (ADM y DEM) Seleccione la referencia métrica para la expresión. Para ver unadescripción de las opciones para una regla de base de datos de DEM, véaseReferencias de métricas para reglas de DEM.

Descripción (ADM) Escriba una descripción del componente.




Opción Definición

Diccionario (ADM) Si desea que esta regla haga referencia a un diccionario de ADM que seencuentra en el ESM, selecciónelo en la lista desplegable (véase Diccionarios deADM).

Operador Seleccione el operador relacional.ADM

• Igual a = • Mayor o igual que >=

• No igual a != • Menor o igual que <=

• Mayor que > • Menor que <

Base de datos de DEM

• EQ – Igual a • NB - No entre

• BT - Entre • NE - No igual a

• GE - Mayor o igual que • NGT - No mayor que

• GT - Mayor que • NLE - No menor que

• LE - Menor o igual que • REGEXP - Expresión regular

• LT - Menor que

Valores decoincidencia

Indique si la regla se activará cuando cualquiera de los valores coincida con elpatrón definido o solamente cuando todos los valores coincidan con el patrón.

Valor (ADM) Seleccione las variables por las que filtrar.• Si hay un icono de variables junto al campo, haga clic en él y seleccione las

variables.

• En caso contrario, escriba el valor según las instrucciones del campo Entrada válida.

(DEM) Introduzca el valor por el que filtrar.

Entrada válida Permite ver sugerencias sobre los valores que se pueden introducir en el campoValor.

Edición de elementos lógicosLos elementos lógicos AND, OR y SET tienen una configuración predeterminada. Esta configuración sepuede cambiar en la página Editar elemento lógico.


1 En el editor de reglas, arrastre y suelte un elemento lógico en las áreas Lógica de expresión o Lógica decorrelación.

2 Haga clic en el icono Menú correspondiente al elemento que desee editar y, después, haga clic enEditar.


Véase también Elementos lógicos en la página 311



Sintaxis de las reglas de ADMLas reglas de ADM son muy similares a las expresiones de C.

La principal diferencia es un conjunto más amplio de literales (números, cadenas, expresionesregulares, direcciones IP, direcciones MAC y booleanos). Los términos de cadena se pueden compararcon literales de cadena y expresión regular a fin de comprobar su contenido, pero también se puedencomparar con números para comprobar su longitud. Los términos numéricos, de dirección IP y dedirección MAC solo se pueden comparar con el mismo tipo de valor literal. La única excepción es quecualquier cosa se puede tratar como un booleano para comprobar su existencia. Algunos términospueden tener varios valores, como por ejemplo la siguiente regla, que se activaría en el caso de losarchivos PDF contenidos en archivos .zip: type = = application/zip && type = = application/pdf.

Tabla 11-9 Operadores

Operador Descripción Ejemplo

&& AND lógico protocol = = http && type = = image/gif

|| OR lógico time.hour < 8 || time.hour > 18

^ ^ XOR lógico email.from = = "[email protected]" ^^email.to = = "[email protected]"

! NOT unario ! (protocol = = http | | protocol = = ftp)

= = Igual que type = = application/pdf

! = No igual que srcip ! = 192.168.0.0/16

> Mayor que objectsize > 100M

> = Mayor o igual que time.weekday > = 1

< Menor que objectsize < 10K

< = Menor o igual que time.hour < = 6

Tabla 11-10 Literales

Literal Ejemplo

Número 1234, 0x1234, 0777, 16K, 10M, 2G

Cadena "una cadena"

Expresión regular /[A-Z] [a-z]+/

IPv4 1.2.3.4, 192.168.0.0/16, 192.168.1.0/255.255.255.0

MAC aa:bb:cc:dd:ee:ff

Booleano true, false

Tabla 11-11 Compatibilidad entre tipos y operadores


Número = =, ! =, >, > =, <, < =

Cadena = =, ! = Comparar el contenido de la cadena con una cadena/expresiónregular

Cadena >, > =, <, <= Comparar la longitud de la cadena

IPv4 = =, ! =



Tabla 11-11 Compatibilidad entre tipos y operadores (continuación)


MAC = =, ! =

Booleano = =, ! = Comparar con verdadero/falso; también admite la comparaciónimplícita con verdadero, por ejemplo, lo siguiente comprueba siaparece el término “email.bcc”: email.bcc

Tabla 11-12 Gramática de las expresiones regulares de ADM

Operadores básicos

| Alternancia (o)

* Cero o más

+ Uno o más

? Cero o uno

( ) Agrupación (a | b)

{ } Intervalo repetitivo {x} o {,x} o {x,} o {x,y}

[ ] Intervalo [0-9a-z] [abc]

[^ ] Intervalo exclusivo [^abc] [^0-9]

. Cualquier carácter

\ Carácter de escape


\d Dígito [0-9]

\D No dígito [^0-9]

\e Escape (0x1B)

\f Avance de página (0x0C)

\n Avance de línea (0x0A)

\r Retorno de carro (0x0D)

\s Espacio en blanco

\S No espacio en blanco

\t Tabulación (0x09)

\v Tabulación vertical (0x0B)

\w Palabra [A-Za-z0-9_]

\W No palabra

\x00 Representación hexadecimal

\0000 Representación octal

^ Inicio de línea




S Fin de línea

Los caracteres de anclaje de inicio y fin de línea (^ y $) no funcionan con objcontent.

Clases de caracteres POSIX

[:alunum:] Dígitos y letras

[:alpha:] Todas las letras

[:ascii:] Caracteres ASCII

[:blank:] Espacio y tabulación

[:cntrl:] Caracteres de control

[:digit:] Dígitos

[:graph:] Caracteres visibles

[:lower:] Letras minúsculas

[:print:] Espacios y caracteres visibles

[:punct:] Puntuación y símbolos

[:space:] Todos los caracteres de espacio en blanco

[:upper:] Caracteres en mayúscula

[:word:] Caracteres de palabras

[:xdigit:] Dígito hexadecimal

Véase también Material de referencia para reglas de ADM en la página 146Tipos de términos para reglas de ADM en la página 149Referencias métricas para reglas de ADM en la página 151Propiedades específicas de protocolos en la página 153Anomalías de protocolo en la página 154



Ejemplos de diccionarios de ADMEl motor del ADM puede buscar coincidencias entre el contenido de objetos o cualquier otra métrica opropiedad y un diccionario de una única columna para indicar un valor verdadero o falso (existe en eldiccionario o no existe en el diccionario).

Tabla 11-13 Ejemplos de diccionarios de una columna


Diccionario de cadenas conpalabras comunes en spam

“Cialis”

“cialis”

“Viagra”

“viagra”

“web para adultos”

“Web para adultos”

“¡actúe ahora, no se lo piense!”

Diccionario de expresionesregulares con palabras clavede autorización

/(contraseña|contras|con)[â-z0-9]{1,3}(admin|inicio|contraseña|usuario)/i

/(consumidor|cliente)[â-z0-9]{1,3}cuenta[â-z0-9]{1,3}número/i

/fondos[â-z0-9]{1,3}transacción/i

/fondos[â-z0-9]{1,3}transferencia[â-z0-9]{1,3}[0-9,.]+/i

Diccionario de cadenas convalores de hash deejecutables maliciososconocidos

"fec72ceae15b6f60cbf269f99b9888e9"

"fed472c13c1db095c4cb0fc54ed28485"

"feddedb607468465f9428a59eb5ee22a"

"ff3cb87742f9b56dfdb9a49b31c1743c"

"ff45e471aa68c9e2b6d62a82bbb6a82a"

"ff669082faf0b5b976cec8027833791c"

"ff7025e261bd09250346bc9efdfc6c7c"

Direcciones IP de activoscríticos

192.168.1.12

192.168.2.0/24

192.168.3.0/255.255.255.0

192.168.4.32/27

192.168.5.144/255.255.255.240



Tabla 11-14 Ejemplos de diccionarios de dos columnas


Diccionario de cadenas conpalabras y categoríascomunes en spam

“Cialis” “genérico”

“cialis” “genérico”

“Viagra” “genérico”

“viagra” “genérico”

“web para adultos” “adultos”

“Web para adultos” “adultos”

“¡actúe ahora, no se lo piense!” “fraude”

Diccionario de expresionesregulares con palabras clavey categorías de autorización

/(contraseña|contras|con)[â-z0-9]{1,3}(admin|inicio|contraseña|usuario)/i “credenciales”

/(consumidor|cliente)[â-z0-9]{1,3}cuenta[â-z0-9]{1,3}número/i“pii”

/fondos[â-z0-9]{1,3}transacción/i “sox”

/fondos[â-z0-9]{1,3}transferencia[â-z0-9]{1,3}[0-9,.]+/i “sox”

Diccionario de cadenas convalores de hash y categoríasde ejecutables maliciososconocidos

"fec72ceae15b6f60cbf269f99b9888e9" “Troyano”

"fed472c13c1db095c4cb0fc54ed28485" “Malware”

"feddedb607468465f9428a59eb5ee22a" “Virus”

"ff3cb87742f9b56dfdb9a49b31c1743c" “Malware”

"ff45e471aa68c9e2b6d62a82bbb6a82a" “Adware”

"ff669082faf0b5b976cec8027833791c" “Troyano”

"ff7025e261bd09250346bc9efdfc6c7c" “Virus”

Direcciones IP y grupos deactivos críticos

192.168.1.12 “Activos críticos”

192.168.2.0/24 “LAN”

192.168.3.0/255.255.255.0 “LAN”

192.168.4.32/27 “DMZ”

192.168.5.144/255.255.255.240 “Activos críticos”

Véase también Diccionarios de Application Data Monitor (ADM) en la página 141Configuración de un diccionario de ADM en la página 141Administración de diccionarios de ADM en la página 145Cómo hacer referencia a un diccionario de ADM en la página 143

Tipos de términos para reglas de ADMTodos los términos de una regla de ADM son de un tipo concreto.

Cada uno de los términos es una dirección IP, una dirección MAC, un número, una cadena o un valorbooleano. Además, existen dos tipos adicionales de literales: expresiones regulares y listas. Untérmino de un tipo específico, por lo general, solo se puede comparar con un literal del mismo tipo ouna lista de literales de ese tipo (o una lista de listas de...). Existen tres excepciones a esta regla:



1 Un término de cadena se puede comparar con un literal numérico para comprobar su longitud. Laregla siguiente se activa si una contraseña tiene menos de ocho caracteres de longitud (“password”es un término de cadena): password < 8

2 Es posible comparar un término de cadena con una expresión regular. La siguiente regla se activasi una contraseña solo contiene letras minúsculas: password == /^[a-z]+$/

3 Todos los términos se pueden comprobar con respecto a literales booleanos a fin de averiguar siestán presentes o no. La siguiente regla se activa si un mensaje de correo electrónico tiene unadirección CC (“email.cc” es un término de cadena): email.cc == true


DireccionesIP

• Los literales de dirección IP se escriben con el formato estándar de cuatro númerosseparados por puntos y no se delimitan mediante comillas: 192.168.1.1

• Las direcciones IP pueden presentar una máscara expresada en notación CIDRestándar; no deben existir espacios en blanco entre la dirección y la máscara:192.168.1.0/24

• Las direcciones IP también se pueden escribir con el formato largo:192.168.1.0/255.255.255.0

DireccionesMAC

• Los literales de dirección MAC se escriben mediante la notación estándar y, al igualque las direcciones IP, no se delimitan mediante comillas: aa:bb:cc:dd:ee:ff

Números • Todos los números de las reglas de ADM son enteros de 32 bits. Se pueden expresaren formato decimal: 1234

• Se pueden expresar en formato hexadecimal: 0xabcd

• Se pueden expresar en formato octal: 0777

• Se les puede agregar una letra para multiplicarlos por 1024 (K), 1 048 576 (M) o1 073 741 824 (G): 10M

Cadenas • Las cadenas se delimitan mediante comillas dobles: "esto es una cadena"

• Las cadenas pueden usar secuencias de escape estándar de C: "\tEsto es una\"cadena\" que contiene\x20secuencias de escape\n"

• Al comparar un término con una cadena, el término debe coincidir con la cadena alcompleto. Si un mensaje de correo electrónico tiene la dirección de origen“[email protected]”, no se activará la siguiente regla: email.from == “@lugar.com”

• Para usar la coincidencia parcial con un término, hay que usar un literal deexpresión regular en su lugar. Se deben utilizar literales de cadena siempre que seaposible, ya que resultan más eficaces.

Todos los términos de dirección de correo electrónico y URL se normalizan antes de lacoincidencia, por lo que no es necesario tener en cuenta cosas como los comentariosincluidos en las direcciones de correo electrónico.

Booleanos • Los literales booleanos son verdadero (true) y falso (false).




Expresionesregulares

• Los literales de expresión regular emplean la misma notación que algunoslenguajes, como Javascript y Perl, por lo que la expresión regular se delimitamediante barras diagonales: /[a-z]+/

• Las expresiones regulares pueden ir seguidas de indicadores de modificaciónestándar, aunque "i" es el único que se reconoce actualmente (sin distinción entremayúsculas y minúsculas): /[a-z]+/i

• Los literales de expresión regular deben emplear la sintaxis ampliada POSIX. En estemomento, las extensiones Perl funcionan para todos los términos excepto el decontenido, pero esto podría cambiar en versiones futuras.

• Si se compara un término con una expresión regular, esta puede coincidir concualquier subcadena incluida en el término a menos que se apliquen operadores deanclaje dentro de ella. La siguiente regla se activa si se detecta un mensaje decorreo electrónico con la dirección “[email protected]”: email.from == /@lugar.com/

Listas • Los literales de lista constan de uno o varios literales delimitados por corchetes yseparados por comas: [1, 2, 3, 4, 5]

• Las listas pueden contener cualquier tipo de literal, incluidas otras listas:[192.168.1.1, [10.0.0.0/8, 172.16.128.0/24]]

• Las listas solo deben contener un tipo de literal; no es correcto combinar cadenas ynúmeros, cadenas y expresiones regulares o direcciones IP y direcciones MAC.

• Cuando se emplea una lista con cualquier operador relacional distinto de “no igual a”(!=), la expresión es verdadera si el término coincide con cualquier literal de la lista.La siguiente regla se activa si la dirección IP de origen coincide con cualquiera de lasdirecciones IP de la lista: srcip == [192.168.1.1, 192.168.1.2, 192.168.1.3]

• Esto es equivalente a: srcip == 192.168.1.1 || srcip == 192.168.1.2 || srcip ==192.168.1.3

• Cuando se utiliza con el operador “no igual a” (!=), la expresión es verdadera si eltérmino no coincide con todos los literales de la lista. La siguiente regla se activa sila dirección IP de origen no es 192.168.1.1 ni 192.168.1.2: srcip != [192.168.1.1,192.168.1.2]

• Esto es equivalente a: srcip != 192.168.1.1 && srcip != 192.168.1.2

• Las listas también se pueden usar con otros operadores relacionales, aunque notiene mucho sentido. La siguiente regla se activa si el tamaño del objeto es superiora 100, o bien si es superior a 200: objectsize > [100, 200]

• Esto es equivalente a: objectsize > 100 || objectsize > 200

Véase también Material de referencia para reglas de ADM en la página 146Sintaxis de las reglas de ADM en la página 147Referencias métricas para reglas de ADM en la página 151Propiedades específicas de protocolos en la página 153Anomalías de protocolo en la página 154

Referencias métricas para reglas de ADMA continuación se incluyen listas de referencias métricas para expresiones de regla de ADM, las cualesestán disponibles en la página Componente de expresión cuando se agrega una regla de ADM.

En el caso de las propiedades y las anomalías comunes, el valor de parámetro o tipo que se puedeindicar para cada una se muestra entre paréntesis tras la referencia métrica.

Propiedades comunes




Protocol (número) El protocolo de aplicación (HTTP, FTP, SMTP, etc.).

Object Content (cadena) El contenido de un objeto (texto de un documento, mensaje de correoelectrónico o mensaje de chat, etc.). La coincidencia de contenido noestá disponible para los datos binarios. Sin embargo, los objetosbinarios se pueden detectar mediante el tipo de objeto (objtype).

Object Type (número) Especifica el tipo de contenido de acuerdo con ADM (documentos deOffice, mensajes, vídeos, audio, imágenes, archivos, ejecutables, etc.).

Object Size (número) Tamaño del objeto. Es posible agregar los multiplicadores numéricos K,M y G tras el número (10K, 10M, 10G).

Object Hash (cadena) El hash del contenido (actualmente, MD5).

Object Source IP Address(número)

Dirección IP de origen del contenido. La dirección IP se puedeespecificar como 192.168.1.1, 192.168.1.0/24 o192.168.1.0/255.255.255.0.

Object Destination IPAddress (número)

Dirección IP de destino del contenido. La dirección IP se puedeespecificar como 192.168.1.1, 192.168.1.0/24 o192.168.1.0/255.255.255.0.

Object Source Port(número)

El puerto TCP/UDP de origen del contenido.

Object Destination Port(número)

El puerto TCP/UDP de destino del contenido.

Object Source IP v6Address (número)

Dirección IPv6 de origen del contenido.

Object Destination IPv6Address (número)

Dirección IPv6 de destino del contenido.

Object Source MAC Address(nombre de MAC)

Dirección MAC de origen del contenido (aa:bb:cc:dd:ee:ff).

Object Destination MACAddress (nombre de MAC)

Dirección MAC de destino del contenido (aa:bb:cc:dd:ee:ff).

Flow Source IP Address(IPv4)

Dirección IP de origen del flujo. La dirección IP se puede especificarcomo 192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0.

Flow Destination IP Address(IPv4)

Dirección IP de destino del flujo. La dirección IP se puede especificarcomo 192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0.

Flow Source Port (número) Puerto TCP/UDP de origen del flujo.

Flow Destination Port(número)

Puerto TCP/UDP de destino del flujo.

Flow Source IPv6 Address(número)

Dirección IPv6 de origen del flujo.

Flow Destination IPv6Address (número)

Dirección IPv6 de destino del flujo.

Flow Source MAC Address(nombre de MAC)

Dirección MAC de origen del flujo.

Flow Destination MACAddress (nombre de MAC)

Dirección MAC de destino del flujo.

VLAN (número) ID de LAN virtual.

Day of Week (número) El día de la semana. Los valores válidos oscilan entre 1 y 7; el 1corresponde al lunes.

Hour of Day (número) La hora del día correspondiente a GMT. Los valores válidos oscilan entre0 y 23.




Declared Content Type(cadena)

Tipo de contenido de acuerdo con el servidor. En teoría, el tipo deobjeto (objtype) es siempre el tipo real, mientras que el tipo decontenido declarado (content-type) no resulta fiable, ya que el servidoro la aplicación lo pueden falsificar.

Password (cadena) La contraseña utilizada por la aplicación para la autenticación.

URL (cadena) URL del sitio web. Solo es aplicable en el caso del protocolo HTTP.

File Name (cadena) Nombre del archivo transferido.

Display Name (cadena)

Host Name (cadena) Nombre de host de acuerdo con la búsqueda DNS.

Anomalías comunes

• User logged off (literal booleano)

• Authorization error (literal booleano)

• Authorization successful (literal booleano)

• Authorization failed (literal booleano)

Véase también Material de referencia para reglas de ADM en la página 146Sintaxis de las reglas de ADM en la página 147Tipos de términos para reglas de ADM en la página 149Propiedades específicas de protocolos en la página 153Anomalías de protocolo en la página 154

Propiedades específicas de protocolosAdemás de proporcionar propiedades que son comunes a la mayoría de protocolos, el ADM tambiénofrece propiedades específicas de algunos protocolos que pueden emplearse con reglas de ADM. Todaslas propiedades específicas de protocolos están disponibles también en la página Componente de expresióna la hora de agregar una regla de ADM.

Ejemplos de propiedades específicas de protocolos

Estas propiedades se aplican a las tablas siguientes:

* Solo detección** Sin descifrado, se capturan los certificados X.509 y los datos cifrados*** A través del módulo RFC822

Tabla 11-15 Módulos de protocolo de transferencia de archivos

FTP HTTP SMB* SSL**

Nombre de pantallaNombre de archivo

Nombre de host

URL

Nombre de pantalla

Nombre de archivo

Nombre de host

Referer

URL

Todos los encabezados HTTP

Nombre de pantalla

Nombre de archivo

Nombre de host

Nombre de pantalla

Nombre de archivo

Nombre de host



Tabla 11-16 Módulos de protocolo de correo electrónico

DeltaSync MAPI NNTP POP3 SMTP

CCO***

CC***

Nombre de pantalla

De***

Nombre de host

Asunto***

Para***

CCO

CC

Nombre depantalla

De

Nombre de host

Asunto

Para

Nombre deusuario

CCO***

CC***

Nombre depantalla

De***

Nombre de host

Asunto***

Para***

CCO***

CC***

Nombre de pantalla

De***

Nombre de host

Asunto***

Para***

Nombre de usuario

CCO***

CC***

Nombre depantalla

De***

Nombre de host

Para***

Asunto***

Tabla 11-17 Módulos de protocolo de correo web

AOL Gmail Hotmail Yahoo


CCO***

CC***

Nombre de pantalla

Nombre de archivo

Nombre de host

De***

Asunto***

Para***


CCO***

CC***

Nombre de pantalla

Nombre de archivo

Nombre de host

De***

Asunto***

Para***


CCO***

CC***

Nombre de pantalla

Nombre de archivo

Nombre de host

De***

Asunto***

Para***


CCO***

CC***

Nombre de pantalla

Nombre de archivo

Nombre de host

De***

Asunto***

Para***

Véase también Material de referencia para reglas de ADM en la página 146Sintaxis de las reglas de ADM en la página 147Tipos de términos para reglas de ADM en la página 149Referencias métricas para reglas de ADM en la página 151Anomalías de protocolo en la página 154

Anomalías de protocoloMás allá de las propiedades comunes y las propiedades de protocolos específicos, ADM tambiéndetecta cientos de anomalías en protocolos de bajo nivel, de transporte y de aplicación. Todas laspropiedades de anomalía de protocolo son de tipo booleano y están disponibles en la página Componentede expresión cuando se agrega una regla de ADM.

Tabla 11-18 IP


ip.too-small El paquete IP es demasiado pequeño para contener un encabezado válido.

ip.bad-offset El desplazamiento de datos de IP sobrepasa el final del paquete.

ip.fragmented El paquete IP está fragmentado.



Tabla 11-18 IP (continuación)


ip.bad-checksum La suma de comprobación del paquete IP no coincide con los datos.

ip.bad-length El campo totlen del paquete IP sobrepasa el final del archivo.

Tabla 11-19 TCP


tcp.too-small El paquete TCP es demasiado pequeño para contener unencabezado válido.

tcp.bad-offset El desplazamiento de datos de TCP sobrepasa el final delpaquete.

tcp.unexpected-fin El indicador TCP FIN está definido con un estado no establecido.

tcp.unexpected-syn El indicador TCP SYN está definido con un estado establecido.

tcp.duplicate-ack Los datos de ACK del paquete TCP ya se han confirmado.

tcp.segment-outsidewindow El paquete TCP está fuera de la ventana (la ventana pequeñade TCP del módulo, no la ventana real).

tcp.urgent-nonzero-withouturg- flag El campo urgent de TCP no tiene un valor igual a cero pero nose ha definido el indicador URG.

Tabla 11-20 DNS


dns.too-small El paquete DNS es demasiado pequeño para contener unencabezado válido.

dns.question-name-past-end El nombre de pregunta de DNS sobrepasa el final del paquete.

dns.answer-name-past-end El nombre de respuesta de DNS sobrepasa el final del paquete.

dns.ipv4-address-length-wrong La dirección IPv4 de la respuesta de DNS no tiene 4 bytes delongitud.

dns.answer-circular-reference La respuesta de DNS contiene una referencia circular.


Reglas del analizador de syslog avanzado (ASP)El ASP proporciona un mecanismo para analizar los datos contenidos en mensajes de Syslog enfunción de las reglas definidas por el usuario.

El analizador de syslog avanzado (ASP) emplea reglas para identificar en qué parte del mensajeresiden datos de eventos específicos, tales como ID de firma, direcciones IP, puertos, nombres deusuario y acciones.

Con el ASP, es posible escribir reglas para revisar orígenes de registro complejos en sus servidoresLinux y UNIX.

Esta funcionalidad requiere conocimientos sobre la utilización de expresiones regulares.



Cuando el sistema recibe un registro de ASP, compara el formato de hora del registro con el formatoespecificado en la regla de ASP. Si el formato de hora no coincide, el sistema no procesa el registro.

Para aumentar las posibilidades de que el formato de hora coincida, agregue varios formatos de horapersonalizados (véase Adición del formato de hora a las reglas de ASP).

Si dispone de derechos de Administrador de directivas, puede definir el orden de ejecución de las reglas deASP (véase Establecimiento del orden de las reglas de filtrado y ASP).

Véase también Adición de una regla de ASP personalizada en la página 433Establecimiento del orden de las reglas de filtrado y ASP en la página 433Adición de formatos de hora a las reglas de ASP en la página 434

Adición de una regla de ASP personalizadaEl editor Regla de analizador de syslog avanzado permite crear reglas para analizar los datos de registro deASP.


1 En el Editor de directivas, seleccione Receptor | Analizador de syslog avanzado.

2 Seleccione Nueva y haga clic en Regla de analizador de syslog avanzado.

3 Haga clic en cada una de las fichas y rellene la información solicitada.


Véase también Reglas del analizador de syslog avanzado (ASP) en la página 432Establecimiento del orden de las reglas de filtrado y ASP en la página 433Adición de formatos de hora a las reglas de ASP en la página 434

Edición de texto de regla de ASPSi es un usuario avanzado con conocimientos sobre la sintaxis de ASP, puede agregar texto de reglaASP directamente para no tener que definir la configuración en cada una de las fichas.

Establecimiento del orden de las reglas de filtrado y ASPSi dispone de derechos de Administrador de directivas, ahora puede establecer el orden de ejecución de lasreglas de filtrado o de analizador de syslog avanzado (ASP). Esta función permite ordenar las reglasde modo eficiente para que proporcionen los datos más necesarios.


1 En la consola de ESM, haga clic en el icono del Editor de directivas .

2 En el menú Operaciones, seleccione Ordenar reglas de ASP u Ordenar reglas de filtrado y, a continuación,seleccione un origen de datos en el campo Tipo de origen de datos.

El panel de la izquierda se rellena con las reglas que estén disponibles para su ordenación. Lasreglas ordenadas aparecen en el panel de la derecha.



3 En las fichas Reglas estándar o Reglas personalizadas, es posible mover una regla desde el panel de laizquierda al de la derecha (arrástrela y colóquela o bien sírvase de las flechas) y colocarla porencima o debajo de Reglas sin ordenar.

Reglas sin ordenar representa las reglas del panel de la izquierda, que son aquellas que tienen el ordenpredeterminado.

4 Utilice las flechas para reordenar las reglas y, después, haga clic en Aceptar para guardar loscambios.


Opción Definición

Tipo de origen de datos Seleccione el tipo de origen de datos al que se aplica el orden. La lista dereglas cambia en función del origen de datos seleccionado.

Tabla de la izquierda Seleccione la ficha Reglas estándar o la ficha Reglas personalizadas. Cada fichamuestra las reglas con el orden predeterminado (alfabético).

Tabla de la derecha Permite ver las reglas que tienen un orden especificado. El elementoReglas sin ordenar muestra la ubicación de todas las reglas que tienen elorden predeterminado.

Flechas entre tablas Utilice las flechas hacia la derecha y hacia la izquierda para mover lasreglas seleccionadas de una tabla a otra. Utilice las flechas hacia arriba yhacia abajo para colocar las reglas de la tabla de la derecha en el ordencorrecto.

Restaurar el ordenpredeterminado

Haga clic en esta opción para restaurar el orden predeterminado de lasreglas. Al seleccionar esta opción, todas las reglas de la tabla de laderecha se mueven de nuevo a la tabla de la izquierda.


Opción Definición

Tabla de la izquierda Seleccione la ficha Reglas estándar o la ficha Reglas personalizadas. Cada fichamuestra las reglas con el orden predeterminado (alfabético).

Tabla de la derecha Permite ver las reglas que tienen un orden especificado. El elemento Reglas sinordenar muestra la ubicación de todas las reglas que tienen el ordenpredeterminado.

Flechas entre tablas Utilice las flechas hacia la derecha y hacia la izquierda para mover las reglasseleccionadas de una tabla a otra. Utilice las flechas hacia arriba y hacia abajopara colocar las reglas de la tabla de la derecha en el orden correcto.

Véase también Reglas del analizador de syslog avanzado (ASP) en la página 432Adición de una regla de ASP personalizada en la página 433Adición de formatos de hora a las reglas de ASP en la página 434

Adición de formatos de hora a las reglas de ASPCuando el sistema recibe un registro de analizador de syslog avanzado (ASP), el formato de hora debecoincidir con el formato especificado en la regla de ASP.

Es posible agregar varios formatos de hora personalizados para aumentar las posibilidades de que elformato de hora del registro coincida con alguno de los indicados.





2 En el panel Tipos de regla, haga clic en Receptor | Analizador de syslog avanzado.

3 Una vez descargadas las reglas de ASP, realice una de las acciones siguientes:

• Para editar una regla existente, haga clic en ella y, después, en Editar | Modificar.

• Para agregar una regla nueva, haga clic en Nuevo | Regla de analizador de syslog avanzado y, después,rellene las fichas General, Análisis y Asignación de campos.

4 Haga clic en la ficha Asignación y, después, en el icono situado sobre la tabla Formato de hora.

5 Haga clic en el campo Formato y seleccione el formato de hora.

6 Seleccione los campos de hora que desee que empleen este formato.

Primera vez y Última vez hacen referencia a la primera y la última vez que se generó el evento. Tambiénaparecerá cualquier campo de hora de Tipo personalizado agregado al ESM (véase Filtros de tipospersonalizados).

7 Haga clic en Aceptar y rellene el resto de información en la ficha Asignación.



Archivo Haga clic aquí para guardar la regla y, a continuación, seleccioneGuardar o Guardar como.

Herramientas Seleccione Editar texto de regla de ASP para agregar el texto de la regla deASP directamente en lugar de definir la configuración en cada ficha.Es necesario ser un usuario avanzado con conocimientos de lasintaxis de ASP.

Ficha General Defina la configuración general de la regla.

Nombre Escriba un nombre para la regla.

Etiquetas Haga clic en Seleccionar para agregar etiquetas que definan lascategorías a las que pertenece la regla. Cada regla de ASP necesitaal menos una etiqueta para guardar la regla.

ID normalizadopredeterminado

El ID predeterminado es 4026531840, el cual no está categorizado,y se empleará si el registro entrante no tiene ID. Para cambiarlo,

haga clic en el icono y seleccione el ID que desee asociar con laregla.

Gravedadpredeterminada

Si es necesario, cambie la gravedad de la regla. Esta gravedad seutilizará si los datos de registro entrantes no tienen gravedad.

Tipo de asignación deregla

Seleccione un tipo de asignación de regla predeterminado, que seemplea para agrupar los datos de eventos aprendidos del Analizador desyslog avanzado, y sepárelo del resto de orígenes de datos. Esaconsejable agrupar los dispositivos con tipos de regla distintos porseparado a fin de evitar colisiones de ID de firma en la base dedatos. Por ejemplo, el evento 30405 en un dispositivo Cisco PIXtiene un significado distinto al que tiene 30405 en Cisco IOS o enSnort IDS.





Descripción (Opcional) Escriba una descripción para la regla.

Ficha Análisis Configure el análisis de la regla.

Nombre de proceso (Opcional) Escriba un nombre para el proceso que se empleará parala coincidencia en el encabezado de los datos de registro entrantes.

Cadenas de contenido (Opcional) Escriba cadenas de contenido que se compararán con losdatos de registro entrantes. Para agregar una cadena, haga clic enEditar | Agregar e introduzca los valores de cadena, que se debenentrecomillar (“”) y separar mediante comas (,).

Al concatenar un valor literal con una subcaptura de PCRE en ESM9.0.0 y posteriores, coloque los literales entre comillasindividualmente si contienen espacios u otros caracteres. Deje lasreferencias a subcapturas de PCRE sin entrecomillar.

Solo usar expresionesregulares con fines deanálisis

De forma predeterminada, la regla se activará si coinciden la cadenade contenido o la expresión regular. Seleccione esta opción si solodesea que se produzca la activación en caso de que coincida lacadena de contenido.

Sin distinciónmayúsculas/minúsculas

Seleccione esta opción si desea que se produzca la coincidencia decontenido independientemente de las mayúsculas y minúsculasutilizadas.

Activar cuando losdatos no coincidan

Si selecciona esta opción, se desactivarán todas las asociaciones yasignaciones de campos. La regla se activa, pero no se analizan losdatos.

Expresión regular Escriba las expresiones regulares que se deben usar para lacoincidencia con los datos de registro entrantes, lo cual permitecoincidencias múltiples con los datos de registro. Las opcionesdisponibles son:

• El icono de adición abre la página Agregar expresión regular, dondese puede introducir una expresión regular.

• El icono de edición abre la página Editar expresión regular parapoder realizar cambios en la expresión regular seleccionada.

• El icono de eliminación elimina la expresión regularseleccionada.

Estas expresiones no se ejecutan a menos que se ejecute laprimera de la lista y devuelva un resultado de los datos de registro.Es posible seleccionar valores de expresión regular únicos en estatabla, lo cual permite que después se resalten las coincidencias detexto correspondientes dentro del campo de datos de muestra alrealizar selecciones en la parte derecha en la tabla Coincidencias deexpresiones regulares.

Coincidencias deexpresiones regulares

Esta tabla muestra los valores extraídos de los datos de registro demuestra cuando se realiza la ejecución con respecto a lasexpresiones regulares principal y secundaria.

Incluya el encabezadode syslog en lacoincidencia deexpresiones regulares

Seleccione esta opción si desea que la coincidencia con expresionesregulares se realice con todos los datos de registro al completo.





Datos de registro demuestra

Copie y pegue algunos datos de registro de ejemplo en este campoa fin de crear expresiones regulares válidas.

Cada registro debe encontrarse en una única línea.

Datos de registrotransformados

Si los datos de registro de muestra originales están en el formatoCEF, se transformarán al formato de análisis y aparecerán en estaficha. No es necesario transformar los registros CEF que no tengancampos personalizados (tales como cs1... cs1label... cn1...cn1label...).

Formato Seleccione el formato correspondiente a la sentencia de Datos deregistro de muestra. Si los datos de registro no se ajustan a losestándares del formato seleccionado, los pares de clave/valor no seextraerán.

Tabla de claves/valores

Esta tabla muestra los pares de clave/valor extraídos de los datos deregistro de muestra.

FichaAsignación decampos

Permite configurar la asignación de campos.

Campos Esta columna incluye los campos con los que se puede realizar lacoincidencia. Es posible agregar campos de reserva mediante elicono de adición situado junto al nombre del campo. Un campo dereserva se utiliza si el campo principal está en blanco. Los camposde reserva se ejecutan para que sea posible arrastrar y colocar loscampos a fin de reordenarlos. Pueden existir hasta diez campos dereserva. Una vez agregado un campo de reserva, se puede hacer clicen el icono de eliminación situado a la izquierda del nombre delcampo de reserva a fin de eliminarlo.

Expresión Esta columna se usa para asignar campos a valores de datos deregistro. Haga clic en la columna Expresión y escriba el ID de grupo enel campo que se abre. Es posible concatenar dos valores juntos si seescribe el signo más (+) entre ellos.

Valor de muestra Esta columna se usa para simular la salida final de un campoconcreto.

Tabla de claves/valores

Esta tabla refleja los valores extraídos de los Datos de registro de muestraen la ficha Análisis cuando se realiza la ejecución con respecto a lasexpresiones. Se puede arrastrar un valor de esta lista y soltarlo enuna expresión de campo.

Iconos Agregarcampo personalizadoy Eliminar campopersonalizado

Si el campo que necesita no aparece en la columna Campo, haga clicen el icono Agregar campo personalizado . La página Tipos personalizadosmuestra todos los tipos personalizados del sistema, incluidos los quese hayan agregado. Haga clic en el campo que desee agregar a lalista y, después, en Aceptar. El campo se agregará a la tabla. Paraeliminar un campo personalizado de la lista, haga clic en el iconoEliminar campo personalizado y haga clic en Sí para confirmar.

FichaAsignación

Defina la configuración personalizada para los datos de registroentrantes que necesiten asignarse o analizarse de una formaespecial.

Formatopersonalizado de horade inicio y Formatopersonalizado de horade fin

Cuando el sistema recibe un registro de ASP, el formato de horadebe coincidir con el formato especificado en la regla de ASP. Esposible agregar varios formatos de hora personalizados. Estoaumenta las posibilidades de que el formato de hora del registrocoincida con alguno de los proporcionados (véase Adición delformato de hora a las reglas de ASP).





Tabla deacciones

Haga clic en una línea de la columna Clave de acción e introduzca lasdistintas acciones que podrían producirse.

La columna Valor de acción muestra una lista de las acciones posibles.Haga coincidir la acción que desee de la columna con los diferentestipos de acciones que podrían producirse.

Acciónpredeterminada

Si desea establecer una acción predeterminada para su uso en casode que no se haya seleccionado ninguna en la tabla Acción, haga clicen la casilla de verificación y seleccione la acción.

Asignación degravedad

Puede agregar los valores de los datos de registro entrantes quedesee asignar mediante el icono de adición .

Gravedadpredeterminada

Si desea establecer una gravedad predeterminada para usarla encaso de que no se haya seleccionado ninguna en la tabla Asignación degravedad, haga clic en esta opción y seleccione la gravedad.

Véase también Reglas del analizador de syslog avanzado (ASP) en la página 432Adición de una regla de ASP personalizada en la página 433Establecimiento del orden de las reglas de filtrado y ASP en la página 433

Reglas de correlaciónLa finalidad principal del motor de correlación es analizar los datos que fluyen del ESM, detectarpatrones interesantes en el flujo de datos, generar alertas que representen esos patrones e insertarlas alertas en la base de datos de alertas del receptor. El motor de correlación se activa cuando seconfigura un origen de datos de correlación.

Dentro del motor de correlación, un patrón interesante tiene como resultado datos interpretados poruna regla de correlación. Una regla de correlación es distinta e independiente de una regla estándar ode firewall, y dispone de un atributo que especifica su comportamiento. Cada receptor obtiene ungrupo de reglas de correlación de un ESM (grupo de reglas de correlación desplegado), el cual secompone de cero o más reglas de correlación con un conjunto cualquiera de valores de parámetrosdefinidos por el usuario. Al igual que en el caso de los grupos de reglas estándar y de firewall, seincluirá un grupo de reglas de correlación de base en cada ESM (grupo de reglas de correlación básico)y las actualizaciones de este grupo de reglas se desplegarán en los dispositivos ESM desde el servidorde actualización de reglas.

Las reglas del servidor de actualización de reglas incluyen valores predeterminados. Cuando se actualizael grupo de reglas básico del motor de correlación, es necesario personalizar estos valorespredeterminados para que representen la red de forma apropiada. Si despliega estas reglas sin cambiarlos valores predeterminados, pueden generar falsos positivos o falsos negativos.

Solo se puede configurar un origen de datos de correlación por cada receptor, de forma similar a laconfiguración de syslog u OPSEC. Una vez configurado el origen de datos de correlación, se puedeeditar el grupo de reglas de base a fin de crear el grupo de reglas de correlación desplegado medianteel Editor de reglas de correlación. Cabe la posibilidad de activar o desactivar cada regla de correlación yestablecer el valor de los parámetros definibles por el usuario de cada regla.

Además de activar o desactivar las reglas de correlación, el Editor de reglas de correlación permite crearreglas personalizadas y crear componentes de correlación personalizados que se pueden agregar a lasreglas de correlación.



Véase también Visualización de los detalles de las reglas de correlación en la página 441Configuración de una regla de correlación para comparar dos campos en un evento en lapágina 443Omisión de Agrupar por en la página 443

Ejemplo de componente o regla de correlación personalizadosAgregue un componente o regla de correlación.

La regla que vamos a agregar en este ejemplo genera una alerta cuando el ESM detecta cinco intentosde inicio de sesión fallidos de un mismo origen en un sistema Windows, seguidos por un inicio desesión correcto, todo ello en un plazo de diez minutos.

1 En el panel Tipos de regla del Editor de directivas, haga clic en Correlación.

2 Haga clic en Nueva y, después, seleccione Regla de correlación.

3 Escriba un nombre descriptivo y seleccione la gravedad.

Ya que un evento generado por esta regla podría indicar que una persona no autorizada ha accedidoal sistema, un valor de gravedad adecuado sería 80.

4 Seleccione el ID de normalización, que podría ser Autenticación o Autenticación | Inicio de sesión y,después, arrastre y suelte el elemento lógico AND.

Se utiliza AND porque hay dos tipos de acciones que deben llevarse a cabo (primero los intentos deinicio de sesión y luego un inicio de sesión correcto).

5 Haga clic en el icono Menú y seleccione Editar.

6 Seleccione Secuencia para indicar que las acciones (primero cinco intentos de inicio de sesión fallidosy después un inicio de sesión correcto) deben producirse en una secuencia; después, establezca elnúmero de veces que se debe producir esta secuencia, que este caso sería "1".

7 Establezca el periodo de tiempo en que se deben producir las acciones y haga clic en Aceptar.

Ya que existen dos acciones que requieren periodos de tiempo, el periodo de diez minutos debedividirse entre las dos. En este ejemplo, cinco minutos es el periodo de tiempo para cada acción.Una vez que se han producido los intentos fallidos en un plazo de cinco minutos, el sistema empiezaa esperar un inicio de sesión correcto del mismo origen de IP en los siguientes cinco minutos.

8 En el campo Agrupar por, haga clic en el icono, mueva la opción IP de origen de la izquierda a la derechapara indicar que todas las acciones deben proceder de la misma IP de origen y, después, haga clicen Aceptar.

9 Defina la lógica para esta regla o este componente.




Especificar el tipo defiltro que identifica loseventos de interés (eneste caso, variosintentos de inicio desesión fallidos en unsistema Windows).

1 Arrastre el icono Filtro y suéltelo en el elemento lógico AND.

2 En la página Componente de filtrado de campos, haga clic en Agregar.

3 Seleccione Regla de normalización | En y, después, seleccione:

• Normalización

• Autenticación

• Inicio de sesión

• Inicio de sesión de host

• Varios intentos de inicio de sesión fallidos en un host de Windows


Indique el número deveces que debeproducirse el fallo deinicio de sesión y elperiodo de tiempo enel que deben ocurrirestos fallos.

1 Arrastre y suelte el elemento lógico AND en la barra Filtro.

Se utiliza el elemento AND porque son cinco los intentos distintos quedeben producirse. El elemento permite establecer el número de veces y lacantidad de tiempo en que deben producirse.

2 Haga clic en el icono Menú correspondiente al elemento AND reciénagregado y haga clic en Editar.

3 En el campo Umbral, introduzca 5 y borre el resto de valores presentes.

4 Configure el campo Período de tiempo con el valor 5.


Defina el segundo tipode filtro que debeutilizarse, que es elinicio de sesióncorrecto.

1 Arrastre y suelte el icono Filtro en la parte inferior del corchetecorrespondiente al primer elemento lógico AND.

2 En la página Coincidir componente, haga clic en Agregar.

3 En los campos, seleccione Regla de normalización | En y, después, seleccione:

• Normalización

• Autenticación

• Inicio de sesión

• Inicio de sesión de host

4 Haga clic en Aceptar para volver a la página Coincidir componente.

5 Para definir que el inicio de sesión debe ser correcto, haga clic en Agregar,seleccione Subtipo de evento | En, haga clic en el icono Variables y haga clic enSubtipo de evento | correcto | Agregar.

6 Haga clic en Aceptar para volver al Editor de directivas.

La nueva regla se agregará a la lista de reglas de correlación en el Editor de directivas.



Visualización de los detalles de las reglas de correlaciónLas reglas de correlación muestran detalles sobre la causa de que se activara la regla. Estainformación puede ayudarle a realizar ajustes en relación con los falsos positivos.

Antes de empezarVerifique que dispone de derechos de administrador o que pertenece a un grupo de accesocon permiso para administrar directivas.

Los detalles se recopilan siempre en el momento de la solicitud. No obstante, en el caso de las reglasque usan listas de vigilancia dinámicas u otros valores que pueden cambiar con frecuencia, configurela regla para obtener los detalles de inmediato tras la activación. Esto reduce la posibilidad de que losdetalles no estén disponibles.

Procedimiento1 Desde el panel, haga clic en y seleccione Correlación.

El Editor de directivas muestra una lista de las reglas de correlación.

2 Configure cada una de las reglas para que los detalles se muestren de inmediato.

a En la consola de ESM, haga clic en el icono del Editor de directivas y, a continuación, haga clic enCorrelación en el panel Tipos de regla.

b Haga clic en la columna Detalles correspondiente a la regla y seleccione Activado.

Puede seleccionar varias reglas a la vez.

3 Visualice los detalles:

a En el árbol de navegación del sistema, haga clic en Correlación de reglas bajo el dispositivo ACE.

b En la lista de vistas, seleccione Vistas de evento | Análisis de eventos y, después, haga clic en el eventoque desee ver.

c Haga clic en la ficha Detalles de correlación para ver los detalles.

Véase también Reglas de correlación en la página 438Configuración de una regla de correlación para comparar dos campos en un evento en lapágina 443Omisión de Agrupar por en la página 443

Adición de parámetros a un componente o una regla de correlaciónLos parámetros de una regla o un componente controlan su comportamiento cuando se ejecutan. Losparámetros no son necesarios.


1 En las páginas Regla de correlación o Componente de correlación, haga clic en Parámetros.

2 Haga clic en Agregar y escriba un nombre para el parámetro.

3 Seleccione el tipo de parámetro que desee y, después, seleccione los valores o anule su selección.

Los valores de Lista e Intervalo no se pueden usar al mismo tiempo. Un valor de lista no puede incluirun intervalo (1–6, 8, 10, 13). La forma correcta de escribir esto es 1, 2, 3, 4, 5, 6, 8, 10, 13.



4 Para seleccionar el valor predeterminado del parámetro, haga clic en el icono Editor de valorespredeterminados .

5 Si no desea que el parámetro resulte visible de forma externa, anule la selección de la opción Visibleexternamente. El parámetro es local en cuanto al ámbito de la regla.

6 Escriba una descripción del parámetro, que aparecerá en el cuadro de texto Descripción de la páginaParámetros de regla al resaltar el parámetro.

7 Haga clic en Aceptar y, a continuación, en Cerrar.


Opción Definición

Nombre Escriba un nombre para el parámetro.

Tipo Seleccione el tipo de parámetro del que se trata.

Valores que se puedenintroducir en este parámetro

Seleccione los valores que se introducirán en este parámetro o anule suselección. Los valores de Lista e Intervalo no se pueden usar al mismo tiempo.Un valor de lista no puede incluir un intervalo (1-6 8, 10, 13). La formacorrecta de escribir esto sería 1, 2, 3, 4, 5, 6, 8, 10, 13.

Valor predeterminado Para seleccionar el valor predeterminado del parámetro, haga clic en el iconoEditor de valores predeterminados.

Visible externamente Si no desea que el parámetro resulte visible de forma externa, anule laselección de esta opción. De esta forma, el parámetro será local en el ámbitode la regla.

Descripción Escriba una descripción del parámetro, que aparecerá en el cuadro Descripciónde la página Parámetros de regla al hacer clic en el parámetro.


Opción Definición

Tabla Enumera los parámetros para la regla junto con su valor actual y el valorpredeterminado.

Editar Permite realizar cambios en el valor.

Descripción Describe el parámetro seleccionado en la tabla.

Restaurar valores predeterminados Permite restaurar los valores a su configuración predeterminada.


Opción Definición

Tabla Ver los parámetros existentes. Si es un componente o una regla nuevos, no apareceráninguno.

Agregar Agregar un parámetro nuevo para la regla o el componente.

Editar Realizar cambios en la configuración de un parámetro existente.

Eliminar Eliminar un parámetro.

Descripción Ver una descripción del parámetro seleccionado.


Opción Definición

Tabla Seleccione la regla o el componente a los que desee hacer referencia.

Descripción Muestra una descripción de la regla o el componente seleccionados.



Configuración de una regla de correlación para comparar dos campos en uneventoEl Editor de valores predeterminados permite configurar una regla de correlación para comparar los valores dedos campos diferentes dentro de un evento.

Por ejemplo, puede configurar una regla para garantizar que el usuario de origen y el usuario dedestino coincidan. También puede configurar una regla para garantizar que la dirección IP de origen yla dirección IP de destino no coincidan.

En el caso de los campos numéricos, se admiten los operadores mayor que (>), menor que (<),mayor o igual que (>=) y menor o igual que (<=).



2 En el panel Tipos de regla, seleccione Correlación, haga clic en la regla que desee utilizar para compararcampos y, después, haga clic en Editar | Modificar.

3 Haga clic en el icono de menú de un componente lógico y, después, haga clic en Editar.

4 En el área de filtrado, haga clic en Agregar, agregue un filtro nuevo o seleccione un filtro existente yhaga clic en Editar.

5 Haga clic en el icono del Editor de valores predeterminados , escriba el valor y haga clic en Agregar;después, seleccione el campo en la ficha Campos y haga clic en Agregar.

Véase también Reglas de correlación en la página 438Visualización de los detalles de las reglas de correlación en la página 441Omisión de Agrupar por en la página 443

Omisión de Agrupar porSi ha configurado una regla de correlación para llevar a cabo la agrupación según un campo específico,puede omitir uno de los componentes de la regla a fin de que coincida con otro campo distinto.

Por ejemplo, si establece el campo Agrupar por de una regla de correlación con el valor IP de origen, puedeomitir un componente de la regla para utilizar IP de destino. Esto significa que todos los eventos tienen lamisma IP de origen excepto los eventos que coinciden con el componente omitido. En dichos eventos,la IP de destino coincide con la IP de origen del resto de eventos. Esta función resulta útil para buscarun evento que se dirige a un destino concreto seguido por otro evento que se origina en dicho destino.



2 Haga clic en Correlación en el panel Tipos de regla, seleccione una regla y haga clic en Editar | Modificar.

3 Arrastre y coloque el elemento lógico Coincidir componente en el área Lógica de correlación y, después,haga clic en el icono de menú o en el icono de menú de un elemento Coincidir componente existenteen el área Lógica de correlación.



4 Seleccione editar, haga clic en Opciones avanzadas y, después, seleccione Omitir Agrupar por y haga clic enConfigurar.

5 En la página Configurar omisiones de Agrupar por, seleccione el campo de omisión y haga clic en Aceptar.

Véase también Reglas de correlación en la página 438Visualización de los detalles de las reglas de correlación en la página 441Configuración de una regla de correlación para comparar dos campos en un evento en lapágina 443

Reglas de origen de datosLa lista de reglas de origen de datos incluye reglas tanto predefinidas como de aprendizajeautomático.

El receptor aprende de forma automática las reglas de origen de datos a medida que procesa lainformación que le envían los orígenes de datos asociados.

La opción Origen de datos del panel Tipos de regla solo resulta visible cuando se seleccionan una directiva,un origen de datos, el Analizador de syslog avanzado o un receptor en el árbol de navegación del sistema. Elárea de descripción situada en la parte inferior de la página ofrece información detallada sobre la reglaseleccionada. Todas las reglas tienen una configuración de gravedad que dicta su prioridad asociada.La prioridad afecta a la forma en que se muestran las alertas generadas para estas reglas con fines degeneración de informes.

Las reglas de origen de datos tienen una acción predeterminada definida. El receptor la asigna alsubtipo de evento asociado a la regla. Es posible cambiar esta acción (véase Establecimiento deacciones de reglas de origen de datos).

Véase también Establecimiento de acciones de reglas de origen de datos en la página 445Administración de reglas de origen de datos de aprendizaje automático en la página 445

Adición o edición de una regla de acceso a datosLas directivas de acceso a datos de DEM proporcionan la capacidad de rastrear rutas de accesodesconocidas a la base de datos y enviar eventos en tiempo real.Algunas infracciones habituales en los entornos de base de datos, como que los desarrolladores deaplicaciones accedan a los sistemas de producción mediante los ID de inicio de sesión de aplicación, sepueden rastrear con facilidad cuando se crean las directivas de acceso a datos apropiadas.


1 En el panel Tipos de regla del Editor de directivas, seleccione DEM | Acceso a datos.


• Para agregar una regla, seleccione Nueva y haga clic en Regla de acceso a datos.

• Para editar una regla, selecciónela en el panel de la pantalla de reglas y haga clic en Editar |Modificar.




Establecimiento de acciones de reglas de origen de datosLas reglas de origen de datos tienen una acción predeterminada definida. El receptor asigna estaacción al subtipo de evento asociado a la regla. Es posible modificar esta acción.

Cabe la posibilidad de establecer el valor del subtipo de evento por cada regla de origen de datos. Estosignifica que se pueden establecer acciones de regla para paneles, informes, reglas de análisis oalarmas con distintos valores, tales como el resultado de una regla de acceso selectivo (permitir/denegar).


1 En la consola de ESM, haga clic con el botón derecho del ratón en el icono del Editor de directivas y,a continuación, seleccione Receptor | Origen de datos en el panel Tipos de regla.

2 Haga clic en la columna Subtipo correspondiente a la regla que desee modificar y, a continuación,seleccione la nueva acción.

• Seleccione Activar para rellenar el subtipo de evento con la acción predeterminada, alerta.

• Seleccione Desactivar si no desea recopilar eventos para la regla en cuestión.

• Seleccione cualquier otra acción para rellenar el subtipo de evento con dicha acción.

Véase también Reglas de origen de datos en la página 444Administración de reglas de origen de datos de aprendizaje automático en la página 445

Administración de reglas de origen de datos de aprendizaje automáticoCabe la posibilidad de ver una lista de todas las reglas de origen de datos de aprendizaje automático yeditarlas o eliminarlas.


1 En el Editor de directivas, seleccione Receptor | Origen de datos.

2 En el panel Filtros/etiquetado, haga clic en la barra Opciones avanzadas, situada en la parte inferior delpanel.

3 En la lista desplegable Origen, seleccione definido por el usuario y haga clic en el icono Ejecutar consulta .

En el panel de visualización aparecerán todas las reglas de origen de datos de aprendizajeautomático.

4 Seleccione la regla que desee editar o eliminar, haga clic en Editar y seleccione Modificar o Eliminar reglasde aprendizaje automático.

• Si ha seleccionado Modificar, cambie el nombre, la descripción o el ID normalizado y haga clic enAceptar.

• Si selecciona Eliminar reglas de aprendizaje automático, seleccione la opción correcta y haga clic enAceptar.




Opción Definición

Eliminar todas las reglas de aprendizaje automáticopara este tipo de origen de datos

Permite eliminar todas las reglas de aprendizajeautomático para el origen de datos seleccionado.

Elimine las reglas de aprendizaje automáticoseleccionadas

Elimina las reglas seleccionadas en el panel devisualización de reglas.

Eliminar todas las reglas de aprendizaje automáticoanteriores a este momento

Elimina las reglas de aprendizaje automático anteriores ala fecha introducida en el campo.

Eliminar todas las reglas de aprendizaje automáticoanteriores a la hora de retención del sistema

Elimina todas las reglas de aprendizaje automáticoanteriores a la fecha establecida como hora de retencióndel sistema. Si necesita cambiar el tiempo de retenciónde los datos, haga clic en Editar.

Véase también Reglas de origen de datos en la página 444Establecimiento de acciones de reglas de origen de datos en la página 445

Reglas de DEMEl auténtico poder de McAfee DEM radica en la forma en que captura y normaliza la informacióncontenida en los paquetes de red.

El DEM también tiene la capacidad de crear reglas complejas mediante expresiones lógicas y regularespara la coincidencia con patrones, lo cual ofrece la posibilidad de supervisar los mensajes de bases dedatos o aplicaciones casi sin falsos positivos. Los datos normalizados (métricas) varían según laaplicación, ya que algunos mensajes y protocolos de aplicación tienen más información que otros. Lasexpresiones de filtrado se deben crear con cuidado, no solo en cuanto a sintaxis, sino también paraasegurarse de que la métrica sea compatible con la aplicación.

El DEM incluye un grupo de reglas predeterminado. Las reglas de conformidad predeterminadassupervisan los eventos de base de datos significativos, tales como inicio/cierre de sesión, actividad deadministrador de base de datos, como por ejemplo cambios de DDL, actividad sospechosa y ataquesde base de datos, que suelen ser necesarios para satisfacer los requisitos de conformidad. Es posibleactivar o desactivar cada una de las reglas predeterminadas y establecer el valor de los parámetrosque el usuario puede definir.

Estos son los tipos de reglas de DEM: base de datos, acceso a datos, descubrimiento y rastreo detransacciones.



Tipos de regla Descripción

Base de datos El grupo de reglas predeterminado del DEM incluye reglas para todos los tipos debases de datos admitidos y normativas habituales tales como SOX, PCI, HIPAA yFISMA. Es posible activar o desactivar cada una de las reglas predeterminadas yestablecer el valor de cada uno de los parámetros que el usuario puede definir.

Además de usar las reglas incluidas en el DEM, es posible crear reglas complejasmediante expresiones lógicas y regulares. Esto permite supervisar los mensajesde base de datos o aplicación prácticamente sin falsos positivos. Ya que algunosmensajes y protocolos de aplicación tienen más información que otros, los datosnormalizados (métricas) varían según la aplicación.

Las reglas pueden ser tan complejas como sea necesario y permiten la inclusiónde operadores tanto lógicos como de expresión regular. Es posible aplicar unaexpresión de regla a una o varias métricas disponibles para la aplicación.

Acceso a datos Las reglas de acceso a datos del DEM proporcionan la capacidad de rastrear rutasde acceso desconocidas a la base de datos y enviar alertas en tiempo real.Algunas infracciones habituales en los entornos de base de datos, como que losdesarrolladores de aplicaciones accedan a los sistemas de producción mediante losID de inicio de sesión de aplicación, se pueden rastrear con facilidad cuando secrean las reglas de acceso a datos apropiadas.



Tipos de regla Descripción

Descubrimiento Las reglas de descubrimiento de base de datos del DEM proporcionan una lista deexcepciones de servidores de base de datos, de los tipos admitidos por el ESM,que están en la red pero no se supervisan. Esto permite a un administrador deseguridad descubrir los nuevos servidores de base de datos agregados al entornoy los puertos de escucha no autorizados abiertos para acceder a los datos a travésde las bases de datos. Las reglas de descubrimiento (Editor de directivas | Tipo de reglade DEM | Descubrimiento) son reglas predefinidas que no se pueden agregar ni editar.Cuando se activa la opción de descubrimiento la página de servidores de base dedatos (Propiedades de DEM | Servidores de base de datos | Activar), el sistema emplea estasreglas para buscar servidores de base de datos presentes en la red pero noincluidos bajo el DEM en el árbol de navegación del sistema.

Rastreo detransacciones

Las reglas de rastreo de transacciones permiten realizar un seguimiento de lastransacciones de base de datos y conciliar los cambios automáticamente. Porejemplo, el lento proceso de rastrear los cambios de base de datos y conciliarlosmediante órdenes de trabajo autorizadas en el sistema de fichas de cambioexistente puede automatizarse por completo.

El uso de esta función se comprende mejor con un ejemplo:El administrador de la base de datos, como parte del procedimiento normal,ejecutaría el procedimiento almacenado de etiqueta de inicio(spChangeControlStart en este ejemplo) en la base de datos donde se deberealizar el trabajo antes de que empiece realmente el trabajo autorizado. Lafunción Rastreo de transacciones del DEM permite al administrador de base de datosincluir un máximo de tres parámetros de cadena opcionales a modo de argumentopara la etiqueta en la secuencia correcta:1 ID

2 Nombre o iniciales del administrador

3 Comentario

Por ejemplo, spChangeControlStart ‘12345’, ‘mshakir’, ‘reindexing app’Cuando el DEM detecta la ejecución del proceso spChangeControlStart, nosolamente registra la transacción, sino también los parámetros (ID, nombre,comentario) a modo de información especial.

Una vez terminado el trabajo, el administrador de base de datos ejecuta elprocedimiento almacenado de etiqueta de fin (spChangeControlEnd) y, si procede,incluye un parámetro de ID, que debe ser el mismo que el ID de la etiqueta deinicio. Cuando el DEM detecta la etiqueta de fin (y el ID), puede agrupar todas lasactividades entre la etiqueta de inicio (que tiene el mismo ID) y la etiqueta de fincomo una transacción especial. Entonces es posible informar por transacciones ybuscar por ID, que en este ejemplo de conciliación de órdenes de trabajo podríaser el número de control de cambio.

También es posible utilizar el rastreo de transacciones para registrar el inicio y elfin de una ejecución de orden o las sentencias de inicio y confirmación a fin deinformar mediante transacciones en lugar de consultas.

Reglas de ESMLas reglas de ESM se emplean para generar eventos relacionados con el ESM.

Todas las reglas de este tipo están definidas por McAfee. Se pueden utilizar para generar informes deconformidad o auditoría que muestren lo que ha ocurrido en el ESM. No es posible agregar, modificarni eliminar estas reglas. Sin embargo, es posible cambiar la configuración de las propiedades (véaseTipos de reglas y sus propiedades).



Reglas de filtradoLas reglas de filtrado permiten especificar la acción que se debe realizar cuando el receptor recibe losdatos definidos.

Orden de los datos

Las reglas de filtrado se escriben en el receptor con el siguiente orden de datos.

1 Todas la reglas no aplicables a todo.

a detención = verdadero y analizar = falso y registrar = falso

b detención = verdadero y analizar = verdadero y registrar = verdadero

c detención = verdadero y analizar = verdadero y registrar = falso

d detención = verdadero y analizar = falso y registrar = verdadero

2 Todas las reglas aplicables a todo.

Orden de las reglas

Si cuenta con derechos de Administrador de directivas, puede definir el orden en que desee que se ejecutenlas reglas de filtrado. Estas reglas, posteriormente, se ejecutarán en el orden más adecuado paragenerar los datos necesarios (véase Establecimiento del orden de las reglas de filtrado y ASP).

Adición de reglas de filtradoExiste la posibilidad de agregar reglas de filtrado al Editor de directivas.


1 En el Editor de directivas, seleccione Receptor | Filtro.

2 Seleccione Nuevo y, después, haga clic en Regla de filtrado.


4 Para activar la regla, selecciónela en el panel de visualización de reglas, haga clic en el valor de lacolumna Acción y haga clic en activada.


Opción Definición

Etiquetas • Haga clic en Seleccionar y elija etiquetas que definan las categorías a las quepertenece la regla.

Nombre • Escriba un nombre para la regla.

ID normalizado • (Opcional) Haga clic en el icono ID normalizado y seleccione cualquier IDnormalizado adicional.

Gravedad • (Opcional) Cambie la configuración de gravedad de la regla.

Coincidir todo • Permite escribir la regla sin cadenas de contenido o PCRE. Si selecciona estaopción, las acciones especificadas en la sección Acción que realizar con esta regla serealizarán en todos los datos recibidos.




Opción Definición

Cadenas decontenido

(Opcional) Escriba cadenas de contenido para filtrar los datos recibidos. Cuando losdatos recibidos coincidan con estas cadenas de contenido, se realizará la acciónespecificada en este cuadro de diálogo.• A fin de agregar una cadena, haga clic en Agregar y escríbala.

• Para editar o eliminar una cadena, selecciónela y haga clic en el botóncorrespondiente.

PCRE • (Opcional) Escriba una única PCRE para filtrar los datos recibidos. Cuando losdatos recibidos coincidan con esta PCRE, se realizará la acción especificada eneste cuadro de diálogo.

Sin distinciónmayúsculas/minúsculas

• Agrega un modificador de no distinción de forma que se produzca la coincidenciacon el contenido de PCRE independientemente de las mayúsculas y minúsculas.

Acción Seleccione las acciones que se realizarán cuando los datos recibidos coincidan conla PCRE y las cadenas de contenido, o bien en todos los datos recibidos si seselecciona Coincidir todo. Puede seleccionar todas las acciones necesarias.

Descripción • (Opcional) Escriba una descripción para la regla. Aparecerá en el campoDescripción del Editor de directivas cuando se seleccione la regla.


Opción Definición

Tipos de filtros Seleccione a qué se aplicará el filtro.

Condiciones de filtrado Seleccione las condiciones de filtrado. Las opciones disponibles varían enfunción del tipo seleccionado.

Valores Haga clic en el icono de variables y seleccione los valores para el filtro.

Adición o edición de una regla de rastreo de transaccionesLas reglas de rastreo de transacciones rastrean las transacciones de la base de datos y concilianautomáticamente los cambios, además de registrar el inicio y el fin de una ejecución de orden o lassentencias de inicio y confirmación a fin de informar mediante transacciones en lugar de consultas.


1 En el Editor de directivas, seleccione DEM | Rastreo de transacciones.


• Para agregar una regla nueva, haga clic en Nueva y, después, en Regla de rastreo de transacciones.

• Para editar una regla, selecciónela en el panel de la pantalla de reglas y haga clic en Editar |Modificar.





Opción Definición

Tipo Seleccione el tipo de regla de rastreo de transacciones del que se trata.

Nombre de regla Escriba un nombre para la regla. Debe ser exclusivo, debería ser descriptivo ysolo puede contener caracteres alfanuméricos, caracteres de subrayado (_) yespacios.

Etiqueta de inicio deconsulta

Escriba la consulta SQL que se debe ejecutar antes de realizar cambios en labase de datos (por ejemplo, spChangeControlStart).

Etiqueta de fin de consulta Escriba la consulta SQL que se debe ejecutar tras realizar cambios en la basede datos (por ejemplo, spChangeControlEnd).

Etiquetas Haga clic en Seleccionar, elija las etiquetas que desee asociar con la regla yhaga clic en Aceptar.

ID normalizadoSi desea cambiar el predeterminado, haga clic en el icono y seleccione elID.

Gravedad Seleccione la configuración de gravedad.

Descripción Escriba una descripción para la regla.

VariablesUna variable es una configuración global o un marcador de posición para información específica decada usuario o sitio. Muchas reglas hacen uso de las variables.

Se recomienda tener conocimientos amplios sobre el formato Snort antes de agregar o modificarvariables.

Las variables se emplean para que las reglas se comporten de una forma concreta, lo cual puedevariar de un dispositivo a otro. El ESM tiene muchas variables predefinidas, pero también ofrece laposibilidad de agregar variables personalizadas. Al agregar una regla, estas variables aparecen amodo de opciones en la lista desplegable del tipo de campo seleccionado en el campo Tipo de la páginaNueva variable.

Cada variable tiene un valor predeterminado, pero se recomienda establecer algunos valorescorrespondientes al entorno específico de cada dispositivo. No se permiten espacios al introducir unnombre de variable. Si se requiere un espacio, use el carácter de subrayado ( _ ). A fin de maximizarla efectividad de un dispositivo, resulta particularmente importante establecer la variable HOME_NETde acuerdo con la red protegida por el dispositivo concreto.

En esta tabla se muestra una lista de variables habituales y sus valores predeterminados.

Nombre devariable

Descripción Valorpredeterminado

Descripciónpredeterminada

EXTERNAL_NET Cualquiera fuera de la redprotegida

!$HOME_NET Puerto 80

HOME_NET Espacio de dirección de la red localprotegida: (10.0.0.0/80)

Cualquiera Igual queHOME_NET

HTTP_PORTS Puertos de servidor web: 80 u80:90 para indicar un intervaloentre 80 y 90

80 Cualquier puertoexcepto el deHTTP_PORTS

HTTP_SERVE RS Direcciones de servidores web:192.168.15.4 o[192.168.15.4,172.16.61.5]

$HOME_NET Igual queHOME_NET



Nombre devariable

Descripción Valorpredeterminado

Descripciónpredeterminada

SHELLCODE_PORTS Cualquier cosa excepto puertos deservidor web

!$HTTP_PORTS Igual queHOME_NET

SMTP Direcciones de servidores decorreo


SMTP_SERVERS Direcciones de servidores decorreo


SQL_SERVERS Direcciones de servidores de basede datos SQL


TELNET_SERVERS Direcciones de servidores deTelnet


Las variables incluidas en el sistema de fábrica se pueden modificar. También es posible agregar,modificar o eliminar las variables personalizadas.

Cabe la posibilidad de asignar tipos a las variables personalizadas. Los tipos de variables se usan alfiltrar reglas para generar informes, y determinan el campo donde están disponibles las variables a lahora de agregar o modificar una regla. Los tipos de variables son globales por naturaleza, de formaque todos los cambios realizados se reflejan en todos los niveles de la directiva.

Véase también Administración de variables en la página 452Detección de anomalías y secuestro de sesiones del protocolo TCP en la página 454

Administración de variablesCuando se selecciona el tipo de regla de variable en el Editor de directivas, es posible llevar a cabodiversas acciones a fin de administrar las variables, tanto personalizadas como predefinidas.


1 Haga clic en el icono del Editor de directivas.

2 En el panel Tipos de regla, seleccione Variable.



Agregar una nuevacategoría

1 Seleccione Nueva | Categoría.

2 Escriba un nombre para la nueva categoría y haga clic en Aceptar.

Agregar unavariablepersonalizada

1 En el panel de visualización de reglas, seleccione la categoría y haga clic enNueva.

2 Seleccione Variable y defina la configuración solicitada.





Modificar unavariable

1 En el panel de visualización de reglas, seleccione la variable que deseemodificar.

2 Seleccione Editar y, después, haga clic en Modificar.

3 Modifique el valor o la descripción y haga clic en Aceptar.

Eliminar unavariablepersonalizada

1 En el panel de visualización de reglas, seleccione la variable que deseeeliminar.

2 Seleccione Editar y haga clic en Eliminar.

Importar unavariable

1 Seleccione Archivo y haga clic en Importar | Variables.

2 Haga clic en Importar, busque el archivo y cárguelo.

El archivo de importación debe ser un archivo .txt con la información en elformato siguiente: NombreVariable;ValorVariable; NombreCategoría(opcional); Descripción (opcional). Si falta algún campo, debe existir unpunto y coma que actúe como marcador de posición.

Modificar el tipo devariablepersonalizada

1 Seleccione la variable personalizada.

2 Haga clic en Editar y seleccione Modificar.

3 Cambie el tipo de variable.

Cuando el tipo de variable se establece con un valor distinto de No hay ningúntipo seleccionado y se confirma, no es posible cambiar el valor.



Opción Definición

Nombre Escriba un nombre para la nueva variable.

Tipo Seleccione el tipo de variable que será. Una vez agregada la variable, esta configuraciónno se puede cambiar.

Valor Escriba el valor para el tipo de variable del que se trate.

Descripción (Opcional) Escriba una descripción para la variable.


Opción Definición

Nombre El nombre de esta variable. No se puede modificar.

Tipo El tipo de variable del que se trata. No se puede modificar.

Valor El valor de esta variable. Puede cambiarlo por cualquiera de los valores descritos en elcampo Descripción.

Descripción Una descripción de la variable y sus opciones.


Opción Definición

Importar Navegue hasta el archivo de variables que desee importar al Editor de directivas.



Véase también Variables en la página 451

Detección de anomalías y secuestro de sesiones del protocolo TCPEs posible detectar y alertar de anomalías relacionadas con el protocolo TCP, así como comprobar laexistencia de sesiones TCP secuestradas mediante la variable de preprocesador Stream5.



2 En el panel Tipos de regla, haga clic en Variable.

3 En el panel de visualización de reglas, haga clic en Preprocesador y seleccione STREAM5_TCP_PARAMS.

4 En la página Modificar variable, agregue alguno de los elementos siguientes en el campo Valor:• Para detectar y alertar sobre anomalías del protocolo TCP, agregue detect_anomalies tras policy

first.

• Para comprobar la existencia de secuestro de sesiones TCP, agregue detect_anomaliescheck_session_hijacking tras policy first.

Véase también Variables en la página 451

Reglas de eventos de WindowsLas reglas de eventos de Windows se usan para generar eventos relacionados con Windows.

Se trata de reglas de origen de datos para eventos de Windows y son independientes del tipo de reglade origen de datos porque constituyen caso de uso común. Todas las reglas de este tipo estándefinidas por McAfee. No es posible agregarlas, modificarlas ni eliminarlas, pero cabe la posibilidad decambiar la configuración de sus propiedades.

Configuración de la directiva predeterminadaEs posible configurar la directiva predeterminada para que funcione en el modo de solo alertas o en elmodo de sobresuscripción. También cabe la posibilidad de ver el estado de las actualizaciones dereglas y de iniciar una actualización.

Configuración del modo de sobresuscripciónEl Modo de sobresuscripción define cómo se gestionarán los paquetes si se supera la capacidad deldispositivo. En cualquier caso, el paquete se registra a modo de evento.

11 Administración de directivas y reglasConfiguración de la directiva predeterminada



1 En el Editor de directivas, haga clic en el icono Configuración .

2 En el campo Modo de sobresuscripción, haga clic en Actualizar.

3 En el campo Valor, introduzca la funcionalidad.

a Si se permite el paso (paso o 1), los paquetes que se descartarían pueden pasar sin seranalizados.

b Con la supresión (supresión o 0) se eliminan los paquetes que superan la capacidad deldispositivo.

c Para dejar pasar o eliminar un paquete sin generar un evento, introduzca spass o sdrop.


A partir de la versión 8.1.0, cambiar el Modo de sobresuscripción afecta al dispositivo y a sus elementossecundarios (dispositivos virtuales). A fin de que este cambio se aplique, es necesario cambiar elmodo en el dispositivo principal.

Visualización del estado de actualización de directivas de losdispositivosEs posible ver un resumen del estado de actualización de las directivas de todos los dispositivospertenecientes al ESM.

Esto ayuda a determinar cuándo se deben desplegar actualizaciones en el sistema.



2 En el campo Estado, observe el número de dispositivos que están actualizados, sin actualizar yplanificados para un despliegue automático.


Operaciones relacionadas con reglasExisten diversas operaciones que se pueden llevar a cabo con las reglas a fin de administrarlas ygenerar la información necesaria.

Administración de reglasEs posible visualizar, copiar y pegar las reglas de ADM, DEM, DPI, Analizador de syslog avanzado y Correlación.Las reglas personalizadas de estos tipos se pueden modificar o eliminar. Las reglas estándar se puedenmodificar, pero deben guardarse como una nueva regla personalizada.

Administración de directivas y reglasOperaciones relacionadas con reglas 11



1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla con el que desee trabajar.



Ver las reglaspersonalizadas

1 Seleccione la ficha Filtro en el panel Filtros/etiquetado.

2 En la parte inferior del panel, haga clic en la barra Avanzadas.

3 En el campo Origen, seleccione definido por el usuario y haga clic en Ejecutar

consulta .

Copiar y pegar unaregla

1 Seleccione una regla predefinida o personalizada.

2 Seleccione Editar | Copiar y, después, seleccione Editar | Pegar.La regla copiada se agregará a la lista de reglas existentes con el mismonombre.

3 Para cambiar el nombre, seleccione Editar | Modificar.

Modificar una regla 1 Resalte la regla que desee ver y, después, seleccione Editar | Modificar.

2 Cambie la configuración y haga clic en Aceptar. Si se trata de una reglapersonalizada, se guardará con los cambios. Si es una regla estándar, sele preguntará si desea guardar los cambios a modo de nueva reglapersonalizada. Haga clic en Sí.

Si no ha cambiado el nombre de la regla, se guardará con el mismo nombrey un ID de firma distinto. Para cambiar el nombre, seleccione la regla y,después, seleccione Editar | Modificar.

Eliminar una reglapersonalizada

• Seleccione la regla personalizada.

• Seleccione Editar | Eliminar.


Opción Definición

Barra de menús Pase el cursor sobre un elemento de esta barra y seleccione cualquiera de lasopciones disponibles. Las opciones varían en función del tipo de regla o laregla seleccionada.

Barra de ruta denavegación

El icono del Árbol de directivas permite acceder a la lista de todas las directivasdel ESM. La lista de la barra de ruta de navegación indica la directiva en laque se está trabajando.

Panel Tipos de regla Haga clic en cualquiera de los tipos de reglas en este panel a fin de ver lasreglas de ese tipo en el panel de visualización de reglas.

Panel de visualizaciónde reglas

Haga clic en una regla para ver su descripción en la parte inferior del panel,o bien lleve a cabo cualquiera de las opciones disponibles en la barra demenús o en las columnas del panel de visualización de reglas.

Campo de búsquedade etiquetas

Escriba el nombre de una etiqueta que esté buscando y, después, seleccioneuna etiqueta de la lista de posibles coincidencias.

11 Administración de directivas y reglasOperaciones relacionadas con reglas



Opción Definición

Panel Filtros/etiquetado En la ficha Filtro, ordene las reglas del panel de visualización de reglas pororden alfabético o por hora, además de filtrar la lista para ver únicamente lasreglas que cumplan los criterios seleccionados. En la ficha Etiquetas, agregueetiquetas a las reglas seleccionadas en el panel de visualización de reglaspara poder filtrar las reglas según sus etiquetas. Es posible agregar, editar yeliminar etiquetas personalizadas y categorías de etiquetas.

Icono Crear alarma Permite agregar una alarma para recibir una notificación cuando la reglaseleccionada genere un evento.

Icono Ponderaciones degravedad

Permite establecer la gravedad de los activos, etiquetas, reglas yvulnerabilidades de forma que se puedan utilizar a la hora de calcular lagravedad de los eventos.

Icono Ver historial decambios de directiva

Ver y exportar una lista de los cambios realizados en la directiva actual.

Icono Configuración Definir la configuración para el modo de solo alertas y el modo desobresuscripción, actualizar las reglas mediante el servidor de McAfee y verel resumen del estado de actualización de los dispositivos en el árbol dedirectivas.

Icono Desplegar Permite desplegar los cambios de directiva en el ESM.

Importación de reglasEs posible importar un conjunto de reglas exportado de otro ESM y guardarlo en su ESM.


1 En el panel Tipos de regla del Editor de directivas, haga clic en el tipo de directiva o reglas que deseeimportar.

2 Haga clic en Archivo | Importar y seleccione Reglas.

Estos cambios no se rastrean, de forma que no pueden deshacerse.

3 Haga clic en Importar reglas, navegue hasta el archivo que desee importar y seleccione Cargar.

El archivo se cargará en el ESM.

4 En la página Importar reglas, seleccione la acción que se debe realizar si las reglas importadas tienenel mismo ID que las existentes.

5 Haga clic en Aceptar para importar las reglas, resolviendo los conflictos para ello tal y como seindica.

El contenido del archivo se revisa y se activan o desactivan las opciones apropiadas en función delcontenido del archivo seleccionado.


Opción Definición

Importar reglas Permite seleccionar el archivo de reglas y cargarlo en el ESM.

Sobrescribir reglas existentes Si existe un conflicto a la hora de importar, seleccione esta opción encaso de que desee eliminar la regla existente y sobrescribirla con la reglaperteneciente a la directiva que se va a importar.




Opción Definición

Crear una regla nueva cuandoexista un conflicto

Si existe un conflicto a la hora de importar, seleccione esta opción encaso de que desee conservar ambas reglas y se creará de un nuevo IDpara la regla importada.

Omitir la regla cuando ya existaotra regla

Si existe un conflicto a la hora de importar, seleccione esta opción encaso de que desee conservar la regla existente y no importar laconflictiva.

Véase también Conflictos durante la importación de reglas de correlación en la página 458

Conflictos durante la importación de reglas de correlaciónAl exportar reglas de correlación, se crea un archivo que contiene los datos de la regla. Sin embargo,no incluye los elementos a los que la regla hace referencia, tales como variables, zonas, listas decontrol, tipos personalizados y activos, que se podrían emplear.

Cuando el archivo exportado se importa a otro ESM, los elementos contenidos en la regla a los que sehaga referencia y que no existen en el sistema de importación producirán un conflicto de regla. Porejemplo, si una regla hace referencia a la variable $abc y no hay ninguna variable definida en elsistema de importación que se denomine $abc, esta situación constituye un conflicto. Los conflictos seregistran y la regla se marca con un indicador para dejar patente que está en conflicto.

Los conflictos se resuelven mediante la creación de los elementos necesarios a los que se hacereferencia (manualmente o a través de la importación, si procede) o la edición de la regla decorrelación para cambiar las referencias dentro de la regla.

Si hay reglas en conflicto, aparece una página inmediatamente tras el proceso de importación queindica qué reglas hay en conflicto o cuáles han fallado. Las reglas se pueden editar para resolverconflictos desde esa página, o bien se puede cerrar la página. Las reglas en conflicto se marcan con unicono de signo de exclamación que indica su estado. La edición de una regla en conflicto en el editorde reglas se realiza por medio de un botón que, al hacer clic en él, muestra los detalles del conflictoen el caso de esa regla.

Véase también Importación de reglas en la página 457

Importación de variablesEs posible importar un archivo de variables y cambiar su tipo. Si existen conflictos, la variable nuevase cambia de nombre automáticamente.

Antes de empezarConfigure el archivo que desee importar.




1 En el panel Tipos de regla del Editor de directivas, haga clic en Variable.

2 Haga clic en Archivo | Importar | Variables y desplácese hasta el archivo de variables y haga clic enCargar.

Si existen conflictos o errores en el archivo, se abrirá la página Importar: registro de errores parainformar de cada problema.

3 En la página Importar variable(s), haga clic en Editar para cambiar el Tipo de las variables seleccionadas.


Exportación de reglasEs posible exportar reglas personalizadas o todas las reglas de una directiva y, después, importarlas aotro ESM.


1 En el panel Tipos de regla del Editor de directivas, haga clic en el tipo de regla que desee exportar.

2 Acceda a una lista de las reglas personalizadas del tipo seleccionado:

a En el panel Filtros/etiquetado, asegúrese de que esté seleccionada la ficha Filtro.

b Haga clic en la barra Avanzadas en la parte inferior del panel.

c En la lista desplegable Origen, seleccione definido por el usuario.

d Haga clic en el icono Ejecutar consulta .

3 Seleccione las reglas que desee exportar y haga clic en Archivo | Exportar | Reglas.

4 En la página Exportar reglas, seleccione el formato que se utilizará al exportar las reglas.

5 En la página Descargar, haga clic en Sí, seleccione la ubicación y, por último, haga clic en Guardar.

Si abre el archivo CSV mediante Microsoft Excel, algunos de los caracteres UTF-8 podrían dañarse.Para corregir este problema, abra el Asistente para importar texto en Excel y seleccione Delimitados y Coma.

Filtrado de reglas existentesCuando se selecciona un tipo de regla en el Editor de directivas, aparecen todas las reglas del tiposeleccionado por orden alfabético, de forma predeterminada. Es posible ordenarlas por hora o emplearetiquetas a fin de filtrar las reglas para poder ver solamente las que cumplen los criterios.




1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla que desee filtrar.

2 Asegúrese de seleccionar la ficha Filtro en el panel Filtros/etiquetado.

3 Realice una de las operaciones siguientes:


Filtrar con varias etiquetas • Seleccione categorías o etiquetas y haga clic en el icono Ejecutar

consulta .

Solo se mostrarán las reglas que coincidan con todos los filtros.

Ver las reglas que seajustan a cualquiera de losfiltros seleccionados

1 Seleccione más de una categoría o etiqueta.

2 Haga clic en el icono OR y, después, en el icono Ejecutar consulta.

Los campos afectados por la herencia (Acción, Gravedad, Lista negra,Agregación y Copiar paquete) no se pueden filtrar mediante el iconoOR.

Buscar una etiquetaconcreta

1 Escriba el nombre de la etiqueta en el campo Escriba aquí para buscaruna etiqueta.

2 Seleccione la opción que prefiera en la lista de opciones.

Ordenar las reglas por suhora de creación

• Haga clic en el icono Ordenar por hora en la barra de herramientasy, después, en el icono Ejecutar consulta.

Ordenar las reglas pororden alfabético

• Haga clic en el icono Ordenar por nombre en la barra deherramientas y, después, en el icono Ejecutar consulta.

Borrar los filtros • Haga clic en el icono del filtro naranja en la barra de título delpanel de visualización de reglas .

Los filtros se borrarán y todas las reglas aparecerán de nuevo en elpanel de visualización de reglas.

Borrar las etiquetas defiltrado

• Haga clic en el icono Borrar todo de la barra de herramientas.

Las etiquetas se borrarán, pero la lista de reglas seguirá filtrada.

Filtrar por ID de firma 1 Haga clic en la barra Avanzadas en la parte inferior del panel Filtro.

2 Escriba el ID de firma y haga clic en el icono Ejecutar consulta.

Filtrar por nombre odescripción

1 En el panel Avanzadas, escriba el nombre o la descripción.

2 Para obtener resultados independientemente del uso demayúsculas o minúsculas, haga clic en el icono de no distinciónentre unas y otras .

Filtrar por tipo dedispositivo, ID normalizadoo acción

1 En el panel Avanzadas, haga clic en el icono Filtro .

2 En la página Variables de filtrado, seleccione la variable.




Comparar las diferenciasen la configuración dedirectiva de un tipo deregla y su elementoprincipal inmediato

• En el panel Avanzadas, seleccione Ver excepciones y, después, haga clicen el icono Ejecutar consulta.

Filtrar por Gravedad, Listanegra, Agregación, Copiarpaquete, Origen y Estadode regla

• Seleccione el filtro en la lista desplegable de cada uno de esoscampos.

Ver solo las reglaspersonalizadas

• Seleccione definido por el usuario en el campo Origen del panel Opcionesavanzadas y, después, haga clic en el icono Ejecutar consulta.

Ver las reglas creadas enun periodo de tiempoconcreto

1 Haga clic en el icono del calendario situado junto al campo Hora delpanel Avanzadas.

2 En la página Hora personalizada, seleccione las horas de inicio ydetención, haga clic en Aceptar y, después, haga clic en el iconoEjecutar consulta.

Visualización de la firma de una reglaSi accede a la base de datos de firmas online de McAfee, podrá ver información sobre la firma de unaregla. Esta opción está disponible para reglas de firewall, inspección profunda de paquetes (DPI) yorigen de datos.


1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla que desee ver.

2 Seleccione una regla en el panel de visualización de reglas.

3 Haga clic en Operaciones y, después, seleccione Examinar referencia.

Se abrirá la pantalla Resumen de vulnerabilidades de NTAC en el navegador.

4 Para ver el resumen de una firma, haga clic en los vínculos de la sección Firmas de la pantalla.

Recuperación de actualizaciones de reglaEl equipo de McAfee encargado de las firmas de regla que utiliza un dispositivo a fin de examinar eltráfico de red actualiza constantemente estas firmas, que se pueden descargar mediante el servidorcentral. Estas actualizaciones de reglas se pueden recuperar de forma automática o manual.

Procedimiento

Véase Omisión de la acción en las reglas descargadas a fin de configurar las omisiones para las accionesrealizadas cuando se recuperan reglas del servidor.



2 En la línea Actualización de reglas, haga clic en Actualizar.



3 Establezca el ESM para que recupere las actualizaciones de forma automática o compruebe laexistencia de actualizaciones inmediatamente.

4 Si se descargaron las actualizaciones manualmente, haga clic en el icono Desplegar paraaplicarlas.

5 Para ver las actualizaciones manuales, haga lo siguiente:

a En el panel Filtros/etiquetado, haga clic en la barra Avanzadas.

b En el campo Estado de regla, seleccione Actualizado, Nuevo o Actualizado/Nuevo para indicar el tipo dereglas actualizadas que desea ver.

c Haga clic en el icono Ejecutar consulta .

Las reglas actualizadas se mostrarán con el icono del estallido si se han agregado o con un signo

de exclamación si se han cambiado.


Opción Definición

Intervalo de comprobaciónautomática

Permite que el ESM recupere las actualizaciones automáticamente. Si es laprimera vez que actualiza las reglas, aparecerá la página Validación del cliente.Introduzca su ID y contraseña de cliente y, después, seleccione Validar.

Si no recuerda esta información, póngase en contacto con el Soporte deMcAfee.

horas, minutos Seleccione la frecuencia con la que desea que el sistema busqueactualizaciones.

Comprobar ahora Comprobar la existencia de actualizaciones de reglas y descargarlas ahora.

Actualización manual Haga clic aquí si desea seleccionar el archivo de actualización que cargar.

Credenciales Permite agregar las credenciales proporcionadas por McAfee.

Borrado del estado de regla actualizadoEsto puede resultar útil cuando se modifican reglas o se agregan reglas al sistema. Las marcascorrespondientes se pueden borrar una vez que se han revisado las actualizaciones.


1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla que desee borrar.





Borrar todas lasmarcas de estado deregla

1 Haga clic en Operaciones y seleccione Borrar estado de regla actualizado.

2 Haga clic en Todo.

Borrar las reglasseleccionadas

1 En el panel Filtros/etiquetado, haga clic en la barra Avanzadas.

2 En el campo Estado de regla, seleccione Actualizado, Nuevo o Actualizado/Nuevopara indicar el tipo de marca que desea borrar.

3 Haga clic en el icono Ejecutar consulta .Las reglas con las marcas seleccionadas se mostrarán en el panel devisualización de reglas.

4 Seleccione las reglas que desee borrar.

5 Haga clic en Operación | Borrar estado de regla actualizado | Selección.

Comparación de archivos de reglaEs posible comparar el estado de la directiva (aplicada, actual, revertida o preparada) de los archivosde regla de Event Receiver, ADM y DEM.

Esto resulta útil si es necesario ver los cambios en caso de aplicar la directiva actual a un dispositivo.En este caso, se comparan las reglas actuales y las reglas aplicadas.


1 En el árbol de navegación del sistema, haga clic en un dispositivo Event Receiver, ADM o DEM.

2 Haga clic en el icono del Editor de directivas en la barra de herramientas de acciones y, después,haga clic en Herramientas | Comparar archivos de regla.

3 En la página Comparar archivos de regla, realice las selecciones y, después, haga clic en Comparar.

Si los dos archivos resultantes son inferiores a 15,5 MB aproximadamente, aparecerán en la tablaComparar archivos de regla. Si cualquiera de los archivos tiene un tamaño superior, se le solicitará quedescargue ambos archivos.

Visualización del historial de cambios de reglasEs posible ver las reglas cambiadas, actualizadas o agregadas al sistema, así como la última versiónde cada regla.


1 En el Editor de directivas, haga clic en Herramientas | Historial de cambios de reglas.

2 En la página Historial de reglas, visualice los cambios realizados en las reglas o haga clic en la fichaVersión de regla para ver la última versión de cada regla.





Opción Definición

Historial de cambiosde reglas

Ver los cambios de reglas recientes. Cada entrada ofrece un resumen de la regla yla fecha en que se actualizó o se agregó al sistema.

Versión de regla Ver la marca de tiempo de cada dispositivo bajo el que se categorizan reglas en elsistema. Esto ofrece una forma de localizar la versión de cada regla para facilitarla administración y la gestión de la conformidad con normativas. De formapredeterminada, los tipos de dispositivos se ordenan alfabéticamente por nombre.A fin de ordenarlos por la marca de tiempo, haga clic en el encabezado decolumna Versión.

Mostrar todo En la ficha Historial de cambios de reglas, haga clic en esta opción para generar una listade todos los cambios de reglas, no solo los recientes.

Creación de una nueva lista de vigilancia de reglasUna lista de vigilancia es un conjunto de tipos específicos de información que se pueden utilizar amodo de filtros o como condición de alarma para que se le notifique si aparecen en un evento. Estaslistas de control pueden ser globales o específicas de un usuario o grupo del ESM.


1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla y, después, seleccione lasreglas que desee incluir en la lista de vigilancia.

2 Haga clic en Operaciones y seleccione la opción Crear nueva lista de control.

La página Agregar lista de control incluirá las reglas seleccionadas.

3 Escriba un nombre y asegúrese de que esté seleccionado el botón de opción Estática.

Véase Adición de una lista de vigilancia para agregar una lista de vigilancia dinámica.

4 Seleccione el tipo de datos que controlará la lista de vigilancia y, después, seleccione el usuarioasignado.

Un usuario con privilegios de administrador puede asignar una lista de vigilancia a cualquier usuarioo grupo del sistema. Si no dispone de privilegios de administrador, solo puede asignarse listas decontrol a sí mismo o a los grupos de los que sea miembro.

5 Existen las formas siguientes de agregar más valores a la lista de vigilancia:

• Para importar un archivo de valores separados por líneas, haga clic en Importar y seleccione elarchivo.

• Para agregar valores individuales, escriba un valor por línea en el cuadro Valores.

El número máximo de valores es 1000.

6 Si desea recibir una alarma cuando se genere un evento que contenga cualquiera de los valores dela lista de vigilancia, haga clic en Crear alarma.




Adición de reglas a una lista de vigilanciaTras crear una lista de vigilancia, podría ser necesario agregarle valores de regla. La opción Adjuntar alista de control proporciona una forma de hacerlo.


1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla.

2 Seleccione las reglas que desee adjuntar a la lista de vigilancia en el panel de visualización dereglas.

3 Haga clic en el menú Operaciones y seleccione Adjuntar a lista de control.

4 Seleccione la lista de vigilancia a la que desee adjuntar las reglas y haga clic en Aceptar.


Opción Definición

Tabla superior Indica los valores de las reglas seleccionadas para su inclusión en la lista devigilancia.

Tabla inferior Seleccione a qué lista de vigilancia desea adjuntar los valores.

Asignación de etiquetas a reglas o activosEs posible asignar etiquetas a reglas para indicar sus atributos y, después, filtrar las reglas según susetiquetas. El ESM dispone de un conjunto predefinido de etiquetas, pero también ofrece la posibilidadde agregar etiquetas y categorías de etiquetas nuevas.

La ficha Etiquetas no está disponible para los tipos de reglas Variable, Preprocesador y Normalización.


1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla que desee etiquetar.

2 Haga clic en la ficha Etiquetas en el panel Filtros/etiquetado.


Administración de directivas y reglasAsignación de etiquetas a reglas o activos 11



Agregar una nuevacategoría deetiqueta

1 Haga clic en el icono Nueva categoría de etiqueta .

2 Escriba el nombre de la categoría.

3 Si desea que esta etiqueta se utilice en el cálculo de la gravedad deeventos, seleccione Usar etiqueta para el cálculo de gravedad de eventos y haga clicen Aceptar.

La categoría se agregará junto con una etiqueta de base. Es posible agregaretiquetas nuevas debajo de esta categoría.

Agregar una nuevaetiqueta

1 Haga clic en la categoría en la que desee agregar la etiqueta y, después,

haga clic en el icono Nueva etiqueta .

2 Escriba el nombre de la etiqueta.

3 Si desea que esta etiqueta se utilice en el cálculo de la gravedad deeventos, seleccione Usar etiqueta para el cálculo de gravedad de eventos y haga clicen Aceptar.

Editar una categoríao etiquetaexistentes

1 Haga clic en la categoría o la etiqueta que desee editar y, después, haga

clic en el icono Editar etiqueta .

2 Cambie el nombre o la configuración y haga clic en Aceptar.

Eliminar unaetiquetapersonalizada

1 Resalte la etiqueta que desee eliminar y haga clic en el icono Quitar etiqueta

.

2 Haga clic en Sí para confirmarlo.


Opción Definición

Campo de búsqueda Si busca una etiqueta específica, escríbala en el campo y después selecciónelaen la lista de etiquetas posibles.

Tabla de etiquetas Permite ver y buscar las etiquetas disponibles en el sistema.

Modificación de la configuración de agregaciónLos eventos agregados son eventos que tienen campos coincidentes.

La agregación está activada de forma predeterminada, y es posible elegir el tipo de agregación que seutilizará para todos los eventos generados en un dispositivo mediante la página Agregación de eventos decada dispositivo. Cabe la posibilidad de modificar la configuración de agregación de las reglasindividuales.


1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla.

2 Seleccione la regla cuya configuración de agregación desee modificar.

3 Haga clic en Operaciones en la barra de herramientas y seleccione Modificar configuración de agregación.

11 Administración de directivas y reglasModificación de la configuración de agregación


4 Seleccione los tipos de campos que desee agregar mediante las listas desplegables Campo 2 y Campo3.

Los campos seleccionados deben ser de tipos distintos para que no se produzca un error.


6 Si ha realizado cambios que afecten a la forma en que se agregan los dispositivos, se le preguntarási desea desplegar los cambios. Haga lo siguiente:

a Haga clic en Sí.

En la página Despliegue de excepciones de agregación, aparecerá el estado de los dispositivos afectadospor el cambio. Se marcarán todos los dispositivos no actualizados.

b Si fuera necesario, anule la selección de los dispositivos a los que no desee aplicar los cambios.

c Haga clic en Aceptar para desplegar los cambios.

La columna Estado reflejará el estado de la actualización a medida que se desplieguen los cambios.


Opción Definición

Campo 2 y Campo 3 Seleccione los tipos de campos en los que desee aplicar la agregación. Deben serde tipos distintos. Las descripciones para la agregación de nivel 1, nivel 2 y nivel 3cambian en función de las selecciones.

Omisión de la acción en las reglas descargadasCuando se descargan reglas del servidor central de McAfee, tienen asignada una acciónpredeterminada.Es posible definir una acción de omisión para las reglas del tipo seleccionado cuando se descargan. Sino se define una acción de omisión, las reglas usan su acción predeterminada.


1 En el Editor de directivas, haga clic en Herramientas y después seleccione Nueva configuración de reglas.

La página Nueva configuración de reglas indica las omisiones que existen para la Directiva predeterminada.

2 Configure las acciones de omisión y haga clic en Cerrar.


Opción Definición

Directiva Seleccione la directiva correspondiente a la regla a la que desee que se aplique la omisión.

Tabla Ver las omisiones existentes para la directiva seleccionada.

Agregar Haga clic en esta opción para agregar una omisión a la directiva seleccionada.

Editar Cambiar la configuración de la omisión seleccionada.

Eliminar Eliminar la omisión seleccionada.

Administración de directivas y reglasOmisión de la acción en las reglas descargadas 11



Opción Definición

Lista de etiquetas Seleccione las etiquetas asignadas a la regla a la que desee aplicar estaomisión.Por ejemplo, para omitir la acción de todas las reglas de filtrado con laetiqueta AOL, haga clic en Amenazas actuales | AOL en la lista de etiquetas y,después, seleccione Filtro en el campo Tipo de regla.

Campo Tipo de regla Seleccione el tipo de regla a la que desee que se aplique la omisión.

Acción de regla Indique si desea que la regla y la etiqueta conserven la configuraciónpredeterminada, si quiere activar la omisión o si la regla y la etiqueta sedeben desactivar.

Gravedad Seleccione la gravedad de esta omisión. El valor predeterminado es cero.

Lista negra, Agregación,Copiar paquete

Seleccione la configuración de esta omisión. Si no desea que la configuraciónde estas opciones se omita, conserve el valor de configuración predeterminado.

Ponderaciones de gravedadLa gravedad de los eventos se calcula en función de la ponderación de gravedad asignada a losactivos, las etiquetas, las reglas y las vulnerabilidades.

Cada una de las cuatro gravedades se pondera en el cálculo final. Este cálculo final es la suma de cadauna de las cuatro gravedades multiplicadas por sus ponderaciones respectivas. La página Ponderacionesde gravedad muestra las ponderaciones asociadas con los grupos de activos, etiquetas, reglas yvulnerabilidades. La suma de todas ellas debe equivaler a 100. Cuando se cambia un valor, se venafectados otros valores. A continuación se ofrece una descripción de cada tipo de gravedad:

Tipo degravedad

Descripciones

Activo Un activo es una dirección IP, que puede tener una zona asignada o no. Lagravedad de activo de un evento se determina como sigue:1 La dirección IP y la zona de destino del evento se comparan con todos los activos.

Si se encuentra alguna coincidencia, la gravedad del activo se emplea comogravedad del evento.

2 Si no se encuentra ninguna coincidencia de dirección IP y zona de destino, secomparan la dirección IP y la zona de origen con todos los activos. Si seencuentra alguna coincidencia de dirección IP y zona de origen, se utiliza lagravedad de ese activo como gravedad para el evento.

3 Si no se encuentra ninguna coincidencia, la gravedad del activo será cero.

Etiqueta La gravedad de etiqueta se calcula mediante las etiquetas de McAfee y las definidaspor el usuario. A fin de emplear una etiqueta en el cálculo de gravedad, debedefinirse tanto para la regla como para el activo del evento. Si la regla o el activono tienen etiquetas definidas o si no se encuentran coincidencias de activos, lagravedad de etiqueta será cero. Para calcular la gravedad de etiqueta, el número deetiquetas coincidentes de regla y activo se multiplica por 10. La gravedad deetiqueta está limitada a 100.

11 Administración de directivas y reglasPonderaciones de gravedad


Tipo degravedad

Descripciones

Regla La gravedad de regla es la establecida para el evento cuando se creó. Se basa en lagravedad de regla del evento, que se define en el Editor de directivas, y en losenriquecimientos de datos configurados para el recopilador del evento.

Vulnerabilidad Si hay información de gravedad de evaluación de vulnerabilidades para el activo yla regla de un evento, se utiliza la gravedad de evaluación de vulnerabilidades másalta de todas las coincidencias de activos y reglas como gravedad devulnerabilidad; de lo contrario, se emplea cero.

Véase también Establecimiento de las ponderaciones de gravedad en la página 469

Establecimiento de las ponderaciones de gravedadLas gravedades de activo, etiqueta, regla y vulnerabilidad se ponderan a la hora de calcular lagravedad de los eventos. Es necesario definir estas gravedades.


1En el Editor de directivas, haga clic en el icono Ponderaciones de gravedad .



Opción Definición

Línea numerada Arrastre y suelte los marcadores. Los campos Activos, Etiquetas,Reglas y Vulnerabilidades reflejan esta configuración.

Gravedad proporcionada por proveedor deevaluación de vulnerabilidades o Gravedad PCIproporcionada por proveedor de evaluación devulnerabilidades

Indique cómo se debe calcular la gravedad de vulnerabilidaden los datos entrantes. Si se seleccionan ambas opciones, seusará el mayor de los dos valores para calcular el valor degravedad.

Véase también Ponderaciones de gravedad en la página 468

Visualización del historial de cambios de directivaExiste la posibilidad de ver o exportar un registro de los cambios que se han realizado en la directiva.Este registro puede albergar un máximo de 1 GB de datos. Cuando se alcanza el límite, se borran losarchivos más antiguos en caso de ser necesario.


1 En el Editor de directivas, haga clic en el icono Ver historial de cambios de directiva .

2 Visualice o exporte el registro y, a continuación, haga clic en Cerrar.

Administración de directivas y reglasVisualización del historial de cambios de directiva 11



Opción Definición

Tabla Ver una lista de los cambios realizados en la directiva actual.

Ver Ver los detalles del registro seleccionado. Si desea descargar estos detalles, haga clic enDescargar todo el archivo.

Exportar Exportar los detalles del registro seleccionado.

Aplicación de cambios de directivasCuando se realizan cambios en las directivas, es necesario desplegarlos a fin de que se apliquen. Loscambios realizados en el nivel de la directiva predeterminada se aplican a todas las directivas cuandose lleva a cabo el despliegue en todos los dispositivos.


1 En el Editor de directivas, haga clic en el icono Desplegar .

2 Seleccione cómo desea que se produzca el despliegue.


Cuando todos los dispositivos finalicen el despliegue, el estado de la directiva indicará un desplieguecorrecto. Si el comando de despliegue no tiene un resultado correcto, aparecerá una página con unresumen de los comandos fallidos.


Opción Definición

Permite desplegar la directiva en un dispositivo.

Desplegar directiva en todos los dispositivosahora

Permite desplegar los cambios de directiva en todos losdispositivos. Haga clic en Aceptar.

Editar Permite seleccionar otras opciones de despliegue.


Opción Definición

Preparar despliegue posterior Permite establecer un momento en el futuro para desplegar la directivaen los dispositivos seleccionados en la página Desplegar. Haga clic en elicono del calendario para establecer la fecha y la hora.

Desplegar ahora Permite desplegar la directiva en los dispositivos seleccionadosinmediatamente.

Revertir dispositivo a la directivaactiva anterior

Si esta opción está activa, permite volver a la directiva aplicadaanteriormente.

Omitir o borrar directivaspreparadas

Permite omitir el despliegue preparado en el caso de esta directiva.

11 Administración de directivas y reglasAplicación de cambios de directivas


Véase también Descripción del Editor de directivas en la página 407El Árbol de directivas en la página 409Tipos de reglas y sus propiedades en la página 414Administración de directivas en el Árbol de directivas en la página 409

Activación de Copiar paqueteCuando se activa la opción Copiar paquete para una regla, los datos de paquete se copian en el ESM. Siestá activada, los datos del paquete se incluyen en los datos del evento de origen de una alarma detipo Coincidencia de evento interno o Coincidencia de campo.



2 En el panel Tipos de regla, haga clic en el tipo de regla al que desee acceder y, después, localice laregla en el panel de visualización de reglas.

3 Haga clic en la configuración actual de la columna Copiar paquete, que es desactivado de formapredeterminada, y haga clic en activado.

Administración de directivas y reglasActivación de Copiar paquete 11


11 Administración de directivas y reglasActivación de Copiar paquete


A Información sobre el modo FIPS

Contenido Información sobre el modo FIPS Comprobación de integridad de FIPS Adición de un dispositivo con clave aplicada en el modo FIPS Solución de problemas del modo FIPS

Información sobre el modo FIPSDebido a las normativas de FIPS, algunas funciones de ESM no están disponibles, algunas funcionesdisponibles no son conformes y otras funciones solo están disponibles en el modo FIPS. Estasfunciones se indican a lo largo del presente documento y se enumeran aquí.

Estado defunción

Descripción

Funcioneseliminadas

• Receptores de disponibilidad alta.

• Capacidad de comunicación con el dispositivo mediante el protocolo SSH.

• En la consola del dispositivo, el shell raíz se sustituye por un menú deadministración del dispositivo.

Funciones solodisponibles en elmodo FIPS

• Existen cuatro funciones de usuario que no presentan coincidencia parcial alguna:Usuario, Usuario avanzado, Administrador de auditorías y Administrador de claves y certificados.

• Todas las páginas de Propiedades cuentan con una opción Prueba automática de FIPS quepermite verificar si el sistema funciona correctamente en el modo FIPS.

• Si se produce un error de FIPS, se agrega un indicador de estado al árbol denavegación del sistema para reflejar este fallo.

• Todas las páginas de Propiedades tienen una opción Ver que, al hacer clic en ella, abrela página Token de identidad de FIPS. Esta página muestra un valor que se debecomparar con el valor mostrado en las secciones del documento mencionadas paraasegurarse de que no hay riesgos en relación con FIPS.

• En Propiedades del sistema | Usuarios y grupos | Privilegios | Editar grupo, la página incluye elprivilegio Prueba automática de cifrado FIPS, que otorga a los miembros del grupo laautorización para ejecutar pruebas automáticas de FIPS.

• En el Asistente de adición de dispositivos, el protocolo TCP siempre está establecido en elpuerto 22. El puerto SSH se puede cambiar.


Véase también Comprobación de integridad de FIPS en la página 474Adición de un dispositivo con clave aplicada en el modo FIPS en la página 475Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página475Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 476Solución de problemas del modo FIPS en la página 478

Comprobación de integridad de FIPSSi utiliza el modo FIPS, FIPS 140-2 requiere la comprobación de la integridad del software de formaregular. Esta comprobación se debe realizar en el sistema y en todos los dispositivos.


1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de que estéseleccionada la opción Información del sistema.

2 Realice cualquiera de las acciones que se indican a continuación.

En estecampo...

Haga esto...

Estado deFIPS

Visualice los resultados de la prueba automática de FIPS más reciente realizada en el ESM.

Prueba oPruebaautomáticade FIPS

Ejecute las pruebas automáticas de FIPS, las cuales comprueban la integridad de los algoritmosutilizados en el archivo ejecutable criptográfico. Los resultados se pueden ver en el Registro demensajes.

Si la prueba automática de FIPS falla, la seguridad de FIPS se ha visto comprometida o se haproducido algún fallo de dispositivo. Póngase en contacto con el Soporte de McAfee.

Ver oIdentidadde FIPS

Abra la página Token de identidad de FIPS para realizar las pruebas de integridad del software deinicio. Compare este valor con la clave pública que aparece en esta página:

Si este valor y la clave pública no coinciden, la seguridad de FIPS se ha visto comprometida.Póngase en contacto con el Soporte de McAfee.

A Información sobre el modo FIPSComprobación de integridad de FIPS


Véase también Información sobre el modo FIPS en la página 473Adición de un dispositivo con clave aplicada en el modo FIPS en la página 475Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página475Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 476Solución de problemas del modo FIPS en la página 478

Adición de un dispositivo con clave aplicada en el modo FIPS Existen dos métodos en el modo FIPS para agregar un dispositivo con una clave ya aplicada a un ESM.Estos términos y extensiones de archivo le resultarán útiles a la hora de realizar estos procesos.

Terminología• Clave de dispositivo: contiene los derechos de administración que tiene un ESM para un dispositivo; no

se emplea con fines criptográficos.

• Clave pública: la clave de comunicación SSH pública del ESM, que se almacena en la tabla de clavesautorizadas de un dispositivo.

• Clave privada: la clave de comunicación SSH privada del ESM, utilizada por el ejecutable de SSH enun ESM a fin de establecer la conexión SSH con un dispositivo.

• ESM principal: el ESM utilizado originalmente para registrar el dispositivo.

• ESM secundario: un ESM adicional que se comunica con el dispositivo.

Extensiones de archivo de los distintos archivos de exportación• .exk: contiene la clave de dispositivo.

• .puk: contiene la clave pública.

• .prk: contiene la clave privada y la clave de dispositivo.

Véase también Información sobre el modo FIPS en la página 473Comprobación de integridad de FIPS en la página 474Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página475Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 476Solución de problemas del modo FIPS en la página 478

Copia de seguridad y restauración de información de undispositivo en modo FIPSEste método se emplea para crear copias de seguridad de la información de comunicación de undispositivo y restaurarlas en el ESM.Principalmente, se puede utilizar en caso de un fallo que requiera la sustitución del ESM. Si lainformación de comunicación no se exporta antes del fallo, la comunicación con el dispositivo no sepodrá restablecer. Este método exporta e importa el archivo .prk.

La clave privada del ESM principal es utilizada por el ESM secundario para establecer comunicación conel dispositivo inicialmente. Una vez establecida la comunicación, el ESM secundario copia su clavepública en la tabla de claves autorizadas del dispositivo. El ESM secundario borra entonces la claveprivada del ESM principal e inicia la comunicación con su propio par de claves pública/privada.

Información sobre el modo FIPSAdición de un dispositivo con clave aplicada en el modo FIPS A


Acción Pasos

Exportar elarchivo .prk delESM principal

1 En el árbol de navegación del sistema del ESM principal, seleccione el dispositivocon la información de comunicación de la que desee crear una copia de seguridady, después, haga clic en el icono Propiedades.

2 Seleccione Administración de claves y haga clic en Exportar clave.

3 Seleccione Copia de seguridad de clave privada SSH y haga clic en Siguiente.

4 Escriba y confirme una contraseña; a continuación, establezca la fecha decaducidad.

Una vez que pasa la fecha de caducidad, la persona que importa la clave no sepuede comunicar con el dispositivo hasta que se exporta otra clave con una fechade caducidad futura. Si selecciona No caduca nunca, la clave no caducará alimportarla a otro ESM.

5 Haga clic en Aceptar, seleccione la ubicación para guardar el archivo .prk creadopor el ESM y cierre la sesión en el ESM principal.

Agregar undispositivo alESM secundarioe importar elarchivo .prk

1 En el árbol de navegación del sistema del dispositivo secundario, seleccione elnodo de nivel de sistema o grupo al que desee agregar el dispositivo.

2 En la barra de herramientas de acciones, haga clic en Agregar dispositivo.

3 Seleccione el tipo de dispositivo que desee agregar y haga clic en Siguiente.

4 Introduzca un nombre para el dispositivo exclusivo en el grupo y haga clic enSiguiente.

5 Introduzca la dirección IP de destino del dispositivo, indique el puerto decomunicación FIPS y haga clic en Siguiente.

6 Haga clic en Importar clave, desplácese hasta el archivo .prk y haga clic en Cargar.

Escriba la contraseña especificada al exportar esta clave inicialmente.

7 Cierre la sesión en el ESM secundario.

Véase también Información sobre el modo FIPS en la página 473Comprobación de integridad de FIPS en la página 474Adición de un dispositivo con clave aplicada en el modo FIPS en la página 475Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 476Solución de problemas del modo FIPS en la página 478

Activación de la comunicación con varios dispositivos ESM en elmodo FIPSEs posible permitir que diversos ESM se comuniquen con el mismo dispositivo mediante la exportacióne importación de archivos .puk y .exk.

En este método se usan dos procesos de exportación e importación. En primer lugar, se usa el ESMprincipal para importar el archivo .puk exportado del dispositivo ESM secundario y enviar la clavepública del ESM secundario al dispositivo, lo cual permite que ambos dispositivos ESM se comuniquencon el dispositivo. En segundo lugar, el archivo .exk del dispositivo se exporta desde el ESM principal yse importa en el ESM secundario, lo cual permite al ESM secundario comunicarse con el dispositivo.

A Información sobre el modo FIPSAdición de un dispositivo con clave aplicada en el modo FIPS


Acción Pasos

Exportar elarchivo .puk delESM secundario

1 En la página Propiedades del sistema del ESM secundario, seleccione Administración deESM.

2 Haga clic en Exportar SSH y, después, seleccione la ubicación para guardar elarchivo .puk.

3 Haga clic en Guardar y cierre la sesión.

Importar elarchivo .puk alESM principal

1 En el árbol de navegación del sistema del ESM principal, seleccione eldispositivo que desee configurar.

2 Haga clic en el icono Propiedades y seleccione Administración de claves.

3 Haga clic en Administrar claves SSH.

4 Haga clic en Importar, seleccione el archivo .puk y haga clic en Cargar.

5 Haga clic en Aceptar y cierre la sesión en el ESM principal.

Exportar elarchivo .exk deldispositivo delESM principal

1 En el árbol de navegación del sistema del ESM principal, seleccione eldispositivo que desee configurar.

2 Haga clic en el icono Propiedades y seleccione Administración de claves.

3 Haga clic en Exportar clave, seleccione la clave del dispositivo de copia deseguridad y haga clic en Siguiente.

4 Escriba y confirme una contraseña; a continuación, establezca la fecha decaducidad.

Una vez que pase la fecha de caducidad, no podrá comunicarse con eldispositivo hasta que se exporte otra clave con una fecha de caducidad futura.Si selecciona No caduca nunca, la clave no caducará al importarla a otro ESM.

5 Seleccione los derechos del archivo .exk y haga clic en Aceptar.

6 Seleccione la ubicación para guardar este archivo y cierre la sesión en el ESMprincipal.

Importar elarchivo .exk en elESM secundario

1 En el árbol de navegación del sistema del dispositivo secundario, seleccione elnodo de nivel de sistema o grupo al que desee agregar el dispositivo.

2 En la barra de herramientas de acciones, haga clic en Agregar dispositivo.

3 Seleccione el tipo de dispositivo que desee agregar y haga clic en Siguiente.

4 Introduzca un nombre para el dispositivo que sea exclusivo en el grupo y hagaclic en Siguiente.

5 Haga clic en Importar clave y busque el archivo .exk.

6 Haga clic en Cargar y escriba la contraseña especificada al exportar esta claveinicialmente.

7 Cierre la sesión en el ESM secundario.

Véase también Información sobre el modo FIPS en la página 473Comprobación de integridad de FIPS en la página 474Adición de un dispositivo con clave aplicada en el modo FIPS en la página 475Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página475Solución de problemas del modo FIPS en la página 478

Información sobre el modo FIPSAdición de un dispositivo con clave aplicada en el modo FIPS A


Solución de problemas del modo FIPSEs posible que surjan problemas al utilizar el ESM en el modo FIPS.

Problema Descripción y solución

No haycomunicación conel ESM

• Compruebe la pantalla LCD situada en la parte delantera del dispositivo. Siindica Fallo de FIPS, póngase en contacto con el Soporte de McAfee.

• Busque una situación de error en la interfaz HTTP; para ello, acceda a lapágina web Prueba automática de FIPS de ESM mediante un navegador.- Si aparece únicamente el dígito 0, el cual indica que el dispositivo ha falladouna prueba automática de FIPS, reinicie el dispositivo ESM para intentarcorregir el problema. Si el fallo persiste, póngase en contacto con el serviciode Soporte para obtener instrucciones adicionales.

- Si aparece únicamente el dígito 1, el problema de comunicación no se debea un fallo de FIPS. Póngase en contacto con el Soporte técnico para obtenerinstrucciones adicionales.

No haycomunicación conel dispositivo

• Si hay una marca de estado junto al dispositivo en el árbol de navegación delsistema, coloque el cursor sobre él. Si indica Fallo de FIPS, póngase en contactocon el Soporte de McAfee a través del portal de soporte.

• Siga la descripción correspondiente al problema No hay comunicación con elESM.

Error El archivo no esválido al agregar undispositivo

No se puede exportar una clave de un dispositivo no FIPS e importarla a undispositivo que funcione en el modo FIPS. De igual forma, no se puede exportaruna clave de un dispositivo FIPS e importarla a un dispositivo no FIPS. Esteerror aparece cuando se intenta cualquiera de estas dos cosas.

Véase también Información sobre el modo FIPS en la página 473Comprobación de integridad de FIPS en la página 474Adición de un dispositivo con clave aplicada en el modo FIPS en la página 475Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página475Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 476

A Información sobre el modo FIPSSolución de problemas del modo FIPS


Índice

Aacceso, otorgar a dispositivos 40

accionesagregar a DEM 160

alarmas 290

asociación 90

definir para DEM 159

orígenes de datos 90

ACEagregar un administrador de correlación de riesgos 133

calificación de correlación de riesgos, agregar 135

correlación histórica 137

motor de correlación 132

motor de correlación de riesgos 132

motores de correlación 132

resumen 14

seleccionar tipos de datos que enviar desde el ESM 132

acerca de esta guía 9activar modo FIPS 17

Active Directoryautenticación de inicio de sesión 229

configurar opciones de autenticación 235

recuperar datos 398

Active Response 378

DXL 378

formato de fecha 378

validación de datos, lista de vigilancia 378

activosadministrar 394

definir activos antiguos 397

gravedad 468

activos antiguos, definir 397

actualizacionesbuscar para reglas 21

recuperar para reglas 461

actualizarestado de dispositivos, ver directiva 455

software en varios dispositivos 35

actualizar árbol de navegación del sistema, detener 184

actualizar dispositivos 33

actualizar licencia de DEM 156

actualizar software de ESM 19

acumulación, aumentar índices disponibles 221

acumulación, indización 223

Adiscon, configurar origen de datos 98

ADMconfiguración 139

eventos 139

resumen 14

ADM, diccionarios 141

administrar 145

configurar 141

ejemplos 144, 425

hacer referencia 143

ADM, mostrar contraseñas en visor de sesión 140

ADM, reglasadministrar personalizadas 417

agregar nuevas 418

anomalías de protocolo 154, 431

aplicaciones y protocolos compatibles 416

conceptos clave 416

elementos lógicos 311

elementos lógicos, editar 421

gramática de expresiones regulares 147, 422

literales 147, 422

módulos de protocolo de correo electrónico 153, 430

módulos de protocolo de correo web 153, 430

módulos de protocolo de transferencia de archivos 153, 430

operadores 147, 422

propiedades específicas de protocolos 153, 430

protocolo DNA, anomalías en reglas de ADM 154, 431

protocolo IP, anomalías en reglas de ADM 154, 431

protocolo TCP, anomalías en reglas de ADM 154, 431

referencias métricas 151, 428

sintaxis 147, 422

tipos de términos 149, 426

administración de amenazas 405

administración de casosinformes, generar 391

panel, mostrar 227

administración de zonas 400

administrador de activos 405

administrador de correlación de riesgos, agregar 133

administrador de correlación, agregar 133

administrador de tareas 257

adquisición de datosactivar en McAfee Risk Advisor 173

McAfee Risk Advisor 172


agregaciónadministrar excepciones de eventos 328

agregar excepciones 327

configuración en dispositivo 326

definición 324

modificar configuración de reglas 466

agregar una subzona 403

agregar, tipos personalizados de tiempo 376

ajustaralarmas 298

alarmaadministrar consultas 257

lista de vigilancia, actualizar con datos de alarma 358

alarmas 283

acciones 290

activar 289, 290

agregar a regla 313

agregar lista de vigilancia a la alarma Coincidencia deevento interno 355

ajustar 298

alarmas de Threat Intelligence Exchange 174

alertas de audio 288

archivos de audio 288

casos 295

condiciones 290

confirmar 294, 295

copiar 290

correo electrónico 283

crear 283, 289, 290, 298

desactivar 289

destinatarios 287

destinatarios de mensajes 287

editar 295

eliminar 295

escalación 290

eventos de correlación 286

eventos de origen, correlación 286

fallo de alimentación 314

filtro 295

flujo de trabajo 283

gravedad 290

ID de firma del monitor de estado 300

informes 296

mensajes 184

mensajes, configurar 283

mensajes, servidor de correo 185

notificaciones, agregar destinatarios 185

panel, mostrar 227

personalizar resumen 312

plantillas 284

plantillas de mensajes 284

respuesta 294

servidor de correo, mensajes 185

SMS 283

SNMP 283

alarmas 283 (continuación)supervisar 294

syslog 283

UCAPL, crear 298

usuario asignado 290, 295

usuario asignado, cambiar 295

ver 294

alarmas activadascasos 295

confirmar 294, 295

editar 295

eliminar 295

filtro 295

usuario asignado 295

alertasescalación de alarmas 290

alertas visualesacción de alarma 290

alias, agregar 196

almacenamientoconfigurar datos de ESM 220

configurar datos de máquina virtual de ESM 220

almacenamiento de datosconfigurar ESM 220

configurar máquina virtual de ESM 220

unidad virtual local 120

almacenamiento de datos duplicado, agregar para ELM 116

almacenamiento de datos externo de ELM 117

almacenamiento de datos, agregar duplicado para ELM 116

almacenamiento de datos, duplicar para ELM 115

almacenamiento de datos, preparativos para almacenar datosen ELM 108

almacenamiento de ELM, estimar necesario 107

almacenamiento, ubicación alternativa para ELM 126

almacenar datos de ELM, preparativos 108

almacenar registros de ELM 110

Altiris, recuperar datos de servidor 398

amenazasactivar o desactivar para cálculo de riesgo 406

ver detalles 406

ampliarESM principal y redundante 258

análisis, ejecutar McAfee Vulnerability Manager 178

analizador de syslog avanzadoagregar regla personalizada 433


reglas 432

analizador de syslog avanzado, origen de datoscodificación distinta de UTF-8 95

anomalías de protocolo, TCP 454

API externaadministrar consultas 257

aplicar opciones de configuración al DEM 159

aprendizaje automático de orígenes de datos, configurar 76

Índice


árbol de navegación del sistemaactualización automática, detener 184

organizar dispositivos 28

archivadoconfiguración, definir para receptor 59

archivoconfigurar particiones inactivas 218

archivos de audioalarmas 288

cargar 288

archivos de configuración, sincronizar en DEM 157

archivos de copia de seguridad, usar 246

ArcSight, agregar origen de datos 97

asignación de almacenamiento, reducir en ELM 115

asignación de datos, definir límites 222

Asistente de consultas 367

ASNbúsqueda, realizar 365

definir configuración de dispositivo 324

ASP 432

auditoríasUCAPL, alarma 298

autenticación de ePO 171

Bbase de datos

administrar 218

administrar configuración de índice 223

estado 182

pistas de auditoría 413

pistas de auditoría, configurar regla e informe 413

servidor, agregar 166

utilización de memoria 224

base de datos de administración duplicada, sustituir para ELM127

base de datos de administración, restaurar ELM 125

base de datos, reglasagregar nuevas 418



buscar campos coincidentes alrededor de eventos 363

CCAC

agregar usuarios 234

autenticación 229

cargar certificado raíz de CA 234

configuración 233

inicio de sesión, configurar 234

calificación de correlación de riesgos 135

cambios, ver en historial de reglas 463

camuflaje 254

capa 7, retraso de extracción de eventos 181

capturas SNMPUCAPL, alarma 298

cargararchivos de audio 288

casosacción de alarma 290

agregar 383

agregar eventos a un caso existente 384

cerrar 386

crear a partir de alarma activada 295

editar 386

enviar caso seleccionado por correo electrónico 390

enviar correo electrónico al agregar o cambiar 390

estado, agregar 389

estado, agregar o editar 390

eventos de origen, ver 390

filtro 390

informes, generar 391

notificación por correo electrónico 389


ver detalles 387

ver todos 390

categoríaagregar nueva etiqueta 465

agregar nueva variable 452

editar 465

certificadofrase de contraseña, obtener para McAfee Vulnerability

Manager 178

instalar nuevo 207

certificado raíz de CA, cargar 234

certificado raíz, cargar para CAC 234

certificado, cargar raíz de CA para CAC 234

certificadosUCAPL, alarma 298

Check Point, configurar orígenes de datos 102

claveadministrar dispositivo 25

dispositivo 26

claves de comunicación, exportar y restaurar 256

cliente, orígenes de datos 81

agregar 81

localizar 83

codificación de origen de datos ASP 95

coincidencia de campocondición de alarma 290

coincidencia de evento internocondición de alarma 290

comandos remotosacción de alarma 290

escalación de alarmas 290

comparar archivos de regla 463

comparar valores en gráficos de distribución 370

compatibilidad con la retransmisión de syslog 99

compilación, ver para software 28

componentesagregar parámetros 441

Índice


componentes (continuación)ejemplo de regla 439

enlazar 272

exportar 366

imagen, agregar 344

vista 363

compresión, administración en ELM 123

compresión, establecer en ELM 123

comprobación de integridad, ver resultados 130

condición, agregar para informe 345

condicionesalarmas 290

coincidencia de campo 290

coincidencia de evento interno 290

desviación 290

frecuencia de activación 290

monitor de estado 290

tasa de comprobación 290

tasa de eventos 290

umbral 290

conexionescambiar con ESM 41

configurar para McAfee Vulnerability Manager 179

configuración de ELM 107

configuración de filtrado, editar para reenvío de eventos 335

configuración de índice, base de datos 223

configuración de mensajes 184

configuración de redIPMI, configurar puerto 198

configuración del sistemacrear copia de seguridad 243

guardar en ESM redundante 248

restaurar 243

configurar opciones avanzadas de DEM 157

confirmaralarma activada 295

confirmar automáticamenteacción de alarma 290

conmutación en caso de error de ESM redundante 250

consolaagregar dispositivo 22

cambiar aspecto 227

tiempo de espera 24

consultar informes en CSV 184

consultasadministrar 257

eliminar en ejecución 257

consultas compartidas, desactivar 250

contains, filtro 346

contraseñascambiar 227

predeterminadas 17

contraseñas en visor de sesión, mostrar 140

control del tráfico de reddispositivos 37

control del tráfico de red (continuación)ESM 201

convenciones tipográficas e iconos utilizados en esta guía 9copia de seguridad, restaurar 246

copiar y pegar reglas 455

correlación de riesgos, calificación 135

correlación histórica, ACE 137

correlación histórica, agregar filtro 137

correlación, orígenes de datos 89

correlación, reglasadministrar personalizadas 417

agregar nuevas 418



ver detallesconfiguradas para mostrar detalles 441

correo electrónicoalarmas 283

notificación de caso 389

servidor de correo, conectar 185

crearalarmas 283

crear automáticamente orígenes de datos 75

crear copia de seguridadconfiguración de ESM 244

configuración del sistema 243

ELM 124

Credenciales de autenticación de ePO 171

credenciales de ePO 171

credenciales, obtención y adición para actualización de reglas20

DDAS, asignar para almacenar datos de ELM 119

datos de evaluación de vulnerabilidades, integrar 66

datos de evaluación de vulnerabilidades, recuperar 72

datos de registro, restaurar ELM 125

datos sin procesar, archivar 58

DEMactualizar licencia 156

agregar acción 160

configuración avanzada 157

definir acciones 159

editar acción personalizada 160

establecer operación 161

identificación de usuarios 163

máscaras de datos confidenciales 162

opciones de configuración, aplicar 159

reglas 446

resumen 14

servidor de base de datos, agregar 166

sincronizar archivos de configuración 157

DEM, configuración específica 155

DEM, reglasadministrar personalizadas 417

Índice


desactivar comunicación SSH con ESM 41

desactivar dispositivo de duplicación de ELM 116

descargadas, omitir acción en reglas 467

descargareventos, flujos y registros 318

destinatariosagregar 185

mensajes de alarma 287

desviacióncondición de alarma 290

detalles de sesión, ver 351

detener dispositivos 41

detener varios dispositivos 35

DHCP, configurar 204

direcciones IP de destino, mostrar nombre de host en informes346

direcciones IP de origen, mostrar nombre de host en informes346

directivaagregar 409

aplicar cambios 470

Árbol de directivas 409

árbol de directivas, iconos 409

cambiar nombre 409

copiar 409

directiva secundaria, agregar 409

eliminar 409

exportar 409

importar 409

localizar 409

ver reglas 409

diseño, agregar para informe 341

disponibilidad alta, receptores 51

dispositivo de almacenamiento SAN, aplicar formato para datosde ELM 118

dispositivo de almacenamiento, agregar en ELM 112

dispositivo de duplicación, desactivar en ELM 116

dispositivo iSCSI, agregar para almacenamiento de ELM 117

dispositivosactualizar 33

administrar claves 25

administrar claves de comunicación SSH 27

administrar varios 35

agregar a la consola 22

agregar dispositivo 22

agregar vínculo de URL 30, 36

ASN, definir configuración 324

cambiar descripción 33

cambiar nombre 33

cambiar pantalla predeterminada 227

clave 26

compilación 28

conexión con ESM, cambiar 41

configuración de agregación 326

configurar descargas de eventos, flujos y registros 318

control del tráfico de red 37

dispositivos (continuación)datos de estado, descargar 32

desactivar orígenes de datos 227

detener 41

eliminar nodos 48

estadísticas de dispositivo 32

geolocalización, definir configuración 324

ID de equipo 28

informe de recuento 182

informes de resumen 34

iniciar 41

IPMI, configurar puerto 198

modelo 28

nodo de grupo, eliminar 48

número de serie 28

organizar 23, 28, 46

otorgar acceso 40

registro de mensajes 32

reiniciar 41

servidores NTP 187

sincronizar con ESM 38

sincronizar relojes 207

supervisar tráfico 40

ver información general 28

ver registro 34

versión 28

dispositivos ePOconsulta en el panel de Real Time for McAfee ePO 177

consultar para enriquecimiento de datos 177

consultas sobre informes o vistas 176

dispositivos virtuales 42

agregar a dispositivo 45

reglas de selección, administrar 44

documentaciónconvenciones tipográficas e iconos 9destinatarios de esta guía 9específica de producto, buscar 10

duplicados, eliminar nodos de dispositivo 48

duplicar almacenamiento de datos de ELM 115

Eeditor de directivas

modo de sobresuscripción, configurar 454

ver estado de actualización de dispositivos 455

Editor de directivashistorial de cambios 469

ejecutarePolicy Orchestrator desde ESM 170

elementos lógicos para reglas de correlación, base de datos yADM 311


eliminada, agregar o eliminar entrada eliminada en McAfeeNetwork Security Manager 180

eliminaralarma activada 295

Índice


eliminar (continuación)reglas personalizadas 455

ELMagregar almacenamiento de datos duplicado 116

agregar dispositivo de almacenamiento 112

agregar dispositivo iSCSI para almacenamiento 117

almacenamiento de datos duplicado, agregar 116

almacenamiento de datos externo 117

almacenar registros 110

aplicar formato a dispositivo SAN para almacenar datos 118

asignación de almacenamiento, reducir 115

base de datos de administración duplicada, sustituir 127

base de datos de administración, restaurar 125

búsqueda mejorada 362

compresión 123

compresión, establecer 123

comprobación de integridad, ver resultados 130

configurar comunicación 38

consultar con expresiones regulares 131

crear copia de seguridad 124

datos de registro, restaurar 125

definir ubicación de almacenamiento alternativa 126

desactivar dispositivo de duplicación 116

dispositivo DAS para almacenar datos de ELM 119

duplicar almacenamiento de datos 115

grupo de almacenamiento duplicado, reconstruir 116

grupo de almacenamiento, agregar o editar 113

migrar base de datos 127

mover grupo de almacenamiento 114

preparativos para almacenar datos 108

recuperar datos 128

restaurar 124

resumen 14

sincronizar con dispositivo 38

trabajo de búsqueda 128

trabajo de búsqueda, crear 128

trabajo de búsqueda, ver resultados 130

trabajo de comprobación de integridad 128

trabajo de comprobación de integridad, crear 128

uso de almacenamiento, ver 126

vista de búsqueda 361

enlazar componentesvincular componentes 272

enmascarar direcciones IP 254

enriquecimiento de datos 261

Active Responseagregar origen de enriquecimiento de datos 381

agregar orígenes 261

consultar dispositivos ePO 177

resultados de búsqueda de Active Response 381

ePOagregar credenciales de autenticación 171

transmisión de eventos, vista 50

ePolicy Orchestratoradquisición de datos de McAfee Risk Advisor, activar 173

ePolicy Orchestrator (continuación)configuración 170

ejecutar desde ESM 170

etiquetas, asignar a dirección IP 172

error de registro de seguridadUCAPL, alarma 298

errores de carga manual, fuente de Cyber Threatsolución de problemas

carga manual de un archivo IOC STIX XML 279

errores de inicio de sesiónUCAPL, alarma 298

escalaciónalarmas 290

ESMactualizar software 19

administrar 251

almacenamiento de datos, configurar 220

ampliar principal y redundante 258

archivos de copia de seguridad 246

control del tráfico de red 201

copia de seguridad de la configuración 244

ESM redundante 244

funciones de seguridad 229

hora no sincronizada con origen de datos 314

IPMI, configurar puerto 198

no sincronizado con origen de datos 315

redundante, funcionamiento 248

registro, configurar 255

reglas 448

restaurar configuración 245

resumen 14

sincronizar con dispositivo 38

sustituir redundante 249

ver información del sistema 182

ESM distribuidoagregar filtros 169

propiedades 169

ESM principal, ampliar 258

ESM redundanteampliar 258

cómo funciona 248

configurar 244

guardar configuración 248

sustituir 249

ESM, redundanciaconmutación en caso de error 250

estadísticas, ver en dispositivo 32

estadodispositivos, ver actualización de directivas 455

estado de casos, agregar 389

estado de dispositivo, descargar datos 32

estado de regla actualizado, borrar 462

estado del sistemaUCAPL, alarma 298

Índice


etiqueta de ePOacción de alarma 290

etiquetar, ePO 171

etiquetasagregar nuevas 465

asignar a reglas o activos 465

asignar de ePolicy Orchestrator a dirección IP 172

categoría, agregar ahora 465

editar existentes 465

eliminar personalizadas 465

gravedad 468

personalizadas, eliminar 465

Event Receiverconfigurar opciones 50

resumen 14

evento de correlación, ver eventos de origen 61

eventosadministrar excepciones de agregación 328

agregar a un caso 384

buscar campos coincidentes alrededor 363

comprobar 323

configurar descargas 318

crear caso para rastrear 384

descripción 317

detalles de sesión, ver 351


establecer umbral de inactividad 320

ponderaciones de gravedad, configurar 469

recuperar 321

registro, administrar tipos de eventos 252

registros, establecer idioma 21

ver hora exacta 354

eventos de correlaciónalarmas, eventos de origen 286

eventos de origen, alarmas 286

eventos de correlación histórica, descargar 138

eventos de metadatos 139

eventos de origenalarmas, correlación 286

correlación, alarmas 286

eventos de origen, ver para evento de correlación 61

eventos de transmisión para receptor, NSM y ePO 50

eventos, flujos y registroslimitar tiempo de recopilación 320

excepciones a la configuración de agregación, agregar 327

exportarclaves de comunicación 256

componente 366

reglas 459

exportar e importararchivo .exk 476

archivo .puk 476

exportar zonas 401

expresiones regulares, usar para consultas en el ELM 131

extensiones de archivo de archivos de exportación 475

Ffallo de alimentación

alarmas 314

fecha, cambiar formato 227

filtro contains 346

filtrosagregar al ESM distribuido 169

agregar reglas 449

alarma activada 295

reglas existentes 459

tipos personalizados 373

UCF 378

vistas 351

Windows, ID de evento 378

filtros, reenvío de eventos 334

filtrosID normalizado, seleccionar 353

FIPS, mododispositivo con clave aplicada, agregar 475

extensiones de archivo 475

terminología 475

firma, ver para reglas 461

flujo de trabajo, rastrear 384

flujoscomprobar 323


descripción 317

establecer umbral de inactividad 320

recuperar 321

vistas 361

formato de evento común, orígenes de datos 97

frase de contraseña y certificado, obtener para McAfeeVulnerability Manager 178

frecuencia de activacióncondición de alarma 290

fuente de Cyber Threaterrores de carga manual 279

fuentes de Cyber Threat 277

fuentes de Internetcrear listas de vigilancia 359

funciones administrativasUCAPL, alarma 298

funciones de seguridad 229

Ggeolocalización, definir configuración del dispositivo 324

Global Threat Intelligence, lista de vigilancia 359

gráfico de distribución, comparar valores 370

gramática de expresiones regulares para reglas de ADM 147,422

gravedadalarmas 290

asociación 90



ponderaciones 468

Índice


gravedad (continuación)ponderaciones, configurar 469

gravedad de riesgoadministración del riesgoadministrar 405

vistas, personalizadas y predefinidas 405

grupo de almacenamiento duplicado, reconstruir 116

grupo de almacenamiento, agregar dispositivo dealmacenamiento para vincular 112

grupo de almacenamiento, agregar o editar 113

grupo de almacenamiento, mover 114

grupo de almacenamiento, reconstruir duplicado 116

grupo de dispositivos, administrar 47

grupo de nombre/valor, agregar tipo personalizado 377

grupo de registro predeterminado, establecer 39

grupo de reglas 103

Grupo Hogar, desactivar uso compartido de archivos 111

gruposconfigurar usuarios 238

usuarios 225

grupos de reglas de McAfee 103

GTI, lista de vigilancia 359

HHadoop PIG 266

hardware 182

historialcambios de directiva 469

ver cambios de reglas 463

hora del dispositivover para un evento 354

hora del eventover 354

hora del sistema, sincronizar 205, 206

hora no sincronizada entre el ESM y el origen de datos 314, 315

IIBM ISS, origen de datos SiteProtector 101

ID de cliente 182

ID de equipo, ver para dispositivo 28

ID de firma del monitor de estado 301

alarmas 300

ID normalizadoseleccionar 353

identificación de usuariosadministrar 163

agregar regla 164

idioma, establecer para registros de eventos 21

imágenesagregar a página de inicio de sesión 18

incluir en PDF e informes 344

importararchivo de normalización de cadenas 373

lista de orígenes de datos 83

reglas 457

variable 452

importar configuración de zonas 402

importar, nombres de host 204

inactivas, configurar archivo para particiones 218

indicadores de compromiso (IOC) 277

índices de acumulación, aumentar disponibles 221

indización de acumulación, administrar 223

informeadministrar consultas 257

informe de hora de evento 182

informesacción de alarma 290

administración de casos, generar 391

agregar 338

agregar condición 345

alarmas 296

cancelar 296

cola 296

componentes, agregar una imagen 344


definidos por el usuario 337

descargar 296

detener 296

diseño 341

eliminar 296


hora de evento 182

imagen, agregar 344

incluir imagen 344

mostrar nombres de host 346

notificaciones, agregar destinatarios 185

predefinidos 337

recuento de tipos de dispositivos 182

resumen de dispositivos 34

trimestrales, establecer mes de inicio 338

iniciar dispositivos 41

iniciar sesiónconsola, primera vez 17

definir configuración 229

lista de control de acceso 232

seguridad 228

iniciar varios dispositivos 35

intercambiar funciones de receptores de disponibilidad alta 57

interfazadministrar red 194

configuración de red 194

IPdirección, asignar etiquetas de ePolicy Orchestrator 172

IPMI, configurar puerto en ESM o dispositivos 198

IPMI, configurar puerto en la red 198

IPv6configurar receptor de disponibilidad alta 55

Jjerarquía de ESM, enmascarar datos 254

Índice


LLDAP

autenticación de inicio de sesión 229

servidor, autenticar usuarios 238

lectura de final de archivos, método de recopilación de orígenesde datos 87

licencia, actualizar en DEM 156

límites de asignación de datos, definir 222

límites de retención de datos, configurar 221

límites, configurar para retención de datos 221

lista de control de acceso, configurar 232

lista de vigilanciaactualizar con datos de alarma 358

administrar consultas 257

agregar 355

agregar reglas 465

crear nueva 464

descripción general 355

GTI 359

lista de vigilancia de Threat Intelligence Exchange 174

lista negraagregar entrada de McAfee Network Security Manager 180

configurar global 259

entrada, agregar o eliminar eliminada en McAfee NetworkSecurity Manager 180

global 259

lista negra global 259

configurar 259

listas de vigilanciaacción de alarma 290

Active Responseagregar lista de vigilancia 382

fuentes de Internet 359

resultados de búsqueda de Active Response 382

listas negrasacción de alarma 290

literales para reglas de ADM 147, 422

logotipo, agregar a página de inicio de sesión 18

Mmantenimiento de archivos, administrar 247

máquina virtual, configurar almacenamiento de datos 220

máscaras de datos confidenciales 162

administrar 162

McAfee ePOcredenciales, configurar para usuarios 237

McAfee ePO, orígenes de datos 100

McAfee Network Security Manageragregar o eliminar 180

configuración 179

entrada de lista negra eliminada 180

entrada de lista negra, agregar 180

McAfee Risk Advisoradquisición de datos 172

adquisición de datos, activar 173

McAfee ServicePortal, acceso 10

McAfee Vulnerability Managercertificado y frase de contraseña, obtener 178

conexiones, configurar 179

configuración 178

ejecutar análisis 178

McAfee, MIB 214

mejorada, búsqueda de ELM 362

memoria, utilización en base de datos 224

mensaje de syslogUCAPL, alarma 298

mensajesacción de alarma 290

alarmas 184

alarmas, configurar 283

alarmas, destinatarios 287

alarmas, servidor de correo 185

correo electrónico 283

destinatarios, alarmas 287


plantillas de alarma 284

servidor de correo, conectar 185

SMS 283

SNMP 283

syslog 283

MIBextraer de ESM 217

MIB de McAfee 214

migración de base de datosunidad virtual local 120

migrar la base de datos, ELM 127

migrar orígenes de datos a otro receptor 85

modelo, ver para dispositivo 28

modificar reglas 455

modo de sobresuscripción, configurar 454

modo FIPScomprobar integridad 474

comunicar con varios dispositivos ESM 476

copia de seguridad de información 475

funciones disponibles no conformes 473

funciones eliminadas 473

funciones solo disponibles en el modo FIPS 473

restaurar información 475

solucionar problemas 478

módulos de protocolo de correo electrónico para reglas de ADM153, 430

módulos de protocolo de correo web para reglas de ADM 153,430

módulos de protocolo de transferencia de archivos para reglasde ADM 153, 430

monitor de estadocondición de alarma 290

ID de firma 301

motor de correlación de riesgos, ACE 132

motor de correlación, ACE 132

mover grupo de almacenamiento 114

Índice


mover orígenes de datos a otro sistema 85

Nnodos de dispositivo duplicados, eliminar 48

nombre/valor, tipos personalizados 377

nombres de hostadministrar 202, 203

nombres de host, importar lista 204

nombres de host, mostrar en informes 346

normalización 414

normalización de cadenasadministrar archivos 372

crear archivo que importar 373

notificación de fallos de alimentación 213

notificación, configurar SNMP 38

NSMcapa 7 181

herramienta de configuración de NSM-SIEM 100


número de seriesistema 182

ver para dispositivo 28

Oomitir acción en reglas descargadas 467

opciones de configuración, aplicar al DEM 159

operación, establecer para DEM 161

operadores para reglas de ADM 147, 422

origen de datosno sincronizado con ESM 315

origen de evaluación de vulnerabilidades, agregar 68

orígenes de activos 397

administrar 398

agregar receptor 104

receptor 104


administrar 65

agregar 62

agregar para ArcSight 97

agregar secundarios 80

analizador de syslog avanzado 91

aprendizaje automático, configurar 76

asociación de gravedades y acciones 90

ASP, codificación 95

Check Point, configurar 102

cliente 81

cliente, agregar 81

cliente, localizar 83

codificación para ASP 95

compatibilidad con la retransmisión de syslog 99

configuración de Adiscon 98

correlación 89

crear automáticamente 75

formato de evento común 97

orígenes de datos 62 (continuación)hora no sincronizada con ESM 314

importar lista 83

McAfee ePO 100

método de recopilación de lectura de final de archivos 87

método de recopilación, leer final de archivo 87

migrar a otro receptor 85

mostrar desactivados 227

mover a otro sistema 85

registros de seguridad de Windows 89

reglas de creación automática, agregar 75

Security Device Event Exchange (SDEE) 96

SiteProtector de IBM ISS 101

WMI Event Log 88

orígenes de datos secundarios, agregar 80

orígenes de datos, acciones de reglas 445

orígenes, agregar para enriquecimiento de datos 261

Ppágina de inicio de sesión, personalizar 18

pantalla personalizada, agregar, editar, eliminar 23, 46

pantalla, seleccionar tipo 23

parámetros, agregar a componente o regla de correlación 441

particiones inactivas, configurar archivo 218

PDF, incluir imagen 344

perfil de comando remoto, configurar 208

perfil de sistema de evaluación de vulnerabilidades, definir 67

perfiles, configurar 208

personalizadosfiltros de tipos 373


plantillas, mensajes de alarma 284

ponderaciones, configurar para gravedad 469

predefinidas, vistas 270

propiedades específicas de protocolos para reglas de ADM 153,430

protocoloeventos de anomalía 139

protocolo DNA, anomalías en reglas de ADM 154, 431

protocolo IP, anomalías en reglas de ADM 154, 431

protocolo TCP, anomalías en reglas de ADM 154, 431

proveedores de evaluación de vulnerabilidades disponibles enESM 73

RRADIUS

autenticación de inicio de sesión 229

configuración de autenticación 232

rastrear un evento 384

Real Time for McAfee ePOconsulta en el panel de ePO 177

ejecutar acciones 174

receptororigen de activos, agregar 104


Índice


receptor de disponibilidad alta 51

configurar con IPv6 55

configurar dispositivos 54

intercambiar funciones 57

reinicializar dispositivo secundario 54

solucionar problemas si falla 58

sustituir receptor 57

receptor de disponibilidad alta secundario, reinicializar 54

receptoresarchivar datos sin procesar 58

configuración de archivado, definir 59

orígenes de activos 104


reconstruir grupo de almacenamiento duplicado 116

recopiladorSIEM Collector 66

recuperación de evaluación de vulnerabilidades, solucionarproblemas 73

recuperar actualizaciones de reglas 461

redadministrar interfaces 194

configurar opciones 189

interfaces, configurar en dispositivos 194

reducir asignación de almacenamiento en ELM 115

redundancia de ELMcambiar ELM 121

suspender la comunicación con el ELM en esperadesactivar la redundancia 121

ver detalles sobre la sincronización de datos 121

volver a poner el ELM en espera en servicio 121

redundancia, conmutación en caso de error 250

reenvío de eventosactivar o desactivar 333

agentes 333

agregar destinos 330

agregar filtros 334

configurar 329

editar configuración de filtrado 335

modificar configuración 334

referencia, diccionario de ADM 143

referencias métricasADM, reglas 151, 428

registrar eventoacción de alarma 290

registroconfigurar ESM 255

establecer grupo predeterminado 39

ver de sistema o dispositivo 34

registro de mensajes, ver en dispositivo 32

registro del sistema, ver 34

registrosadministrar 252

comprobar 323


descripción 317

registros (continuación)establecer idioma 21

registros de seguridad de Windows 89

registros, almacenar en ELM 110

regla de rastreo de transacciones, agregar o editar 450

regla de selección para dispositivos virtuales, administrar 44

reglasactivar eventos 139

agregar a lista de vigilancia 465

agregar alarma 313

analizador de syslog avanzado 432

borrar estado de regla actualizado 462

buscar actualizaciones 21

comparar archivos 463

copiar y pegar 455

credenciales de actualización 20


eventos de Windows 454

exportar 459

filtrar existentes 459

gravedad 468

historial, ver cambios 463

importar 457

modificar 455

modificar configuración de agregación 466

normalización 414

omitir acción en descargadas 467

origen de datos 444

rastreo de transacciones, agregar o editar 450

recuperar actualizaciones 461

tipos y propiedades 414

variables 451

ver firma 461

ver personalizadas 455

reglas de acceso a datos, agregar o editar 444

reglas de ASPestablecer orden 433

formatos de hora, agregar 434

reglas de ASP personalizadas, agregar 433

reglas de correlación 438

agregar parámetros 441

conflictos al importar 458

ejemplo 439

reglas de Threat Intelligence Exchange 174

reglas de creación automática de orígenes de datos, agregar 75

reglas de filtradoestablecer orden 433

orden de las reglas 449

orden de los datos 449

reglas de origen de datos 444

aprendizaje automático, administrar 445

reglas de origen de datos de aprendizaje automático,administrar 445

reglas personalizadasver 455

Índice


reinicializar receptor de disponibilidad alta secundario 54

reiniciar dispositivos 41

reiniciar varios dispositivos 35

reloj de dispositivos, sincronizar 207

reloj del sistema 182

Remedyacción de alarma 290

configuración del servidor 183

ID de caso, agregar al registro de evento 365

responderalarmas 294

restaurarclaves de comunicación 256

configuración del sistema 243

restaurar archivos de configuración con copia de seguridad 246

restaurar configuración de ESM 245

restaurar ELM mediante copias de seguridad 124

resultados de búsquedas de Active Responseanexar datos a una lista de vigilancia 380

buscar en datos resultantes 380

crear lista de vigilancia 380

exportar datos 380

retención de datos, configurar límites 221

riesgoamenazas que incluir en el cálculo 406

rutas estáticas, agregar 197

SSDEE, orígenes de datos 96

secuestro de sesiones, TCP 454

seguridad, claves de comunicación SSH 27

ServicePortal, buscar documentación del producto 10

servidor de correo,alarmas, conectar 185

conectar 185

servidores NTPestablecer para dispositivo 187

ver estado 188

sesióncerrar en la consola 17

sesiones simultáneasUCAPL, alarma 298

sincronización de hora 206

sincronizar dispositivorelojes 207

sincronizar dispositivo con ESM 38

sincronizar hora del sistema 205

SMSalarmas 283

SNMPalarmas 283

configuración 210

configurar notificaciones 38

MIB 214

notificación de fallos de alimentación 213

softwareactualizar en varios dispositivos 35

software, actualizar ESM 19

solución de problemasfallo de receptor de disponibilidad alta 58

solucionar problemas del modo FIPS 478

soporte técnico, encontrar información de productos 10

SSHclaves de comunicación, administrar para dispositivos 27

comunicación, desactivar con ESM 41

regenerar clave 256

STIX, tipos de indicadores compatibles 278

subzonasagregar 403

supervisaralarmas 294

supervisar tráfico de dispositivo 40

sustituir receptor con problemas 57

sustituir receptor de disponibilidad alta 57

syslogalarmas 283

Ttasa de comprobación

condición de alarma 290

tasa de eventoscondición de alarma 290

TCPanomalías de protocolo 454

secuestro de sesiones 454

Threat Intelligence Exchangeintegración con ESM

historial de ejecución 174

tiempo de espera, consola 24

tipo de pantalla de dispositivos, seleccionar 23

tipo de pantalla predeterminada, cambiar 227

tipo personalizadoagregar grupo de nombre/valor 377

tipos de indicadores, compatibles 278

tipos de reglas 414

tipos de términos para reglas de ADM 149, 426

tipos personalizadoscrear 375

de tiempo, agregar 376

nombre/valor 377

predefinidos 376

trabajo de búsqueda 128

trabajo de búsqueda, crear 128

trabajo de búsqueda, ver resultados 130

trabajo de comprobación de integridad 128

crear 128

trimestrales, establecer mes de inicio de informes 338

Índice


UUCAPL

alarmas, crear 298

auditorías, alarma 298

capturas SNMP, alarma 298

certificados, alarma 298

error de registro de seguridad, alarma 298

errores de inicio de sesión, alarma 298

estado del sistema, alarma 298

funciones administrativas, alarma 298

mensaje de syslog, alarma 298

sesiones simultáneas, alarma 298

umbral de inactividad, alarma 298

UCF, filtros 378

umbralcondición de alarma 290

umbral de inactividadUCAPL, alarma 298

umbral de inactividad, establecer 320

unidad virtual local 120

uso compartido de archivos en el Grupo Hogar, desactivar 111

uso de almacenamiento, ver en ELM 126

usuario asignadoescalación de alarmas 290

usuariosagregar 226

agregar inicio de sesión CAC 234

autenticar mediante servidor LDAP 238

desactivar 237

nombre predeterminado 17

reactivar 237

uso 225

Vvariables 451

categoría, agregar ahora 452


importar 452

modificar 452

modificar tipo 452

personalizadas, agregar 452

varios dispositivosadministrar 35

veradministrar consultas 257

versión, ver para software 28

vínculo de URLagregar información de dispositivo 30

vínculos de URLagregar a dispositivo 36

virtual, unidad local 120

visor de sesión, ver contraseñas 140

vista predeterminada, cambiar 372

vistasadministrar 350

agregar personalizadas 271

búsqueda de ELM mejorada 361

cambiar predeterminada 372

componentes 363


datos de una vista 352

filtrar 351

filtros 352

flujo 361

nombres de host, mostrar en lugar de direcciones IP 271

predefinidas 270

vistas de fábrica 270

VLANagregar 196

volcado de TCP 40

vulnerabilidadadministrar orígenes 399

evaluación 399

gravedad 468

WWHOIS

búsqueda, realizar 365

WindowsID de evento, filtros 378

reglas de eventos 454

WMI Event Log 88

Zzona horaria

formato, cambiar 227

zonasadministrar 400

agregar 401

agregar una subzona 403

exportar configuración 401

importar configuración de zonas 402

Índice


mcafee enterprise security manager 10.0.0 guía del … · eliminación de un esm...

Documents