Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
INFORMACIÓN DE LICENCIA
Acuerdo de licencia
AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA
LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO,
CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA
QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN
ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO
ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O
AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.
Prefacio 9
Acerca de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Búsqueda de documentación de productos . . . . . . . . . . . . . . . . . . . . . . . 10
Búsqueda de información localizada . . . . . . . . . . . . . . . . . . . . . . . 10
Preguntas más frecuentes . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1 Introducción 13
Cómo funciona McAfee Enterprise Security Manager . . . . . . . . . . . . . . . . . . . . 13
Los dispositivos y sus funciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Uso de la Ayuda de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Preguntas más frecuentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Búsqueda de información localizada . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2 Primeros pasos 19
Requisitos de hardware y software . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Acerca del modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Información sobre el modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . 21
Selección del modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Comprobación de integridad de FIPS . . . . . . . . . . . . . . . . . . . . . . . 22
Adición de un dispositivo con clave aplicada en el modo FIPS . . . . . . . . . . . . . 24
Solución de problemas del modo FIPS . . . . . . . . . . . . . . . . . . . . . . 27
Configuración evaluada según los Criterios comunes . . . . . . . . . . . . . . . . . . . 28
Inicio y cierre de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Personalización de la página de inicio de sesión . . . . . . . . . . . . . . . . . . . . . 30
Actualización del software de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Obtención y adición de credenciales de actualización de reglas . . . . . . . . . . . . . . . 32
Comprobación de la existencia de actualizaciones de reglas . . . . . . . . . . . . . . . . . 32
Cambio de idioma de los registros de eventos . . . . . . . . . . . . . . . . . . . . . . 33
Conexión de los dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Adición de dispositivos a la consola de ESM . . . . . . . . . . . . . . . . . . . . 34
Selección de un tipo de pantalla . . . . . . . . . . . . . . . . . . . . . . . . . 35
Administración de tipos de pantallas personalizadas . . . . . . . . . . . . . . . . . 35
Preferencias de la consola . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
La consola de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Uso del tema de color de la consola . . . . . . . . . . . . . . . . . . . . . . . 38
Selección de las opciones de visualización de la consola . . . . . . . . . . . . . . . 39
Establecimiento del valor de tiempo de espera de la consola . . . . . . . . . . . . . 40
Índice 577
Esta guía le proporcionará toda la información que necesita para trabajar con su producto McAfee.
Contenido
Acerca de esta guía
Búsqueda de documentación de productos
Destinatarios
La documentación de McAfee se recopila y se redacta meticulosamente para el público al que va
destinada.
La información de esta guía está dirigida principalmente a:
• Usuarios: personas que usan el equipo en el que se está ejecutando el software y que pueden
acceder a todas o algunas de sus funciones.
Convenciones
En esta guía se utilizan los siguientes iconos y convenciones tipográficas.
Procedimiento
1 Vaya al portal ServicePortal en https://support.mcafee.com y haga clic en la ficha Centro de conocimiento.
2 En el panel Base de conocimiento, bajo Origen de contenido, haga clic en Documentación de productos.
3 Seleccione un producto y una versión, y haga clic en Buscar para ver una lista de documentos.
Procedimientos
• Búsqueda de información localizada en la página 10
Se proporcionan notas de la versión, Ayuda online, guía del producto y guía de instalación
de McAfee ESM localizadas (traducidas) en los idiomas siguientes:
• Preguntas más frecuentes en la página 11
A continuación se incluyen las respuestas a las preguntas más frecuentes.
• Francés • Español
• Alemán
4 Haga clic en el icono de Ayuda, situado en la esquina superior derecha de las ventanas del ESM, o
bien seleccione el menú Ayuda. La Ayuda aparecerá en el idioma seleccionado.
Si la Ayuda aparece solo en inglés, significa que la versión localizada no está disponible aún. La
Ayuda localizada se instalará mediante una actualización futura.
• Versión: 9.6.0
4 En la página con el icono de PDF, desplácese hacia abajo hasta que vea los vínculos de idioma en la
parte derecha. Haga clic en el idioma relevante.
5 Haga clic en el vínculo de PDF para abrir la versión localizada del documento del producto.
Véase también
Uso de la Ayuda de ESM en la página 15
• Para obtener información sobre los paquetes de contenido, lea el artículo de la base de
conocimiento en el Centro de conocimiento.
®
McAfee Enterprise Security Manager (McAfee ESM) permite a los profesionales de la seguridad y la
conformidad recopilar, almacenar y analizar los riesgos y las amenazas, así como actuar sobre ellos,
desde una única ubicación.
Contenido
Cómo funciona McAfee Enterprise Security Manager
Los dispositivos y sus funciones
Uso de la Ayuda de ESM
Preguntas más frecuentes
Búsqueda de información localizada
• Adquisición de datos: dispositivos que proporcionan las interfaces y servicios que adquieren
datos del entorno de red del usuario. Nitro Intrusion Prevention System (IPS), Event Receiver
(receptor), Application Data Monitor (ADM) y Database Event Monitor (DEM) se encargan de estas
funciones.
Todas las funciones de comando, control y comunicación entre los componentes se coordinan a través
de canales de comunicación seguros.
Véase también
Configuración de Event Receiver en la página 78
Configuración de Enterprise Log Manager (ELM) en la página 151
Configuración de Application Data Monitor (ADM) en la página 184
Configuración de Database Event Monitor (DEM) en la página 201
Configuración de Advanced Correlation Engine (ACE) en la página 177
Configuración del ESM distribuido (DESM) en la página 215
Configuración de ePolicy Orchestrator en la página 216
Configuración de Nitro Intrusion Prevention System (Nitro IPS) en la página 224
Procedimiento
1 Para abrir la Ayuda de ESM, realice una de estas acciones:
• Seleccione la opción de menú Ayuda | Contenido de la Ayuda.
• Haga clic en el signo de interrogación situado en la parte superior derecha de las pantallas de
ESM para buscar ayuda contextual específica de cada pantalla.
2 En la ventana de la Ayuda:
• Utilice el campo Buscar para localizar cualquier palabra en la Ayuda. Los resultados aparecerán
debajo del campo Buscar. Haga clic en el vínculo relevante para ver el tema de la Ayuda en el
panel de la derecha.
• Use la ficha Contenido (tabla de contenido) para ver una lista secuencial de los temas de la
Ayuda.
• Use el Índice para localizar un término concreto en la Ayuda. Las palabras clave están
organizadas alfabéticamente para poder desplazarse por la lista hasta llegar a la palabra clave
deseada. Haga clic en la palabra clave para mostrar el tema de la Ayuda correspondiente.
• Para imprimir el tema actual de la Ayuda (sin barras de desplazamiento), haga clic en el icono
de la impresora, situado en la parte superior derecha del tema de la Ayuda.
• Para localizar los vínculos a los temas relacionados de la Ayuda, desplácese hasta la parte
inferior del tema de la Ayuda.
Véase también
Búsqueda de información localizada en la página 10
¿Cómo se obtiene información sobre los cambios y las adiciones relacionados con los
orígenes de datos, los tipos personalizados, las reglas y los paquetes de contenido?
• Inicie sesión en el Centro de conocimiento y suscríbase al artículo KB75608. Recibirá
notificaciones cuando el artículo sufra modificaciones.
• Para obtener información sobre los paquetes de contenido, lea el artículo de la base de
conocimiento en el Centro de conocimiento.
• Francés • Español
• Alemán
4 Haga clic en el icono de Ayuda, situado en la esquina superior derecha de las ventanas del ESM, o
bien seleccione el menú Ayuda. La Ayuda aparecerá en el idioma seleccionado.
Si la Ayuda aparece solo en inglés, significa que la versión localizada no está disponible aún. La
Ayuda localizada se instalará mediante una actualización futura.
• Versión: 9.6.0
4 En la página con el icono de PDF, desplácese hacia abajo hasta que vea los vínculos de idioma en la
parte derecha. Haga clic en el idioma relevante.
5 Haga clic en el vínculo de PDF para abrir la versión localizada del documento del producto.
Véase también
Uso de la Ayuda de ESM en la página 15
Contenido
Requisitos de hardware y software
Acerca del modo FIPS
Configuración evaluada según los Criterios comunes
Inicio y cierre de sesión
Personalización de la página de inicio de sesión
Actualización del software de ESM
Obtención y adición de credenciales de actualización de reglas
Comprobación de la existencia de actualizaciones de reglas
Cambio de idioma de los registros de eventos
Conexión de los dispositivos
Preferencias de la consola
• RAM: 1,5 GB
• Sistema operativo Windows: Windows 2000, Windows XP, Windows 2003 Server, Windows Vista,
Windows 2008 Server, Windows Server 2012, Windows 7, Windows 8, Windows 8.1
Las funciones de ESM emplean ventanas emergentes al cargar o descargar archivos. Desactive el
bloqueador de ventanas emergentes para las direcciones IP o el nombre de host de su ESM.
• Aprovisionamiento grueso o fino: debe decidir los requisitos de disco duro necesarios para su
servidor. El requisito mínimo es de 250 GB, a menos que la máquina virtual adquirida cuente con
más. Consulte las especificaciones correspondientes a su máquina virtual.
La máquina virtual de ENMELM hace uso de diversas funciones que requieren CPU y RAM. Si el entorno
ESXi comparte los requisitos de CPU/RAM con otras máquinas virtuales, el rendimiento de la máquina
virtual ENMELM se verá afectado. Asegúrese de incluir la capacidad de CPU y RAM necesaria de
acuerdo con los requisitos.
El modo FIPS se debe seleccionar la primera vez que se inicia sesión en el sistema y no es posible
cambiarlo posteriormente.
Véase también
Información sobre el modo FIPS en la página 21
Contenido
Información sobre el modo FIPS
Selección del modo FIPS
Comprobación de integridad de FIPS
Adición de un dispositivo con clave aplicada en el modo FIPS
Solución de problemas del modo FIPS
Estado de Descripción
función
Funciones • Receptores de disponibilidad alta.
eliminadas
• Terminal de interfaz gráfica de usuario.
• Capacidad de comunicación con el dispositivo mediante el protocolo SSH.
• En la consola del dispositivo, el shell raíz se sustituye por un menú de
administración de dispositivos.
Funciones solo • Existen cuatro funciones de usuario que no coinciden parcialmente: Usuario, Usuario
disponibles en el avanzado, Administrador de auditorías y Administrador de claves y certificados.
modo FIPS
• Todas las páginas de Propiedades cuentan con una opción Prueba automática de FIPS que
permite verificar si el sistema funciona correctamente en el modo FIPS.
• Si se produce un error de FIPS, se agrega un indicador de estado al árbol de
navegación del sistema para reflejar este fallo.
• Todas las páginas de Propiedades tienen una opción Ver que, al hacer clic en ella, abre
la página Token de identidad de FIPS. Esta página muestra un valor que se debe
comparar con el valor mostrado en las secciones del documento mencionadas para
asegurarse de que no hay riesgos en relación con FIPS.
• En Propiedades del sistema | Usuarios y grupos | Privilegios | Editar grupo, la página incluye el
privilegio Prueba automática de cifrado FIPS, que otorga a los miembros del grupo la
autorización para ejecutar pruebas automáticas de FIPS.
• Al hacer clic en Importar clave o Exportar clave en Propiedades de IPS | Administración de claves,
es necesario seleccionar el tipo de clave que se desea importar o exportar.
• En el Asistente de adición de dispositivos, el protocolo TCP siempre está establecido en el
puerto 22. El puerto SSH se puede cambiar.
Véase también
Selección del modo FIPS en la página 21
Comprobación de integridad de FIPS en la página 22
Adición de un dispositivo con clave aplicada en el modo FIPS en la página 24
Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página
24
Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 25
Solución de problemas del modo FIPS en la página 27
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
La advertencia de Activar FIPS mostrará información para solicitar confirmación de que desea que el
sistema funcione en el modo FIPS de forma permanente.
Véase también
Información sobre el modo FIPS en la página 21
Comprobación de integridad de FIPS en la página 22
Adición de un dispositivo con clave aplicada en el modo FIPS en la página 24
Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página
24
Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 25
Solución de problemas del modo FIPS en la página 27
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de que esté
seleccionada la opción Información del sistema.
Ver o Abra la página Token de identidad de FIPS para realizar las pruebas de encendido de integridad del software.
Identidad de Compare el valor siguiente con la clave pública que aparece en esta página:
FIPS
Si este valor y la clave pública no coinciden, la seguridad de FIPS se ha visto comprometida. Póngase en
contacto con el Soporte de McAfee.
Véase también
Información sobre el modo FIPS en la página 21
Selección del modo FIPS en la página 21
Adición de un dispositivo con clave aplicada en el modo FIPS en la página 24
Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página
24
Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 25
Solución de problemas del modo FIPS en la página 27
Terminología
• Clave de dispositivo: contiene los derechos de administración que tiene un ESM para un dispositivo; no
se emplea con fines criptográficos.
• Clave pública: la clave de comunicación SSH pública del ESM, que se almacena en la tabla de claves
autorizadas de un dispositivo.
• Clave privada: la clave de comunicación SSH privada del ESM, utilizada por el ejecutable de SSH en
un ESM a fin de establecer la conexión SSH con un dispositivo.
Véase también
Información sobre el modo FIPS en la página 21
Selección del modo FIPS en la página 21
Comprobación de integridad de FIPS en la página 22
Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página
24
Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 25
Solución de problemas del modo FIPS en la página 27
La clave privada del ESM principal es utilizada por el ESM secundario para establecer comunicación con
el dispositivo inicialmente. Una vez establecida la comunicación, el ESM secundario copia su clave
pública en la tabla de claves autorizadas del dispositivo. El ESM secundario borra entonces la clave
privada del ESM principal e inicia la comunicación con su propio par de claves pública/privada.
Acción Pasos
Exportar el 1 En el árbol de navegación del sistema del ESM principal, seleccione el dispositivo
archivo .prk del con la información de comunicación de la que desee crear una copia de seguridad
ESM principal
y, después, haga clic en el icono Propiedades.
2 Seleccione Administración de claves y haga clic en Exportar clave.
Una vez que pasa la fecha de caducidad, la persona que importa la clave no se
puede comunicar con el dispositivo hasta que se exporta otra clave con una fecha
de caducidad futura. Si selecciona No caduca nunca, la clave no caducará al
importarla a otro ESM.
5 Haga clic en Aceptar, seleccione la ubicación para guardar el archivo .prk creado
por el ESM y cierre la sesión en el ESM principal.
Véase también
Información sobre el modo FIPS en la página 21
Selección del modo FIPS en la página 21
Comprobación de integridad de FIPS en la página 22
Adición de un dispositivo con clave aplicada en el modo FIPS en la página 24
Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 25
Solución de problemas del modo FIPS en la página 27
Acción Pasos
Exportar el 1 En la página Propiedades del sistema del ESM secundario, seleccione Administración de
archivo .puk del ESM.
ESM secundario
2 Haga clic en Exportar SSH y, después, seleccione la ubicación para guardar el
archivo .puk.
3 Haga clic en Guardar y cierre la sesión.
Una vez que pasa la fecha de caducidad, la persona que importa la clave no se
puede comunicar con el dispositivo hasta que se exporta otra clave con una
fecha de caducidad futura. Si selecciona No caduca nunca, la clave no caducará al
importarla a otro ESM.
Véase también
Información sobre el modo FIPS en la página 21
Selección del modo FIPS en la página 21
Comprobación de integridad de FIPS en la página 22
Adición de un dispositivo con clave aplicada en el modo FIPS en la página 24
Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página
24
Solución de problemas del modo FIPS en la página 27
No hay • Si hay una marca de estado junto al dispositivo en el árbol de navegación del
comunicación con sistema, coloque el cursor sobre él. Si indica Fallo de FIPS, póngase en contacto
el dispositivo con el Soporte de McAfee a través del portal de soporte.
• Siga la descripción correspondiente al problema No hay comunicación con el
ESM.
Véase también
Información sobre el modo FIPS en la página 21
Selección del modo FIPS en la página 21
Comprobación de integridad de FIPS en la página 22
Adición de un dispositivo con clave aplicada en el modo FIPS en la página 24
Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página
24
Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 25
Tipo Requisitos
Físico El dispositivo de McAfee debe:
• Estar protegido frente a modificaciones físicas no autorizadas.
• Estar situado en unas instalaciones con acceso controlado que evite el acceso físico no
autorizado.
Personal • Deben existir una o varias personas competentes encargadas de la administración del
dispositivo de McAfee y de la seguridad de la información que contiene. Los ingenieros
de McAfee proporcionan asistencia in situ para la instalación y la configuración, así
como formación sobre el funcionamiento del dispositivo en las instalaciones para todos
los clientes de McAfee.
• Los administradores autorizados no deben ser descuidados, negligentes ni de trato
difícil, y deben respetar y acatar las instrucciones proporcionadas en la documentación
correspondiente al dispositivo de McAfee.
• Solo los usuarios autorizados deben tener acceso al dispositivo de McAfee.
• Los responsables del dispositivo de McAfee deben asegurarse de que los usuarios
protejan todas las credenciales de acceso de forma coherente con la seguridad de TI.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
2 Haga clic en Inicio de sesión, seleccione el idioma para la consola y escriba el nombre de usuario y la
contraseña predeterminados.
• Nombre de usuario predeterminado: NGCP
3 Haga clic en Inicio de sesión, lea el Acuerdo de licencia de usuario final y haga clic en Aceptar.
En caso de estar obligado a trabajar en el modo FIPS, deberá activarlo la primera vez que inicie
sesión en el sistema, de forma que todas las operaciones futuras con los dispositivos de McAfee se
produzcan en el modo FIPS. Se recomienda no activar el modo FIPS si no está obligado a hacerlo.
Para obtener más información, consulte Información sobre el modo FIPS.
6 Siga las instrucciones para obtener el nombre de usuario y la contraseña, que son necesarios para
acceder a las actualizaciones de reglas.
b Seleccione la zona horaria donde se encuentra el ESM y el formato de fecha para utilizarlos con
esta cuenta; después, haga clic en Siguiente.
c Defina la configuración en las páginas del asistente Configuración inicial de ESM. Haga clic en el icono
Mostrar Ayuda de cada página para obtener instrucciones.
8 Haga clic en Aceptar y, después, en los vínculos de ayuda correspondientes a los pasos iniciales o a
las funciones nuevas disponibles en esta versión de ESM.
9 Cuando termine su sesión de trabajo, cierre la sesión mediante uno de estos métodos:
• Si no hay páginas abiertas, haga clic en cierre de sesión en la barra de navegación del sistema,
situada en la esquina superior derecha de la consola.
Véase también
Personalización de la página de inicio de sesión en la página 30
Cambio de idioma de los registros de eventos en la página 33
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Configuración personalizada.
Eliminar una imagen Haga clic en Eliminar imagen. Aparecerá el logotipo predeterminado.
personalizada
Véase también
Inicio y cierre de sesión en la página 29
Cambio de idioma de los registros de eventos en la página 33
Página Configuración personalizada en la página 30
Véase también
Personalización de la página de inicio de sesión en la página 30
Para ampliar un ESM principal o redundante, véase Actualización de un ESM principal o redundante.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de
ESM.
3 Seleccione el archivo que desee usar para actualizar el ESM y haga clic en Aceptar.
Véase también
Obtención y adición de credenciales de actualización de reglas en la página 32
Comprobación de la existencia de actualizaciones de reglas en la página 32
Página Seleccionar archivo de actualización de software en la página 32
Véase también
Actualización del software de ESM en la página 31
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
• Nombre de cuenta
• Dirección
• Nombre de contacto
2 Cuando reciba el ID y la contraseña de cliente de McAfee, seleccione Propiedades del sistema | Información
del sistema | Actualización de reglas en el árbol de navegación del sistema.
Véase también
Actualización del software de ESM en la página 31
Comprobación de la existencia de actualizaciones de reglas en la página 32
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de seleccionar la
opción Información del sistema.
Véase también
Actualización del software de ESM en la página 31
Obtención y adición de credenciales de actualización de reglas en la página 32
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Administración de ESM.
2 Haga clic en Configuración regional del sistema, seleccione un idioma en la lista desplegable y haga clic en
Aceptar.
Véase también
Inicio y cierre de sesión en la página 29
Personalización de la página de inicio de sesión en la página 30
Contenido
Adición de dispositivos a la consola de ESM
Selección de un tipo de pantalla
Administración de tipos de pantallas personalizadas
Antes de empezar
Instale y configure los dispositivos (véase la Guía de instalación de McAfee Enterprise
Security Manager).
Procedimiento
1 En el árbol de navegación del sistema, haga clic en el ESM Local o en un grupo.
2
En la barra de herramientas de acciones, haga clic en el icono Agregar dispositivo .
4 En el campo Nombre de dispositivo, introduzca un nombre exclusivo dentro del grupo y haga clic en
Siguiente.
Seleccione Solicitar autenticación de usuario a fin de limitar el acceso a los usuarios que dispongan de
nombre de usuario y contraseña para el dispositivo.
7 Si tiene una clave que desee importar, seleccione Importar clave (no disponible en los dispositivos ELM
o Receiver/Log Manager); de lo contrario, haga clic en Aplicar clave a dispositivo.
Las claves de dispositivo exportadas originalmente a partir de un ESM de una versión anterior a la
8.3.x no emplean el modelo de comunicación correspondiente a la versión 8.4.0. Tras la ampliación,
se vio obligado a volver a aplicar la clave al dispositivo. A fin de acceder a los dispositivos de la
versión 9.0.0 o posterior, es necesario volver a exportar la clave para este dispositivo desde un ESM
de la versión 8.5.0 o posterior. Asegúrese de establecer los privilegios necesarios para el dispositivo,
tales como el privilegio Configurar dispositivos virtuales.
Véase también
Selección de un tipo de pantalla en la página 35
Administración de tipos de pantallas personalizadas en la página 35
Administración de un grupo en un tipo de pantalla personalizada en la página 67
Antes de empezar
Para seleccionar una pantalla personalizada, es necesario agregarla antes al sistema (véase
Administración de tipos de pantallas personalizadas).
Procedimiento
1 En el panel de navegación del sistema, haga clic en la flecha desplegable del campo de tipo de
visualización.
Véase también
Adición de dispositivos a la consola de ESM en la página 34
Administración de tipos de pantallas personalizadas en la página 35
Administración de un grupo en un tipo de pantalla personalizada en la página 67
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el panel de navegación del sistema, haga clic en la flecha de la lista desplegable de tipo de
pantalla.
Véase también
Adición de dispositivos a la consola de ESM en la página 34
Selección de un tipo de pantalla en la página 35
Administración de un grupo en un tipo de pantalla personalizada en la página 67
Preferencias de la consola
Cabe la posibilidad de personalizar varias funciones en la consola de ESM mediante el cambio del color
del tema, el formato de fecha y hora, el valor de tiempo de espera y varias opciones de configuración
® ® ™
predeterminadas. Las credenciales de McAfee ePolicy Orchestrator (McAfee ePO ) se pueden
configurar también.
Véase también
La consola de ESM en la página 37
Uso del tema de color de la consola en la página 38
Selección de las opciones de visualización de la consola en la página 39
Establecimiento del valor de tiempo de espera de la consola en la página 40
La consola de ESM
La consola de ESM proporciona visibilidad en tiempo real de las actividades de los dispositivos, así
como acceso rápido a notificaciones de alarmas y casos asignados.
3 Barra de herramientas de acciones para seleccionar las funciones necesarias a fin de configurar
cada dispositivo.
4 Panel de navegación del sistema para ver los dispositivos del sistema.
5 Panel de alarmas y casos para ver las notificaciones de alarma y los casos abiertos asignados.
8 Panel de filtros para aplicar filtros a las vistas de datos basadas en eventos o flujos.
Véase también
Preferencias de la consola en la página 36
Uso del tema de color de la consola en la página 38
Selección de las opciones de visualización de la consola en la página 39
Establecimiento del valor de tiempo de espera de la consola en la página 40
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
2 Seleccione un tema de color existente, o bien agregue, edite o quite un tema personalizado.
3 Si hace clic en Agregar o Editar, seleccione los colores para el tema personalizado y haga clic en
Aceptar.
Si ha agregado un tema nuevo, se agregará una miniatura con sus colores a la sección Seleccione un
tema.
Véase también
Preferencias de la consola en la página 36
La consola de ESM en la página 37
Selección de las opciones de visualización de la consola en la página 39
Establecimiento del valor de tiempo de espera de la consola en la página 40
Página Colores en la página 38
Página Seleccionar colores para tema en la página 38
Página Colores
Aquí podrá seleccionar un tema de color existente, diseñar uno propio o bien editar o eliminar un tema
personalizado.
Véase también
Uso del tema de color de la consola en la página 38
Véase también
Uso del tema de color de la consola en la página 38
• cambiar las vistas que se abren cuando se selecciona Resumir en una vista de eventos o flujos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Véase también
Preferencias de la consola en la página 36
La consola de ESM en la página 37
Uso del tema de color de la consola en la página 38
Establecimiento del valor de tiempo de espera de la consola en la página 40
Página Vistas en la página 39
Página Vistas
Permite establecer las preferencias para las vistas predeterminadas y actualizar automáticamente los
datos de las vistas abiertas.
Véase también
Selección de las opciones de visualización de la consola en la página 39
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Seguridad de inicio de sesión.
2 En Valor de tiempo de espera de interfaz de usuario, seleccione el número de minutos que deben transcurrir
de inactividad y, después, haga clic en Aceptar.
Véase también
Preferencias de la consola en la página 36
La consola de ESM en la página 37
Uso del tema de color de la consola en la página 38
Selección de las opciones de visualización de la consola en la página 39
El ESM administra los datos, las opciones, las actualizaciones y la configuración. Se comunica con
varios dispositivos de forma simultánea. Cuando cree el entorno del ESM, tenga en cuenta
detenidamente las necesidades de su organización y los objetivos de conformidad a fin de sustentar el
ciclo de vida de administración de la seguridad de la organización.
Contenido
Administración de dispositivos
Configuración de dispositivos
Configuración de los servicios auxiliares
Administración de la base de datos
Uso de usuarios y grupos
Copia de seguridad y restauración de la configuración del sistema
ESM redundante
Administración de ESM
Uso de una lista negra global
Enriquecimiento de datos
Administración de dispositivos
El panel de navegación del sistema incluye los dispositivos que se han agregado al sistema. Es posible
llevar a cabo funciones en uno o varios dispositivos, así como organizarlos según proceda. También se
pueden ver informes de estado cuando los sistemas están marcados a fin de resolver los problemas
existentes.
Véase también
Página Administración de cada dispositivo en la página 43
Este archivo puede incluir la contraseña cifrada y otros detalles de configuración del
origen de datos de carácter confidencial.
Véase también
Administración de dispositivos en la página 41
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
Procedimientos
• Adición de vínculos de URL en la página 46
Si desea ver información sobre el dispositivo mediante una dirección URL, puede configurar
el vínculo correspondiente en la página Nombre y descripción de cada dispositivo. Una vez
agregado, es posible acceder al vínculo mediante las vistas Análisis de eventos y Análisis de flujos
de cada dispositivo; para ello, haga clic en el icono Ejecutar URL de dispositivo , situado en la
parte inferior de los componentes de la vista.
• Visualización de estadísticas de dispositivo en la página 46
Es posible ver la CPU, la memoria, la cola y otros detalles específicos de los dispositivos.
• Visualización de registros de mensajes y estadísticas del dispositivo en la página 47
Es posible ver los mensajes generados por el sistema, ver las estadísticas de rendimiento
del dispositivo o descargar un archivo .tgz con información de estado sobre el dispositivo.
• Cambio del nombre del dispositivo en la página 48
Cuando se agrega un dispositivo al árbol de sistemas, se le asigna un nombre que aparece
en dicho árbol. Este nombre, el nombre del sistema, la URL y la descripción se pueden
cambiar.
Véase también
Adición de vínculos de URL en la página 46
Visualización de estadísticas de dispositivo en la página 46
Visualización de registros de mensajes y estadísticas del dispositivo en la página 47
Cambio del nombre del dispositivo en la página 48
Página Información del dispositivo en la página 45
Página Nombre y descripción en la página 45
Véase también
Visualización de información de dispositivo en la página 44
Véase también
Visualización de información de dispositivo en la página 44
haga clic en el icono Ejecutar URL de dispositivo , situado en la parte inferior de los componentes de la
vista.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
Véase también
Visualización de información de dispositivo en la página 44
Visualización de estadísticas de dispositivo en la página 46
Visualización de registros de mensajes y estadísticas del dispositivo en la página 47
Cambio del nombre del dispositivo en la página 48
Antes de empezar
Verifique que dispone del permiso Administración de dispositivo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione el dispositivo relevante y haga clic en el icono
Propiedades .
Accederá a un gráfico que muestra las estadísticas del dispositivo y que se actualiza cada diez
minutos. Para mostrar los datos, se necesitan un mínimo de treinta minutos de datos. Cada tipo de
métrica contiene varias métricas, algunas de las cuales están activadas de forma predeterminada.
Haga clic en Mostrado para activar las métricas. La cuarta columna indica la escala de la métrica
correspondiente.
Véase también
Adición de vínculos de URL en la página 46
Visualización de información de dispositivo en la página 44
Visualización de registros de mensajes y estadísticas del dispositivo en la página 47
Cambio del nombre del dispositivo en la página 48
Ficha Monitor de rendimiento para las estadísticas de dispositivo en la página 47
Véase también
Visualización de estadísticas de dispositivo en la página 46
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
2 Haga clic en la opción Administración del dispositivo y seleccione una de las siguientes opciones:
Opción Descripción
Ver registro Permite ver los mensajes registrados por el sistema. Haga clic en Descargar todo el
archivo para descargar los datos a un archivo.
Ver estadísticas Permite ver estadísticas de rendimiento del dispositivo, como sobre la interfaz
Ethernet, ifconfig y el filtro iptables.
Datos de dispositivo Permite descargar un archivo .tgz con datos sobre el estado del dispositivo. Le
resultará útil si colabora con el Soporte de McAfee para solucionar un problema
del sistema.
Véase también
Adición de vínculos de URL en la página 46
Visualización de estadísticas de dispositivo en la página 46
Visualización de información de dispositivo en la página 44
Cambio del nombre del dispositivo en la página 48
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
2 Haga clic en Nombre y descripción, cambie el nombre, el nombre del sistema, la dirección URL y la
descripción, o bien visualice el número de ID de dispositivo.
Véase también
Adición de vínculos de URL en la página 46
Visualización de estadísticas de dispositivo en la página 46
Visualización de registros de mensajes y estadísticas del dispositivo en la página 47
Visualización de información de dispositivo en la página 44
Toda la configuración se almacena en el ESM, lo que significa que la consola de ESM conoce las claves
que se mantienen en el ESM y no necesita importar una clave de dispositivo si el ESM ya se está
comunicando correctamente con ese dispositivo.
Por ejemplo, podría crear una copia de seguridad de la configuración (incluidas las claves de
dispositivo) un lunes y volver a aplicar la clave a uno de los dispositivos el martes. Si el miércoles se
da cuenta de que necesita restaurar la configuración del lunes, puede importar la clave creada el
martes tras finalizar la restauración de la configuración. Aunque la restauración revertirá la clave del
dispositivo a la correspondiente al lunes, el dispositivo seguirá escuchando únicamente el tráfico
codificado con la clave del martes. Esta clave se tiene que importar para que sea posible la
comunicación con el dispositivo.
Se recomienda no importar una clave de dispositivo a un ESM distinto. La clave de exportación se usa
para reinstalar un dispositivo en el ESM administrador correspondiente al dispositivo, con el fin de
disponer de las funciones correctas de administración del dispositivo. Si importa un dispositivo a un
segundo ESM, varias funciones del dispositivo no estarán disponibles, como por ejemplo la
administración de directivas, el registro y la administración de ELM, y la configuración de origen de
datos y dispositivo virtual. Los administradores de dispositivo pueden sobrescribir la configuración del
dispositivo mediante otro ESM. Se recomienda utilizar un único ESM para administrar los dispositivos
conectados a él. Un DESM puede gestionar la recopilación de datos de dispositivos conectados a otro
ESM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
Si el dispositivo tiene una conexión establecida y se puede comunicar con el ESM, se abrirá el
Asistente para aplicar clave a dispositivo.
4 Haga clic en Exportar clave y rellene la página Exportar clave o haga clic en Finalizar si desea realizar la
exportación posteriormente.
Véase también
Exportación de una clave en la página 50
Importación de una clave en la página 52
Administración de claves SSH en la página 53
Asistente para aplicar clave a dispositivo en la página 50
Página Administración de claves en la página 50
Véase también
Aplicación de la clave a un dispositivo en la página 49
Véase también
Aplicación de la clave a un dispositivo en la página 49
Si el sistema funciona en modo FIPS, no siga este procedimiento. Véase Adición de un dispositivo con
clave aplicada en el modo FIPS para conocer el proceso correcto.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
Se recomienda exportar una copia de seguridad personal de la clave del dispositivo configurada
como No caduca nunca que incluya todos los privilegios.
Véase también
Aplicación de la clave a un dispositivo en la página 49
Importación de una clave en la página 52
Administración de claves SSH en la página 53
Página Exportar clave en la página 51
Restricciones de clave Seleccione Activar clave de dispositivo solo en ESM especificado si desea que solo se
active la clave en un ESM específico; después, introduzca el ID del sistema.
Esto aporta seguridad adicional a la clave.
Configuración de Seleccione los privilegios que desee asignar a la clave. Los privilegios
privilegios disponibles son distintos para cada tipo de dispositivo. Todos ellos se
describen más abajo.
Véase también
Exportación de una clave en la página 50
Si el dispositivo es de la versión 9.0 o posterior, solo se puede importar una clave de un ESM de la
versión 8.5 o posterior.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
Una vez que la clave se importa correctamente, aparece una página con el estado.
Véase también
Aplicación de la clave a un dispositivo en la página 49
Exportación de una clave en la página 50
Administración de claves SSH en la página 53
Opción Importar clave en la página 53
Véase también
Importación de una clave en la página 52
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
La página Administrar claves SSH incluye los ID correspondientes al ESM con el que se comunica el
dispositivo.
3 Resalte el ID en cuestión y haga clic en Eliminar para detener la comunicación con uno de los
sistemas de la lista.
Véase también
Aplicación de la clave a un dispositivo en la página 49
Exportación de una clave en la página 50
Importación de una clave en la página 52
Página Administrar claves SSH en la página 53
Véase también
Administración de claves SSH en la página 53
Antes de empezar
Si hace más de 30 días que dispone del sistema, deberá obtener e instalar las credenciales
permanentes a fin de acceder a las actualizaciones (véase Obtención y adición de
credenciales de actualización de reglas).
Si está obligado a cumplir las normativas de Criterios comunes y FIPS, no actualice el ESM
de esta forma. Póngase en contacto con el Soporte de McAfee para obtener una
actualización certificada.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
3 Seleccione una actualización de la tabla o haga clic en Examinar para localizarla en el sistema local.
Véase también
Página Seleccionar archivo de actualización de software en la página 55
Véase también
Actualización del software en un dispositivo en la página 54
Puede usar las tres pantallas predefinidas, además de diseñar pantallas personalizadas. Dentro de
cada pantalla personalizada, cabe la posibilidad de agregar grupos a fin de continuar con la
organización de los dispositivos.
Tenga cuidado al configurar esta función, ya que limitar el tráfico puede acarrear una fuga de datos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
icono Propiedades .
2 Haga clic en la opción Configuración correspondiente al dispositivo, haga clic en Interfaces y, por último,
haga clic en la ficha Tráfico.
3 A fin de agregar controles para un dispositivo, haga clic en Agregar, introduzca la dirección y la
máscara de la red, establezca la tasa y, a continuación, haga clic en Aceptar.
Si establece la máscara como cero (0), se controlan todos los datos enviados.
Véase también
Ficha Tráfico en la página 56
Página Agregar tasa de rendimiento en la página 56
Ficha Tráfico
Es posible definir un valor máximo de salida de datos para una red y una máscara a fin de controlar la
tasa de envío de tráfico.
Véase también
Configuración del control de tráfico de la red en un dispositivo en la página 55
Configuración del control del tráfico de red en el ESM en la página 258
Véase también
Configuración del control de tráfico de la red en un dispositivo en la página 55
Configuración del control del tráfico de red en el ESM en la página 258
Si configura SNMP en un receptor de disponibilidad alta, las capturas para el receptor principal tendrán
su origen en la dirección IP compartida. Por tanto, cuando configure los escuchas, es necesario
establecer uno para la dirección IP compartida.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
Sincronizar ELM Sincronizar el ELM con el dispositivo si uno de ellos se ha reemplazado. Al usar
esta función, la comunicación SSH entre ambos dispositivos se restablece por
medio de la clave del nuevo dispositivo y la configuración anterior.
El dispositivo no envía un evento al ELM hasta que termina el periodo de tiempo de agregación.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
Véase también
Orígenes de datos de receptor en la página 93
Página Registro en la página 58
Página Registro
Permite configurar el grupo de registro predeterminado para que los eventos generados por este
dispositivo se puedan enviar a un dispositivo ELM. Se abrirán páginas distintas en función de la
configuración actual de registro del sistema.
Véase también
Establecimiento del grupo de registro predeterminado en la página 58
Esta opción no es conforme a FIPS, así que está desactivada en el modo FIPS.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
Podría ser necesario proporcionar información adicional, como por ejemplo la contraseña.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
3 En la sección Volcado de TCP de la página, lleve a cabo los pasos necesarios para descargar la
instancia.
Véase también
Sección Volcado de TCP en la página 60
Véase también
Supervisión del tráfico en la página 59
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
El cambio de esta configuración no afecta al dispositivo en sí. Solamente afecta a la forma en que el
ESM se comunica con el dispositivo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
Véase también
Cambio de la conexión con el ESM en la página 60
Página Conexión de McAfee ePO en la página 61
Cambio de la conexión con el ESM en la página 60
Página Conexión
Permite configurar la conexión entre el dispositivo y ESM.
Véase también
Cambio de la conexión con el ESM en la página 60
Dispositivos virtuales
Es posible agregar dispositivos virtuales a ciertos modelos de dispositivos Nitro IPS y ADM a fin de
supervisar el tráfico, comparar patrones de tráfico y generar informes.
Finalidad y ventajas
Los dispositivos virtuales se pueden usar para diversos propósitos:
• Comparar patrones de tráfico con conjuntos de reglas. Por ejemplo, para comparar el tráfico web
con las reglas web, se puede configurar un dispositivo virtual que solo examine los puertos con
tráfico web y configurar una directiva que le permita activar o desactivar distintas reglas.
• Generar informes. Su empleo de esta manera equivale a tener un filtro automático configurado.
• Supervisar diversas rutas de tráfico a la vez. Mediante el uso de un dispositivo virtual es posible
disponer de directivas independientes para cada ruta de tráfico y ordenar el tráfico diferente de
acuerdo con directivas distintas.
4 APM-2230
NTP-2230
NTP-2600
APM-3450
NTP-3450
8 NTP-2250
NTP-4245
NTP-5400
0 APM-VM
NTP-VM
Para que un paquete coincida con una regla de selección, deben coincidir todos los criterios de filtrado
definidos por la regla. Si la información del paquete coincide con todos los criterios de filtrado de una
única regla de selección, lo procesa el dispositivo virtual que contiene la regla de selección en
cuestión. De lo contrario, se pasa al siguiente dispositivo virtual en orden, y el propio ADM o Nitro IPS
lo procesa de forma predeterminada si no coincide con ninguna regla de selección en ninguno de los
dispositivos virtuales.
Cosas que hay que tener en cuenta en el caso de los dispositivos virtuales IPv4:
• Todos los paquetes de una misma conexión se clasifican en función únicamente del primer paquete
de la conexión. Si el primer paquete de una conexión coincide con una regla de selección del tercer
dispositivo virtual de la lista, todos los paquetes subsiguientes de esa conexión se dirigen al tercer
dispositivo virtual, a pesar de que los paquetes coincidan con una regla de otro dispositivo virtual
situado antes en la lista.
• Los paquetes no válidos (un paquete que no establece conexión ni forma parte de una conexión
establecida) se dirigen al dispositivo de base. Por ejemplo, supongamos que tiene un dispositivo
virtual que busca paquetes con el puerto de origen o destino 80. Cuando llega un paquete no válido
con el puerto de origen o destino 80, se dirige al dispositivo de base en lugar de al dispositivo
virtual que busca el tráfico del puerto 80. Por tanto, hay eventos en el dispositivo de base que
parece que deberían haber ido a un dispositivo virtual.
El orden en que aparecen las reglas de selección es importante ya que, la primera vez que un paquete
coincide con una regla, se dirige automáticamente al dispositivo virtual en cuestión para su
procesamiento. Por ejemplo, se agregan cuatro reglas de selección y la que está en cuarto puesto es
el filtro que se activa con más frecuencia. Esto implica que los paquetes deben atravesar los demás
filtros de este dispositivo virtual para llegar a la regla de selección que más se activa. Para mejorar la
eficiencia del procesamiento, coloque el filtro que más se activa en primer lugar, no en último.
• Para cambiar el orden en un dispositivo ADM, acceda a la página Editar dispositivo virtual (Propiedades de
ADM | Dispositivos virtuales | Editar) y utilice las flechas para colocarlos en el orden correcto.
• Para cambiar el orden en un dispositivo Nitro IPS, use las flechas de la página Dispositivos virtuales
(Propiedades de IPS | Dispositivos virtuales).
Los paquetes no válidos (un paquete que no establece conexión ni forma parte de una conexión
establecida) se dirigen al dispositivo de base. Por ejemplo, si tiene un dispositivo ADM virtual que
busca paquetes con el puerto de origen o destino 80 y llega un paquete no válido con el puerto de
origen o destino 80, se dirige al dispositivo de base en lugar de al dispositivo ADM virtual que busca el
tráfico del puerto 80. Por tanto, podría ver eventos en el dispositivo de base que parece que deberían
haber ido a un dispositivo ADM virtual.
Véase también
Adición de un dispositivo virtual en la página 65
Administración de reglas de selección en la página 64
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Seleccione un nodo de dispositivo IPS o ADM y haga clic en el icono Propiedades .
3 Agregue, edite o elimine las reglas de selección de la tabla, o bien cambie su orden.
Véase también
Dispositivos virtuales en la página 62
Página Agregar regla de selección en la página 64
Véase también
Administración de reglas de selección en la página 64
Antes de empezar
Asegúrese de que se puedan agregar dispositivos virtuales al dispositivo seleccionado
(véase Acerca de los dispositivos virtuales).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo ADM o IPS y haga clic en el icono
Propiedades .
Véase también
Dispositivos virtuales en la página 62
Página Dispositivos virtuales en la página 65
Página Agregar dispositivo virtual en la página 66
Véase también
Adición de un dispositivo virtual en la página 65
Véase también
Adición de un dispositivo virtual en la página 65
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el panel de navegación del sistema, haga clic en la flecha de la lista desplegable de tipo de
pantalla.
Véase también
Adición de dispositivos a la consola de ESM en la página 34
Selección de un tipo de pantalla en la página 35
Administración de un grupo en un tipo de pantalla personalizada en la página 67
Antes de empezar
Agregue un tipo de pantalla personalizada (véase Administración de tipos de pantallas
personalizadas).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el panel de navegación del sistema, haga clic en la lista desplegable de tipo de pantalla.
Editar un
grupo Seleccione el grupo, haga clic en el icono Propiedades y realice cambios en la
página Propiedades de grupo.
Eliminar un Seleccione el grupo y haga clic en el icono Eliminar grupo . El grupo y los
grupo dispositivos contenidos en él se eliminarán de la pantalla personalizada. Los
dispositivos no se eliminarán del sistema.
Véase también
Adición de dispositivos a la consola de ESM en la página 34
Selección de un tipo de pantalla en la página 35
Administración de tipos de pantallas personalizadas en la página 35
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el panel de navegación del sistema, haga clic en la lista desplegable de tipo de pantalla.
2
Seleccione el icono Editar situado junto a la pantalla que incluye los dispositivos duplicados.
Los dispositivos que tenían duplicados aparecerán ahora solo una vez en su grupo correspondiente.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione los dispositivos que desee administrar.
2
Haga clic en el icono Administración de varios dispositivos de la barra de herramientas de acciones.
3 Seleccione la operación que desee realizar y los dispositivos en los que desee realizarla; a
continuación, haga clic en Iniciar.
Véase también
Página Administración de varios dispositivos en la página 69
Nombre de dispositivo Ver una lista de los dispositivos que se pueden administrar.
Columna Incluir Seleccione los dispositivos.
Seleccionar todo Haga clic en esta opción para seleccionar todos los dispositivos.
No seleccionar nada Haga clic en esta opción para anular la selección de todos los dispositivos.
Iniciar Haga clic para iniciar la operación.
Columna Estado Permite ver el estado de la operación en cada dispositivo.
Cerrar Haga clic en esta opción para cerrar la página Administración de varios dispositivos. La
operación continuará hasta que finalice.
Véase también
Administración de varios dispositivos en la página 68
Antes de empezar
Configure el sitio de la dirección URL para el dispositivo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en
Configuración personalizada | Vínculos de dispositivo.
2 Para agregar o editar una URL, resalte el dispositivo, haga clic en Editar e introduzca la URL.
El campo de URL tiene un límite de 512 caracteres.
Para acceder a la URL, haga clic en el icono Ejecutar URL de dispositivo en la parte inferior de las vistas
Análisis de eventos y Análisis de flujos de cada dispositivo.
Véase también
Página Vínculos de dispositivo predeterminados en la página 70
Véase también
Administración de vínculos de URL para todos los dispositivos en la página 69
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en
Información del sistema | Ver informes.
2 Visualice o exporte los informes Recuento de tipos de dispositivos u Hora del evento.
Véase también
Página Informes de resumen de dispositivos en la página 71
Véase también
Visualización de informes de resumen de dispositivos en la página 70
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
• Datos del dispositivo: en la página Propiedades de un dispositivo, haga clic en Registro de dispositivo.
2 A fin de ver el registro de eventos, introduzca un intervalo de tiempo y haga clic en Ver.
Las páginas Registro del sistema o Registro de dispositivo indicarán todos los eventos generados durante el
intervalo de tiempo especificado.
Véase también
Página Registro del sistema en la página 71
Página de resumen Registro del sistema en la página 72
Página de vista previa Registro de dispositivo en la página 72
Página Registro de dispositivo en la página 73
Véase también
Visualización de un registro de sistema o dispositivo en la página 71
Véase también
Visualización de un registro de sistema o dispositivo en la página 71
Véase también
Visualización de un registro de sistema o dispositivo en la página 71
Véase también
Visualización de un registro de sistema o dispositivo en la página 71
Alertas de estado de dispositivo proporciona distintas opciones para ver la información y solucionar cualquier
problema.
Dispositivo La página Alertas de estado de dispositivo, que contiene botones para acceder a las
ubicaciones donde se deben resolver los problemas. Podría incluir los siguientes
botones:
• Registro: las páginas Registro del sistema (para el ESM local) o Registro de dispositivo
muestran un resumen de todas las acciones que han tenido lugar en el sistema o el
dispositivo.
• Dispositivos virtuales, Orígenes de datos, Orígenes de evaluación de vulnerabilidades o Servidores de
base de datos: indica los dispositivos de este tipo que hay en el sistema, lo cual
permite comprobar la existencia de problemas.
• Inactivo: la página Umbral de inactividad muestra la configuración de umbral de todos los
dispositivos. Este indicador señala que el dispositivo no ha generado ningún evento
en el intervalo de tiempo especificado.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, resalte el dispositivo o el grupo que desee eliminar y haga
clic en el icono Eliminar de la barra de acciones.
Actualización de dispositivos
Es posible actualizar manualmente los dispositivos del sistema para que su información coincida con la
del ESM.
•
En la barra de herramientas de acciones, haga clic en el icono Actualizar dispositivos .
Configuración de dispositivos
Conecte los dispositivos físicos y virtuales a McAfee ESM para permitir el análisis forense, la
supervisión de aplicaciones y bases de datos, la correlación avanzada basada en reglas y riesgo, y la
generación de informes de conformidad en tiempo real.
Véase también
Página Configuración del dispositivo en la página 77
Contenido
Página Configuración del dispositivo
Configuración de Event Receiver
Véase también
Configuración de dispositivos en la página 76
Se pueden utilizar receptores de disponibilidad alta en modo principal y secundario que actúen como
copia de seguridad uno de otro. El receptor secundario (B) supervisa de forma continua el receptor
principal (A), y los cambios de configuración o de información de directiva se envían a ambos
dispositivos. Cuando el receptor B determina que el receptor A ha fallado, desconecta la NIC del origen
de datos del receptor A de la red y se convierte en el nuevo dispositivo principal. Este receptor seguirá
actuando como principal hasta que el usuario intervenga manualmente a fin de restaurar el receptor A
como principal.
Véase también
Visualización de eventos de transmisión en la página 78
Receptores de disponibilidad alta en la página 79
Archivado de datos de receptor sin procesar en la página 90
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione el dispositivo que quiera ver y, después, haga clic
en el icono Ver eventos de transmisión en la barra de herramientas de acciones.
2 Haga clic en Iniciar para dar comienzo a la transmisión y en Detener para pararla.
Véase también
Configuración de Event Receiver en la página 78
Página Visor de transmisiones en la página 79
Véase también
Visualización de eventos de transmisión en la página 78
Esta configuración consta de dos receptores, uno que actúa como principal o preferido y otro que
actúa como secundario. El receptor secundario supervisa el principal de forma continua. Cuando el
secundario determina que el principal ha fallado, lo detiene y asume su función.
Una vez reparado el principal, se convierte en secundario o pasa de nuevo a ser el principal. Esto se
determina mediante la opción seleccionada en el campo Dispositivo principal preferido de la ficha Receptor de
disponibilidad alta (véase Configuración de dispositivos receptores de disponibilidad alta.
Se pueden adquirir los siguientes modelos de receptor con la función de disponibilidad alta:
• ERC-1225-HA • ERC-1250-HA
• ERC-2230-HA • ERC-1260-HA
• ERC-2250-HA • ERC-2600-HA
• ERC-4245-HA • ERC-4600-HA
• ERC-4500-HA
Estos modelos incluyen un puerto Intelligent Platform Management Interface (IPMI) y un mínimo de 4
NIC, que son necesarias para las funciones de disponibilidad alta (véase Puertos de red de los
receptores de disponibilidad alta).
Las tarjetas IPMI eliminan la posibilidad de que las NIC de ambos dispositivos empleen las direcciones
IP y MAC compartidas a la vez, para lo cual se apaga el receptor con el fallo. Las tarjetas IPMI se
conectan mediante un cable cruzado o directo al otro receptor. Los receptores se conectan mediante
un cable cruzado o directo a la NIC de latido. Existe una NIC de administración para la comunicación
con el ESM, así como una NIC de origen de datos para recopilar datos.
Cuando el receptor principal funciona bien y el receptor secundario está en modo secundario, ocurre lo
siguiente:
• Cualquier certificado recibido, como los de OPSEC o Estreamer, se pasa al otro receptor del par.
• Cada receptor supervisa su propio estado e informa de él. Esto incluye elementos de estado
internos como errores de disco, bloqueos de base de datos y vínculos perdidos en las NIC.
En las secciones siguientes se explica lo que ocurre cuando un receptor de disponibilidad alta
experimenta problemas.
Cuando el receptor principal falla completamente (por ejemplo en caso de corte del suministro de
alimentación o fallo de la CPU), no existe comunicación de latido con el receptor principal. Corosync
reconoce la pérdida de comunicación y marca el receptor principal como fallido. En el receptor
secundario, Pacemaker solicita que la tarjeta IPMI del receptor principal apague el receptor principal.
El receptor secundario asume entonces las direcciones IP y MAC compartidas, e inicia todos los
recopiladores.
Cuando el receptor principal detecta una alerta de Healthmon por cualquiera de estas situaciones,
pone fin a los procesos de Corosync y Pacemaker, además de definir una alerta de Healthmon. La
terminación de estos procesos hace que las tareas de recopilación de datos se transfieran al receptor
secundario.
• El receptor secundario informa de los problemas al ESM cuando recibe una consulta y pone fin a los
procesos de Corosync y Pacemaker.
• Si el receptor secundario sigue formando parte del clúster, se elimina a sí mismo del clúster y deja
de estar disponible en caso de fallo del receptor principal.
• Los receptores que están en modo de disponibilidad alta no empiezan a recopilar datos tras el
inicio. Permanecen en modo secundario hasta que se establecen como principal.
Para obtener detalles sobre este proceso, consulte Sustitución de un receptor fallido.
A la hora de realizar una ampliación, es mejor no tener un receptor principal preferido. Consulte
Si su receptor de disponibilidad alta está configurado con un receptor principal preferido, es mejor
cambiar la configuración antes de ampliar. En la ficha Receptor de disponibilidad alta (véase Configuración de
dispositivos receptores de disponibilidad alta), seleccione Ninguno en el campo Dispositivo principal preferido.
Esto permite utilizar la opción Conmutación en caso de error, la cual no está disponible si se ha configurado
un receptor principal preferido. Una vez ampliados ambos receptores, puede aplicar la configuración
de receptor principal preferido de nuevo.
Véase también
Configuración de Event Receiver en la página 78
Configuración de dispositivos receptores de disponibilidad alta en la página 83
Reinicialización del dispositivo secundario en la página 84
Configuración del receptor de disponibilidad alta con IPv6 en la página 84
Restablecimiento de dispositivos de disponibilidad alta en la página 85
Intercambio de funciones de receptores de disponibilidad alta en la página 86
Ampliación de los receptores de disponibilidad alta en la página 87
Comprobación del estado de receptores de disponibilidad alta en la página 88
Sustitución de un receptor con problemas en la página 89
Solución de problemas en un receptor fallido en la página 90
Antes de empezar
Agregue el receptor que actúa como dispositivo principal (véase Adición de dispositivos a la
consola de ESM). Debe disponer de tres o más NIC.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione el receptor que será el dispositivo disponibilidad
3 Haga clic en la ficha Receptor de disponibilidad alta y seleccione la opción Configurar alta disponibilidad.
Esto inicia el proceso de aplicación de la clave al segundo receptor, actualiza la base de datos, aplica
globals.conf y sincroniza ambos receptores.
Véase también
Receptores de disponibilidad alta en la página 79
Reinicialización del dispositivo secundario en la página 84
Configuración del receptor de disponibilidad alta con IPv6 en la página 84
Restablecimiento de dispositivos de disponibilidad alta en la página 85
Intercambio de funciones de receptores de disponibilidad alta en la página 86
Ampliación de los receptores de disponibilidad alta en la página 87
Comprobación del estado de receptores de disponibilidad alta en la página 88
Sustitución de un receptor con problemas en la página 89
Solución de problemas en un receptor fallido en la página 90
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Véase también
Receptores de disponibilidad alta en la página 79
Configuración de dispositivos receptores de disponibilidad alta en la página 83
Configuración del receptor de disponibilidad alta con IPv6 en la página 84
Restablecimiento de dispositivos de disponibilidad alta en la página 85
Intercambio de funciones de receptores de disponibilidad alta en la página 86
Ampliación de los receptores de disponibilidad alta en la página 87
Comprobación del estado de receptores de disponibilidad alta en la página 88
Sustitución de un receptor con problemas en la página 89
Solución de problemas en un receptor fallido en la página 90
Antes de empezar
• Asegúrese de que el ESM utilice IPv6, ya sea de forma manual o automática (Propiedades
del sistema | Configuración de red).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
b Desplácese hasta Mgt IP Configr | Mgt1 | IPv6 (Conf. IP admin. | Admin.1 | IPv6) y anote la dirección
IP de administración. Esto podría tardar algún tiempo debido a la latencia de la red.
2 Agregue uno de estos receptores al ESM (véase Adición de dispositivos a la consola de ESM).
• Nombre: nombre del par de disponibilidad alta.
• Dirección IP o URL de destino: dirección IPv6 de administración de este receptor de disponibilidad alta,
previamente anotada.
3 Seleccione el dispositivo recién agregado en el árbol de navegación del sistema y, después, haga
clic en Propiedades de receptor | Configuración del receptor | Interfaz.
4 En el campo Modo IPv6, seleccione Manual (el único modo admitido para la disponibilidad alta).
6 En Propiedades de receptor, haga clic en Conexión, introduzca la dirección IPv6 compartida en Nombre/
Dirección IP de destino y haga clic en Aceptar.
Véase también
Receptores de disponibilidad alta en la página 79
Configuración de dispositivos receptores de disponibilidad alta en la página 83
Reinicialización del dispositivo secundario en la página 84
Restablecimiento de dispositivos de disponibilidad alta en la página 85
Intercambio de funciones de receptores de disponibilidad alta en la página 86
Ampliación de los receptores de disponibilidad alta en la página 87
Comprobación del estado de receptores de disponibilidad alta en la página 88
Sustitución de un receptor con problemas en la página 89
Solución de problemas en un receptor fallido en la página 90
Véase también
Receptores de disponibilidad alta en la página 79
Configuración de dispositivos receptores de disponibilidad alta en la página 83
Reinicialización del dispositivo secundario en la página 84
Configuración del receptor de disponibilidad alta con IPv6 en la página 84
Intercambio de funciones de receptores de disponibilidad alta en la página 86
Ampliación de los receptores de disponibilidad alta en la página 87
Comprobación del estado de receptores de disponibilidad alta en la página 88
Sustitución de un receptor con problemas en la página 89
Solución de problemas en un receptor fallido en la página 90
Si un recopilador (incluido el dispositivo correspondiente a McAfee ePO) está asociado con un receptor
de disponibilidad alta y se produce una conmutación en caso de error, el recopilador no se podrá
comunicar con el receptor de disponibilidad alta hasta que los conmutadores situados entre ambos
asocien la nueva dirección MAC del receptor que ha fallado con la dirección IP compartida. Esto puede
tardar desde unos minutos a varios días, en función de la configuración de la red.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
• El ESM extrae todos los datos de alertas y flujos del receptor principal.
Véase también
Receptores de disponibilidad alta en la página 79
Configuración de dispositivos receptores de disponibilidad alta en la página 83
Reinicialización del dispositivo secundario en la página 84
Configuración del receptor de disponibilidad alta con IPv6 en la página 84
Restablecimiento de dispositivos de disponibilidad alta en la página 85
Ampliación de los receptores de disponibilidad alta en la página 87
Comprobación del estado de receptores de disponibilidad alta en la página 88
Sustitución de un receptor con problemas en la página 89
Solución de problemas en un receptor fallido en la página 90
Antes de empezar con el proceso de ampliación, realice el proceso Comprobación del estado de
receptores de disponibilidad alta a fin de asegurarse de que los dispositivos receptores de disponibilidad
alta estén listos para la ampliación. En caso contrario, pueden surgir problemas con la ampliación de los
dispositivos y producirse un periodo de inactividad.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
b Haga clic en Actualizar dispositivo, seleccione el archivo que desee usar o navegue hasta él y haga
clic en Aceptar.
3 Convierta el receptor secundario en principal haciendo clic en Disponibilidad alta | Conmutación en caso de
error.
Véase también
Receptores de disponibilidad alta en la página 79
Configuración de dispositivos receptores de disponibilidad alta en la página 83
Reinicialización del dispositivo secundario en la página 84
Configuración del receptor de disponibilidad alta con IPv6 en la página 84
Restablecimiento de dispositivos de disponibilidad alta en la página 85
Intercambio de funciones de receptores de disponibilidad alta en la página 86
Comprobación del estado de receptores de disponibilidad alta en la página 88
Sustitución de un receptor con problemas en la página 89
Solución de problemas en un receptor fallido en la página 90
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
2 En los campos Estado y Estado de secundario, compruebe que el estado sea OK; Estado de disponibilidad alta
del dispositivo: online.
3 Acceda mediante Secure Shell (o SSH) a cada uno de los receptores de disponibilidad alta y ejecute
el comando ha_status en la interfaz de línea de comandos de ambos receptores. La información
resultante muestra el estado de este receptor y el estado que este receptor piensa que tiene el
otro. Tiene un aspecto similar a este:
OK
hostname=McAfee1
mode=primary
McAfee1=online
McAfee2=online
sharedIP=McAfee1
stonith=McAfee2
corosync=running
hi_bit=no
• El valor de hostname es el mismo que el nombre de host que aparece en la línea de comandos
menos el número de modelo del receptor.
• El valor de mode es primary si el valor de sharedIP coincide con el nombre de host de este
receptor; de lo contrario, el modo será secondary.
• Las siguientes dos líneas muestran los nombres de host de los receptores del par de
disponibilidad alta e indican el estado de funcionamiento de cada uno. El estado en ambos casos
es online.
Asegúrese de que solo uno de los receptores de disponibilidad alta se defina con el valor hi_bit.
Si ambos receptores de disponibilidad alta tienen el mismo valor, debería ponerse en contacto
con el Soporte de McAfee antes de realizar la ampliación a fin de corregir esta opción mal
configurada.
5 Acceda mediante Secure Shell (o SSH) a cada uno de los receptores de disponibilidad alta y ejecute
el comando ifconfig en la interfaz de línea de comandos de ambos.
Estas comprobaciones garantizan que el sistema funciona y que no existe duplicación de direcciones
IP, lo que implica que los dispositivos se pueden ampliar.
Véase también
Receptores de disponibilidad alta en la página 79
Configuración de dispositivos receptores de disponibilidad alta en la página 83
Reinicialización del dispositivo secundario en la página 84
Configuración del receptor de disponibilidad alta con IPv6 en la página 84
Restablecimiento de dispositivos de disponibilidad alta en la página 85
Intercambio de funciones de receptores de disponibilidad alta en la página 86
Ampliación de los receptores de disponibilidad alta en la página 87
Sustitución de un receptor con problemas en la página 89
Solución de problemas en un receptor fallido en la página 90
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
2 Haga clic en la ficha Receptor de disponibilidad alta y compruebe que esté seleccionada la opción Configurar
alta disponibilidad.
3 Verifique que las direcciones IP sean correctas y haga clic en Reinicializar secundario.
Véase también
Receptores de disponibilidad alta en la página 79
Configuración de dispositivos receptores de disponibilidad alta en la página 83
Reinicialización del dispositivo secundario en la página 84
Configuración del receptor de disponibilidad alta con IPv6 en la página 84
Restablecimiento de dispositivos de disponibilidad alta en la página 85
Intercambio de funciones de receptores de disponibilidad alta en la página 86
Ampliación de los receptores de disponibilidad alta en la página 87
Comprobación del estado de receptores de disponibilidad alta en la página 88
Solución de problemas en un receptor fallido en la página 90
• Espere a que haya un receptor secundario disponible y sincronizado para desplegar la directiva.
• Saque el receptor del modo de disponibilidad alta, lo cual provoca entre dos y cinco minutos de
inactividad en el clúster de disponibilidad alta durante los cuales no se recopilan eventos.
Véase también
Receptores de disponibilidad alta en la página 79
Configuración de dispositivos receptores de disponibilidad alta en la página 83
Reinicialización del dispositivo secundario en la página 84
Configuración del receptor de disponibilidad alta con IPv6 en la página 84
Restablecimiento de dispositivos de disponibilidad alta en la página 85
Intercambio de funciones de receptores de disponibilidad alta en la página 86
Ampliación de los receptores de disponibilidad alta en la página 87
Comprobación del estado de receptores de disponibilidad alta en la página 88
Sustitución de un receptor con problemas en la página 89
receptor por orígenes de datos que emplean protocolos de correo electrónico, eStream, HTTP, SNMP,
SQL, syslog y agente remoto. Estos archivos de datos se envían al archivo de almacenamiento cada
cinco minutos. El reenvío de syslog envía los datos sin procesar para los protocolos de syslog a modo
de un flujo continuo de syslogs combinados al dispositivo configurado en la sección Reenvío de syslog de
la página Configuración de archivado de datos. El receptor puede reenviar solamente a un tipo de
almacenamiento en cada ocasión; es posible configurar los tres tipos, pero solo se puede activar uno
de ellos para el archivado de datos.
Esta función no admite los tipos de orígenes de datos Netflow, Sflow e IPFIX.
Véase también
Configuración de Event Receiver en la página 78
Definición de la configuración de archivado en la página 91
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic en
Configuración del receptor | Archivado de datos.
Se debe abrir el puerto 445 en el sistema con el recurso compartido CIFS para activar una conexión
de recurso compartido CIFS. De igual forma, se debe abrir el puerto 135 en el sistema con el
recurso compartido SMB para el establecimiento de una conexión SMB.
3 Cuando esté listo para aplicar los cambios al dispositivo receptor, haga clic en Aceptar.
Véase también
Archivado de datos de receptor sin procesar en la página 90
Página Configuración de archivado de datos en la página 91
Ruta IPv4 o Ruta IPv6 Escriba el puerto del servidor de syslog al que se debe reenviar el flujo de
datos.
Véase también
Definición de la configuración de archivado en la página 91
Antes de empezar
Ya debe existir un origen de datos de correlación en el ESM (véase Origen de datos de
correlación y Adición de un origen de datos).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, expanda el receptor y haga clic en Motor de correlación.
3 En la vista Análisis de eventos, haga clic en el signo más (+) en la primera columna junto al evento de
correlación.
Antes de empezar
Verifique que dispone del privilegio Administración de dispositivo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
propiedades .
Si las tasas de entrada superan la tasa de salida en un 15 %, el sistema marca esa fila como crítica
(en las últimas 24 horas) o como advertencia (en la última hora).
4 Para filtrar el origen de datos, seleccione las opciones Todo, Crítico o Advertencia.
5 Seleccione la unidad de medida para mostrar las métricas: por número de kilobytes (KB) o por
número de registros.
6 Para actualizar los datos automáticamente cada diez segundos, seleccione la casilla de verificación
Actualizar automáticamente.
Véase también
Adición de un origen de datos en la página 94
Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página
131
Establecimiento del grupo de registro predeterminado en la página 58
Administración de orígenes de datos en la página 98
Establecimiento del formato de fecha para los orígenes de datos en la página 112
Importación de una lista de orígenes de datos en la página 116
Traslado de orígenes de datos a otro sistema en la página 129
Visualización de los archivos generados por los orígenes de datos en la página 132
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione el receptor al que desee agregar el origen de
Los campos que hay que rellenar dependen de las selecciones realizadas.
El origen de datos se agregará a la lista de orígenes de datos del receptor, así como al árbol de
navegación del sistema, debajo del receptor seleccionado.
Véase también
Orígenes de datos de receptor en la página 93
Administración de orígenes de datos en la página 98
Establecimiento del formato de fecha para los orígenes de datos en la página 112
Importación de una lista de orígenes de datos en la página 116
Traslado de orígenes de datos a otro sistema en la página 129
Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página
131
Visualización de los archivos generados por los orígenes de datos en la página 132
Página Agregar origen de datos en la página 96
Página Orígenes de datos en la página 95
Página Cambiar de nombre al tipo de asignación de reglas definidas por el usuario en la página
97
Si necesita enviar o recibir capturas SNMP a través de IPv6, tendrá que formular
la dirección IPv6 como una dirección de conversión IPv4. Por ejemplo, la
conversión de 10.0.2.84 a IPv6 tendría este aspecto: 2001:470:B:
654:0:0:10.0.2.84 o 2001:470:B:654::A000:0254.
Véase también
Adición de un origen de datos en la página 94
Véase también
Adición de un origen de datos en la página 94
Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página
131
Véase también
Adición de un origen de datos en la página 94
A fin de enviar capturas SNMP a través de IPv6, es necesario formular la dirección IPv6 como dirección
de conversión IPv4. Por ejemplo, la conversión de 10.0.2.84 a IPv6 tiene este aspecto:
2001:470:B:654:0:0:10.0.2.84 o 2001:470:B:654::A000:0254.
• Si ya se ha seleccionado un perfil, aparecerá el cuadro de diálogo Perfiles de orígenes de datos SNMP. Para
cambiar el perfil, haga clic en la flecha hacia abajo en el campo Perfiles del sistema y seleccione un
nuevo perfil.
• Si se ha seleccionado un perfil anteriormente y desea cambiarlo pero la lista desplegable del cuadro
de diálogo Perfiles de orígenes de datos SNMP no incluye el perfil que necesita, cree un perfil SNMP de
origen de datos.
Véase también
Página Perfiles de orígenes de datos SNMP en la página 97
Véase también
Procesamiento de un origen de datos mediante una captura SNMP en la página 97
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos.
2 Visualice la lista de orígenes de datos del receptor y lleve a cabo cualquiera de las opciones
disponibles a fin de administrarlos.
Véase también
Orígenes de datos de receptor en la página 93
Adición de un origen de datos en la página 94
Establecimiento del formato de fecha para los orígenes de datos en la página 112
Importación de una lista de orígenes de datos en la página 116
Traslado de orígenes de datos a otro sistema en la página 129
Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página
131
Visualización de los archivos generados por los orígenes de datos en la página 132
SIEM Collector
SIEM Collector envía los registros de eventos de Windows a un receptor mediante una conexión
cifrada.
Sin SIEM Collector, la recopilación de eventos de Windows se limita al uso del protocolo WMI o un
agente de terceros. En muchos entornos, la directiva de seguridad bloquea el acceso al sistema para
que no se pueda usar WMI.
El tráfico WMI contiene texto no cifrado y solo permite el acceso a registros escritos en el Registro de
eventos de Windows. No es posible acceder a los archivos de registro creados por otros servicios, tales
como DNS, DHCP e IIS, como tampoco por medio de un agente de terceros.
Mediante el uso de SIEM Collector de forma autónoma o como parte de una implementación de
McAfee ePolicy Orchestrator existente es posible agregar la funcionalidad de WMI a los agentes de
McAfee existentes.
Asimismo, puede utilizar SIEM Collector a modo de concentrador para recopilar registros de otros
sistemas a través de RPC sin agregar el paquete de SIEM Collector a todos los sistemas.
• Complemento para la recopilación de bases de datos SQL definida por el usuario (compatible con
SQL Server y Oracle).
• Complemento para analizar los eventos de Windows exportados en formato .evt o .evtx.
• Establecer el sistema para que aprenda automáticamente los activos y sus atributos (sistema
operativo y servicios detectados).
• Modificar la configuración del Editor de directivas, como por ejemplo activar las firmas de MySQL si se
descubre un activo que ejecuta MySQL.
Es posible acceder a los datos de evaluación de vulnerabilidades generados por el sistema mediante
vistas predefinidas o personalizadas por el usuario. Las vistas predefinidas son:
• Vistas de panel | Panel de vulnerabilidad de activos
• Vistas de conformidad | PCI | Prueba de procesos y sistemas de seguridad | 11.2 - Análisis de vulnerabilidad de red
Para crear una vista personalizada, véase Adición de una vista personalizada.
Si crea una vista que incluya los componentes Número total de vulnerabilidades, Recuento o Dial de control, podría
ver un recuento excesivo de vulnerabilidades. Esto se debe a que la fuente McAfee Threat Intelligence
Services (MTIS) agrega amenazas en función de la vulnerabilidad original de la que informa el origen de
evaluación de vulnerabilidades (véase Evaluación de activos, amenazas y riesgo).
El equipo de McAfee encargado de las reglas conserva un archivo de reglas que asigna un ID de firma
de McAfee a un VIN y a una o varias referencias a un ID de Common Vulnerabilities and Exposure
(CVE), de BugTraq, de Open Source Vulnerability Database (OSVDB) o de Secunia. Estos proveedores
informan de los ID de CVE y BugTraq en sus vulnerabilidades; por tanto, los ID de CVE y BugTraq se
incluyen en esta versión.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo DEM o Event Receiver y haga clic
en el icono Propiedades .
Véase también
Ficha o página Evaluación de vulnerabilidades en la página 100
Véase también
Definición de un perfil de sistema de evaluación de vulnerabilidades en la página 99
Adición de un origen de evaluación de vulnerabilidades en la página 100
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo DEM o Event Receiver y haga clic
en el icono Propiedades .
3 Agregue, edite, quite o recupere orígenes de evaluación de vulnerabilidades, además de escribir los
cambios realizados en el dispositivo.
Véase también
Ficha o página Evaluación de vulnerabilidades en la página 100
Página Agregar origen de evaluación de vulnerabilidades en la página 101
Dominio Escriba el dominio del equipo Windows (opcional, a menos que el controlador
de dominio o el servidor estén dentro de un dominio).
Directorio de archivo de El directorio donde se encuentran los archivos de análisis exportados.
análisis exportado
Formato de archivo de El formato del archivo de análisis exportado (XML o NBE).
análisis exportado
Directorio de instalación La ubicación donde se instaló Saint en el servidor. El directorio de instalación
para un appliance analizador Saint es /usr/local/sm/.
Dirección IP • Para eEye REM: la dirección IP del servidor eEye que envía información sobre
capturas.
• Para eEye Retina: la dirección IP del cliente que alberga los archivos de
análisis exportados (.rtd).
• Para McAfee Vulnerability Manager: la dirección IP del servidor donde se
®
encuentra la instalación.
• Para Nessus, OpenVAS, LanGuard y Rapid7 Metasploit Pro: la dirección IP del
cliente que alberga los archivos de análisis exportados.
• Para NGS: la dirección IP del sistema que almacena los informes de Squirrel.
• Para Rapid7, Lumension, nCircle y Saint: la dirección IP del servidor
correspondiente.
Directorio de montaje Si selecciona NFS en el campo Método, se agregan los campos de Directorio de
montaje. Indique el directorio de montaje establecido al configurar NFS.
Método El método empleado para recuperar los archivos de análisis exportados
(montaje de SCP, FTP, NFS o CIFS). LanGuard siempre emplea CIFS.
Programar recuperación Indique la frecuencia con la que desea que los datos de evaluación de
de datos del receptor o vulnerabilidades se recuperen del receptor o el DEM.
Programar recuperación
• Cada día: seleccione la hora a la que desee que se recuperen los datos cada
de datos de DEM
día.
• Cada semana: seleccione el día de la semana y la hora del día en que desee que
se recuperen los datos.
• Cada mes: seleccione el día del mes y la hora del día en que desee que se
recuperen los datos.
Si no desea que se recuperen los datos, seleccione Desactivado.
eEye REM no admite la recuperación de datos desde el origen, por lo que los
datos se deben recuperar desde el receptor o el DEM.
Programar recuperación Indique la frecuencia con la que desea que los datos de evaluación de
de datos de evaluación vulnerabilidades se recuperen del origen de evaluación de vulnerabilidades.
de vulnerabilidades Véase Programar recuperación de datos del receptor o Programar recuperación
de datos de DEM para obtener detalles.
Sesión Saint: la sesión de la que se recopilan los datos. Para incluir todas las sesiones,
indique Todo.
Nombre de usuario SNMP El nombre de seguridad correspondiente a la configuración de REM Events Server.
Versión de SNMP La versión de SNMP correspondiente al origen. Los campos de SNMP se activan
según la versión seleccionada.
ID de motor SNMPv3 (Opcional) El ID de motor de SNMPv3 del remitente de capturas, en caso de
emplear un perfil SNMPv3.
Contraseña sudo (Opcional) Escriba la contraseña necesaria para acceder al directorio de
instalación de Saint (véase Usar sudo).
Tiempo de espera Este campo permite usar el valor predeterminado de tiempo de espera para un
origen o proporcionar un valor de tiempo de espera concreto. Esto resulta útil si
existe una gran cantidad de datos de evaluación de vulnerabilidades de un
proveedor y la configuración de tiempo de espera predeterminada no permite
recuperar todos los datos o ninguno. Es posible aumentar el valor de tiempo de
espera a fin de que exista más tiempo para la recuperación de datos de
evaluación de vulnerabilidades. Si proporciona un valor, se utilizará para todas
las comunicaciones.
Token (Opcional) Token de autenticación que se puede establecer en la configuración
global de Metasploit.
URL Escriba la URL del servidor de Digital Defense Frontline.
Utilizar proxy HTTP Si decide usar el proxy HTTP, se activarán los campos Dirección IP de proxy, Puerto
del proxy, Nombre de usuario del proxy y Contraseña del proxy.
Usar modo pasivo Si selecciona FTP en el campo Método, este campo se activará. A continuación,
deberá indicar cuándo usar el modo pasivo.
Usar sudo Seleccione esta opción si dispone de acceso al directorio de instalación de Saint
y desea utilizar este acceso (véase Contraseña sudo).
Véase también
Adición de un origen de evaluación de vulnerabilidades en la página 100
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de DEM o Propiedades de receptor y haga clic
en Evaluación de vulnerabilidades.
4
Para ver los datos, haga clic en el icono de inicio rápido de Asset Manager y seleccione la ficha
Evaluación de vulnerabilidades.
Qualys, FusionVM y Los datos del directorio ya se recuperaron, por lo que no están actualizados.
Rapid7 Nexpose
NGS
OpenVAS 3.0, 4.0
Qualys
Rapid7 Nexpose
Rapid7 Metasploit Pro 4.1.4 Update 1, formato de archivo
XML
Se puede reducir la gravedad de un exploit de Metasploit
que empieza por el nombre Nexpose mediante la adición
de un origen de evaluación de vulnerabilidades Rapid7 al
mismo receptor. Si no se puede deducir, la gravedad
predeterminada es 100.
Saint
Antes de empezar
Asegúrese de que la comprobación automática esté seleccionada en el cuadro de diálogo
Eventos, flujos y registros (Propiedades del sistema | Eventos, flujos y registros), o bien haga clic en el
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
3 En la ventana Editor de reglas de adición automática, asegúrese de que esté seleccionada la opción Activar
creación automática para orígenes de datos y, después, seleccione las reglas de adición automática que
desee que emplee el receptor para crear los orígenes de datos de forma automática.
4 Haga clic en Ejecutar si desea aplicar las reglas seleccionadas a los datos de aprendizaje automático
existentes y, después, haga clic en Cerrar.
Véase también
Administración del aprendizaje automático de orígenes de datos en la página 108
Adición de nuevas reglas de creación automática en la página 107
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En Propiedades de receptor, haga clic en Orígenes de datos | Aprendizaje automático | Configurar | Agregar.
2 En el cuadro de diálogo Configurar regla de adición automática, agregue los datos necesarios para definir la
regla y haga clic en Aceptar.
La nueva regla se agregará a la lista de reglas de adición automática del cuadro de diálogo Editor de
reglas de adición automática. Entonces, podrá seleccionarla de forma que se creen orígenes de datos cuando
los datos de aprendizaje automático cumplan los criterios definidos en la regla.
Véase también
Creación automática de orígenes de datos en la página 106
Administración del aprendizaje automático de orígenes de datos en la página 108
Página Editor de reglas de adición automática en la página 107
Página Configurar regla de agregación automática en la página 108
Véase también
Adición de nuevas reglas de creación automática en la página 107
Véase también
Adición de nuevas reglas de creación automática en la página 107
Antes de empezar
Asegúrese de que se hayan definido los puertos para Syslog, MEF y los flujos (véase
Configuración de interfaces).
El firewall del receptor se abre durante el tiempo designado para que el sistema pueda aprender una
serie de direcciones IP desconocidas. Posteriormente, se pueden agregar al sistema a modo de
orígenes de datos.
Cuando se lleva a cabo la ampliación, los resultados del aprendizaje automático se borran de la página
Aprendizaje automático. Si hay resultados de aprendizaje automático sobre los que no se ha realizado
ninguna acción antes de la ampliación, deberá llevar a cabo de nuevo el aprendizaje automático tras
ella a fin de recopilar los resultados de nuevo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic en
Orígenes de datos | Aprendizaje automático.
Véase también
Creación automática de orígenes de datos en la página 106
Adición de nuevas reglas de creación automática en la página 107
Página Aprendizaje automático en la página 110
Página Orígenes con aprendizaje automático en la página 112
Página Editar clientes de orígenes de datos en la página 113
Configurar Configure reglas para que las direcciones IP recopiladas se puedan agregar a modo de
orígenes de datos de forma automática si cumplen los criterios definidos en la regla.
Tabla Permite ver las direcciones IP de los orígenes de datos de aprendizaje automático. Cada
uno recibe un nombre formado por la dirección IP y Aprendido automáticamente, e
indica el formato de los registros. El sistema también hace el intento de detectar el tipo
de origen de datos.
Editar nombre Permite editar el nombre predeterminado del elemento seleccionado. El campo de
nombre tiene un límite de 50 caracteres. Cada nombre debe ser exclusivo.
Quitar Permite eliminar las direcciones IP seleccionadas de la lista. La lista no se guarda hasta
que se cierra Aprendizaje automático.
Cambiar tipo Permite cambiar el tipo de la dirección IP seleccionada. Esto puede ser útil si el tipo
sugerido por el sistema no es correcto. La visualización del paquete puede darle la
información necesaria para determinar el tipo correcto.
Actualizar Permite volver a cargar los datos de la página para ver los cambios en los datos de
aprendizaje automático y el estado del aprendizaje automático de syslog, MEF o
Netflow.
Mostrar Permite ver el paquete correspondiente al origen de datos seleccionado.
paquete
Véase también
Administración del aprendizaje automático de orígenes de datos en la página 108
Véase también
Administración del aprendizaje automático de orígenes de datos en la página 108
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un receptor y haga clic en el icono Agregar origen de
datos .
2 Haga clic en Opciones avanzadas y realice una selección en el campo Orden en fechas:
• Predeterminado: emplea el orden predeterminado para las fechas (el mes antes que el día).
Cuando se utilizan orígenes de datos cliente, los clientes con esta configuración heredan el
formato de fecha del origen de datos principal.
• Mes antes del día: el mes aparece antes que el día (04/23/2014).
• Día antes del mes: el día aparece antes que el mes (23/04/2014).
Véase también
Orígenes de datos de receptor en la página 93
Adición de un origen de datos en la página 94
Administración de orígenes de datos en la página 98
Importación de una lista de orígenes de datos en la página 116
Traslado de orígenes de datos a otro sistema en la página 129
Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página
131
Visualización de los archivos generados por los orígenes de datos en la página 132
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos.
2 En la tabla de orígenes de datos, haga clic en el origen de datos al que desee agregar uno
secundario.
3 Haga clic en Agregar elemento secundario y rellene los campos de la misma forma que para un origen de
datos principal.
El origen de datos se agrega a modo de elemento secundario debajo del origen de datos principal en
la tabla y en el árbol de navegación del sistema.
Véase también
Administración del aprendizaje automático de orígenes de datos en la página 108
• Comparten la misma directiva y los mismos derechos que el origen de datos principal.
• Deben encontrarse en la misma zona horaria porque utilizan la configuración del principal.
Los orígenes de datos WMI cliente pueden tener zonas horarias independientes porque la zona horaria
se determina en la consulta enviada al servidor WMI.
Véase también
Adición de un origen de datos cliente en la página 114
Antes de empezar
Agregue el origen de datos al receptor (véase Adición de un origen de datos).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos.
2 Seleccione el origen de datos al que desee agregar el cliente y haga clic en Clientes.
La página Clientes de orígenes de datos enumera los clientes que forman parte actualmente del origen de
datos seleccionado.
Los eventos se dirigen al origen de datos (principal o cliente) que sea más específico. Por ejemplo,
supongamos que tiene dos orígenes de datos cliente, uno con la dirección IP 1.1.1.1 y otro con la
dirección IP 1.1.1.0/24, que abarca un rango. Ambos son del mismo tipo. Si un evento coincide con
1.1.1.1, se dirige al primer cliente porque es más específico.
Véase también
Orígenes de datos cliente en la página 114
Página Clientes de orígenes de datos en la página 115
Página Agregar clientes de orígenes de datos en la página 115
Véase también
Adición de un origen de datos cliente en la página 114
Véase también
Adición de un origen de datos cliente en la página 114
Localización de un cliente
La página Clientes de orígenes de datos incluye todos los clientes del sistema. Como es posible tener más de
65 000 clientes, se proporciona una función de búsqueda para poder localizar uno concreto en caso de
ser necesario.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic en
Orígenes de datos | Clientes.
• Para editar los orígenes de datos de un receptor mediante la adición de orígenes de datos a la lista
existente, la edición de los orígenes de datos existentes o la eliminación de los orígenes de datos
existentes. Si es lo que necesita hacer, siga este procedimiento.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 Exporte una lista de los orígenes de datos que hay actualmente en el receptor.
a En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de
datos.
c Seleccione la ubicación para la descarga, cambie el nombre de archivo si procede y haga clic en
Guardar.
Aparecerá una hoja de cálculo que muestra los datos sobre los orígenes de datos actuales del
receptor (véase Campos de la hoja de cálculo para la importación de orígenes de datos).
No se puede editar un origen de datos cliente para convertirlo en un origen de datos ni al contrario.
Se abrirá la página Importar orígenes de datos con los cambios realizados en la hoja de cálculo.
i Cierre las ventanas correspondientes a Registro de mensajes e Importar orígenes de datos, haga clic en
Importar y seleccione el archivo guardado.
Véase también
Orígenes de datos de receptor en la página 93
Adición de un origen de datos en la página 94
Administración de orígenes de datos en la página 98
Establecimiento del formato de fecha para los orígenes de datos en la página 112
Traslado de orígenes de datos a otro sistema en la página 129
Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página
131
Visualización de los archivos generados por los orígenes de datos en la página 132
Página Cargar una definición de origen de datos personalizado en la página 117
Véase también
Importación de una lista de orígenes de datos en la página 116
Otros campos
nfxsql_userid Obligatoria.
nfxsql_password Obligatoria.
nfxsql_dbname Nombre de la (Opcional) El valor predeterminado es en blanco.
base de datos
nfxsql_splevel Nivel de Se emplea si Vendor (Proveedor) es IBM (IBM) y Model (Modelo) es
Service Pack ISS Real Secure Desktop Protector (ISS Real Secure Desktop Protector),
ISS Real Secure Network (ISS Real Secure Network) o ISS Real Secure
Server Sensor (ISS Real Secure Server Sensor). El valor
predeterminado es SP4 (SP4).
nfxsql_version (Opcional)
• El valor predeterminado es 9i si el Proveedor es Oracle y el Modelo es
Oracle Audits.
• El valor predeterminado es 3.6 (3.6) si Vendor (Proveedor) es
McAfee y Model (Modelo) es ePolicy Orchestrator, Firewall de
ePolicy Orchestrator o Host IPS de ePolicy Orchestrator.
nfxsql_logtype Tipo de registro Obligatoria si el Proveedor es Oracle y el Modelo es Oracle Audits (FGA,
GA o ambas).
nfxsql_sid SID de base de Opcional si el Proveedor es Oracle y el Modelo es Oracle Audits. El valor
datos predeterminado es en blanco.
Estos campos se encuentran en la hoja de cálculo. Sin embargo, se requiere un archivo de certificación,
de forma que actualmente se omiten.
fs_record_lines Número de líneas Se usa si existe compatibilidad con formato de archivo plano. El valor
por registro predeterminado es 1.
fs_file_check Intervalo El valor predeterminado es 15 minutos.
fs_file_completion El valor predeterminado es 60 segundos.
fs_share_path El valor predeterminado es en blanco.
fs_filename Expresión comodín Obligatoria.
fs_share_name Obligatoria si el Protocolo es cifs o nfs (de lo contrario, no se
usa).
fs_username Se emplea si el Protocolo es cifs, ftp o scp. El valor
predeterminado es en blanco.
fs_password Se emplea si el Protocolo es cifs, ftp o scp. El valor
predeterminado es en blanco.
fs_encryption Se emplea si el Protocolo es ftp o http. El valor
predeterminado es no. También se usa si hay compatibilidad
con formato de archivo plano y el Protocolo es ftp.
snmp_authproto Protocolo de Los valores válidos son MD5 o SHA1. Obligatoria si:
autenticación
• traptype = v3trap y secLevel = authPriv o authNoPriv.
• traptype = v3inform y secLevel = authPriv o authNoPriv con
otros tipos de capturas. El valor predeterminado es
MD5.
snmp_privproto Protocolo de privacidad Los valores válidos son: DES y AES. Obligatoria si:
• traptype = snmpv3trap y secLevel = authPriv.
• traptype = snmpv3inform y secLevel = authPriv.
Para otros tipos de traptype, el valor predeterminado es
DES.
snmp_seclevel Nivel de seguridad Los valores válidos son: noAuthNoPriv, authNoPriv y authPriv.
Obligatoria si traptype = v3trap o v3inform.
Para otros tipos de traptype, el valor predeterminado es
noAuthNoPriv.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
2 Seleccione los orígenes de datos que desee migrar y haga clic en Migrar.
Véase también
Página Migrar orígenes de datos en la página 129
Véase también
Migración de orígenes de datos a otro receptor en la página 129
Antes de empezar
Para llevar a cabo esta función es necesario disponer de derechos de administración de
dispositivos en ambos receptores.
Utilice este procedimiento para mover orígenes de datos de un receptor situado en una ubicación
segura a un receptor situado en una ubicación no segura.
• Si realiza un cambio en las reglas de correlación del segundo receptor, el motor de correlación no
procesará esas reglas. Cuando se mueven los datos de correlación, se insertan esos eventos desde
el archivo.
Crear un archivo 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después,
que describa los haga clic en Origen de datos | Importar.
orígenes de datos
2 Localice el archivo de orígenes de datos movido y haga clic en Cargar.
Importar archivos 1 En el árbol de navegación del sistema, acceda a Orígenes de datos en el segundo
de datos sin receptor y haga clic en Importar.
procesar y archivos
de orígenes de 2 Localice el archivo de orígenes de datos movido y haga clic en Cargar. La página
datos Importar orígenes de datos muestra los orígenes de datos que se importarán.
3 En la lista Perfil de recurso compartido remoto, seleccione la ubicación en la que guardó
los archivos de datos sin procesar. Si el perfil no aparece, haga clic en Perfil de
recurso compartido remoto y agregue el perfil (véase Configuración de perfiles).
4 Haga clic en Aceptar.
Véase también
Orígenes de datos de receptor en la página 93
Adición de un origen de datos en la página 94
Administración de orígenes de datos en la página 98
Establecimiento del formato de fecha para los orígenes de datos en la página 112
Importación de una lista de orígenes de datos en la página 116
Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página
131
Visualización de los archivos generados por los orígenes de datos en la página 132
• Leer final de archivo(s): los registros se leen de forma remota y solamente se leen los eventos nuevos.
Cada vez que se lee el registro, la lectura empieza en el punto donde se detuvo anteriormente. Si
el archivo cambia de forma significativa, esto se detecta y se vuelve a leer todo el archivo desde el
principio.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, haga clic en el receptor y, después, en el icono Agregar origen
de datos de la barra de herramientas de acciones.
2 Proporcione la información solicitada y seleccione Origen de archivo CIFS u Origen de archivo NFS en el
campo Recuperación de datos.
3 En el campo Método de recopilación, seleccione Leer final de archivo(s) y rellene los campos siguientes.
• Registros multilínea delimitados: seleccione esta opción para especificar si los eventos tienen una
longitud dinámica.
• Delimitador de eventos: introduzca una cadena de caracteres que indiquen el final de un evento y el
comienzo de otro. Estos delimitadores varían en gran medida y dependen del tipo de archivo de
registro.
• El delimitador es regex: seleccione esta opción si el valor del campo Delimitador de eventos se debe
analizar como una expresión regular en lugar de como un valor estático.
• Modo de lectura de final: seleccione Principio para analizar los archivos encontrados en la primera
ejecución completamente o Fin para tener en cuenta el tamaño del archivo y recopilar solo los
eventos nuevos.
• Recursividad de subdirectorios: seleccione esta opción para aplicar la recopilación de lectura de final a
los directorios secundarios (subdirectorios) y buscar coincidencias con el campo de expresión
comodín. Si no se selecciona, solamente se buscan los archivos del directorio principal.
Véase también
Orígenes de datos de receptor en la página 93
Adición de un origen de datos en la página 94
Administración de orígenes de datos en la página 98
Establecimiento del formato de fecha para los orígenes de datos en la página 112
Importación de una lista de orígenes de datos en la página 116
Traslado de orígenes de datos a otro sistema en la página 129
Visualización de los archivos generados por los orígenes de datos en la página 132
Página Agregar origen de datos en la página 96
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
• Cambie la configuración en el campo Intervalo de tiempo a fin de ver únicamente los archivos
generados durante ese intervalo.
Véase también
Orígenes de datos de receptor en la página 93
Adición de un origen de datos en la página 94
Administración de orígenes de datos en la página 98
Establecimiento del formato de fecha para los orígenes de datos en la página 112
Importación de una lista de orígenes de datos en la página 116
Traslado de orígenes de datos a otro sistema en la página 129
Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página
131
Para ver las guías de configuración de los orígenes de datos actuales, diríjase al Centro de
conocimiento.
• ERC-1250 • ENMELM-5750
• ERC-2230 • ENMELM-6000
• ERC-2250 • ELMERC-2230
• ERC-2600 • ELMERC-2250
• ERC-3450 • ELMERC-2600
• ERC-4245 • ELMERC-4245
• ERC-4600 • ELMERC-4600
• ENMELM-2250 • ESMREC-4245
• ENMELM-4245 • ESMREC-5205
• ENMELM-4600 • ESMREC-5510
• ENMELM-5205
El ERC-110 solo admite 50 orígenes de datos y, el resto, puede tener un máximo de 200.
Si utiliza McAfee Firewall Enterprise Event Reporter (ERU), solo estarán disponibles los orígenes de
datos de McAfee.
• Adiscon
También puede consultar las guías de configuración actuales de estos orígenes de datos en el Centro
de conocimiento.
WMI no es conforme a FIPS. Si está obligado a adecuarse a las normativas de FIPS, no utilice esta
función.
Los registros de eventos de WMI se configuran a modo de origen de datos y se envían a través del
receptor. El receptor sondea el servidor de Windows en el intervalo establecido y recopila los eventos.
El recopilador de WMI puede recopilar eventos de cualquier registro de eventos del equipo Windows.
De forma predeterminada, el receptor recopila registros de seguridad, administración y eventos. Es
posible introducir otros archivos de registro, tales como los de Servicio de directorio o Exchange. Los
datos de registro de eventos se recopilan en el paquete y se pueden visualizar en los detalles de la
tabla de eventos.
Para obtener instrucciones sobre la configuración de WMI y syslog a través de Adiscon, consulte
Configuración de Adiscon.
Cuando se configura un origen de datos de WMI, el proveedor es Microsoft y el modelo es WMI Event Log.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 Cree un usuario nuevo en el sistema Windows 2008 o 2008 R2 donde desee leer los registros de
eventos.
3 Cree un nuevo origen de datos Microsoft WMI Event Log en McAfee Event Receiver, introduciendo
para ello las credenciales del usuario creado en el Paso 1 (véase Adición de un origen de datos).
Cuando se activa el origen de datos de correlación, el ESM envía alertas al motor de correlación del
receptor.
La sintaxis de una regla que emplee la asociación de la gravedad sería similar a la siguiente (la
asociación de gravedad está en negrita solo para resaltarla):
alert any any any -> any any (msg:"McAfee Traffic"; content:"syslogalertforwarder";
severity_map:High=99,Medium=55,Low=10; pcre:"(SyslogAlertForwarder)\x3a\s+Attack\s+
([^\x27]+)\x27([^\x28]+)\x28"; raw; setparm:application=1; setparm:msg=2;
setparm:severity=3; adsid:190; rev:1;)
setparm : severity=3. Esto indica que hay que tomar la tercera captura y configurarla como la
gravedad. Todos los modificadores de setparm funcionan de esta forma.
• action_map: se utiliza igual que en el caso de la gravedad. La acción representa la acción realizada
por el dispositivo de terceros. El objetivo en este caso es crear una asignación que resulte útil al
usuario final. Por ejemplo, este es un mensaje de error de inicio de sesión procedente de OpenSSH.
Dec 6 10:27:03 nina sshd[24259]: Failed password for root from 10.0.12.20 port
49547 ssh2
alert any any any -> any any (msg:"SSH Login Attempt"; content:"sshd";
action_map:Failed=9,Accepted=8;
pcre:"sshd\x5b\d+\x5d\x3a\s+((Failed|Accepted)\s+password)\s+for\s+((invalid|
illegal)\s+user\s+)?(\S+)\s+from\s+(\S+)(\s+(\S+)\s+port\s+(\d+))?"; raw;
setparm:msg=1; setparm:action=2; setparm:username=5; setparm:src_ip=6; adsid:190;
rev:1;)
La acción (Failed) se ha asignado a un número. Este número representa las distintas acciones que
se pueden utilizar en el sistema. A continuación se encuentra la lista completa de tipos de acciones
que se pueden utilizar.
• 0 = nulo • 20 = detención
• 1 = paso • 21 = Detección
• 2 = rechazo • 22 = De confianza
• 3 = supresión • 23 = No fiable
• 5 = alerta • 25 = alerta-rechazo
• 6 = predeterminado • 26 = alerta-supresión
• 7 = fallo • 27 = alerta-sdrop
• 8 = correcto • 28 = reinicio
• 9 = error • 29 = bloqueo
• 10 = emergencia • 30 = limpieza
• 11 = crítico • 31 = limpieza-error
• 12 = advertencia • 32 = continuación
• 13 = informativo • 33 = infectado
• 14 = depuración • 34 = movimiento
• 15 = estado • 35 = movimiento-error
• 16 = adición • 36 = cuarentena
• 17 = modificación • 37 = cuarentena-error
• 18 = eliminación • 38 = eliminación-error
• 19 = inicio • 39 = denegado
En este ejemplo, se asigna la acción Failed del mensaje de syslog al 9, lo que el sistema
interpreta como Error.
Alert any any any -> any any (msg:”Login Attempt”; content:”sshd”; action_map or
severity_map (if you need it); pcre:”your regular expression goes here”; raw;
setparm:data_tag_goes_here; adsid:190; rev:1;)
Es posible agregar un origen de datos ASP al receptor mediante la selección de Syslog como
proveedor (véase Adición de un origen de datos). Una vez hecho esto, siga las instrucciones del
fabricante del dispositivo para configurar el dispositivo syslog a fin de enviar datos de syslog a la
dirección IP del receptor.
Cuando se agrega un origen ASP, es necesario aplicar una directiva antes de la recopilación de datos
de eventos. Si activa Admitir syslogs genéricos, podrá aplicar una directiva sin reglas y empezar a recopilar
datos de eventos de forma genérica.
Algunos orígenes de datos, incluidos los servidores Linux y UNIX, pueden producir grandes cantidades
de datos no uniformes que provocan que el receptor no agrupe adecuadamente las apariciones de
eventos similares. Esto produce el aspecto de una amplia gama de eventos distintos cuando, en
realidad, es un mismo evento que se repite con datos de syslog distintos que se envían al receptor.
La adición de reglas al ASP permite sacar el máximo partido de los datos de eventos. El ASP emplea
un formato muy similar al de Snort.
ACTION Protocol Src_ip Src_port -> Dst_ip Dst_port (keyword: option; keyword:
option;...;)
Al concatenar un valor literal con una subcaptura de PCRE en las versiones 9.0.0 y posteriores, coloque
los literales entre comillas individualmente si contienen espacios u otros caracteres y deje las
referencias a subcapturas de PCRE sin entrecomillar.
Acción Qué hacer con el evento cuando se produzca una coincidencia. Las
opciones son:
• ALERT: registrar el evento
• DROP: registrar el evento pero no reenviarlo
• SDROP: no registrar el evento ni reenviarlo
• PASS: reenviarlo si se ha definido, pero no registrarlo
Etiqueta Descripción
* sid Este parámetro capturado omite el sid de la regla coincidente.
* msg Este parámetro capturado omite el mensaje o el nombre de la regla coincidente.
* action Este parámetro capturado indica qué acción realizó el dispositivo de terceros.
* protocol
* src_ip Esto sustituye la IP del origen de syslog, que es la IP de origen predeterminada
para un evento.
* src_port
* dst_ip
* dst_port
* src_mac
* dst_mac
* dst_mac
* genid Se emplea para modificar el sid almacenado en la base de datos, que se usa para
las coincidencias de snort ajenas a McAfee en los preprocesadores snort.
* url Reservada y sin uso por ahora.
* src_username Primer nombre de usuario/nombre de usuario de origen.
* username Nombre alternativo para src_username.
* dst_username Segundo nombre de usuario/nombre de usuario de destino.
* domain
* hostname
* application
Etiqueta Descripción
* severity Debe ser un número entero.
* action map Permite asignar acciones específicas de su producto a las acciones de McAfee. En
el mapa de acciones se distingue entre mayúsculas y minúsculas. Ejemplo: alert
any any any -> any any (msg:"OpenSSH Accepted Password"; content:"Accepted
password for "; action_map:Accepted=8, Blocked=3; pcre:"(Accepted)\s
+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)";
setparm:action=1; sid:31; rev:1;)). Véase Asociación de gravedades y acciones
para obtener detalles.
* severity map Permite asignar gravedades específicas de su producto a la gravedad de McAfee.
Al igual que el mapa de acciones, en el mapa de gravedades se distingue entre
mayúsculas y minúsculas. Ejemplo: alert any any any -> any any (msg:"OpenSSH
Accepted Password"; content:"Accepted password for "; severity_map:High=99,
Low=25, 10=99, 1=25; pcre:"(Accepted)\s+password\s+for\s+(\S+)\s+from\s+
(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;))pri(?:
\x3d|\x3a)\s*(?:p\x5f)?([^\x2c]+). Véase Asociación de gravedades y acciones
para obtener detalles.
* var Otra forma de utilizar setparm. La ventaja es la posibilidad de crear un valor a
partir de diversas capturas de varias PCRE. Es posible crear más de una PCRE que
capture solo una pequeña porción de la cadena en lugar de una PCRE larga con
varias capturas. A continuación se ofrece un ejemplo para capturar un nombre de
usuario y un dominio, además de crear una dirección de correo electrónico a fin de
almacenarla en el campo objectname.
• Sintaxis = var:field=${PCRE:Capture}
• PCRE = no la PCRE real, sino su número correspondiente. Si la regla tiene dos
PCRE, sería la PCRE 1 o 2.
• Captura = no la captura real, sino su número (primera, segunda o tercera
captura [1,2,3]).
• Mensaje de muestra: Un hombre llamado Jim trabaja para McAfee.
• PCRE: (Jim).*?(McAfee)
• Regla: alert any any any -> any any (msg:"Var User Jim"; content:"Jim";
pcre:"(Jim)"; pcre:"(McAfee)"; var:src_username=${1:1}; var:domain=${2:1};
var:objectname=${1:1}@${2:1}.com raw; classtype:unknown; adsid:190; sev:
25; sid:610061000; rev:1; normID:1209008128; gensys:T;)
• Usuario de origen asignado: Jim
• Dominio asignado: McAfee
• objectname asignado: Jim@McAfee.com
Etiqueta Descripción
* firsttime_fmt Se usa para establecer la primera aparición del evento. Véase la lista de formatos.
* lasttime_fmt Se usa para establecer la última aparición del evento. Véase la lista de formatos.
Esto se puede utilizar con setparm o con var (var:firsttime="${1:1}" o
setparm:lasttime="1"). Por ejemplo:
alert any any any -> any any (msg:"SSH Login Attempt"; content:"content";
firsttime_fmt:"%Y-%m-%dT%H:%M:%S.%f"; lasttime_fmt:"%Y-%m-%dT%H:
%M:%S.%f" pcre:"PCRE goes here; raw; setparm:firsttime=1;
setparm:lasttime=1; adsid:190; rev:1;)
%Y - %d - %m %H : %M : %S
%m - %d - %Y %H : %M : %S
%b %d %Y %H : %M : %S
%b %d %Y %H - %M - %S
%b %d %H : %M : %S %Y
%b %d %H - %M - %S %Y
%b %d %H : %M : %S
%b %d %H - %M - %S
%Y %H : %M : %S
%Y %H - %M - %S
%m - %d - %Y
%H : %M : %S
%H - %M - %S
%d es la fecha (1-31)
%H corresponde a la hora (1-24)
%M son los minutos (0-60)
%S son los segundos (0-60)
%b es la abreviatura del mes (feb, may)
A continuación se ofrece un ejemplo de una regla que identifica una contraseña a partir de un inicio de
sesión OpenSSH y extrae del evento la dirección IP, el puerto de origen y el nombre de usuario:
alert any any any -> any any (msg:"OpenSSH Accepted Password";content:"Accepted
password for ";pcre:"Accepted\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s
+port\s+(\d+)";setparm:username=1;setparm:src_ip=2;setparm:src_port=3;sid:31;rev:1;)
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, haga clic en un receptor y, después, en el icono Agregar origen
de datos .
2 Seleccione Genérico en el campo Proveedor de origen de datos y, después, seleccione Analizador de syslog
avanzado en el campo Modelo de origen de datos.
Se le aplicará a los datos de este origen de datos un formato legible para el receptor cuando los
reciba.
Al contrario que algunos de los otros tipos de orígenes de datos admitidos por el receptor, SDEE
emplea un modelo de "extracción", no de "inserción". Esto significa que, periódicamente, el receptor
contacta con el proveedor SDEE y solicita los eventos generados desde la hora del último evento
solicitado. Cada vez que se recuperan eventos del proveedor SDEE, se procesan y almacenan en la
base de datos de eventos del receptor, listos para su recuperación por parte del ESM.
Es posible agregar un proveedor SDEE a un receptor a modo de origen de datos mediante la selección
de Cisco como proveedor y de IOS IPS (SDEE) como modelo de origen de datos (véase Adición de un
origen de datos).
• Protocolo
• Número de eventos (CIDEE proporciona una forma de agregación de eventos que el receptor
respeta)
• ID de firma e ID secundario
• El ID de evento del ESM se calcula a partir del ID de firma y el ID de firma secundario de SDEE
mediante la siguiente fórmula:
• VLAN
• Gravedad
Si el receptor va a conectar con el proveedor SDEE por primera vez, la fecha y hora actuales se
emplean como punto de partida para solicitar eventos. Las conexiones futuras solicitarán todos los
eventos desde la última extracción correcta.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
2
Haga clic en el icono Agregar origen de datos de la barra de herramientas de acciones.
3 Seleccione ArcSight en el campo Proveedor de origen de datos y, después, seleccione Formato de evento común
en el campo Modelo de origen de datos.
7 Configure un origen de datos por cada origen que reenvíe datos al dispositivo ArcSight.
Los datos recibidos de ArcSight se analizan para poder visualizarlos en la consola de ESM.
• Versión es un número entero que identifica la versión del formato CEF. Los consumidores de eventos
utilizan esta información para determinar lo que representan los campos. Actualmente, solo está
establecida la versión 0 (cero) de este formato. Con el paso del tiempo, es posible que sea
necesario agregar otros campos al "prefijo", lo que requeriría un cambio de número de versión. La
adición de formatos nuevos se gestiona a través del organismo de estandarización.
• Proveedor de dispositivo, Producto de dispositivo y Versión de dispositivo son cadenas que identifican de forma
exclusiva el tipo de dispositivo remitente. Dos productos no pueden emplear el mismo par de
proveedor y producto de dispositivo. Ninguna autoridad central administra estos pares. Los
creadores de los eventos tienen que garantizar la asignación de pares de nombres exclusivos.
• IDClaseEventoDispositivo es un identificador exclusivo del tipo de evento. Puede ser una cadena o un
número entero. IDClaseEventoDispositivo identifica el tipo de evento. En el ámbito de los sistemas
de detección de intrusiones (IDS), cada firma o regla que detecta cierta actividad tiene un
IDClaseEventoDispositivo exclusivo asignado. Esto también es un requisito para otros tipos de
dispositivos, y ayuda a los motores de correlación a manipular los eventos.
• Nombre es una cadena que representa una descripción legible y comprensible para los usuarios
sobre el evento. El nombre del evento no debe contener información específicamente mencionada
en otros campos. Por ejemplo: "Barrido de puertos desde 10.0.0.1 con destino en 20.1.1.1" no es
un nombre de evento adecuado. Debería ser: "Barrido de puertos". El resto de información es
redundante y se puede obtener en los otros campos.
• Gravedad es un número entero y refleja la importancia del evento. Solo se permiten los números del
0 al 10, donde el 10 indica el evento de mayor importancia.
• Extensión es una recopilación de pares de clave y valor. Las claves forman parte de un conjunto
predefinido. El estándar permite la inclusión de claves adicionales, tal y como se explica
posteriormente. Un evento puede contener cualquier número de pares de clave-valor en cualquier
orden y separados por espacios. Si un campo contiene un espacio, como por ejemplo un nombre de
archivo, no supone un problema y se puede registrar exactamente tal cual. Por ejemplo:
Si utiliza NetWitness, el dispositivo se debe configurar correctamente para el envío de CEF al receptor.
De forma predeterminada, el formato CEF cuando se emplea NetWitness tendrá el siguiente aspecto:
CEF:0|Netwitness|Informer|1.6|{name}|{name}|Medium | externalId={#sessionid}
proto={#ip.proto} categorySignificance=/Normal categoryBehavior=/Authentication/Verify
categoryDeviceGroup=/OS categoryOutcome=/Attempt categoryObject=/Host/Application/
Service act={#action} deviceDirection=0 shost={#ip.host} src={#ip.src}
spt={#tcp.srcport} dhost={#ip.host} dst={#ip.dst} dport={#tcp.dstport}
duser={#username} dproc=27444 fileType=security cs1={#did} cs2={#password} cs3=4 cs4=5
cn1={#rid} cn2=0 cn3=0
Configuración de Adiscon
Se admite el uso de WMI y syslog a través de Adiscon.
Se debe utilizar la siguiente cadena de formato en Event Reporter con el fin de que el origen de datos
de eventos de Windows de Adiscon para Microsoft funcione correctamente:
%sourceproc%,%id%,%timereported:::uxTimeStamp%,%user%,%category%,%Param0%;%Param1%;
%Param2%;%Param3%;%Param4%;%Param5%;%Param6%;%Param7%;%Param8%;%Param9%;%Param10%;
%Param11%;%Param12%;%Param13%;%Param14%;%Param15%
Con esta situación como ejemplo, sería necesario configurar el origen de datos de retransmisión de
syslog (5) para recibir el flujo de datos de retransmisión de syslog (4) mediante la selección de syslog
en el campo Retransmisión de syslog. Una vez configurado el origen de datos de retransmisión de syslog,
habría que agregar los orígenes de datos de los dispositivos individuales (6, 7 y 8), seleccionando para
ello Ninguna en el campo Retransmisión de syslog, ya que este dispositivo no es un servidor de
retransmisión de syslog.
La función Cargar mensajes de syslog no funciona con una configuración de retransmisión de syslog.
El encabezado de syslog debe configurarse para que tenga un aspecto similar al del siguiente ejemplo:
1 <123> 345 Oct 7 12:12:12 2012 mcafee.com httpd[123]
Donde:
El nombre de host y los campos de datos pueden aparecer en cualquier orden. Una dirección IPv6 se
puede delimitar entre corchetes [ ].
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
c Haga clic en Buscar. Los archivos de actualización del producto se encuentran bajo el vínculo de
descarga de MFE <nombre_producto> <versión>.
La herramienta debería ser capaz de encontrar la ruta de acceso predeterminada de NSM. En caso
contrario, acceda a ella.
4 Introduzca el nombre de usuario y la contraseña de SIEM del origen de datos y la dirección IP del
receptor al que se agregará el origen de datos.
El campo Nombre de la base de datos es obligatorio. Si el nombre de la base de datos contiene un guión,
deberá delimitar el nombre mediante corchetes (por ejemplo, [ePO4_WIN-123456]).
La opción Consulta de ePO permite realizar una consulta en el dispositivo ePolicy Orchestrator y crear
orígenes de datos cliente. Si se selecciona la opción predeterminada de Coincidir por tipo en el campo Usar
orígenes de datos cliente y se hace clic en Consulta de ePO, se consulta el dispositivo ePolicy Orchestrator y
cualquier producto compatible con ePolicy Orchestrator se agrega a modo de origen de datos cliente.
• ANTISPYWARE • MNAC
• DLP • POLICYAUDITOR
• EPOAGENT • SITEADVISOR
• GSD • VIRUSCAN
• GSE • SOLIDCORE
• HOSTIPS
Si se selecciona Hacer coincidir en IP, se consulta el dispositivo ePolicy Orchestrator y se crean orígenes de
datos cliente para todos los endpoints de la base de datos de ePolicy Orchestrator. Si existen más de
256 endpoints en la base de datos de ePolicy Orchestrator, se crean varios orígenes de datos con
clientes.
Al agregar un origen de datos de ePolicy Orchestrator y hacer clic en Aceptar para guardarlo, se le
pregunta si desea usar el origen de datos a fin de configurar los datos de McAfee Risk Advisor. Si hace
clic en Sí, se crearán y desplegarán una regla de origen de enriquecimiento de datos y dos reglas de
calificación ACE (si procede). Para verlas, acceda a las páginas Enriquecimiento de datos y Calificación de
correlación de riesgos. Para utilizar las reglas de calificación es necesario crear un administrador de
correlación de riesgos (véase Adición de un administrador de correlación de riesgos).
Existen dos opciones de tipo de dispositivo disponibles: Servidor y Dispositivo gestionado. La configuración
de un origen de datos con el tipo de dispositivo Servidor seleccionado es el requisito mínimo para
recopilar eventos de un servidor de SiteProtector.
Una vez configurado el origen de datos de servidor de SiteProtector, todos los eventos recopilados
mediante SiteProtector se muestran como pertenecientes a ese origen de datos, independientemente
del activo real que informó del evento al servidor de SiteProtector. Para ampliar la categorización de
los eventos en función del activo gestionado que informó del evento a SiteProtector, es posible
configurar orígenes de datos de SiteProtector adicionales con el tipo de dispositivo Dispositivo gestionado
seleccionado.
La opción Avanzadas situada en la parte inferior de la página permite definir una dirección URL que se
puede utilizar para ejecutar URL específicas al visualizar los datos de evento. También se puede definir
un proveedor, un producto y una versión para su uso en el reenvío de eventos con formato de evento
común (CEF). Esta configuración es opcional.
Para que el receptor envíe consultas a la base de datos de SiteProtector sobre eventos, la instalación
de Microsoft SQL Server que alberga la base de datos utilizada por SiteProtector debe aceptar
conexiones del protocolo TCP/IP.
Véase la documentación de Microsoft SQL Server a fin de conocer el procedimiento para activar este
protocolo y definir el puerto utilizado para estas conexiones (el predeterminado es el puerto 1433).
Cuando el receptor conecta con la base de datos de SiteProtector por primera vez, se recuperan los
eventos nuevos generados tras la hora actual. En las conexiones futuras, se solicitan todos los eventos
que se han producido tras el último evento recuperado correctamente.
• Protocolo • Gravedad
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 Agregue un origen de datos principal para el SMS/CMA donde esté almacenado el certificado o la
aplicación OPSEC o, en el caso de un receptor de disponibilidad alta, el SMS/CMA principal.
OPSEC no es conforme a FIPS. Si está obligado a adecuarse a las normativas de FIPS, no utilice esta
función (véase el Apéndice A).
SIC Error for lea: Peer sent • Proporcione una cadena para el cuadro de texto Nombre distintivo de entidad de
wrong DN: <expected dn> servidor mediante la introducción de la cadena que representa "<DN
(Error SIC para lea: esperado>" en el mensaje de error.
el componente envió
un nombre distintivo Una alternativa es localizar el nombre distintivo del servidor de registro de
incorrecto: <nombre Check Point consultando el objeto network del servidor de registro de
distintivo esperado>) Check Point en la interfaz de usuario de SmartDashboard.
El nombre distintivo del SMS/CMA será similar al de la aplicación OPSEC,
basta con sustituir la primera entrada por CN=cp_mgmt. Por ejemplo,
supongamos que el nombre distintivo de la aplicación OPSEC es
CN=mcafee_OPSEC,O=r75..n55nc3. El nombre distintivo del SMS/CMA
sería CN=cp_mgmt,O=r75..n55nc3. El nombre distintivo del servidor de
registro tendría este aspecto: CN=CPlogserver,O=r75..n55nc3.
6 Agregue un origen de datos secundario por cada firewall, servidor de registro o SMS/CMA
secundario administrado por el origen de datos principal configurado (véase Adición de un origen
de datos secundario).
Véase también
Adición de un origen de activos en la página 150
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de
activos.
Véase también
Orígenes de activos de receptor en la página 150
Por lo general, el usuario conoce los orígenes que almacenan registros en el ELM y los grupos de
almacenamiento necesarios. Lo que resulta desconocido son los dispositivos de almacenamiento
necesarios que contienen los datos. El mejor enfoque para hacer frente a esta incertidumbre es:
A partir de la versión 9.0.0, los grupos de almacenamiento de ELM requieren un 10 % del espacio
asignado para la sobrecarga de duplicación. Asegúrese de tener en cuenta este 10 % al calcular el
espacio necesario.
2 Configure los dispositivos de almacenamiento ELM de forma que cumplan los requisitos estimados.
4 Utilice la información sobre estadísticas de almacenamiento del ELM a fin de modificar las
configuraciones del dispositivo de almacenamiento para ajustarlas a los requisitos de
almacenamiento de datos reales.
2 Definir los orígenes El objetivo aquí es definir todos los orígenes de los registros almacenados
de datos de en el ELM y calcular el promedio de tamaño en bytes de los registros y el
registro promedio de registros generados por día en cada caso. Basta con que se
trate de un cálculo estimativo. Puede que resulte más fácil estimar el
promedio de tamaño en bytes de los registros y el promedio de registros
generados al día por cada tipo de origen (como por ejemplo firewall,
enrutador, Nitro IPS, ADM, DEM o ELM) y, después, estimar el número de
orígenes de cada tipo. El siguiente paso requiere la asociación de cada
origen con un tiempo de retención definido en el Paso 1, así que
asegúrese de tener esto en cuenta a la hora de calcular los tipos de
orígenes (por ejemplo, firewall SOX o DEM PCI).
3 Definir los grupos En función de los requisitos de instalación de ELM, asocie cada origen u
de almacenamiento origen de registros con un tiempo de retención de datos y defina el
conjunto de grupos de almacenamiento necesarios para la instalación de
ELM.
5 Crear dispositivos Cree uno o varios dispositivos de almacenamiento ELM de forma que
de almacenamiento sean suficientemente grandes como para almacenar los datos de cada
inicial ARIGB (véase Adición de un dispositivo de almacenamiento para vincular
con un grupo de almacenamiento).
6 Cree grupos de Por cada grupo de almacenamiento definido en el Paso 3, cree un grupo
almacenamiento de almacenamiento de ELM con el tiempo retención asociado del Paso 1,
los valores de ARIGB del Paso 4 y los dispositivos de almacenamiento
asociados del Paso 5 (véase Adición de un grupo de almacenamiento).
7 Iniciar el registro Configure los orígenes para que envíen sus registros al ELM, y deje que
de datos lo hagan durante uno o dos días.
9 Modificar o crear Por cada valor de ARGB del Paso 8, modifique o cree dispositivos de
dispositivos de almacenamiento ELM para que tengan capacidad de almacenar los datos
almacenamiento de ARGB.
10 Modificar los Si fuera necesario, modifique cada uno de los grupos de almacenamiento
grupos de creados en el Paso 6 mediante la adición de los dispositivos de
almacenamiento almacenamiento creados en el Paso 9, o bien aumente la asignación de
los dispositivos de almacenamiento existentes.
Para obtener detalles sobre la estimación y el ajuste de los requisitos de almacenamiento del sistema,
véase Configuración de ELM.
Tipo de Detalles
dispositivo
NFS Para editar el punto de montaje remoto del dispositivo de almacenamiento que
contiene la base de datos de administración de ELM, use la opción Migrar base de datos
a fin de mover la base de datos a un dispositivo de almacenamiento distinto (véase
Migración de la base de datos de ELM). Entonces, es posible cambiar de forma
segura el campo de punto de montaje remoto y mover la base de datos de vuelta al
dispositivo de almacenamiento actualizado.
CIFS • El uso de un tipo de recurso compartido CIFS con versiones del servidor Samba
posteriores a la 3.2 puede provocar la fuga de datos.
• Al conectar con un recurso compartido CIFS, no utilice comas en la contraseña.
• Si emplea un equipo Windows 7 como recurso compartido CIFS, véase
Desactivación del uso compartido de archivos en el Grupo Hogar.
Tipo de Detalles
dispositivo
SAN La opción SAN solo está disponible si existe una tarjeta SAN instalada en el ELM y
hay volúmenes SAN disponibles.
Local virtual Esta opción solo está disponible si se ha agregado un dispositivo virtual local al ELM
virtual. Es necesario aplicar formato al dispositivo antes de usarlo para el
almacenamiento (véase Configuración de una unidad local virtual para almacenar
datos).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
3 Haga clic en el perfil Casa o trabajo y asegúrese de que esté etiquetado como su perfil actual.
5 Acceda a la carpeta que desee compartir mediante CIFS (inténtelo antes con la carpeta pública) y
haga clic con el botón derecho en ella.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupos de
almacenamiento.
Véase también
Página Agregar dispositivo de almacenamiento en la página 156
Página Elegir un dispositivo de almacenamiento en la página 157
Véase también
Adición de un dispositivo de almacenamiento para vincular con un grupo de almacenamiento
en la página 155
Espacio de almacenamiento Seleccione la cantidad máxima de espacio del dispositivo para almacenar
datos.
Véase también
Adición de un dispositivo de almacenamiento para vincular con un grupo de almacenamiento
en la página 155
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupo de
almacenamiento.
2 Haga clic en Agregar o en Editar junto a la tabla inferior y rellene o modifique la información
solicitada.
Es posible editar los parámetros una vez guardados y eliminar un grupo de almacenamiento, siempre
que este y los dispositivos que tiene asignados no estén almacenando datos.
Véase también
Página Grupos de almacenamiento en la página 158
Página Agregar grupo de almacenamiento en la página 158
Véase también
Adición o edición de un grupo de almacenamiento en la página 157
Columna Activado Seleccione los dispositivos que desee activar para almacenar datos. Los
dispositivos de almacenamiento duplicados se desactivan hasta que
termina el proceso de duplicación.
Véase también
Adición o edición de un grupo de almacenamiento en la página 157
Antes de empezar
Configure el dispositivo de almacenamiento al que desee mover el grupo de
almacenamiento a modo de duplicado del dispositivo que alberga actualmente el grupo
(véase Adición de almacenamiento de datos de ELM duplicado).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione el dispositivo ELM que alberga el grupo de
3 En la tabla Grupos de almacenamiento, haga clic en los dispositivos duplicados que aparecen bajo el
grupo que se va a mover.
Si la reducción del tamaño de asignación afectara a los datos, se moverían a otras asignaciones del
grupo, en caso de existir espacio disponible. De lo contrario, se eliminarían los datos más antiguos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupo de
almacenamiento.
2 En la tabla inferior, seleccione el grupo que desee reducir y haga clic en Reducir tamaño.
3 Introduzca la cantidad de reducción que desee aplicar al almacenamiento y haga clic en Aceptar.
Antes de empezar
Agregue los dos dispositivos que desee usar para duplicar los datos al ESM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupos de
almacenamiento.
3 En la página Agregar grupo de almacenamiento, introduzca la información solicitada y haga clic en Agregar
para seleccionar el dispositivo de almacenamiento y el dispositivo de duplicación.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupo de
almacenamiento.
2 Pase el ratón sobre los dispositivos duplicados que muestran un icono de advertencia.
3 Para reconstruir los dispositivos duplicados, haga clic en ellos y, después, en Reconstruir.
Una vez finalizado el proceso, se le notificará que la reconstrucción de la asignación ha sido correcta.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione el ELM que alberga actualmente el grupo de
2 Haga clic en Grupos de almacenamiento, seleccione los dispositivos duplicados en la tabla Grupo de
almacenamiento y haga clic en Editar.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Almacenamiento de
datos.
2 Haga clic en la ficha iSCSI, SAN, DAS o Local virtual y realice los pasos necesarios.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Almacenamiento de
datos.
Si la conexión es correcta, el dispositivo y sus IQN se agregan tanto a la lista Configuración iSCSI como
a la lista Tipo de dispositivo de la página Agregar dispositivo de almacenamiento (véase Adición de un
dispositivo de almacenamiento para vincular con un grupo de almacenamiento).
Una vez que un IQN empieza a almacenar registros de ELM, el destino iSCSI no se puede eliminar.
Debido a esta limitación, asegúrese de configurar el destino iSCSI con espacio suficiente para el
almacenamiento de ELM.
4 Antes de usar un IQN para el almacenamiento de ELM, selecciónelo en la lista y haga clic en
Formato.
5 A fin de comprobar su estado durante la aplicación de formato, haga clic en Comprobar estado.
6 Si desea descubrir o volver a descubrir los IQN, haga clic en el dispositivo iSCSI y, después, en
Descubrir.
Los intentos de asignar más de un dispositivo a un IQN puede provocar la fuga de datos.
Véase también
Ficha iSCSI en la página 163
Página Configuración iSCSI en la página 163
Ficha iSCSI
Permite conectar un dispositivo de almacenamiento iSCSI al ESM para poder almacenar datos del ELM.
Véase también
Adición de un dispositivo iSCSI en la página 162
Véase también
Adición de un dispositivo iSCSI en la página 162
Configuración del almacenamiento de datos de ESM en la página 279
Antes de empezar
Instale una tarjeta SAN en el sistema (véase Instalación de los adaptadores SAN qLogic
2460 o 2562 en la Guía de instalación de McAfee ESM, o bien póngase en contacto con el
Soporte de McAfee).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Almacenamiento de
datos.
2 Haga clic en la ficha SAN y compruebe el estado de los volúmenes SAN detectados.
• Formato necesario: el volumen se debe formatear y no aparece en la lista de volúmenes disponibles
en la página Agregar dispositivo de almacenamiento.
3 Si existe un volumen sin formato y desea almacenar datos en él, haga clic en el volumen y,
después, en Formato.
5 Para ver los detalles de un volumen en la parte inferior de la página, haga clic en el volumen.
Ahora podrá configurar el volumen SAN formateado como dispositivo de almacenamiento de ELM.
Antes de empezar
Configure dispositivos DAS.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione el ELM al que asignará el dispositivo DAS y haga
En un dispositivo todo en uno, es posible asignar el DAS al ESM seleccionando el ESM y haciendo clic
en el icono Propiedades.
3 En la tabla, haga clic en uno de los dispositivos que no se hayan asignado para almacenar datos de
ELM o ESM.
El ELM se reiniciará.
Antes de empezar
Agregue un dispositivo de almacenamiento local virtual al ELM virtual desde su entorno
virtual. Para agregar el almacenamiento, véase la documentación correspondiente al
entorno de máquina virtual.
• VMware
• KVM
• SCSI
• SATA
IDE no se admite.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione el ELM virtual, haga clic en el icono Propiedades
Las particiones raíz y de arranque no están disponibles como opciones de almacenamiento viables.
2 Haga clic en la ficha Local virtual y seleccione un dispositivo de la lista de dispositivos virtuales
disponibles.
La ficha Local virtual solo está disponible si el sistema detecta el almacenamiento virtual.
3 Si la columna Estado indica Formato requerido, haga clic en Formato para aplicar el formato de archivos
ext4 al dispositivo.
Ahora podrá usar este dispositivo para la migración de la base de datos y los grupos de
almacenamiento.
Redundancia de ELM
Puede proporcionar redundancia para el registro si agrega un ELM en espera al ELM autónomo
principal de su sistema.
Para activar la redundancia, defina las direcciones IP y el resto de información de red en dos ELM
(véase Configuración de la redundancia de ELM). El ELM en espera debe disponer de dispositivos de
almacenamiento con una cantidad de espacio combinado que coincida con el espacio de
almacenamiento del ELM activo. Tras configurarlos, la configuración de ambos ELM se sincroniza y el
ELM en espera mantiene la sincronización de los datos entre ambos dispositivos.
Existen varias acciones que se llevan a cabo cuando se emplea la redundancia de ELM: cambiar, volver
a poner en servicio, suspender, eliminar y ver el estado. Todas las acciones están disponibles en la
página Propiedades de ELM | Redundancia de ELM.
Cambio
Si el ELM principal deja de funcionar o es necesario sustituirlo, seleccione Cambiar ELM. El ELM en espera
pasa a estar activo y el sistema asocia todos los dispositivos de registro con él. El registro y las
acciones de configuración se bloquean durante el proceso de cambio.
Suspensión
Es posible suspender la comunicación con el ELM en espera si ha dejado de funcionar o va a dejar de
hacerlo por cualquier motivo. Todas las interrupciones de comunicación y notificaciones de errores
relativas a la redundancia se enmascaran. Cuando el ELM en espera funcione de nuevo, lleve a cabo el
proceso para volver a ponerlo en servicio.
Véase también
Configuración de la redundancia de ELM en la página 166
Antes de empezar
Debe contar con un ELM autónomo instalado (véase la Guía de instalación de McAfee
Enterprise Security Manager 9.5.0) y agregado a la consola de ESM (véase Adición de
dispositivos a la consola de ESM). También se necesita un ELM autónomo instalado, pero no
agregado a la consola. Asegúrese de que no haya datos en el ELM en espera. Póngase en
contacto con el Soporte de McAfee si necesita realizar un restablecimiento a los valores de
fábrica.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, haga clic en el ELM y, a continuación, en el icono Propiedades
3 Escriba la dirección IP y la contraseña del ELM en espera y, a continuación, haga clic en Aceptar.
4 En la página Propiedades de ELM, haga clic en Grupos de almacenamiento y compruebe que esté
seleccionada la ficha Activo.
6 Haga clic en la ficha En espera y, a continuación, agregue dispositivos de almacenamiento que tengan
suficiente espacio combinado para igualar el espacio de almacenamiento del ELM activo.
7 Agregue uno o varios grupos de almacenamiento a cada ELM (véase Adición o edición de un grupo
de almacenamiento).
Véase también
Redundancia de ELM en la página 165
Página Redundancia de ELM en la página 167
Véase también
Configuración de la redundancia de ELM en la página 166
Las tasas de compresión reales variarán en función del contenido de los registros.
• Si está más preocupado por ahorrar espacio en el disco que por el número de registros que se
procesan por segundo, elija la compresión alta.
• Si le interesa más procesar un mayor número de registros por segundo que ahorrar espacio en el
disco, elija la compresión baja.
Véase también
Establecimiento de la compresión de ELM en la página 168
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y, después, haga clic en
Configuración de ELM | Compresión.
Véase también
Administración de la compresión de ELM en la página 168
Página Compresión de ELM en la página 168
Véase también
Establecimiento de la compresión de ELM en la página 168
incluida la base de datos de registro de ELM. Los registros reales que se almacenan en el ELM no se
incluyen en la copia de seguridad.
Se recomienda duplicar los dispositivos que almacenan los datos de registro en el ELM, así como
duplicar la base de datos de administración de ELM. La función de duplicación permite la creación de
copias de seguridad de los datos de registro en tiempo real.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
2 Asegúrese de tener seleccionada la opción Información de ELM y haga clic en Copia de seguridad y
restauración.
Procedimientos
• Restauración de los datos de registro y la base de datos de administración de ELM en la
página 170
Si desea reemplazar un ELM, restaure la base de datos de administración y los datos de
registro en el nuevo ELM. Para que esto funcione, los datos de registro y de la base de
datos deben duplicarse.
Véase también
Página Copia de seguridad y restauración en la página 169
Véase también
Creación de copias de seguridad y restauración de ELM en la página 168
Para restaurar los datos de un ELM antiguo a otro ELM nuevo, no cree un ELM nuevo mediante el
Asistente de adición de dispositivos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione la opción Propiedades de ELM correspondiente al ELM
que se va a reemplazar.
3 Introduzca la dirección IP del nuevo ELM y haga clic en Administración de claves | Aplicar clave a dispositivo.
Se le informará cuando se aplique la clave al nuevo dispositivo de forma correcta.
6 Vuelva a sincronizar todos los dispositivos que registren en el ELM mediante la opción Sincronizar ELM
de la página Propiedades | Configuración de cada dispositivo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y, después, haga clic en
Configuración de ELM | Migrar base de datos.
Véase también
Migración de la base de datos de ELM en la página 171
Sustitución de una base de datos de administración de ELM duplicada en la página 172
Página Seleccionar ubicación de base de datos en la página 171
Véase también
Definición de una ubicación de almacenamiento alternativa en la página 170
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Administración de
ELM.
Aparecerá la página Estadísticas de uso, donde se muestran las estadísticas correspondientes a los
grupos y el dispositivo de almacenamiento de ELM.
Migrar base de datos se puede utilizar en cualquier momento. No obstante, si migra la base de datos de
administración una vez que contiene registros, la sesión de ELM permanece en espera durante varias
horas hasta que finaliza la migración, en función del número de registros que contenga. Se
recomienda definir esta ubicación alternativa al configurar el dispositivo por primera vez.
Véase también
Definición de una ubicación de almacenamiento alternativa en la página 170
Sustitución de una base de datos de administración de ELM duplicada en la página 172
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
icono Propiedades .
Si el dispositivo que desea no aparece en la lista desplegable, agréguelo antes a la tabla Dispositivo de
almacenamiento.
Véase también
Migración de la base de datos de ELM en la página 171
Definición de una ubicación de almacenamiento alternativa en la página 170
Una vez iniciada una búsqueda, continúa ejecutándose hasta que termina o alcanza alguno de los
límites establecidos, incluso si se cierra la página Datos. Puede volver a esta pantalla a fin de
comprobar el estado, que aparece en la tabla Resultados de la búsqueda.
Véase también
Creación de un trabajo de búsqueda en la página 173
Creación de un trabajo de comprobación de integridad en la página 173
Visualización de los resultados de una búsqueda o una comprobación de integridad en la
página 175
Utilización de expresiones regulares para realizar consultas en el ELM en la página 176
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Datos.
2 En la ficha Buscar registros y archivos, rellene la información solicitada y haga clic en Buscar.
Véase también
Recuperación de datos de ELM en la página 172
Creación de un trabajo de comprobación de integridad en la página 173
Visualización de los resultados de una búsqueda o una comprobación de integridad en la
página 175
Utilización de expresiones regulares para realizar consultas en el ELM en la página 176
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Datos.
2 Haga clic en la ficha Comprobación de integridad, realice las selecciones solicitadas y haga clic en Buscar.
Véase también
Recuperación de datos de ELM en la página 172
Creación de un trabajo de búsqueda en la página 173
Visualización de los resultados de una búsqueda o una comprobación de integridad en la
página 175
Utilización de expresiones regulares para realizar consultas en el ELM en la página 176
Ficha Comprobación de integridad en la página 174
Véase también
Creación de un trabajo de comprobación de integridad en la página 173
Antes de empezar
Ejecute un trabajo de búsqueda o comprobación de integridad que produzca resultados.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
2 Haga clic en Datos y seleccione la ficha Buscar registros y archivos o la ficha Comprobación de integridad.
3 Resalte el trabajo que desee ver en la tabla Resultados de la búsqueda y haga clic en Ver.
Se podrían perder todas las búsquedas de ELM si se elimina más de una unidad extra de la máquina
virtual de ESM al mismo tiempo. Para evitar perder los resultados, exporte los resultados de búsqueda
de ELM.
Véase también
Recuperación de datos de ELM en la página 172
Creación de un trabajo de búsqueda en la página 173
Creación de un trabajo de comprobación de integridad en la página 173
Utilización de expresiones regulares para realizar consultas en el ELM en la página 176
Página Resultados de búsqueda de ELM en la página 175
Se podrían perder todas las búsquedas de ELM si se elimina más de una unidad extra
de la máquina virtual de ESM al mismo tiempo. Para evitar perder los resultados,
exporte los resultados de búsqueda de ELM.
Descargar archivo Para guardar los datos de archivos específicos, resalte los archivos en la tabla y haga
clic en esta opción.
Valor Ver el valor del elemento seleccionado en la lista.
Véase también
Visualización de los resultados de una búsqueda o una comprobación de integridad en la
página 175
• No se pueden utilizar las partes obligatorias de una expresión regular con menos de cuatro
caracteres. Por ejemplo, seth.*grover utiliza seth y grover con Bloom, pero tom.*wilson solo
emplea wilson porque tom es demasiado corto.
El proceso del optimizador de base de datos ejecuta la consulta de expresión regular para Bloom. Este
optimizador deconstruye la expresión regular y localiza las subcadenas constantes obligatorias.
\|\|(626|629|4725|4722)\|\|.*\|\|(bbphk)\|\|
La única parte de esta expresión que utiliza Bloom es bbphk. Este cambio reduce el conjunto de
búsqueda de más de un millón de archivos a tan solo 20 000.
La expresión regular se puede optimizar aún más de la forma siguiente:
(\|\|626\|\||\|\|629\|\||\|\|4725\|\||\|\|4722\|\|).*\|\|bbphk\|\|
En este ejemplo, se ha desplazado \|\| de antes y después del primer grupo a delante y detrás de
cada elemento del grupo, lo cual tiene dos consecuencias:
• Permite la inclusión de los caracteres de barra vertical.
• Permite que los elementos del primer grupo, que se ignoraban porque solo tenían tres caracteres,
contengan más de cuatro, lo que implica que pueden utilizarse.
Además, los paréntesis en torno a bbphk se han eliminado, puesto que no se necesitaban e indicaban
al filtro de Bloom que se trataba de un nuevo subgrupo. La realización de estos tipos de ajustes
manuales en la expresión regular puede reducir de forma eficaz la búsqueda todavía más, hasta llegar
a unos 2000 archivos solamente.
Véase también
Recuperación de datos de ELM en la página 172
Creación de un trabajo de búsqueda en la página 173
Creación de un trabajo de comprobación de integridad en la página 173
Visualización de los resultados de una búsqueda o una comprobación de integridad en la
página 175
• Modo en tiempo real: los eventos se analizan a medida que se recopilan para la detección
inmediata de riesgos y amenazas.
• Modo histórico: se reproducen los datos disponibles recopilados mediante uno de los motores de
correlación o ambos para la detección histórica de amenazas y riesgos. Cuando el ACE descubre
nuevos ataques zero-day, determina si la organización ha estado expuesta al ataque en el pasado,
permitiendo así la detección de amenazas subzero-day.
Los dispositivos ACE complementan las capacidades de correlación de eventos existentes en el ESM,
ya que proporcionan dos motores de correlación dedicados. Puede aplicar a cada dispositivo ACE una
configuración propia para administradores de riesgos, recuperación de registros y eventos, conexión y
directivas.
• Correlación de riesgos: genera una calificación de riesgo mediante la correlación sin reglas. La
correlación basada en reglas solo detecta patrones de amenazas conocidas, lo cual requiere un
ajuste constante de las firmas y actualizaciones para que resulte efectiva. En la correlación sin
reglas, las firmas de detección se sustituyen por una configuración única: basta con identificar lo
que es importante para la empresa (como un servicio o una aplicación particulares, un grupo de
usuarios o tipos concretos de datos). La Correlación de riesgos rastrea entonces toda la actividad
relacionada con estos elementos, creando así una calificación de riesgo dinámica que sube o baja
en función de la actividad en tiempo real.
Cuando una calificación de riesgo supera un umbral determinado, el ACE genera un evento y alerta
del aumento del nivel de amenaza. Otra posibilidad es que el motor de correlación basado en
reglas tradicional emplee el evento como condición para un incidente más amplio. El ACE conserva
una pista de auditoría completa de las calificaciones de riesgo a fin de permitir todo tipo de análisis
e investigaciones sobre la situación de las amenazas a lo largo del tiempo.
Puede aplicar a cada dispositivo ACE una configuración propia para administradores de riesgos,
recuperación de registros y eventos, conexión y directivas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Configuración ACE.
Antes de empezar
Debe existir un dispositivo ACE en el ESM (véase Adición de dispositivos a la consola de
ESM).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Véase Configuración de Advanced Correlation Engine (ACE) para obtener información sobre los tipos
de administradores.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Administración de
correlación de riesgos.
2 Haga clic en Agregar y rellene la información solicitada en cada una de las fichas.
3 Haga clic en Finalizar y, después, en Escribir para escribir los administradores en el dispositivo.
Véase también
Página Administración de correlación en la página 179
Asistente Agregar administrador de correlación en la página 179
Véase también
Adición de un administrador de correlación de riesgos en la página 178
Zona Si desea que los datos se asignen a una zona, selecciónela en la lista
desplegable (véase Administración de zonas).
Tolerancia de orden de (Solo Correlación de reglas) Seleccione la cantidad de tiempo que los
tiempo eventos pueden estar fuera de lugar según la correlación de reglas. Por
ejemplo, si el valor es 60 minutos, se utilizará un evento con 59
minutos de retraso.
Campos Campo Seleccione los campos que debe usar este administrador para
correlacionar los eventos (máximo de cinco por administrador).
Porcentaje Seleccione el porcentaje que desee para cada campo. El total debe
sumar una calificación global del 100 %.
Umbrales Sección superior Permite establecer los umbrales de calificación para activar un evento
por cada nivel de criticidad.
Sección inferior Permite establecer la tasa de reducción de la calificación. La
configuración predeterminada establece que, por cada 120 segundos
que una calificación esté en un contenedor, se reducirá en un 10 %
hasta que alcance una calificación de 5. Entonces, se elimina el
contenedor de los valores de campos exclusivos.
Filtros AND lógico, OR lógico Permiten configurar la estructura para los filtros mediante elementos
lógicos (véase Elementos lógicos).
Componente de filtrado
de campos Arrastre y suelte el icono Coincidir componente en un elemento lógico y,
después, rellene la página Agregar campo de filtro.
Véase también
Adición de un administrador de correlación de riesgos en la página 178
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Calificación de
correlación de riesgos.
Véase también
Página Calificación de correlación de riesgos en la página 181
Asistente de calificación de correlación de riesgos en la página 181
Véase también
Adición de una calificación de correlación de riesgos en la página 180
Véase también
Adición de una calificación de correlación de riesgos en la página 180
• Está configurando una nueva correlación en función de los eventos activados en el pasado y desea
probarla para confirmar que ofrece los resultados esperados.
• La correlación en tiempo real deja de funcionar hasta que se desactiva la correlación histórica.
Véase también
Adición y ejecución de una correlación histórica en la página 182
Descarga y visualización de los eventos de correlación histórica en la página 183
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Histórica.
La correlación en tiempo real deja de funcionar hasta que se desactiva la correlación histórica.
4 Seleccione los filtros que desee ejecutar y haga clic en Ejecutar ahora.
El ESM revisa los eventos, aplica los filtros y empaqueta los eventos aplicables.
Véase también
Utilización de la correlación histórica en la página 182
Página Correlación histórica en la página 183
Página Filtro de correlación histórica en la página 183
Véase también
Adición y ejecución de una correlación histórica en la página 182
Véase también
Adición y ejecución de una correlación histórica en la página 182
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Eventos y registros |
Obtener eventos.
Véase también
Utilización de la correlación histórica en la página 182
ADM puede detectar la transmisión de información confidencial en los datos adjuntos de correo
electrónico, los mensajes instantáneos, las transferencias de archivos, las solicitudes HTTP POST u
otras aplicaciones. Cabe la posibilidad de personalizar las capacidades de detección de ADM mediante
la definición de diccionarios propios de información confidencial y delicada. Al hacerlo, ADM puede
detectar estos tipos de datos confidenciales, alertar al personal apropiado y registrar la transgresión a
fin de conservar una traza de auditoría.
• Correo web: Hotmail, Hotmail DeltaSync, Yahoo Mail, AOL Mail, Gmail
ADM acepta expresiones de regla y las comprueba en relación con el tráfico supervisado, tras lo cual
inserta registros en la tabla de eventos de la base de datos por cada regla activada. Almacena el
paquete que activó la regla en el campo correspondiente de la tabla de eventos. También agrega
metadatos de nivel de aplicación a las tablas de consultas y dbsession de la base de datos por cada
regla activada. Almacena una representación en texto de la pila del protocolo en el campo de paquete
de la tabla de consultas.
• Metadatos: ADM genera un evento de metadatos por cada transacción que tiene lugar en la red
con detalles tales como direcciones, protocolo, tipo de archivo y nombre de archivo. La aplicación
coloca los eventos de metadatos en la tabla de consultas y los agrupa a través de la tabla de
sesiones. Por ejemplo, si se transfieren tres archivos en una sesión FTP, ADM los agrupa juntos.
• Activador de regla: los eventos de activación de reglas se generan mediante expresiones de regla
que detectan anomalías en los metadatos generados por el motor de Internet Communications
Engine (ICE). Estos eventos podrían incluir anomalías tales como protocolos utilizados fuera de las
horas habituales o que un servidor SMTP se comunique inesperadamente mediante FTP. Los
eventos de activación de reglas deberían ser poco habituales, y se colocan en la tabla de eventos.
La tabla de eventos contiene un registro por cada anomalía de protocolo o evento de activación de
regla detectados. Los registros de evento se vinculan a las tablas de sesiones y consultas mediante el
ID de sesión (sessionid), donde hay disponibles más detalles sobre las transferencias de red (eventos
de metadatos) que activaron el evento. Cada evento está vinculado también con la tabla de paquetes,
donde hay disponibles datos de paquete sin procesar sobre el paquete que activó el evento.
La tabla de sesiones contiene un registro por cada grupo de transferencias de red relacionadas (tales
como un grupo de transferencias de archivos mediante FTP en una misma sesión). Los registros de
sesión están vinculados con la tabla de consultas a través del ID de sesión, donde se encuentran más
detalles acerca de las transferencias de red individuales (eventos de metadatos). Además, si una
transferencia de la sesión provoca una anomalía de protocolo o activa una regla, existe un vínculo a la
tabla de eventos.
La tabla de consultas contiene un registro por cada evento de metadatos (transferencias de contenido
que tienen lugar en la red). Los registros de consulta se vinculan a la tabla de sesiones a través del ID
de sesión. Si la transferencia de red representada por el registro activa una anomalía de protocolo o
una regla, existe un vínculo con la tabla de eventos. También existe un vínculo con la tabla de
paquetes mediante el campo de texto, donde se encuentra una representación textual de la pila de
contenido o el protocolo completo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de ADM y haga clic en Configuración de ADM.
Véase también
Página Configurar zona horaria de ADM en la página 186
Véase también
Configuración de la zona horaria de ADM en la página 185
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de ADM y haga clic en Configuración de ADM.
2 Haga clic en Contraseñas, seleccione Activar registro de contraseñas y, después, haga clic en Aceptar.
Cuando se escribe una regla mediante el editor de reglas de ADM, cabe la posibilidad de seleccionar el
diccionario al que debe hacer referencia la regla.
Véase también
Configuración de un diccionario de ADM en la página 187
Administración de diccionarios de ADM en la página 190
Cómo hacer referencia a un diccionario de ADM en la página 192
Ejemplos de diccionarios de ADM en la página 189
Los valores de un diccionario de una o dos columnas deben ser de los tipos admitidos por ADM:
cadena, expresión regular, número, IPv4, IPv6 o MAC. Los diccionarios de ADM deben respetar las
siguientes directrices de formato:
• Las listas (varios valores separados por comas y delimitados por paréntesis) no se permiten en los
diccionarios.
• Una columna solo puede constar de un tipo compatible con ADM. Esto significa que no se pueden
combinar y hacer coincidir varios tipos (cadena, expresión regular e IPv4, por ejemplo) en un único
archivo de diccionario de ADM.
• Pueden contener comentarios. Todas las líneas que comienzan con el carácter de almohadilla (#)
se consideran comentarios en un diccionario de ADM.
• Los nombres solo pueden constar de caracteres alfanuméricos y de subrayado, además de tener
una longitud total igual o inferior a 20 caracteres.
• En las versiones de ADM anteriores a la 8.5.0, se deben editar o crear fuera del ESM mediante
cualquier editor de texto. Se pueden importar o exportar desde el ESM para facilitar la modificación
o creación de nuevos diccionarios de ADM.
Véase también
Diccionarios de Application Data Monitor (ADM) en la página 186
Administración de diccionarios de ADM en la página 190
Cómo hacer referencia a un diccionario de ADM en la página 192
Ejemplos de diccionarios de ADM en la página 189
Véase también
Diccionarios de Application Data Monitor (ADM) en la página 186
Configuración de un diccionario de ADM en la página 187
Administración de diccionarios de ADM en la página 190
Cómo hacer referencia a un diccionario de ADM en la página 192
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el Editor de directivas, haga clic en Herramientas y después seleccione Administrador de diccionarios de ADM.
La pantalla Administrar diccionarios de ADM muestra los cuatro diccionarios predeterminados (botnet,
foullanguage, icd9_desc y spamlist) y los diccionarios que se hayan importado al sistema.
2 Lleve a cabo cualquiera de las acciones disponibles y, después, haga clic en Cerrar.
Véase también
Diccionarios de Application Data Monitor (ADM) en la página 186
Configuración de un diccionario de ADM en la página 187
Cómo hacer referencia a un diccionario de ADM en la página 192
Ejemplos de diccionarios de ADM en la página 189
Página Administrar diccionarios de ADM en la página 191
Página Editar diccionario de ADM en la página 191
Página Importar diccionario de ADM en la página 192
Véase también
Administración de diccionarios de ADM en la página 190
Véase también
Administración de diccionarios de ADM en la página 190
Si existe una discrepancia entre lo seleccionado en los campos Tipo de clave y Tipo de valor y el
contenido del archivo, se le informará de que los datos no son válidos.
Véase también
Administración de diccionarios de ADM en la página 190
Antes de empezar
Importe el diccionario al ESM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el panel Tipos de regla del Editor de directivas, haga clic en Nueva | Regla de ADM.
2 Agregue la información solicitada y, después, arrastre y suelte un elemento lógico en el área Lógica
de expresión.
3
Arrastre y suelte el icono Componente de expresión en el elemento lógico.
Véase también
Diccionarios de Application Data Monitor (ADM) en la página 186
Configuración de un diccionario de ADM en la página 187
Administración de diccionarios de ADM en la página 190
Ejemplos de diccionarios de ADM en la página 189
Véase también
Sintaxis de las reglas de ADM en la página 193
Tipos de términos para reglas de ADM en la página 195
Referencias métricas para reglas de ADM en la página 197
Propiedades específicas de protocolos en la página 199
Anomalías de protocolo en la página 200
IPv4 = =, ! =
* Cero o más
+ Uno o más
? Cero o uno
() Agrupación (a | b)
. Cualquier carácter
\ Carácter de escape
Caracteres de escape
\d Dígito [0-9]
\D No dígito [^0-9]
\e Escape (0x1B)
\s Espacio en blanco
\S No espacio en blanco
\t Tabulación (0x09)
\w Palabra [A-Za-z0-9_]
\W No palabra
^ Inicio de línea
Caracteres de escape
S Fin de línea
[:digit:] Dígitos
Véase también
Material de referencia para reglas de ADM en la página 192
Tipos de términos para reglas de ADM en la página 195
Referencias métricas para reglas de ADM en la página 197
Propiedades específicas de protocolos en la página 199
Anomalías de protocolo en la página 200
2 Es posible comparar un término de cadena con una expresión regular. La siguiente regla se activa
si una contraseña solo contiene letras minúsculas: password == /^[a-z]+$/
3 Todos los términos se pueden comprobar con respecto a literales booleanos a fin de averiguar si
están presentes o no. La siguiente regla se activa si un mensaje de correo electrónico tiene una
dirección CC (“email.cc” es un término de cadena): email.cc == true
Direcciones • Los literales de dirección MAC se escriben mediante la notación estándar y, al igual
MAC que las direcciones IP, no se delimitan mediante comillas: aa:bb:cc:dd:ee:ff
Números • Todos los números de las reglas de ADM son enteros de 32 bits. Se pueden expresar
en formato decimal: 1234
• Se pueden expresar en formato hexadecimal: 0xabcd
• Se pueden expresar en formato octal: 0777
• Se les puede agregar una letra para multiplicarlos por 1024 (K), 1 048 576 (M) o
1 073 741 824 (G): 10M
Cadenas • Las cadenas se delimitan mediante comillas dobles: "esto es una cadena"
• Las cadenas pueden usar secuencias de escape estándar de C: "\tEsto es una
\"cadena\" que contiene\x20secuencias de escape\n"
• Al comparar un término con una cadena, el término debe coincidir con la cadena al
completo. Si un mensaje de correo electrónico tiene la dirección de origen
“alguien@lugar.com”, no se activará la siguiente regla: email.from == “@lugar.com”
• Para usar la coincidencia parcial con un término, hay que usar un literal de
expresión regular en su lugar. Se deben utilizar literales de cadena siempre que sea
posible, ya que resultan más eficaces.
Listas • Los literales de lista constan de uno o varios literales delimitados por corchetes y
separados por comas: [1, 2, 3, 4, 5]
• Las listas pueden contener cualquier tipo de literal, incluidas otras listas:
[192.168.1.1, [10.0.0.0/8, 172.16.128.0/24]]
• Las listas solo deben contener un tipo de literal; no es correcto combinar cadenas y
números, cadenas y expresiones regulares o direcciones IP y direcciones MAC.
• Cuando se emplea una lista con cualquier operador relacional distinto de “no igual a”
(!=), la expresión es verdadera si el término coincide con cualquier literal de la lista.
La siguiente regla se activa si la dirección IP de origen coincide con cualquiera de las
direcciones IP de la lista: srcip == [192.168.1.1, 192.168.1.2, 192.168.1.3]
• Esto es equivalente a: srcip == 192.168.1.1 || srcip == 192.168.1.2 || srcip ==
192.168.1.3
• Cuando se utiliza con el operador “no igual a” (!=), la expresión es verdadera si el
término no coincide con todos los literales de la lista. La siguiente regla se activa si
la dirección IP de origen no es 192.168.1.1 ni 192.168.1.2: srcip != [192.168.1.1,
192.168.1.2]
• Esto es equivalente a: srcip != 192.168.1.1 && srcip != 192.168.1.2
• Las listas también se pueden usar con otros operadores relacionales, aunque no
tiene mucho sentido. La siguiente regla se activa si el tamaño del objeto es superior
a 100, o bien si es superior a 200: objectsize > [100, 200]
• Esto es equivalente a: objectsize > 100 || objectsize > 200
Véase también
Material de referencia para reglas de ADM en la página 192
Sintaxis de las reglas de ADM en la página 193
Referencias métricas para reglas de ADM en la página 197
Propiedades específicas de protocolos en la página 199
Anomalías de protocolo en la página 200
En el caso de las propiedades y las anomalías comunes, el valor de parámetro o tipo que se puede
indicar para cada una se muestra entre paréntesis tras la referencia métrica.
Propiedades comunes
Anomalías comunes
Véase también
Material de referencia para reglas de ADM en la página 192
Sintaxis de las reglas de ADM en la página 193
Tipos de términos para reglas de ADM en la página 195
Propiedades específicas de protocolos en la página 199
Anomalías de protocolo en la página 200
* Solo detección
** Sin descifrado, se capturan los certificados X.509 y los datos cifrados
*** A través del módulo RFC822
Véase también
Material de referencia para reglas de ADM en la página 192
Sintaxis de las reglas de ADM en la página 193
Tipos de términos para reglas de ADM en la página 195
Referencias métricas para reglas de ADM en la página 197
Anomalías de protocolo en la página 200
Anomalías de protocolo
Más allá de las propiedades comunes y las propiedades de protocolos específicos, ADM también
detecta cientos de anomalías en protocolos de bajo nivel, de transporte y de aplicación. Todas las
propiedades de anomalía de protocolo son de tipo booleano y están disponibles en la página Componente
de expresión cuando se agrega una regla de ADM.
Tabla 3-103 IP
Término Descripción
ip.too-small El paquete IP es demasiado pequeño para contener un encabezado válido.
tcp.urgent-nonzero-withouturg- flag El campo urgent de TCP no tiene un valor igual a cero pero no
se ha definido el indicador URG.
Véase también
Material de referencia para reglas de ADM en la página 192
Sintaxis de las reglas de ADM en la página 193
Tipos de términos para reglas de ADM en la página 195
Referencias métricas para reglas de ADM en la página 197
Propiedades específicas de protocolos en la página 199
El DEM auditar de forma no intrusiva las interacciones de los usuarios y las aplicaciones con las bases
de datos mediante la supervisión de paquetes de red, de forma similar a los sistemas de detección de
intrusiones. Para garantizar que la actividad de todos los servidores de base de datos se pueda
supervisar a través de la red, coordine el despliegue inicial del DEM junto con sus equipos de conexión
de red, seguridad, conformidad y bases de datos.
Los equipos encargados de las funciones de red emplean puertos SPAN en los conmutadores, TAP de
red o concentradores para replicar el tráfico de base de datos. Este proceso permite escuchar o
supervisar el tráfico en los servidores de base de datos y crear un registro de auditoría.
Visite el sitio web de McAfee para obtener información sobre las plataformas y las versiones de
servidor de base de datos compatibles.
• Se admiten tanto las versiones de 32 bits como las de 64 bits de los sistemas operativos y las
plataformas de base de datos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Configuración de DEM.
2 Haga clic en Licencia | Actualizar licencia y pegue la información que le ha enviado McAfee en el campo.
Véase también
Página Actualizar licencia de DEM en la página 203
Véase también
Actualización de la licencia de DEM en la página 202
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Configuración de DEM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Configuración de DEM.
2 Haga clic en Opciones avanzadas y defina la configuración o anule la selección de algunas opciones si
experimenta una carga muy elevada en el DEM.
Véase también
Página Opciones de DEM avanzadas en la página 204
Puerto de registro de Cambiar los puertos predeterminados de registro y servicio del agente. Se trata
agente y Puerto de de los puertos que se emplean para comunicarse con el agente.
servicio de agente
Usar cifrado Indique si se debe cifrar o no la información enviada al administrador de DEM
desde el agente de DEM. Este registro se descifra cuando se recibe.
IP de servidor Kerberos Indique la dirección IP del servidor Kerberos si desea recuperar los nombres de
usuario mediante el análisis del protocolo Kerberos para la autenticación de la
base de datos con el uso de la Seguridad integrada de Windows.
Memoria compartida Elija el tamaño del búfer que empleará el DEM para procesar eventos de base de
datos. El aumento del tamaño del búfer proporciona un mejor rendimiento.
Repositorio de eventos Seleccione la ubicación desde la que se recuperarán los eventos. Si selecciona
Archivo, se leerá el archivo del DEM local y se analizarán esos eventos. Si
selecciona EDB, se recopilarán los eventos de la base de datos.
Véase también
Configuración de opciones avanzadas de DEM en la página 203
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Configuración de DEM.
• ignorar • restablecer
• rechazar
• Un evento no lleva a cabo una acción, como por ejemplo enviar una captura SNMP o un mensaje a
un localizador, a menos que se especifique como acción de alerta.
• Cuando una regla cumple los requisitos para más de un nivel de alerta, solo se puede realizar una
acción para el nivel de alerta más alto.
Véase también
Adición de una acción de DEM en la página 206
Edición de una acción personalizada de DEM en la página 207
Establecimiento de la operación para una acción de DEM en la página 207
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas y, después, en
Herramientas | Administrador de acciones de DEM.
La página Administración de acciones de DEM enumera las acciones existentes por orden de prioridad.
2 Haga clic en Agregar y, después, escriba un nombre y una descripción para la acción.
La operación predeterminada para una acción personalizada es Ninguna. Para cambiarla, véase
Establecimiento de la operación para una acción de DEM.
Véase también
Definición de acciones para eventos de DEM en la página 205
Edición de una acción personalizada de DEM en la página 207
Establecimiento de la operación para una acción de DEM en la página 207
Página Regla de acción de DEM en la página 206
Véase también
Adición de una acción de DEM en la página 206
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas y, después, en
Herramientas | Administrador de acciones de DEM.
2 Haga clic en la acción personalizada que necesite cambiar y realice una de estas acciones:
• Para cambiar el orden de prioridad, haga clic en las flechas hacia arriba o hacia abajo hasta que
se encuentre en la posición correcta.
Véase también
Definición de acciones para eventos de DEM en la página 205
Adición de una acción de DEM en la página 206
Establecimiento de la operación para una acción de DEM en la página 207
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Administración de
acciones.
Véase también
Definición de acciones para eventos de DEM en la página 205
Adición de una acción de DEM en la página 206
Edición de una acción personalizada de DEM en la página 207
Página Administración de acciones en la página 208
Página Administración de acciones de DEM en la página 208
Véase también
Establecimiento de la operación para una acción de DEM en la página 207
Véase también
Establecimiento de la operación para una acción de DEM en la página 207
del ESM cuando se agrega un dispositivo DEM al sistema, pero es posible agregar otras nuevas y
editar o eliminar las existentes.
Estas son las máscaras estándar:
Expresión: ((4\d{3})|(5[1-5]\d{2})|(6011))-?\d{4}-?\d{4}-?\d{4}|3[4,7]\d{13}
Índice de subcadenas: \0
Expresión: (\d\d\d-\d\d)-\d\d\d\d
Índice de subcadenas: \1
Expresión: create\s+user\s+(\w+)\s+identified\s+by\s+(\w+)
Índice de subcadenas: \2
Véase también
Administración de máscaras de datos confidenciales en la página 209
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Máscaras de datos
confidenciales.
Véase también
Utilización de máscaras de datos confidenciales en la página 208
Página Máscaras de datos confidenciales en la página 210
Patrón de enmascaramiento Escriba el patrón de enmascaramiento que debe aparecer en lugar del
valor original.
Véase también
Administración de máscaras de datos confidenciales en la página 209
Expresión: select\s+username=(\w+)
Aplicación: Oracle
Índice de subcadenas: \1
Aplicación: MSSQL
Índice de subcadenas: \2
Es posible realizar una correlación avanzada de usuarios mediante la correlación de los registros de
administración de identidad y acceso presentes en el ESM y correspondientes a: DEM, aplicación,
servidor web y sistema.
Véase también
Adición de una regla de identificador de usuario en la página 211
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Administración de
identificadores.
Véase también
Administración de la identificación de usuarios en la página 210
Página Reglas de identificador de usuario en la página 211
Véase también
Adición de una regla de identificador de usuario en la página 211
• Se admiten tanto las versiones de 32 bits como las versiones de 64 bits de los sistemas operativos
y las plataformas de base de datos.
Véase también
Administración de servidores de base de datos en la página 212
Administración de notificaciones de descubrimiento de base de datos en la página 215
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Servidores de base de
datos.
Véase también
Acerca de los servidores de base de datos en la página 211
Administración de notificaciones de descubrimiento de base de datos en la página 215
Página Servidores de base de datos en la página 213
Página Agregar servidor de base de datos en la página 213
Véase también
Administración de servidores de base de datos en la página 212
URL del dispositivo Si está disponible, escriba la dirección URL para ver la información del servidor
de base de datos. Si la dirección URL introducida incluye la dirección de una
aplicación de terceros, puede adjuntar variables a la dirección URL mediante el
icono correspondiente .
Dirección IP Introduzca una única dirección para este servidor de base de datos o DAS en el
campo de dirección IP. Este campo acepta una única dirección IP con formato de
notación de puntos IPv4. No se aceptan las máscaras para estas direcciones IP.
Grupo de prioridad Asigne el servidor de base de datos a un grupo de prioridad. Esto permite
equilibrar la carga de datos procesados por el DEM. Es posible ver una lista de
los servidores de base de datos y los grupos de prioridad a los que pertenecen
en la tabla Servidores de base de datos.
ID de LAN virtual Escriba el ID de LAN virtual, en caso de ser necesario. Si introduce el valor "0",
representa todas las VLAN.
Opción de codificación Seleccione una de las opciones disponibles: Ninguna, UTF8 o BIG5.
Seleccionar opciones Seleccione una de las opciones siguientes (las opciones disponibles dependen del
especiales tipo de base de datos seleccionado):
• Es necesario especificar la Redirección de puerto cuando se supervisa un servidor
Oracle que se ejecuta en una plataforma Windows.
• Se debe seleccionar El servidor usa canalizaciones con nombre si el servidor de base de
datos emplea el protocolo SMB de canalizaciones con nombre. El nombre de
canalización predeterminado para MSSQL es \\.\pipe\sql\query, y el puerto
predeterminado es el 445.
• Se debe seleccionar Puertos dinámicos si el servidor de base de datos tiene
puertos dinámicos TCP activados. Introduzca un número de puerto para el
servidor de base de datos o DAS en el campo Puerto. Este puerto es el puerto
de servicio del servidor de base de datos donde este escucha las conexiones.
Algunos números de puertos predeterminados habituales son: 1433 para
Microsoft SQL Server (MSSQL), 1521 para Oracle, 3306 para MySQL, 5461
para Data Access Server (DAS) y 50000 para DB2/UDB.
Autenticación Kerberos Indique si desea que SQL Server emplee la autenticación Kerberos.
Tipo de cifrado RSA Seleccione Ninguno o RSA.
Nivel de cifrado RSA Seleccione la opción adecuada en función de lo que haya elegido para el cifrado
forzado: Descifrar paquetes de inicio de sesión si el valor de Cifrado forzado es No y Descifrar
todos los paquetes si el valor de Cifrado forzado es Sí.
Clave RSA Haga clic en Examinar y seleccione el archivo de Clave RSA, o bien copie la clave del
archivo y péguela en el campo Clave RSA.
La consola de ESM solo acepta certificados RSA con el formato de archivo .pem y
sin contraseña.
Véase también
Administración de servidores de base de datos en la página 212
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y, después, haga clic en Servidores
de base de datos | Activar.
Se le notificará la activación.
3 Para ver las notificaciones, haga clic en el dispositivo DEM en el árbol de navegación del sistema y
seleccione Vistas de evento | Análisis de eventos.
4 Para agregar el servidor al sistema, seleccione la vista Análisis de eventos, haga clic en el icono Menú
Véase también
Acerca de los servidores de base de datos en la página 211
Administración de servidores de base de datos en la página 212
Si inicia sesión con privilegios de administrador en el DESM, aparece una notificación que indica "Este
ESM se ha agregado como ESM distribuido en otro servidor. A la espera de aprobación para conectar.".
Cuando se hace clic en Aprobar ESM jerárquicos, se puede seleccionar el tipo de comunicación que el ESM
principal puede tener con el DESM.
El ESM principal no administra los dispositivos que pertenecen al dispositivo ESM. El ESM principal
muestra el Árbol de sistemas del dispositivo ESM al que está directamente conectado. No extrae
eventos ni muestra los dispositivos ESM secundarios de los dispositivos. Las barras de herramientas se
desactivan en todos los dispositivos secundarios del DESM.
El dispositivo principal no administra los datos que residen en el dispositivo ESM. En su lugar, un
subconjunto de los datos del dispositivo ESM se transfiere y almacena en el ESM principal según los
filtros que se hayan definido.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de DESM y haga clic en Filtros.
Debe contar con privilegios de lectura en la base de datos principal y la base de datos de ePolicy
Orchestrator para poder usar ePolicy Orchestrator.
®
Si el dispositivo McAfee ePO tiene un servidor de McAfee Threat Intelligence Exchange (TIE), se
agrega automáticamente al agregar el dispositivo McAfee ePO al ESM (véase Integración con Threat
Intelligence Exchange).
Antes de empezar
Agregue un dispositivo ePolicy Orchestrator o un origen de datos al ESM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
3
En el menú del componente , haga clic en Acción | Ejecutar ePO.
• Si solo dispone de un dispositivo ePolicy Orchestrator o un origen de datos en el sistema y ha
seleccionado una IP de origen o de destino en el Paso 1, se ejecutará ePolicy Orchestrator.
• Cuenta distinta para cada dispositivo por usuario: se necesitan privilegios para ver el dispositivo en
el árbol de dispositivos.
Cuando utilice acciones, etiquetas o McAfee Real Time for McAfee ePO, emplee el método de
autenticación seleccionado. Si las credenciales no se encuentran o no son válidas, se le solicitará que
introduzca credenciales válidas, las cuales deberá guardar para futuras comunicaciones con este
dispositivo.
Antes de empezar
Instale un dispositivo McAfee ePO en el ESM (véase Adición de dispositivos a la consola de
ESM).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones y, después, en
Credenciales de ePO.
A fin de acceder a la funcionalidad de etiquetado, es necesario disponer de los permisos Aplicar, excluir y
borrar etiquetas y Activar agentes; ver el registro de actividad del agente en ePolicy Orchestrator.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de ePO y haga clic en Etiquetando.
Véase también
Página Etiquetando en la página 219
Página Etiquetando
Permite asignar etiquetas a las direcciones IP.
Activar cliente Permite activar la aplicación para aplicar las etiquetas inmediatamente.
Asignar Permite aplicar las etiquetas seleccionadas a la dirección IP.
Véase también
Asignación de etiquetas de ePolicy Orchestrator a las direcciones IP en la página 218
Cuando agregue ePolicy Orchestrator, se le preguntará si desea configurar los datos de McAfee Risk
Advisor. Si hace clic en Sí, se crearán y desplegarán una regla de origen de enriquecimiento de datos y
dos reglas de calificación ACE (si procede). Para verlas, acceda a las páginas Enriquecimiento de datos y
Calificación de correlación de riesgos. Si desea utilizar las reglas de calificación, es necesario crear un
administrador de correlación de riesgos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Véase también
Página Administración de ePO en la página 220
Planificar actualización A fin de actualizar automáticamente la lista de aplicaciones del dispositivo ePolicy
de aplicación Orchestrator, seleccione la frecuencia en la lista desplegable.
Véase también
Activación de la adquisición de datos de McAfee Risk Advisor en la página 219
Antes de empezar
Diseñe y ejecute una pregunta de McAfee Real Time for McAfee ePO (véase Consulta en
McAfee ePO del panel de McAfee Real Time for McAfee ePO).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En la consola de ESM, haga clic en el icono de menú de un componente de vista que muestre
los resultados de una pregunta de McAfee Real Time for McAfee ePO.
2 Resalte Acciones y, a continuación, haga clic en Acciones de Real Time for ePO.
4 En la ficha Acciones, haga clic en una acción de la lista de acciones disponibles para los dispositivos
seleccionados.
Cuando se hayan generado eventos de Threat Intelligence Exchange, podrá ver su historial de
ejecución (véase Visualización del historial de ejecución y configuración de acciones de Threat
Intelligence Exchange) y seleccionar las acciones que desee realizar con los datos maliciosos.
Reglas de correlación
Existen seis reglas de correlación optimizadas para los datos de Threat Intelligence Exchange. Estas
reglas generan eventos que se pueden buscar y ordenar.
• TIE - Reputación de GTI cambiada de limpia a contaminada
Alarmas
El ESM tiene dos alarmas que se podrían activar al detectar eventos importantes de Threat
Intelligence Exchange.
• Umbral de archivos dañados de TIE superado se activa a partir de la regla de correlación TIE - Archivo malicioso
(SHA-1) encontrado en un número creciente de hosts.
• Archivo desconocido ejecutado de TIE se activa a partir de un evento de TIE específico y agrega
información a la lista de vigilancia IP de orígenes de datos de TIE.
Lista de vigilancia
La lista de vigilancia IP de orígenes de datos de TIE conserva una lista de sistemas que han activado la
alarma Archivo desconocido ejecutado de TIE. Se trata de una lista de vigilancia estática sin caducidad.
Véase también
Visualización del historial de ejecución y configuración de acciones de Threat Intelligence
Exchange en la página 222
Antes de empezar
Es necesario que exista un dispositivo ePolicy Orchestrator con un servidor de Threat
Intelligence Exchange conectado en el ESM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema de la consola de ESM, haga clic en el dispositivo ePolicy
Orchestrator.
2 En la lista desplegable de vistas, seleccione Vistas de evento | Análisis de eventos y, después, haga clic en
el evento.
3
Haga clic en el icono de menú y seleccione Acciones | Historial de ejecución de TIE.
4 En la página Historial de ejecución de TIE, vea los sistemas que han ejecutado el archivo de Threat
Intelligence Exchange.
5 Para agregar estos datos a su flujo de trabajo, haga clic en un sistema, haga clic en el menú
desplegable Acciones y seleccione una opción para abrir su página de ESM.
Véase también
Integración con Threat Intelligence Exchange en la página 221
Antes de empezar
Compruebe que los dispositivos McAfee ePO consultados estén integrados con McAfee Real
Time for McAfee ePO.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, haga clic en el sistema en cuestión, haga clic en el icono
2 Haga clic en Agregar, rellene las secciones de la 1 a la 4 y, a continuación, haga clic en Agregar en la
sección 5.
3 En el editor Diseño del informe, arrastre y suelte un componente de Tabla, Gráfico de barras o Gráfico circular.
4 En el Asistente de consultas, seleccione Real Time for McAfee ePO en la lista desplegable y, a continuación,
seleccione el elemento o la pregunta para la consulta.
5 Haga clic en Siguiente, después en Dispositivos y, a continuación, seleccione los dispositivos McAfee
ePO que consultar.
6 (Opcional) Haga clic en Filtros, agregue valores de filtrado para la consulta y, después, haga clic en
Aceptar.
7 Si ha seleccionado Pregunta de ePO personalizada en la lista desplegable, haga clic en Campos, seleccione
los elementos que desee incluir en la pregunta y haga clic en Aceptar.
8 Haga clic en Finalizar para cerrar el Asistente de consultas, defina las propiedades en el panel Propiedades y
guarde el informe.
Antes de empezar
Compruebe que los dispositivos McAfee ePO consultados estén integrados con McAfee Real
Time for McAfee ePO.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el sistema, haga clic en el icono Propiedades y,
después, haga clic en Enriquecimiento de datos.
2 Haga clic en Agregar, escriba un nombre y realice las selecciones en la ficha Principal.
3 En la ficha Origen, seleccione McAfee Real Time for McAfee ePO en el campo Tipo y, después,
seleccione los dispositivos en el campo Dispositivo.
Antes de empezar
Compruebe que los dispositivos McAfee ePO consultados estén integrados con McAfee Real
Time for McAfee ePO.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, haga clic en los dispositivos McAfee ePO que consultar.
2 En la consola de ESM, haga clic en la lista de vistas y seleccione McAfee Real Time for McAfee ePO.
4
Haga clic en el icono Ejecutar consulta .
proporciona la capacidad de analizar los gráficos de los datos de flujo de la red en relación con estos
parámetros. Después, se pueden seleccionar los valores predeterminados, especificar valores propios
o hacer que el ESM analice los datos e intente establecer las mejores opciones para los valores de
acuerdo con el historial de tráfico de la red. Todas las redes son distintas, así que se recomienda
familiarizarse con el historial de tráfico mediante la revisión de estos informes de análisis visual a fin
de elegir los mejores valores en su caso.
El asistente lleva a cabo muchos cálculos complicados a fin de ofrecer los valores sugeridos para los
parámetros de anomalía basada en la tasa, así como para presentar un análisis visual de los patrones
del tráfico de la red. Si Nitro IPS, el dispositivo virtual, Event Receiver y el origen de datos tienen una
gran cantidad de datos de flujo, se recomienda limitar el intervalo de tiempo utilizado en estos
cálculos. Use unos pocos días o una semana de actividad de red normal como referencia para calcular
estos valores. El uso de un periodo de tiempo mayor podría hacer que los cálculos tardaran más de lo
deseado.
A continuación se ofrece una lista de las reglas de firewall de anomalía basada en la tasa y las
variables que afectan a su funcionamiento:
Regla Variables
Large inbound byte rate LARGE_INBOUND_BYTE_RATE_LIMIT,
LARGE_INBOUND_BYTE_RATE_SECONDS
Large inbound bytes LARGE_INBOUND_BYTES_LIMIT
Large inbound network connections rate LARGE_IB_CONN_RATE_BURST,
LARGE_IB_CONN_RATE_LIMIT
Large inbound packet rate LARGE_INBOUND_PACKET_RATE_LIMIT,
LARGE_INBOUND_PACKET_RATE_SECS
Large inbound packet LARGE_INBOUND_PACKETS_LIMIT
Large outbound byte rate LARGE_OUTBOUND_BYTE_RATE_LIMIT,
LARGE_OUTBOUND_BYTE_RATE_SECONDS
Large outbound network connection rate LARGE_OB_CONN_RATE_BURST,
LARGE_OB_CONN_RATE_LIMIT
Large outbound packet rate LARGE_OUTBOUND_PACKET_RATE_LIMIT,
LARGE_OUTBOUND_PACKET_RATE_SECS
Large outbound packets LARGE_OUTBOUND_PACKETS_LIMIT
Long connection duration LONG_DURATION_SECONDS
Véase también
Edición de variables de detección de anomalías en la página 225
Generación de un Informe de análisis en la página 226
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo virtual o Nitro IPS que recopile
3 Lleve a cabo cualquiera de las funciones disponibles y, después, haga clic en Aceptar.
Véase también
Asistente de detección de anomalías en la página 224
Generación de un Informe de análisis en la página 226
Con el fin de generar un informe, el dispositivo debe tener al menos 10 000 flujos generados.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo Nitro IPS que haya recopilado
3 Haga clic en Análisis | Informe de análisis y seleccione el intervalo de tiempo y la variable para el
informe.
Se generará el informe. Es posible acercar o alejar las escalas vertical y horizontal mediante los iconos
circulares situados en los ejes del gráfico, que se pueden arrastrar en caso de estar disponibles.
Véase también
Asistente de detección de anomalías en la página 224
Edición de variables de detección de anomalías en la página 225
Las reglas no se deben administrar de forma regular desde esta página. Si cambia las reglas de esta
forma, la configuración de directiva del dispositivo no estará sincronizada con la configuración del Editor
de directivas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de IPS y haga clic en Reglas de firewall o en
Reglas estándar.
Véase también
Reglas de firewall en la página 227
Páginas Reglas estándar o Reglas de firewall en la página 228
Reglas de firewall
Las reglas de firewall se usan para detectar los eventos de red en función de la información de los
paquetes, como por ejemplo el protocolo, el puerto o la dirección IP de un dispositivo Nitro IPS.
La directiva de firewall analiza los paquetes entrantes y toma decisiones según la información inicial
encontrada antes de que el paquete se pase al motor de inspección profunda de paquetes (DPI). Las
reglas de firewall bloquean elementos tales como las direcciones IP no válidas o falsificadas. También
rastrean la velocidad y el tamaño del tráfico de red.
• Anomaly (Anomalía): detecta anomalías. Muchas reglas basadas en anomalías coinciden unas con
otras y se utilizan con los valores establecidos en la ficha Variables. Por ejemplo, la regla Duración de
conexión prolongada y la variable Segundos de duración prolongada se emplean juntas para determinar el
número de segundos antes de que se active la regla. Para ver detalles más específicos sobre cada
regla, consulte la sección de detalles en la parte inferior de la página.
• Blacklist (Lista negra): determina la acción que se llevará a cabo con los paquetes que se envían con
origen o destino en una dirección IP o un puerto incluidos en la lista negra.
Detección de anomalías
Ciertas reglas de firewall se basan en la tasa o velocidad. Una regla basada en la tasa es una regla
que solo activa una alerta si el tráfico de la red supera los umbrales definidos por las variables de la
categoría de firewall del Editor de directivas. Los valores predeterminados para estas variables podrían no
tener sentido en el caso del tráfico de su red, así que el Asistente de detección de anomalías según la tasa
proporciona la capacidad de analizar los gráficos de los datos de flujo de la red en relación con estos
parámetros (véase Asistente de detección de anomalías).
Excepciones de firewall
Las excepciones de firewall son necesarias a veces para que ciertos tipos de tráfico puedan pasar por
el firewall cuando, de lo contrario, quedarían bloqueados. Por ejemplo, si una dirección interna válida
procede de fuera de la red, como una red privada virtual (VPN), activa una alerta de direcciones IP
falsas entrantes. A fin de detener la alerta, es necesario configurar una excepción para la regla de
firewall.
También se puede considerar una excepción como una excepción a los patrones definidos en otras
excepciones, creando así una excepción para la lista de excepciones (en otras palabras, incluir una
dirección o un bloque de direcciones). Si es necesario comprobar una dirección con respecto a una
regla de firewall y la dirección IP está en un bloque de direcciones que ya se ha aceptado, se puede
excluir de la lista de excepciones mediante la introducción de la dirección IP (o la máscara) y la
selección de la casilla.
A modo de ejemplo, la lista de excepción ya contiene el bloque de direcciones 10.0.0.0/24. Todas las
direcciones de este intervalo son una excepción a la regla. Si la dirección de origen 10.0.0.1 está
activa para esta regla, seleccione Considerar esto como excepción a los patrones definidos en otras excepciones y
escriba 10.0.0.1 en el campo de origen. La regla de firewall se aplica entonces a 10.0.0.1, pero no al
resto de direcciones del bloque 10.0.0.0/24, ya que 10.0.0.1 es ahora la excepción a la lista de
excepciones.
Véase también
Acceso a reglas de firewall y estándar en la página 226
Adición de una regla de firewall personalizada en la página 516
Adición de excepciones de firewall en la página 518
Escribir Escribir las reglas de la copia de la base de datos de ESM almacenada en el búfer en el
dispositivo.
Ver Ver las reglas almacenadas actualmente en la copia de ESM almacenada en el búfer.
Exportar Exportar las reglas de la copia de ESM almacenada en el búfer a un archivo local.
Importar Importar las reglas del archivo local para sobrescribir la copia de ESM almacenada en el
búfer. Si desea que estas reglas se almacenen en el dispositivo, haga clic en Escribir.
Véase también
Acceso a reglas de firewall y estándar en la página 226
• Orígenes bloqueados: realiza una comparación con la dirección IP de origen del tráfico que pasa por el
dispositivo.
• Destinos bloqueados: realiza una comparación con la dirección IP de destino del tráfico que pasa por el
dispositivo.
• Exclusiones: impide la adición automática a cualquiera de las listas negras. Cabe la posibilidad de
agregar a las exclusiones las direcciones IP críticas (por ejemplo, los servidores DNS y de otro tipo
o las estaciones de trabajo de los administradores del sistema) para asegurarse de que nunca se
incluyan automáticamente en las listas negras, independientemente de los eventos que puedan
generar.
Es posible configurar entradas tanto en Orígenes bloqueados como en Destinos bloqueados a fin de limitar el
efecto de la lista negra a un puerto de destino concreto.
Asimismo, es posible agregar o eliminar hosts de la lista negra manualmente. Cuando se selecciona
una de las fichas del Editor de la lista negra, se puede agregar o modificar una entrada. Entre los campos
necesarios para agregar una entrada se incluyen Dirección IP, Puerto (versiones 6.2.x y posteriores) y
Duración (ya sea permanente o temporal). También existe un campo Descripción, que es opcional.
• Las opciones Agregar y Modificar se activan en función de la información que se modifique. Al cambiar
la dirección IP o el puerto, se activa Agregar. Si cambia la duración o la descripción, se activa
Modificar.
• Las entradas de las listas Orígenes bloqueados y Destinos bloqueados se pueden configurar para que se
incluyan en la lista negra en todos los puertos o en un puerto específico.
• Las entradas que usen un intervalo enmascarado de direcciones IP deben configurarse con el
puerto establecido como cualquiera (0), y la duración debe ser permanente.
• Es posible agregar entradas de forma temporal (se especifica en minutos, horas o días) o
permanente. No obstante, las entradas de Exclusiones deben ser permanentes.
• Aunque estas listas requieren un formato de dirección IP, existe una herramienta que ayuda a
aportar significado a estas direcciones. Tras introducir una dirección IP o nombre de host en el
campo Dirección IP, en el botón situado junto al control se leerá Resolver o Búsqueda en función del
valor introducido. Al seleccionar Resolver se resuelve el nombre de host introducido y se rellena el
campo Dirección IP con esa información, además de moverse el nombre de host al campo Descripción.
Al seleccionar Búsqueda se realiza una búsqueda sobre la dirección IP y se rellena el campo Descripción
con los resultados de la búsqueda. Algunos sitios web tienen más de una dirección IP, o bien tienen
direcciones IP que no siempre coinciden, de forma que no se debe confiar en esta herramienta para
garantizar el bloqueo de ciertos sitios web.
Es posible seleccionar direcciones IP en la lista y ver los eventos que han generado en un informe de
resumen. Esto permite ver los eventos que activaron las infracciones, los eventos agregados a la lista
negra y otros ataques que puedan haber instigado antes de su inclusión en la lista negra.
El Editor de la lista negra también permite aplicar, volver a cargar y eliminar eventos.
Véase también
Administración de la lista negra de IPS en la página 229
Configuración de inclusión automática en la lista negra en la página 231
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de IPS y, después, haga clic en Lista negra
| Editor.
3 Lleve a cabo las acciones que desee y, después, haga clic en Cerrar.
Véase también
Lista negra de dispositivo virtual o IPS en la página 228
Configuración de inclusión automática en la lista negra en la página 231
Página Editor de la lista negra en la página 230
Véase también
Administración de la lista negra de IPS en la página 229
La configuración de inclusión automática en la lista negra se lleva a cabo en cada dispositivo de forma
independiente.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de IPS y, después, haga clic en Lista negra
| Configuración.
Véase también
Lista negra de dispositivo virtual o IPS en la página 228
Administración de la lista negra de IPS en la página 229
Página Configuración de lista negra automática en la página 231
Una vez agregado un host a la lista negra, los intentos de este host de enviar
datos a través del dispositivo generarán uno de estos cuatro eventos: LISTA
NEGRA Destino entrante (2000050), LISTA NEGRA Origen entrante (2000049),
LISTA NEGRA Destino saliente (2000052) o LISTA NEGRA Origen saliente
(2000051). El uso predeterminado de estos eventos es el bloqueo, lo que
significa que todo el tráfico de los orígenes o destinos incluidos en la lista negra
no pasará por el dispositivo. Sin embargo, la acción realizada para estos cuatro
eventos de lista negra se puede modificar de la misma forma que en caso de
cualquier otra regla. A estas cuatro reglas de lista negra específicas se puede
acceder mediante la opción Firewall del panel Tipos de regla del Editor de directivas.
Véase también
Configuración de inclusión automática en la lista negra en la página 231
Véase también
Obtención del certificado y la frase de contraseña de McAfee Vulnerability Manager en la
página 232
Ejecución de análisis de McAfee Vulnerability Manager en la página 232
Configuración de la conexión con McAfee Vulnerability Manager en la página 233
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
3 En el campo Host Address (Dirección del host) escriba el nombre de host o la dirección IP del sistema
que alberga la interfaz web de McAfee Vulnerability Manager y, a continuación, haga clic en Resolver.
4 Haga clic en Create Certificate using Common Name (Crear certificado mediante nombre común) para
generar la frase de contraseña y un archivo .zip.
Véase también
Configuración de McAfee Vulnerability Manager en la página 232
Ejecución de análisis de McAfee Vulnerability Manager en la página 232
Configuración de la conexión con McAfee Vulnerability Manager en la página 233
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de MVM y haga clic en Análisis.
Véase también
Configuración de McAfee Vulnerability Manager en la página 232
Obtención del certificado y la frase de contraseña de McAfee Vulnerability Manager en la
página 232
Configuración de la conexión con McAfee Vulnerability Manager en la página 233
Antes de empezar
Es necesario obtener el certificado y la frase de contraseña correspondientes a McAfee
Vulnerability Manager.
El cambio de esta configuración no afecta al dispositivo en sí. Solamente afecta a la forma en que el
dispositivo se comunica con ESM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de MVM y haga clic en Conexión.
Véase también
Configuración de McAfee Vulnerability Manager en la página 232
Obtención del certificado y la frase de contraseña de McAfee Vulnerability Manager en la
página 232
Ejecución de análisis de McAfee Vulnerability Manager en la página 232
Véase también
Adición de una entrada de lista negra en la página 234
Adición o eliminación de una entrada de lista negra previamente borrada en la página 235
Recopilación de capa 7 en un dispositivo NSM en la página 235
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de NSM, haga clic en Lista negra y
seleccione un sensor.
2 Para aplicar las entradas de la lista negra global a este sensor, seleccione Incluir lista negra global.
Una vez que se selecciona esta opción, no se puede deshacer de forma automática. Es necesario
eliminar los elementos manualmente.
Véase también
Configuración de McAfee Network Security Manager en la página 233
Adición o eliminación de una entrada de lista negra previamente borrada en la página 235
Recopilación de capa 7 en un dispositivo NSM en la página 235
Página Agregar entrada de lista negra de NSM en la página 234
Véase también
Adición de una entrada de lista negra en la página 234
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades de NSM y haga clic en Lista negra.
2 Seleccione la entrada eliminada en la lista de entradas de la lista negra y, después, haga clic en
Agregar o en Eliminar.
Véase también
Configuración de McAfee Network Security Manager en la página 233
Adición de una entrada de lista negra en la página 234
Recopilación de capa 7 en un dispositivo NSM en la página 235
Puede configurar este retraso al llevar a cabo tres acciones distintas relacionadas con NSM:
• Adición de un dispositivo McAfee NSM a la consola
Véase también
Configuración de McAfee Network Security Manager en la página 233
Adición de una entrada de lista negra en la página 234
Adición o eliminación de una entrada de lista negra previamente borrada en la página 235
Contenido
Información general del sistema
Opciones de configuración del servidor de Remedy
Detención de la actualización automática del Árbol de sistemas de ESM
Definición de la configuración de los mensajes
Configuración de NTP en un dispositivo
Configuración de las opciones de red
Sincronización de la hora del sistema
Instalación de un nuevo certificado
Configuración de perfiles
Configuración de SNMP
Puede consultar esta información cuando hable con el Soporte de McAfee sobre su sistema, a la hora
de configurar funciones tales como la agregación de eventos o flujos, o bien para comprobar el estado
de una actualización de reglas o de una copia de seguridad del sistema.
• Las opciones Sistema, ID de cliente, Hardware y Número de serie proporcionan información sobre el sistema y
su estado operativo actual.
• La opción Estado de base de datos aparece cuando la base de datos está realizando otras funciones (por
ejemplo, una reconstrucción de la base de datos o en segundo plano) junto con el estado de esas
funciones. El estado OK significa que la base de datos funciona de la forma normal.
• Reloj del sistema muestra la hora y la fecha en que se abrieron o actualizaron por última vez las
Propiedades del sistema.
• Actualización de reglas, Eventos, flujos y registros y Copia de seguridad y restauración muestran la última vez que se
actualizaron las reglas, se recuperaron los eventos, flujos y registros, y se realizó una operación de
copia de seguridad y restauración.
• En el modo FIPS, Prueba automática de FIPS y Estado muestran la última vez que se realizó una prueba
automática de FIPS, así como su estado.
• Ver informes muestra los informes Recuento de tipos de dispositivos y Hora del evento.
Véase también
Página Información del sistema en la página 237
Estado de base de datos El estado de la base de datos. Si se está realizando alguna función, como por
ejemplo la reconstrucción de la base de datos o una reconstrucción en
segundo plano, muestra el estado de esa función. El estado OK significa que
funciona de la forma normal.
Véase también
Información general del sistema en la página 236
Antes de empezar
Configure el sistema Remedy.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en
Configuración personalizada | Remedy.
2 En la página Configuración de Remedy, introduzca la información sobre su sistema Remedy y haga clic
en Aceptar.
Al seleccionar Enviar evento a Remedy en la vista Análisis de eventos, el correo electrónico se rellena con la
información introducida en esta página.
Véase también
Página Configuración de Remedy en la página 238
Véase también
Opciones de configuración del servidor de Remedy en la página 237
Antes de empezar
Es necesario disponer de derechos de Administración del sistema para cambiar esta
configuración.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el Árbol de sistemas, seleccione el ESM y haga clic en el icono Propiedades .
2 Haga clic en Configuración personalizada y anule la selección de Actualización automática del Árbol de sistemas.
Para actualizar manualmente el Árbol de sistemas, haga clic en el icono Actualizar dispositivos , situado
en la barra de herramientas de acciones del Árbol de sistemas.
Syslog también puede enviar informes de consulta en CSV generados por el ESM. Syslog envía estos
informes de consulta en CSV con el método de una línea por mensaje de syslog, con los datos de cada
línea de los resultados de la consulta organizados mediante campos separados por comas.
Véase también
Conexión con el servidor de correo en la página 239
Administración de destinatarios en la página 240
Adición de grupos de destinatarios de correo electrónico en la página 241
Creación de plantillas de mensajes de alarma en la página 348
Configuración de alarmas de correlación para la inclusión de eventos de origen en la página
350
Administración de los destinatarios de alarmas en la página 351
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de usuarios.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades .
2 Haga clic en Configuración de correo electrónico e introduzca la información solicitada para conectar con el
servidor de correo.
Opción Descripción
Host y Puerto Introduzca el host y el puerto del servidor de correo electrónico.
Usar TLS Indique si desea usar el protocolo de cifrado TLS.
Nombre de usuario y Escriba el nombre de usuario y la contraseña para acceder al servidor de
Contraseña correo electrónico.
Título Escriba un título genérico para todos los mensajes de correo electrónico
enviados desde su servidor de correo, por ejemplo, la dirección IP de ESM,
a fin de identificar qué ESM ha generado el mensaje.
De Escriba su nombre.
Configurar destinatarios Permite agregar, editar o eliminar destinatarios (véase Administración de
los destinatarios de alarmas en la página 351).
Véase también
Definición de la configuración de los mensajes en la página 239
Administración de destinatarios en la página 240
Adición de grupos de destinatarios de correo electrónico en la página 241
Administración de destinatarios
Es posible enviar mensajes de alarma o informe en diversos formatos, cada uno con una lista de
destinatarios que se puede administrar. Las direcciones de correo electrónico se pueden agrupar, de
forma que es posible enviar un mensaje a varios destinatarios a la vez.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración de
correo electrónico.
Véase también
Definición de la configuración de los mensajes en la página 239
Conexión con el servidor de correo en la página 239
Adición de grupos de destinatarios de correo electrónico en la página 241
Antes de empezar
Los destinatarios y sus direcciones de correo electrónico deben estar presentes en el
sistema (véase Adición de un usuario).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, haga clic en el sistema y, después, en el icono de Propiedades
2 Haga clic en Configuración de correo electrónico, después en Configurar destinatarios y, después, en Grupos de
correo electrónico | Agregar.
3 Escriba un nombre para el grupo, seleccione los usuarios que formarán parte de él y haga clic en
Aceptar.
El grupo se agregará a la sección Grupos de destinatarios de correo electrónico de la página Grupos de correo
electrónico.
Véase también
Definición de la configuración de los mensajes en la página 239
Conexión con el servidor de correo en la página 239
Administración de destinatarios en la página 240
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
Procedimientos
• Visualización del estado de los servidores NTP en la página 242
Es posible ver el estado de todos los servidores NTP del ESM.
Véase también
Visualización del estado de los servidores NTP en la página 242
Página Configurar servidores NTP en la página 242
Véase también
Configuración de NTP en un dispositivo en la página 241
Antes de empezar
Agregue servidores NTP al ESM o los dispositivos (véase Sincronización de la hora del
sistema o Configuración de NTP en un dispositivo).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
• En el árbol de navegación del sistema, seleccione un dispositivo, haga clic en el icono Propiedades
y seleccione Configuración | NTP.
2 Haga clic en Estado, visualice los datos del servidor NTP y haga clic en Cerrar.
Véase también
Configuración de NTP en un dispositivo en la página 241
Página Estado de servidor NTP en la página 243
Véase también
Visualización del estado de los servidores NTP en la página 242
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración de
red.
Procedimientos
• Configuración del puerto IPMI en el ESM o los dispositivos en la página 256
Configure la red para el puerto IPMI con el fin de configurar IPMI en el ESM o sus
dispositivos.
• Configuración del control del tráfico de red en el ESM en la página 258
Defina un valor de salida de datos máximo para el ESM.
• Configuración de DHCP en la página 262
El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para
distribuir de forma dinámica los parámetros de configuración de la red, tales como las
direcciones IP de interfaces y servicios.
• Configuración de DHCP en una VLAN en la página 263
El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para
distribuir de forma dinámica los parámetros de configuración de la red, tales como las
direcciones IP de interfaces y servicios.
Activar SSH Seleccione esta opción para permitir las conexiones SSH. Se debe
(no disponible en definir al menos una interfaz para activar SSH.
el modo FIPS)
ESM y los dispositivos emplean una versión de SSH compatible con
FIPS. Los clientes SSH OpenSSH, Putty, dropbear, Cygwin ssh,
WinSCP y TeraTerm han sido sometidos a pruebas y se sabe que
funcionan. Si utiliza Putty, la versión 0.62 es compatible, y puede
descargarla en http://www.chiark.greenend.org.uk/~sgtatham/
putty/download.html.
Proxy Si la red cuenta con un servidor proxy, deberá configurar la conexión con el ESM.
IPv4 o IPv6 En los dispositivos, si dispone de una interfaz que emplea una
dirección IPv6, puede seleccionar IPv6. De lo contrario, se selecciona
IPv4.
Dirección IP, Puerto, Introduzca la información necesaria para conectar con el servidor
Nombre de usuario, proxy.
Contraseña
Autenticación básica Permite implementar la comprobación de autenticación básica.
Tráfico Defina un valor máximo de salida de datos para una red y una máscara a fin de controlar
la tasa de envío del tráfico saliente.
Tabla Permite ver los controles que se han configurado.
Columna Red Permite ver las direcciones de las redes en las que el sistema controla
el tráfico saliente en función de lo que se ha definido.
Columna Máscara (Opcional) Ver las máscaras para las direcciones de red.
Columna Ver el rendimiento máximo definido para cada red.
Rendimiento máximo
Agregar, Editar, Administrar las direcciones de red que se desea controlar.
Eliminar
Rutas Rutas estáticas Permite agregar, editar o eliminar rutas estáticas. Una ruta estática es
estáticas un conjunto especificado de instrucciones sobre cómo llegar a un host
o una red no disponibles a través del gateway predeterminado.
Cuando se agrega una ruta estática, el cambio se inserta en el ESM y
entra en vigor inmediatamente al hacer clic en Aplicar. Tras la
aplicación de los cambios, el ESM se reinicializa y, por tanto, se
pierden todas las sesiones en curso.
Véase también
Configuración del puerto IPMI en el ESM o los dispositivos en la página 256
Ficha Proxy
Si la red cuenta con un servidor proxy, deberá configurar la conexión con el ESM.
Tabla 3-127 Definiciones de opciones
Opción Definición
IPv4 o IPv6 (no disponible en todas las Si dispone de una interfaz que emplea una dirección IPv6,
fichas Proxy) puede seleccionar IPv6. De lo contrario, se selecciona IPv4.
Dirección IP, Puerto, Nombre de usuario, Introduzca la información necesaria para conectar con el
Contraseña servidor proxy.
Autenticación básica Permite implementar la comprobación de autenticación
básica.
Se recomienda usar esta función con uno de los siguientes clientes FTP: WinSCP
5.11, FileZilla, CoreFTP LE o FireFTP.
Modo (Opcional) Permite cambiar el modo a IDS. Esta opción solo se puede cambiar en el
dispositivo Nitro IPS.
Puerto SSH Seleccione el puerto a través del cual se permite el acceso entre ESM y el
dispositivo.
Rutas de tráfico Permite establecer el número de rutas de tráfico de red que pasan por el
dispositivo. Este valor solo se puede cambiar en Nitro IPS, que debe encontrarse en
el modo IPS. Por cada ruta deben existir dos interfaces que no se utilicen como
interfaces de administración.
Véase también
Configuración de interfaces de red en la página 250
IPv4, Máscara de Escriba las direcciones IP y una máscara de red para IPv4.
red, IPv6
Las versiones 4 y 5 de Firefox actualmente no pueden eliminar "[ ]" de la dirección
al verificar el certificado, por lo que no pueden resolver las direcciones IPv6 mientras
intentan obtener los certificados a través de IPv6. Para solucionar este problema,
agregue un registro para la dirección IPv6 en el archivo /etc/hosts (Linux) o C:
\WINDOWS\system32\drivers\etc\hosts (Windows) y utilice el nombre de host en
lugar de la dirección IPv6 para navegar al ESM.
Gateway Introduzca el gateway que funciona con la configuración de red. Debe tratarse de
una dirección IPv4.
Ficha Comunicación
Permite definir la configuración de comunicación para la interfaz entre el dispositivo y el ESM. Los
campos de esta página dependen del dispositivo.
Puerto TLS de Seleccione el puerto en el que se abre el firewall del receptor para poder escuchar la
syslog información del protocolo TLS de entrada del origen de datos. El puerto
predeterminado es 10514. El puerto 0 significa que la recopilación de syslog
mediante TLS está desactivada. Cuando se agrega un origen de datos, se puede
especificar que solo se acepte syslog mediante TLS de los datos para los que el
puerto está activado. TLS solo admite certificados autofirmados.
Puerto de MEF Seleccione el puerto en el que se abre el firewall del receptor para poder escuchar la
información de MEF de entrada del origen de datos. El puerto predeterminado es
8081. El puerto 0 significa que la recopilación de MEF está desactivada.
Todos los orígenes de datos MEF con la misma dirección IP deben marcarse como
cifrados o sin cifrar.
Puerto IPFIX Seleccione el puerto en el que se abre el firewall del receptor para poder escuchar la
información del protocolo IPFIX de entrada del origen de datos. El puerto
predeterminado es 4739. El puerto 0, que es el predeterminado, indica que la
recopilación de IPFIX está desactivada.
Puertos de NetFlow Seleccione el puerto en el que se abre el firewall del receptor para poder escuchar la
información del protocolo NetFlow de entrada del origen de datos. Esta lista puede
contener varios puertos separados por comas. Un valor en blanco en este campo
significa que la recopilación de NetFlow está desactivada.
Dirección DHCP Un intervalo de direcciones IP DHCP que permite la recopilación de registros
enviados a Event Receiver desde orígenes de datos DHCP contenidos en el intervalo.
Un origen de datos DHCP puede presentar cualquier tipo de datos admitido y
enviado al receptor a través del Recopilador de eventos de Windows de McAfee
Labs.
Interfaz de administración
Si lo prefieren, los administradores de red pueden configurar una interfaz de administración con una
dirección IP para la comunicación entre el ESM y el dispositivo. Estas funciones de un dispositivo
requieren el uso de una interfaz de administración:
• Control completo de las tarjetas de red de omisión
• Notificaciones SNMP
Los dispositivos están equipados al menos con una interfaz de administración, la cual aporta una
dirección IP. Con una dirección IP, el ESM puede acceder directamente al dispositivo sin dirigir la
comunicación hacia otra dirección IP o nombre de host de destino.
No conecte la interfaz de red de administración a una red pública, ya que sería visible en la red pública
y su seguridad podría ponerse en peligro.
En el caso de un dispositivo que se ejecuta en el modo Nitro IPS, deben existir dos interfaces por cada
ruta de tráfico de red. En el modo IDS, deben existir un mínimo de dos interfaces de red en el
dispositivo. Es posible configurar más de una interfaz de red de administración en el dispositivo.
NIC de omisión
Un dispositivo en modo de omisión permite que pase todo el tráfico, incluido el malicioso. En
circunstancias normales, se puede producir una pérdida de conexión de entre uno y tres segundos
cuando el dispositivo pasa al modo de omisión, así como una pérdida de 18 segundos cuando sale de
él. La conexión con ciertos conmutadores, como algunos modelos de Cisco Catalyst, puede alterar
estas cifras. En tal caso, se producirá una pérdida de conexión de 33 segundos cuando el dispositivo
pasa al modo de omisión y cuando sale de él.
Las opciones de omisión disponibles dependen del tipo de NIC de omisión del dispositivo (Tipo 2 o Tipo
3).
Para desactivar el enlace de NIC, cambie la dirección IP de una de las interfaces de forma que deje de
coincidir con la otra. Entonces, el sistema desactiva automáticamente el modo de enlace de NIC.
Véase también
Configuración de interfaces de red en la página 250
Adición de VLAN y alias en la página 252
Adición de rutas estáticas en la página 254
NIC de omisión en la página 255
Configuración de NIC de omisión en la página 255
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
Todos los cambios se insertarán en el dispositivo y entrarán en vigor de inmediato. Tras la aplicación
de los cambios, el dispositivo se reinicializa y, por tanto, se pierden todas las sesiones en curso.
Véase también
Administración de interfaces de red en la página 249
Adición de VLAN y alias en la página 252
Adición de rutas estáticas en la página 254
NIC de omisión en la página 255
Configuración de NIC de omisión en la página 255
Ficha Red de los dispositivos en la página 246
Ficha Avanzada de los dispositivos en la página 252
Página Interfaces avanzadas en la página 252
Se recomienda usar esta función con uno de los siguientes clientes FTP: WinSCP
5.11, FileZilla, CoreFTP LE o FireFTP.
Modo (Opcional) Permite cambiar el modo a IDS. Esta opción solo se puede cambiar en el
dispositivo Nitro IPS.
Puerto SSH Seleccione el puerto a través del cual se permite el acceso entre ESM y el
dispositivo.
Rutas de tráfico Permite establecer el número de rutas de tráfico de red que pasan por el
dispositivo. Este valor solo se puede cambiar en Nitro IPS, que debe encontrarse en
el modo IPS. Por cada ruta deben existir dos interfaces que no se utilicen como
interfaces de administración.
Véase también
Configuración de interfaces de red en la página 250
Configuración IPMI Para administrar de forma remota los dispositivos ESM a través de una tarjeta IPMI
cuando hay un NIC IPMI conectado a un conmutador, agregue la configuración de
IPMI.
• Activar configuración IPMI: permite el acceso a los comandos de IPMI.
• VLAN, Dirección IP, Máscara de red, Gateway: introduzca los valores de configuración de la
red para el puerto IPMI.
Véase también
Configuración de interfaces de red en la página 250
Véase también
Configuración de interfaces de red en la página 250
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo, haga clic en el icono Propiedades
3 Haga clic en Agregar VLAN, rellene la información solicitada y haga clic en Aceptar.
4 Seleccione la VLAN a la que desee agregar el alias y haga clic en Agregar alias.
Véase también
Administración de interfaces de red en la página 249
Configuración de interfaces de red en la página 250
Adición de rutas estáticas en la página 254
NIC de omisión en la página 255
Configuración de NIC de omisión en la página 255
Página Agregar alias en la página 253
Página Agregar VLAN en la página 253
Véase también
Adición de VLAN y alias en la página 252
IPv4 o IPv6 Seleccione la versión de IP. La opción predeterminada es IPv4. Si tiene IPv6 configurado
con el valor Manual o Automático en la página Configuración de red, el botón de opción IPv6
estará activado. Seleccione esta opción si la dirección IP está en formato IPv6. Al
seleccionarla, se desactiva el campo Máscara de red.
Dirección IP Escriba la dirección IP de la VLAN.
Máscara de red Si la dirección IP está en formato IPv4, agregue la máscara de red.
Véase también
Adición de VLAN y alias en la página 252
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
Véase también
Administración de interfaces de red en la página 249
Configuración de interfaces de red en la página 250
Adición de VLAN y alias en la página 252
NIC de omisión en la página 255
Configuración de NIC de omisión en la página 255
Página Rutas estáticas en la página 254
Página Agregar ruta estática en la página 254
Véase también
Adición de rutas estáticas en la página 254
Véase también
Adición de rutas estáticas en la página 254
NIC de omisión
Un dispositivo en modo de omisión permite que pase todo el tráfico, incluido el malicioso.
En circunstancias normales, se puede producir una pérdida de conexión de entre uno y tres segundos
cuando el dispositivo pasa al modo de omisión, así como una pérdida de 18 segundos cuando sale de
él. La conexión con ciertos conmutadores, como algunos modelos de Cisco Catalyst, puede alterar
estas cifras. En tal caso, se producirá una pérdida de conexión de 33 segundos cuando el dispositivo
pasa al modo de omisión y cuando sale de él.
Las opciones de omisión disponibles dependen del tipo de NIC de omisión del dispositivo (Tipo 2 o Tipo
3).
Para desactivar el enlace de NIC, cambie la dirección IP de una de las interfaces de forma que deje de
coincidir con la otra. Entonces, el sistema desactiva automáticamente el modo de enlace de NIC.
Véase también
Administración de interfaces de red en la página 249
Configuración de interfaces de red en la página 250
Adición de VLAN y alias en la página 252
Adición de rutas estáticas en la página 254
Configuración de NIC de omisión en la página 255
Los dispositivos ADM y DEM siempre están en el modo IDS. Puede ver el tipo y el estado del NIC de
omisión, pero no cambiar la configuración.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
3 En la página Configuración de la interfaz de red, diríjase a la sección Configuración de NIC de omisión en la parte
inferior.
Véase también
Administración de interfaces de red en la página 249
Configuración de interfaces de red en la página 250
Adición de VLAN y alias en la página 252
Adición de rutas estáticas en la página 254
NIC de omisión en la página 255
• Establecer la contraseña de IPMI para el usuario predeterminado tras la ampliación a ESM 9.4.0.
• Acceder a comandos IPMI, como, por ejemplo, en el caso del encendido y el estado de
alimentación.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione el sistema o cualquiera de los dispositivos y haga
3 Seleccione Activar configuración IPMI e indique la VLAN, la dirección IP, la máscara de red y el gateway
de IPMI.
Si la opción Activar configuración IPMI no está disponible en la BIOS del dispositivo, es necesario
actualizar la BIOS en el dispositivo. Acceda al dispositivo mediante SSH y abra el archivo /etc/
areca/system_bios_update/Contents‑README.txt.
Si está ampliando el dispositivo, puede que reciba un mensaje que solicita el cambio de contraseña
o la aplicación de la clave de nuevo al dispositivo. Si recibe este mensaje, cambie la contraseña del
sistema o vuelva a aplicar la clave al dispositivo para establecer una nueva contraseña a fin de
configurar el IPMI.
Véase también
Página Configuración de red en la página 244
Activar SSH Seleccione esta opción para permitir las conexiones SSH. Se debe
(no disponible en definir al menos una interfaz para activar SSH.
el modo FIPS)
ESM y los dispositivos emplean una versión de SSH compatible con
FIPS. Los clientes SSH OpenSSH, Putty, dropbear, Cygwin ssh,
WinSCP y TeraTerm han sido sometidos a pruebas y se sabe que
funcionan. Si utiliza Putty, la versión 0.62 es compatible, y puede
descargarla en http://www.chiark.greenend.org.uk/~sgtatham/
putty/download.html.
Avanzada Permite configurar los mensajes del protocolo Internet Control Message Protocol (ICMP) e
Intelligent Platform Management Interface (IPMI) en el ESM o sus dispositivos.
Mensajes de ICMP Seleccione cualquiera de las siguientes opciones para ICMP.
• Redirigir: el ESM ignora los mensajes de redirección.
• Destino inaccesible: el ESM genera un mensaje cuando un paquete no
se puede entregar en su destino por motivos distintos a la
congestión.
• Activar PING: el ESM envía un mensaje Echo Reply en respuesta a un
mensaje Echo Request enviado a una dirección IPv6 de
multidifusión/difusión por proximidad.
Proxy Si la red cuenta con un servidor proxy, deberá configurar la conexión con el ESM.
IPv4 o IPv6 En los dispositivos, si dispone de una interfaz que emplea una
dirección IPv6, puede seleccionar IPv6. De lo contrario, se selecciona
IPv4.
Dirección IP, Puerto, Introduzca la información necesaria para conectar con el servidor
Nombre de usuario, proxy.
Contraseña
Autenticación básica Permite implementar la comprobación de autenticación básica.
Tráfico Defina un valor máximo de salida de datos para una red y una máscara a fin de controlar
la tasa de envío del tráfico saliente.
Tabla Permite ver los controles que se han configurado.
Columna Red Permite ver las direcciones de las redes en las que el sistema controla
el tráfico saliente en función de lo que se ha definido.
Columna Máscara (Opcional) Ver las máscaras para las direcciones de red.
Columna Ver el rendimiento máximo definido para cada red.
Rendimiento máximo
Agregar, Editar, Administrar las direcciones de red que se desea controlar.
Eliminar
Rutas Rutas estáticas Permite agregar, editar o eliminar rutas estáticas. Una ruta estática es
estáticas un conjunto especificado de instrucciones sobre cómo llegar a un host
o una red no disponibles a través del gateway predeterminado.
Cuando se agrega una ruta estática, el cambio se inserta en el ESM y
entra en vigor inmediatamente al hacer clic en Aplicar. Tras la
aplicación de los cambios, el ESM se reinicializa y, por tanto, se
pierden todas las sesiones en curso.
Véase también
Configuración del puerto IPMI en el ESM o los dispositivos en la página 256
Tenga cuidado al configurar esta función, ya que limitar el tráfico puede acarrear una fuga de datos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades .
3 A fin de agregar controles para un dispositivo, haga clic en Agregar, introduzca la dirección y la
máscara de la red, establezca la tasa y, a continuación, haga clic en Aceptar.
Si establece la máscara como cero (0), se controlan todos los datos enviados.
Véase también
Ficha Tráfico en la página 56
Página Agregar tasa de rendimiento en la página 56
Ficha Tráfico
Es posible definir un valor máximo de salida de datos para una red y una máscara a fin de controlar la
tasa de envío de tráfico.
Véase también
Configuración del control de tráfico de la red en un dispositivo en la página 55
Configuración del control del tráfico de red en el ESM en la página 258
Véase también
Configuración del control de tráfico de la red en un dispositivo en la página 55
Configuración del control del tráfico de red en el ESM en la página 258
Al visualizar los datos de un evento, también se pueden ver los nombres de host asociados con las
direcciones IP del evento; para ello, haga clic en el icono Mostrar nombres de host , situado en la parte
inferior de los componentes de vista.
Si los eventos existentes no están etiquetados con un nombre de host, el sistema realiza una
búsqueda en la tabla de hosts del ESM y etiqueta las direcciones IP con sus nombres de host. Si las
direcciones IP no aparecen en la tabla de hosts, el sistema lleva a cabo una búsqueda DNS a fin de
localizar los nombres de host. Los resultados de la búsqueda se muestran entonces en la vista y se
agregan a la tabla de hosts.
En la tabla de hosts, estos datos se marcan como Aprendido automáticamente y caducan tras el periodo de
tiempo designado en el campo Las entradas caducan después de, situado debajo de la tabla de hosts en la
página Propiedades del sistema | Hosts. Si los datos han caducado, se realiza otra búsqueda DNS la
siguiente vez que se selecciona la opción Mostrar nombres de host en una vista.
La tabla de hosts muestra los nombres de host agregados y de aprendizaje automático, así como sus
direcciones IP. Es posible agregar información a la tabla de hosts manualmente mediante la
introducción de una dirección IP y un nombre de host individualmente, o bien a través de la
importación de una lista delimitada por tabulaciones de direcciones IP y nombres de host (véase
Importación de una lista de nombres de host). Cuantos más datos introduzca de esta forma, menos
tiempo se dedicará a las búsquedas DNS. Si se introduce un nombre de host manualmente no caduca,
pero es posible editarlo o quitarlo.
Véase también
Administración de los nombres de host en la página 260
Importación de una lista de nombres de host en la página 261
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Hosts.
Véase también
Uso de los nombres de host en la página 260
Importación de una lista de nombres de host en la página 261
Página Hosts en la página 261
Página Agregar host en la página 261
Página Hosts
Permite administrar la lista de nombres de host en el ESM.
Véase también
Administración de los nombres de host en la página 260
Véase también
Administración de los nombres de host en la página 260
Antes de empezar
Cree el archivo delimitado por tabulaciones de direcciones IP y nombres de host.
Todos los registros del archivo deben estar en una línea distinta, con la dirección IP en primer lugar en
formato IPv4 o IPv6. Por ejemplo:
102.54.94.97 rhino.acme.com
08c8:e6ff:0100::02ff x.acme.com
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Hosts
| Importar.
2 Busque el archivo de texto y haga clic en Cargar. Si el archivo contiene direcciones IP que se
encuentran actualmente en la tabla de hosts con otro nombre de host distinto, en la página
Duplicados aparecerán los registros duplicados.
• Para cambiar el nombre de host de la tabla por el incluido en el archivo de texto, selecciónelo en
la columna Uso y haga clic en Aceptar.
• Para conservar los datos de host existentes, no seleccione la casilla de verificación y haga clic en
Aceptar.
Los nuevos datos de host se agregarán a la tabla. La columna Aprendido automáticamente correspondiente
a estos datos indicará No. Ya que los datos se introdujeron manualmente, no caducarán.
Véase también
Uso de los nombres de host en la página 260
Administración de los nombres de host en la página 260
Configuración de DHCP
El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para distribuir de
forma dinámica los parámetros de configuración de la red, tales como las direcciones IP de interfaces
y servicios.
Cuando se configura el ESM para el despliegue en el entorno de nube, se activa automáticamente
DHCP y se asigna una dirección IP. Si no se emplea el entorno de nube, puede activar y desactivar los
servicios de DHCP en el ESM, el receptor (si no es de disponibilidad alta), el ACE y el ELM en caso de
disponer de derechos de Administración de dispositivo. Esto resultaría útil si es necesario restablecer
las direcciones IP de la red.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
3 Haga clic en la opción Configuración correspondiente al campo Interfaz 1 y, después, seleccione DHCP.
En el caso de los dispositivos distintos de los receptores, se le informará de que los cambios
requieren el reinicio del servidor de ESM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
3 Haga clic en la opción Configuración correspondiente al campo Interfaz 1 y, después, seleccione Avanzada.
5 Haga clic en Aceptar para volver a la página Configuración de red y, después, haga clic en Aplicar.
En el caso de los dispositivos distintos de los receptores, se le informará de que los cambios requieren
el reinicio del servidor de ESM.
Véase también
Configuración de la hora del sistema en la página 263
Sincronización de los relojes de dispositivos en la página 264
Antes de empezar
Si desea agregar servidores NTP al ESM, configure dichos servidores y obtenga sus claves
de autorización y sus ID de clave.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de que esté
seleccionada la opción Información del sistema.
2 Haga clic en Reloj del sistema (GMT), defina la configuración y haga clic en Aceptar.
Las direcciones de servidores NTP en dispositivos de tipo IPS deben ser direcciones IP.
Véase también
Sincronización de la hora del sistema en la página 263
Página Reloj del sistema en la página 264
Columna Servidor NTP Es posible agregar las direcciones IP de los servidores NTP haciendo clic en
esta columna. Se pueden agregar hasta diez servidores.
Estado Haga clic para ver el estado de los servidores NTP de la lista. Si ha
realizado cambios en la lista de servidores, deberá hacer clic en Aceptar para
guardar los cambios y cerrar la página; después, vuelva a abrirla antes de
hacer clic en Estado.
Véase también
Configuración de la hora del sistema en la página 263
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema o la opción Propiedades del
dispositivo y, después, haga clic en Sincronizar en el campo Sincronizar reloj del dispositivo.
2 Haga clic en Actualizar a fin de actualizar los datos de la página Información del sistema o la página
Información del dispositivo.
Véase también
Sincronización de la hora del sistema en la página 263
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de
ESM.
Véase también
Página Administrar certificado en la página 265
Opción Definición
Cargar certificado Instale el certificado, la clave y los archivos de cadena opcionales, en caso de
disponer de ellos. Se le pedirá que cargue el archivo .crt, después el
archivo .key y, por último, los archivos de cadena.
Filtro de certificado Genere e instale un certificado de seguridad autofirmado para el ESM. Haga
autofirmado clic en Generar e introduzca la información en la página Administrar certificado.
Haga clic en Aceptar y, después, en Generar.
Solicitud de firma de Genere una solicitud de certificado que enviar a una autoridad de
certificado certificación para su firma.
• Haga clic en Generar, introduzca la información en la página Administrar
certificado y, después, haga clic en Aceptar.
• Descargue el archivo .zip que contiene un archivo .crt y otro .key.
• Extraiga el archivo .crt y envíelo a la autoridad de certificación.
Véase también
Instalación de un nuevo certificado en la página 265
Configuración de perfiles
Defina perfiles para el tráfico basado en syslog a fin de poder realizar configuraciones que compartan
información común sin tener que introducir los detalles en cada ocasión. Cabe la posibilidad también
de agregar un perfil de comando remoto (URL o script) y utilizarlo en una vista o una alarma.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de
perfiles.
2 Para agregar un perfil, haga clic en Agregar en la ficha Perfiles del sistema y rellene los datos del perfil.
3 Para agregar un comando remoto, haga clic en la ficha Comando remoto y rellene la información
solicitada.
Véase también
Página Administrador de perfiles en la página 266
Página Agregar perfil del sistema en la página 267
Ficha Comandos remotos en la página 268
Página Comando remoto en la página 268
Véase también
Configuración de perfiles en la página 266
Protocolo de Si selecciona authNoPriv o authPriv en el campo Nivel de seguridad, este campo estará
autenticación activo. Seleccione el tipo de protocolo para este origen: MD5 o SHA1. SHA1 y SHA
hacen referencia al mismo tipo de protocolo.
Agente de perfil Seleccione el agente para este perfil. Los campos restantes variarán en función
de lo que se seleccione en este campo.
Nombre de perfil Escriba un nombre descriptivo para este perfil.
Tipo de perfil Seleccione el tipo de perfil. Los campos restantes de esta página variarán en
función de lo que se seleccione en este campo. Su uso es evidente en la
mayoría de los casos.
Puerto Cambie el puerto de conexión si el predeterminado no es correcto.
Protocolo Seleccione el protocolo de transporte.
Dirección IP remota, Si ha seleccionado CIFS o NFS como agente de perfil, escriba esta información
Punto de montaje para el dispositivo de almacenamiento.
remoto, Ruta remota
Véase también
Configuración de perfiles en la página 266
Véase también
Configuración de perfiles en la página 266
Véase también
Configuración de perfiles en la página 266
Configuración de SNMP
Es posible configurar las opciones empleadas por el ESM para enviar capturas de vínculo activo/
inactivo y de inicio en caliente/frío, tanto para el ESM como para cada uno de los dispositivos,
recuperar las tablas de sistema e interfaz de MIB-II y permitir el descubrimiento del ESM a través del
comando snmpwalk.
SNMPv3 es compatible con las opciones NoAuthNoPriv, AuthNoPriv y AuthPriv, con el uso de MD5 o
Secure Hash Algorithm (SHA) para la autenticación y de Data Encryption Standard (DES) o Advanced
Encryption Standard (AES) para el cifrado (MD5 y DES no están disponibles en el modo FIPS).
Véase también
Configuración de las opciones de SNMP en la página 269
Configuración de una captura SNMP para la notificación de fallos de alimentación en la página
272
SNMP y la MIB de McAfee en la página 273
Extracción de la MIB de ESM en la página 278
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración
SNMP.
Véase también
Configuración de SNMP en la página 269
Configuración de una captura SNMP para la notificación de fallos de alimentación en la página
272
SNMP y la MIB de McAfee en la página 273
Extracción de la MIB de ESM en la página 278
Página Configuración SNMP en la página 270
Página Configuración SNMP en la página 271
Capturas de base de Seleccione esta opción si desea que se envíe una captura SNMP
datos activa/inactiva cuando la base de datos (cpservice, IPSDBServer) se active o se
desactive.
Captura de error de Seleccione esta opción si desea que se envíe una captura SNMP
registro de seguridad cuando no se escriba un registro en la tabla de registros.
Véase también
Configuración de las opciones de SNMP en la página 269
Capturas de base Seleccione esta opción para enviar una captura SNMP cuando la base
de datos activa/ de datos (cpservice, IPSDBServer) se active o se desactive.
inactiva
Si configura SNMP en un receptor de disponibilidad alta, las capturas para el receptor principal tendrán
su origen en la dirección IP compartida. Por tanto, cuando configure los escuchas, establezca uno para
la dirección IP compartida.
Véase también
Configuración de las opciones de SNMP en la página 269
Antes de empezar
• Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso
con privilegios de administración de alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades .
3 En Puerto de captura, escriba 162, seleccione Error de hardware general y haga clic en Editar perfiles.
Si falla una fuente de alimentación, se envía una captura SNMP y aparece una marca de estado de
mantenimiento junto al dispositivo en el árbol de navegación del sistema.
Véase también
Configuración de SNMP en la página 269
Configuración de las opciones de SNMP en la página 269
SNMP y la MIB de McAfee en la página 273
Extracción de la MIB de ESM en la página 278
• Solicitudes de estado de ESM: un ESM puede recibir solicitudes de estado de sí mismo y de los
dispositivos que administra, así como responder a ellas.
• Lista negra: un ESM puede recibir capturas que definen entradas para las listas negras y de
cuarentena, las cuales a su vez se aplican a los dispositivos Nitro IPS que administra.
La MIB de McAfee también define las convenciones textuales (tipos enumerados) de los valores, entre
las que se incluyen:
• La acción realizada cuando se recibe una alerta
El ESM responde con un valor de devolución o un error. Por ejemplo, una solicitud y una respuesta de
estado para un dispositivo Nitro IPS con el ID de Nitro IPS 2 podría tener un aspecto similar al
siguiente:
Siguiendo con el ejemplo anterior, el administrador de SNMP realiza una solicitud al agente de SNMP,
el ESM. Los números significan lo siguiente:
• 1.3.6.1.4.1.23128: el número de empresa de McAfee asignado por la Autoridad de asignación de
números de Internet (IANA).
• Del segundo al último número (1–17 en el ejemplo anterior): para solicitar los diversos aspectos
del estado de Nitro IPS.
El ESM responde rellenando los enlaces de OID con los resultados de la solicitud de estado.
Las tablas siguientes muestran el significado de los OID del ESM y el receptor.
x = ID de dispositivo. Para acceder a una lista de ID de dispositivo, acceda a Propiedades del sistema |
Configuración SNMP y haga clic en Ver ID de dispositivos.
Las entradas de eventos, flujos y lista negra se envían mediante capturas SNMP o solicitudes de
información. Una captura de alerta enviada desde un ESM configurado para el reenvío de eventos
podría tener un aspecto similar al siguiente:
1.3.6.1.4.1.23128.1.1.4 2 ID de dispositivo
1.3.6.1.4.1.23128.1.1.11 17 Protocolo
1.3.6.1.4.1.23128.1.1.12 0 VLAN
1.3.6.1.4.1.23128.1.1.13 Dirección
1.3.6.1.4.1.23128.1.1.21 1 Gravedad
1.3.6.1.4.1.23128.1.1.26 Aplicación
1.3.6.1.4.1.23128.1.1.27 Dominio
1.3.6.1.4.1.23128.1.1.28 Host
1.3.6.1.4.1.23128.1.1.31 Comando
1.3.6.1.4.1.23128.1.1.32 Objeto
Para conocer todos los detalles sobre la definición de la MIB de McAfee, véase https://x.x.x.x/
BrowseReference/NITROSECURITY-BASE-MIB.txt, donde x.x.x.x es la dirección IP del ESM.
Véase también
Configuración de SNMP en la página 269
Configuración de las opciones de SNMP en la página 269
Configuración de una captura SNMP para la notificación de fallos de alimentación en la página
272
Extracción de la MIB de ESM en la página 278
• A un ESM para administrar las listas negras y las listas de cuarentena de uno o varios dispositivos
IPS.
• A un ESM que solicita información de estado del propio ESM o de los dispositivos IPS y receptores.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades .
Véase también
Configuración de SNMP en la página 269
Configuración de las opciones de SNMP en la página 269
Configuración de una captura SNMP para la notificación de fallos de alimentación en la página
272
SNMP y la MIB de McAfee en la página 273
Si cuenta con más de cuatro CPU en una máquina virtual, puede utilizar el espacio de almacenamiento
adicional para almacenamiento del sistema, de datos y de alto rendimiento.
Si elimina más de una unidad de la máquina virtual de ESM al mismo tiempo, se podrían perder todas
las búsquedas de ELM anteriores. Para evitarlo, exporte los resultados de búsqueda de ELM antes de
realizar este proceso.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base
de datos | Almacenamiento de datos.
2 Haga clic en cualquiera de las fichas, seleccione una acción y rellene la información solicitada.
Las fichas disponibles dependen de los tipos de almacenamiento conectados al ESM.
Véase también
Página Configuración iSCSI en la página 163
Véase también
Adición de un dispositivo iSCSI en la página 162
Configuración del almacenamiento de datos de ESM en la página 279
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base
de datos | Datos de máquina virtual.
2 En cada uno de los campos, seleccione la unidad en la que desee almacenar los datos. Solo es
posible seleccionar una vez cada unidad.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
El ESM emplea los índices estándar cuando genera consultas, informes, alarmas y vistas. Si desactiva
alguno y después intenta generar una consulta, un informe, una alarma o una vista que lo utilice, se le
notificará que no se puede procesar porque un índice está desactivado. No se le indicará qué índice
afecta al proceso. Debido a esta limitación, no desactive los índices estándar a menos que determine
que es absolutamente necesario.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Base de datos.
3 En la lista desplegable, haga clic en Índices estándar y seleccione Mostrar índices estándar.
4 Haga clic en los índices estándar que desee desactivar y, después, haga clic en la flecha para
moverlos al área Disponible.
Ahora podrá activar más de cinco índices de acumulación para el campo acumulativo seleccionado
(véase Administración de la indización de acumulación).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base
de datos | Archivado.
A medida que las particiones pasen a estar inactivas, se copiarán en esta ubicación y aparecerán en
las fichas Particiones de eventos y Particiones de flujos.
Véase también
Página Particiones inactivas en la página 281
El uso de un tipo de recurso compartido CIFS con versiones del servidor Samba
posteriores a la 3.2 puede provocar la fuga de datos.
Véase también
Configuración de un archivo de particiones inactivas en la página 280
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base
de datos | Retención de datos.
2 Seleccione cuánto tiempo desea que se conserven los eventos y flujos, y también si desea
restringir los datos históricos.
Véase también
Página Retención de datos en la página 282
Véase también
Configuración de límites de retención de datos en la página 281
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base
de datos | Asignación de datos.
2 Haga clic en los marcadores de las líneas de números y arrástrelos a los números que desee, o bien
haga clic en las flechas de los campos Eventos y Flujos.
Véase también
Página Asignación de datos en la página 283
Véase también
Definición de los límites de asignación de datos en la página 282
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base
de datos | Configuración.
2 Para cambiar la configuración actual en las columnas Eventos y Flujos, haga clic en el elemento que
desee cambiar y seleccione una nueva configuración en la lista desplegable.
3 Si selecciona Personalizado en las columnas de Puerto, se abrirá la pantalla Valores de puerto para poder
seleccionar o agregar un nuevo valor de puerto.
Véase también
Página Indización de base de datos en la página 284
Página Valores de puerto en la página 284
Véase también
Administración de la configuración de índice de la base de datos en la página 283
Véase también
Administración de la configuración de índice de la base de datos en la página 283
Antes de empezar
Configure un tipo personalizado de indización de acumulación (véase Creación de tipos
personalizados).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Base de datos.
Ahora ya es posible configurar una consulta acumulativa para ver los resultados.
Véase también
Ficha Indización de acumulación en la página 285
Véase también
Administración de la indización de acumulación en la página 284
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base
de datos | Uso de memoria.
Las tablas Eventos y Flujos incluyen la utilización de memoria por parte de la base de datos.
2
Para imprimir los informes, haga clic en el icono Imprimir .
Véase también
Página Información de la base de datos en la página 286
Véase también
Visualización de la utilización de memoria de la base de datos en la página 285
• Grupos: muestra los nombres de los grupos y una descripción de los privilegios asignados a cada
uno.
Para ordenar las tablas, haga clic en Nombre de usuario, Sesiones o Nombre del grupo.
Privilegios de grupo
Cuando se configura un grupo, se establecen los privilegios de sus miembros.
Si selecciona Limitar el acceso de este grupo en la página Privilegios de Agregar grupo (Propiedades del sistema |
Agregar grupo), el acceso a estas funciones queda limitado.
• Barra de herramientas de acciones: los usuarios no pueden acceder a la administración de
dispositivos, a la administración de varios dispositivos ni al visor de transmisiones de eventos.
• Alarmas: los usuarios del grupo no tienen acceso a los destinatarios, los archivos ni las plantillas de
alarmas. No pueden crear, editar, eliminar, activar ni desactivar alarmas.
• Administrador de activos y Editor de directivas: los usuarios no pueden acceder a estas funciones.
• Administración de casos: los usuarios pueden acceder a todas las funciones salvo Organización.
• ELM: los usuarios pueden realizar búsquedas de ELM mejoradas, pero no pueden guardarlas ni
acceder a las propiedades de dispositivos ELM.
• Filtros: los usuarios no pueden acceder a las fichas de filtros Normalización de cadenas, Active Directory,
Activos, Grupos de activos ni Etiquetas.
• Informes: los usuarios solo pueden ejecutar un informe que les envíe el resultado por correo
electrónico.
• Propiedades del sistema: los usuarios solo pueden acceder a Informes y Listas de vigilancia.
• Listas de vigilancia: los usuarios no pueden agregar una lista de vigilancia dinámica.
• Zonas: los usuarios solo pueden ver las zonas a las que tienen acceso en su lista de zonas.
Adición de un usuario
Si dispone de privilegios de administrador del sistema, podrá agregar usuarios al sistema para que
tengan acceso al ESM, sus dispositivos, directivas y privilegios asociados. Una vez agregada, la
configuración del usuario se puede editar o eliminar.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Usuarios y grupos.
Los usuarios se agregarán al sistema con los privilegios asignados a los grupos a los que pertenezcan.
Los nombres de usuario aparecerán en la sección Usuarios de la página Usuarios y grupos. Aparecerá un
icono junto a cada nombre de usuario para indicar si la cuenta está o no activada. Si el usuario tiene
Véase también
Página Agregar usuario en la página 287
Página Usuarios y grupos en la página 289
Derechos de Seleccione esta opción si desea que el usuario tenga privilegios de administrador.
administrador (no El administrador del sistema puede otorgar privilegios a los usuarios generales
en modo FIPS) mediante la creación de grupos de acceso y la asignación de usuarios a estos
grupos. El administrador del sistema es el único usuario que tiene acceso a todas
las áreas del sistema, incluida el área de usuarios y grupos.
Desactivar cuenta Seleccione esta opción si desea bloquear el acceso por parte del usuario a su
cuenta en el ESM (véase Desactivación o reactivación de usuarios).
Dirección de correo Agregue la dirección de correo electrónico del usuario, que es opcional a menos
electrónico que el usuario reciba notificaciones de informe o alarma.
• Si la dirección de correo electrónico ya existe en el sistema, selecciónela en la
lista desplegable Dirección de correo electrónico.
• Si la dirección no existe en el sistema, haga clic en Dirección de correo electrónico y
agréguela al sistema.
Véase también
Adición de un usuario en la página 287
Véase también
Adición de un usuario en la página 287
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Véase también
Página Configuración de usuario en la página 290
Véase también
Selección de la configuración de usuario en la página 289
Configuración de la seguridad
Use la seguridad de inicio de sesión para configurar las opciones de inicio de sesión estándar,
establecer la lista de control de acceso (ACL) y definir la configuración de Common Access Card (CAC).
También se puede activar la autenticación mediante RADIUS, Active Directory y el protocolo LDAP
(solo disponible si se dispone de privilegios de administrador del sistema).
Un dispositivo Nitro IPS solo se comunica a través del canal SEM cuando el emisor es un ESM
autorizado. No inicia la comunicación por su cuenta. La comunicación entre un ESM y la consola de ESM
también se envía mediante una conexión cifrada, la cual es conforme con FIPS.
El ESM recupera actualizaciones autenticadas y cifradas de firmas y software a través del servidor
central de McAfee mediante un mecanismo de comunicación cifrada. Existen mecanismos, tanto de
hardware como de software, para garantizar que los dispositivos se administren únicamente desde un
ESM debidamente autorizado.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio
de sesión.
Véase también
Ficha Estándar en la página 291
Ficha Estándar
Permite definir la configuración de inicio de sesión general para el sistema.
Espacio de tiempo de intentos Defina el espacio de tiempo para los intentos de inicio de sesión fallidos
de inicio de sesión fallidos consecutivos. El intervalo oscila entre 0 y 1440 minutos. Este campo
funciona junto con Intentos de inicio de sesión fallidos permitidos. Cuando se alcanza
el número de intentos fallidos permitido en el espacio de tiempo
especificado, la cuenta se bloquea. Permanecerá bloqueada durante el
tiempo definido en el campo Duración de bloqueo en error de inicio de sesión o hasta
que la desbloquee el administrador del sistema.
Duración de bloqueo en error Especifique la cantidad de tiempo que debe permanecer bloqueada una
de inicio de sesión cuenta si se bloquea automáticamente debido a los inicios de sesión fallidos.
El valor máximo es 1440 minutos; 0 significa que no se debe desbloquear
automáticamente. Transcurrido ese tiempo, la cuenta se desbloquea
automáticamente. Esto no afecta a las cuentas que se han bloqueado
manualmente. Los administradores pueden desbloquear la cuenta en
cualquier momento.
Sesiones activas de un Establezca el número de sesiones activas que puede tener un usuario
usuario simultáneamente. El máximo es 10; el valor 0 desactiva la restricción.
Véase también
Definición de la configuración de inicio de sesión estándar en la página 291
Antes de empezar
Debe tener derechos de administrador del sistema.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad
de inicio de sesión.
2 Haga clic en la ficha Contraseñas, realice sus selecciones y haga clic en Aplicar o en Aceptar.
Véase también
Ficha Contraseñas en la página 293
Ficha Contraseñas
Si dispone de privilegios de administrador, puede definir diversas opciones de configuración para las
contraseñas del sistema.
Tabla 3-163 Definiciones de opciones
Opción Definición
Contraseña avanzada Seleccione esta opción si desea que el sistema exija que todas las contraseñas
requerida cumplan los siguientes requisitos de longitud y caracteres. Como mínimo:
• 15 caracteres de longitud
• 2 números
• 2 símbolos o signos de puntuación
• 2 letras minúsculas
• 2 letras mayúsculas
• No se permiten 4 o más caracteres repetidos consecutivos
Si una contraseña no cumple estos requisitos, no se acepta.
Caducidad de la Especifique con qué frecuencia se debe cambiar la contraseña. El intervalo oscila
contraseña entre 0 y 365 días. Si se selecciona 0, la contraseña no caduca.
Notificación previa a Seleccione el número de días antes de la caducidad de la contraseña para
caducar la contraseña recordarle al usuario que debe cambiar la contraseña. El valor máximo es 30 y el
mínimo 1.
Período de gracia de Seleccione el período de tiempo tras caducar la contraseña de un usuario en que
caducidad de aún podrá iniciar sesión. Tras el período de gracia, la cuenta se bloquea y es
contraseña necesario que la desbloquee el administrador.
Inicios de sesión en Seleccione las veces que un usuario podrá iniciar sesión durante el período de
período de gracia tiempo especificado tras caducar la contraseña. Tras este número de inicios de
sesión en el período de gracia, la cuenta se bloquea y es necesario que la
desbloquee el administrador.
Número de historiales Indique si el historial de contraseñas utilizadas por una persona debe
de contraseñas almacenarse en el sistema y cuántos historiales se deben almacenar por cada
usuario. El intervalo oscila entre 0 y 100 contraseñas. Si se indica 0, no se
almacena el historial. Si existe un historial, se comprueba cuando un usuario
modifica una contraseña. En caso de no ser exclusiva, se devuelve un error y la
contraseña no se actualiza. Si es exclusiva, la contraseña se cambia y se agrega
una entrada nueva al historial. Si se alcanza el límite de almacenamiento, se
borra la contraseña más antigua.
Restringir cambios de Permite restringir la frecuencia con que un usuario puede cambiar la contraseña.
contraseña una vez Por ejemplo, si selecciona 12, los usuarios no podrán cambiar sus contraseñas
cada más de una vez cada 12 horas.
Véase también
Definición de la configuración de contraseña de inicio de sesión en la página 292
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio
de sesión.
2 Seleccione la ficha RADIUS y rellene los campos correspondientes al servidor principal. El servidor
secundario es opcional.
Cuando se activa el servidor, todos los usuarios excepto el administrador del sistema se autentican a
través de RADIUS. Si la autenticación está desactivada, los usuarios configurados para la autenticación
mediante RADIUS no pueden acceder a ESM.
Véase también
Página Configuración de autenticación RADIUS en la página 294
RADIUS no es conforme a FIPS. Si está obligado a cumplir las normas de FIPS, se recomienda no utilizar
esta función.
Dirección IP del servidor principal y Introduzca la dirección IP del servidor RADIUS. No es necesario
Dirección IP del servidor secundario indicar la dirección IP, el puerto de servidor y el secreto compartido
secundarios.
Puerto del servidor principal y Puerto Introduzca el puerto del servidor RADIUS.
del servidor secundario
Secreto compartido principal y Introduzca el secreto compartido (similar a una contraseña)
Secreto compartido secundario correspondiente al servidor RADIUS.
Véase también
Configuración de las opciones de autenticación RADIUS en la página 293
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio
de sesión.
3 Haga clic en Aceptar para guardar la configuración y cerrar la Lista de control de acceso.
Véase también
Página Lista de control de acceso en la página 295
Véase también
Configuración de la lista de control de acceso en la página 294
Configuración de CAC
Es posible autenticarse con el ESM proporcionando credenciales CAC a través del navegador en lugar
de introduciendo un nombre de usuario y una contraseña.
Las CAC contienen un certificado de cliente que identifica al usuario, de forma similar a un certificado
de servidor que identifica un sitio web. Si activa la función CAC, se da por hecho que está familiarizado
con la autenticación basada en CAC. Se espera que conozca qué navegadores son compatibles con
esta funcionalidad y que esté familiarizado con el identificador personal para el intercambio electrónico
de datos (EDI-PI) asociado con las CAC.
Los certificados se revocan en ocasiones. Las listas de revocación de certificados (CRL) proporcionan
una forma para que los sistemas estén al tanto de estas revocaciones. Cabe la posibilidad de cargar
manualmente un archivo .zip con archivos CRL.
ActivClient es el único software intermedio CAC compatible con Windows. A fin de usar la
autenticación CAC en el ESM desde Windows a través de Internet Explorer, hay que tener ActivClient
instalado en el equipo cliente. Una vez instalado ActivClient, se emplea para administrar las
credenciales CAC en lugar del administrador de tarjetas inteligentes nativo de Windows. Lo más
probable es que el software ActivClient ya esté instalado si el cliente accede a otros sitios compatibles
con CAC. Las instrucciones sobre la configuración de ActivClient y la ubicación del software para su
descarga se pueden obtener en http://militarycac.com/activclient.htm o en la intranet de su
organización.
Cuando se utiliza la validación CAC para la autenticación de aplicaciones, la seguridad del sistema
depende de la seguridad de la autoridad de certificación (CA). Si la CA está expuesta a riesgos, los
inicios de sesión mediante CAC también lo estarán.
Véase también
Configuración del inicio de sesión mediante CAC en la página 296
ESM es compatible con los lectores de tarjetas Gemalto y Oberthur ID One. Llame al Soporte técnico si
necesita ayuda con su lector de tarjetas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
c En el Asistente para exportar certificados, haga clic en Siguiente, seleccione X.509 codificado base 64 y haga
clic en Siguiente.
d Introduzca la ubicación y el nombre del archivo que va a exportar, haga clic en Siguiente y,
después, en Finalizar.
e En el árbol de navegación del sistema de la consola del ESM, acceda a Propiedades del sistema, haga
clic en Seguridad de inicio de sesión y, después, seleccione la ficha CAC.
2 En la ficha Seguridad de inicio de sesión | CAC, introduzca la información y realice las selecciones
solicitadas; a continuación, haga clic en Aceptar.
d (Opcional) Introduzca el nombre de usuario en el campo Alias de usuario y haga clic en Aceptar.
Véase también
Configuración de CAC en la página 295
Página Configuración de Common Access Card en la página 297
Credenciales de Permite cargar la cadena de certificados raíz de CA de forma que el ESM tenga
certificado acceso a ellos. Es posible ver el archivo de certificado o descargarlo a una
ubicación seleccionada.
Lista de revocación de Cargue la lista de certificados revocados o descárguelos a la ubicación de su
certificados elección.
Configurar un Configure una planificación de recuperación automática; para ello, escriba la
programa de dirección URL y la frecuencia con la que el ESM debería buscar actualizaciones de
recuperación archivos de revocación.
Véase también
Configuración del inicio de sesión mediante CAC en la página 296
Antes de empezar
• Configure un Active Directory al que se pueda acceder desde ESM.
• Cree un grupo (véase Configuración de grupos de usuarios) con el mismo nombre que el
grupo de Active Directory que tiene acceso al ESM. Por ejemplo, si asigna al grupo el
nombre "Usuarios de McAfee", deberá acceder a Propiedades del sistema | Usuarios y grupos y
agregar un grupo con el nombre "Usuarios de McAfee".
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio
de sesión.
2 Haga clic en la ficha Active Directory y seleccione Activar autenticación de Active Directory.
Véase también
Página Autenticación de Active Directory en la página 298
Página Conexión de Active Directory en la página 298
Véase también
Configuración de las opciones de autenticación de Active Directory en la página 297
Véase también
Configuración de las opciones de autenticación de Active Directory en la página 297
Antes de empezar
El dispositivo McAfee ePO no debe estar configurado para requerir la autenticación de
usuario global (véase Configuración de la autenticación de usuarios global).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones y seleccione
Credenciales de ePO.
Si la columna de estado del dispositivo indica No necesario, el dispositivo está configurado para la
autenticación de usuarios global. Es posible cambiar el estado en la página Conexión del dispositivo
(véase Cambio de la conexión con ESM).
Para acceder a este dispositivo, los usuarios necesitan el nombre de usuario y la contraseña
agregados.
Véase también
Página Credenciales de McAfee ePO en la página 300
Editar Haga clic en esta opción para agregar o cambiar las credenciales necesarias para que una
persona acceda al dispositivo McAfee ePO seleccionado. Escriba el nombre de usuario y la
contraseña; a continuación, haga clic en Probar conexión.
Eliminar Haga clic en esta opción para eliminar las credenciales del dispositivo seleccionado. Se le
pedirá confirmación.
Véase también
Configuración de credenciales para McAfee ePO en la página 299
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Usuarios y grupos.
El icono situado junto al nombre de usuario en Usuarios y grupos refleja el estado de la cuenta.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio
de sesión.
Cuando está activada esta opción, todos los usuarios excepto el administrador del sistema se deben
autenticar con el servidor LDAP. Si la autenticación está desactivada, los usuarios configurados para la
autenticación LDAP no pueden acceder al sistema.
Véase también
Página Autenticación LDAP en la página 301
Véase también
Autenticación de usuarios mediante un servidor LDAP en la página 300
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en
Usuarios y grupos | Agregar.
Véase también
Página Agregar grupo en la página 302
Página Usuarios en la página 303
Página Privilegios en la página 303
Página Permisos en la página 304
Página Dispositivos en la página 305
Página Directivas en la página 305
Página Filtros de dirección IP en la página 305
Página Agregar zonas de grupo en la página 306
Página Reenvío de eventos en la página 306
Página Restricciones de tiempo para grupo en la página 306
Página Informes en la página 307
Página de acceso a Vistas en la página 307
Página de acceso Listas de vigilancia en la página 307
Dispositivos Permite seleccionar los dispositivos a los que podrán acceder los usuarios. Si
selecciona todos los dispositivos, los usuarios también tendrán acceso a los
dispositivos nuevos que se agreguen al sistema.
Directivas Seleccione las directivas que los usuarios pueden usar y modificar.
Filtros de dirección IP Si desea restringir el acceso por parte de los usuarios a datos de informes o
alarmas únicamente en el caso de una dirección IP concreta, haga clic en Agregar y
escriba la dirección.
Zonas Seleccione las zonas a las que los usuarios pueden acceder y modificar.
Reenvío de eventos Seleccione los destinos de reenvío de eventos a los que los usuarios pueden
acceder y modificar. Esto define los dispositivos desde los que un usuario puede
reenviar datos, en caso de que el grupo también disponga del privilegio de
reenvío de eventos, así como los filtros que especifican los tipos de eventos que
se reenvían. Cuando se agrega un destino de reenvío de eventos a un usuario
concreto, se agrega a todos los grupos de los que forma parte el usuario, siempre
que los grupos tengan el privilegio de reenvío de eventos.
Restricciones de Permite agregar restricciones de día y hora a fin de limitar el acceso por parte del
tiempo para grupo grupo al ESM.
Informes Permite seleccionar los informes que pueden ver y modificar los usuarios de este
grupo. El grupo debe tener el privilegio Informes.
Vistas Permite seleccionar las vistas que pueden ver y modificar los usuarios de este
grupo. También puede compartir la visibilidad con otros usuarios y grupos.
Véase también
Configuración de grupos de usuarios en la página 301
Página Usuarios
Seleccione los usuarios que formarán parte de este grupo.
Tabla 3-172 Definiciones de opciones
Opción Definición
Tabla Muestra todos los usuarios que se han agregado al sistema. Seleccione los usuarios
que desee agregar al grupo.
Seleccionar todo Selecciona todos los usuarios. Después, podrá anular la selección de los usuarios
que no formarán parte del grupo.
No seleccionar nada Anula la selección de todos los usuarios. Después, podrá seleccionar los usuarios
que formarán parte del grupo.
Véase también
Configuración de grupos de usuarios en la página 301
Página Privilegios
Permite agregar o eliminar los privilegios asociados a este grupo.
Tabla 3-173 Definiciones de opciones
Opción Definición
Limitar el acceso de este grupo Limita los privilegios del grupo (véase Uso de usuarios y grupos).
Lista Privilegios Incluye todos los privilegios disponibles en el ESM. Selecciónelos o anule su
selección de forma individual, o bien haga clic en Seleccionar todo o No
seleccionar nada.
Descripción Muestra una descripción sobre el privilegio seleccionado.
Véase también
Configuración de grupos de usuarios en la página 301
Página Permisos
Seleccione los usuarios y los grupos que deben tener permiso para leer y modificar las vistas, las listas
de vigilancia o los informes resaltados. Los permisos de los elementos personalizados de solo lectura
solo los puede cambiar el creador de los elementos.
(Solo informes y
listas de Es necesario disponer de privilegios de tipo Maestro o Administrativo para activar o
vigilancia) desactivar esta opción.
Heredar
configuración de Esta opción está seleccionada de forma predeterminada. Los usuarios heredan los
modificación privilegios de Modificar. Anule la selección de esta opción si desea cambiar la
configuración predeterminada.
Ficha Grupos Incluye todos los grupos a los que tiene acceso en función de su pertenencia a
ellos (véase Configuración de grupos de usuarios). Indique los grupos que deben
tener acceso a los elementos seleccionados. Puede seleccionar Solo lectura, Modificar o
ninguna de las dos opciones. Si no selecciona ninguna, el grupo dispondrá de
derechos de denegación. Si selecciona Modificar, se selecciona automáticamente Solo
lectura.
Se muestra un seudogrupo denominado Predeterminado en el caso de los usuarios de
tipo Maestro o Administrativo. Los grupos que se creen en el futuro obtendrán este
privilegio.
Ficha Usuarios Incluye todos los usuarios a los que tiene acceso en función de su pertenencia a
grupos (véase Configuración de grupos de usuarios). Indique los usuarios que
deben tener acceso a los elementos seleccionados. Puede seleccionar Solo lectura,
Modificar o ninguna de las dos opciones. Si no selecciona ninguna, el usuario
dispondrá de derechos de denegación. Si selecciona Modificar, se selecciona
automáticamente Solo lectura.
Los privilegios de usuario tienen prioridad sobre los privilegios de grupo. Por
ejemplo, si a un usuario solo se le asigna acceso de Lectura a un recurso pero su
grupo tiene acceso para Modificar, el usuario solo podrá Leer los elementos
seleccionados.
2 Por cada usuario, seleccione Leer o Modificar y, después, haga clic en Aceptar.
Si un usuario no está en la lista, el sistema utiliza los privilegios de grupo del
usuario. Si un usuario está en la lista pero no tiene marcadas las opciones Leer o
Modificar, el usuario tendrá derechos de denegación explícitos para el recurso.
Si ha seleccionado más de una vista, lista de vigilancia o informe, una casilla de verificación de triple
estado en la columna Leer o Modificar de la ficha Grupos o Usuarios indica que existe un conflicto en esa
configuración de los elementos seleccionados. No podrá guardar y cerrar la página hasta que resuelva el
conflicto. Haga clic en la casilla de verificación para resolver la configuración de todos los elementos
seleccionados.
Véase también
Configuración de grupos de usuarios en la página 301
Página Dispositivos
Permite seleccionar los dispositivos a los que podrá acceder este grupo.
Si selecciona todos los dispositivos, los miembros de este grupo tendrán acceso
automáticamente a los dispositivos nuevos agregados al ESM.
Véase también
Configuración de grupos de usuarios en la página 301
Página Directivas
Permite seleccionar las directivas a las que pueden acceder los usuarios del grupo.
Tabla 3-176 Definiciones de opciones
Opción Definición
Lista de directivas Incluye las directivas del ESM. Seleccione las directivas a las que puede acceder
este grupo.
Seleccionar todo Seleccionar todas las directivas.
No seleccionar nada Anular la selección de todas las directivas.
Véase también
Configuración de grupos de usuarios en la página 301
Véase también
Configuración de grupos de usuarios en la página 301
Véase también
Configuración de grupos de usuarios en la página 301
Véase también
Configuración de grupos de usuarios en la página 301
Véase también
Configuración de grupos de usuarios en la página 301
Página Informes
Permite seleccionar los informes que pueden ver y modificar los usuarios de este grupo. También
puede seleccionar grupos o usuarios con los que compartir los informes.
Tabla 3-181 Definiciones de opciones
Opción Definición
Columna Nombre Incluye los informes del ESM.
Columna Leer Seleccione los informes que este grupo podrá leer. Si selecciona Modificar, también
se selecciona Leer.
Columna Modificar Seleccione los informes que este grupo podrá modificar.
Compartir Haga clic en esta opción para seleccionar otros grupos o usuarios a fin de
compartir la visibilidad de los informes seleccionados.
Véase también
Configuración de grupos de usuarios en la página 301
Véase también
Configuración de grupos de usuarios en la página 301
Véase también
Configuración de grupos de usuarios en la página 301
barra de herramientas de acciones (véase Uso de usuarios y grupos). El resto de funciones estarán
desactivadas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades .
• Si va a agregar un grupo, haga clic en Agregar junto a la tabla Grupos, rellene el nombre y la
descripción y, a continuación, seleccione los usuarios.
5 Seleccione los privilegios que desee que tenga este grupo en la lista de privilegios restantes.
6 Haga clic en cada una de las fichas y defina el resto de la configuración del grupo.
Si crea copias de seguridad de eventos, flujos o registros en el ESM, el espacio de disco del ESM se
reducirá. Se recomienda descargar o eliminar periódicamente los archivos de copia de seguridad del
ESM local.
Para restaurar el sistema, puede seleccionar uno o varios archivos de copia de seguridad en el ESM,
un equipo local o una ubicación remota a fin de revertir toda la configuración y los datos a un estado
anterior. Al poner en práctica esta función, se pierden todos los cambios realizados en la configuración
tras la creación de la copia de seguridad. Por ejemplo, si lleva a cabo una copia de seguridad diaria y
desea restaurar los datos de los últimos tres días, seleccione los tres últimos archivos de copia de
seguridad. Los eventos, flujos y registros de los tres archivos de copia de seguridad se agregarán a los
eventos, flujos y registros que hay en ese momento en el ESM. Todas las opciones de configuración se
sobrescriben entonces con la configuración contenida en la copia de seguridad más reciente.
Véase también
Copias de seguridad de la configuración y los datos de sistema de ESM en la página 309
Restauración de la configuración de ESM en la página 310
Restauración de archivos de configuración con copias de seguridad en la página 311
Uso de los archivos de copia de seguridad en ESM en la página 312
Administración del mantenimiento de archivos en la página 312
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en
Información del sistema | Copia de seguridad y restauración.
• ESM redundante
Véase también
Copia de seguridad y restauración de la configuración del sistema en la página 308
Restauración de la configuración de ESM en la página 310
Restauración de archivos de configuración con copias de seguridad en la página 311
Uso de los archivos de copia de seguridad en ESM en la página 312
Administración del mantenimiento de archivos en la página 312
Página Copia de seguridad y restauración en la página 309
Hacer una copia de Permite crear manualmente una copia de seguridad de la configuración del ESM,
seguridad ahora así como de los eventos, flujos y registros (si se selecciona esta opción). Haga
clic en Cerrar cuando finalice la copia de seguridad correctamente.
Copia de seguridad Guardar manualmente una copia de la configuración y los datos del sistema del
completa ahora dispositivo. Esto no se puede guardar en el ESM, así que deberá seleccionar
Ubicación remota en el campo Ubicación de copia de seguridad e introducir la información
sobre la ubicación.
El uso de un tipo de recurso compartido CIFS con versiones del servidor Samba
posteriores a la 3.2 puede provocar la fuga de datos.
Restaurar copia de Restaurar la configuración según una copia de seguridad anterior. Se abrirá la
seguridad página Restaurar para que pueda seleccionar la copia de seguridad.
Redundancia Configure un ESM redundante, el cual creará copias de seguridad de todos los
datos del ESM principal (véase ESM redundante).
Véase también
Copias de seguridad de la configuración y los datos de sistema de ESM en la página 309
Procedimiento
Si la base de datos contiene el máximo de registros permitidos y los registros que se van a restaurar
están fuera del intervalo de datos actual del ESM, los registros no se restauran. Para guardar datos
fuera de este intervalo y acceder a ellos, es necesario disponer de una configuración de archivado de
partición inactiva (véase Configuración de límites de retención de datos).
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en
Información del sistema | Copia de seguridad y restauración | Restaurar copia de seguridad.
3 Seleccione el archivo que desee restaurar o introduzca la información sobre la ubicación remota y,
después, haga clic en Aceptar.
La restauración de una copia de seguridad puede tardar bastante tiempo en función del tamaño del
archivo de restauración. El ESM permanecerá offline hasta que termine la restauración por completo.
Durante este tiempo, el sistema intentará conectar cada 5 minutos. Cuando el proceso finaliza, se
abre la página Inicio de sesión.
Véase también
Copia de seguridad y restauración de la configuración del sistema en la página 308
Copias de seguridad de la configuración y los datos de sistema de ESM en la página 309
Restauración de archivos de configuración con copias de seguridad en la página 311
Uso de los archivos de copia de seguridad en ESM en la página 312
Administración del mantenimiento de archivos en la página 312
Página Restaurar en la página 311
Página Restaurar
Permite restaurar el sistema a la configuración de una copia de seguridad anterior. Esto resulta útil en
caso de fallo del sistema o fuga de datos.
Tabla 3-185 Definiciones de opciones
Opción Definición
Tipo de Seleccione el tipo de restauración que necesite llevar a cabo:
restauración
• Archivos de copia de seguridad de ESM locales: restaurar un archivo de copia de
seguridad en el ESM. Seleccione uno en la lista y haga clic en Aceptar.
• Archivos de copia de seguridad remotos: restaurar una copia de la configuración del ESM
y una copia de seguridad incremental de los datos desde una ubicación remota.
• Carpetas de copia de seguridad completa remotas: restaurar una copia de la configuración
del ESM y una copia de seguridad completa de los datos desde una ubicación
remota.
• Buscar archivo que cargar: localizar un archivo de copia de seguridad guardado en el
sistema.
Detalles Ver los detalles del archivo de copia de seguridad seleccionado en la lista de
archivos de copia de seguridad de ESM locales. Es posible descargar este archivo.
Véase también
Restauración de la configuración de ESM en la página 310
Antes de empezar
Cree una copia de seguridad de los archivos de configuración del ESM (véase Copias de
seguridad de la configuración y los datos de sistema de ESM).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Propiedades .
2 Haga clic en la opción Configuración correspondiente al dispositivo, haga clic en Restaurar configuración y,
finalmente, haga clic en Sí en la página de confirmación.
Véase también
Copia de seguridad y restauración de la configuración del sistema en la página 308
Copias de seguridad de la configuración y los datos de sistema de ESM en la página 309
Restauración de la configuración de ESM en la página 310
Uso de los archivos de copia de seguridad en ESM en la página 312
Administración del mantenimiento de archivos en la página 312
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Mantenimiento de
archivos.
Véase también
Copia de seguridad y restauración de la configuración del sistema en la página 308
Copias de seguridad de la configuración y los datos de sistema de ESM en la página 309
Restauración de la configuración de ESM en la página 310
Restauración de archivos de configuración con copias de seguridad en la página 311
Administración del mantenimiento de archivos en la página 312
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Mantenimiento de
archivos.
2 En el campo Seleccionar tipo de archivo, seleccione Archivos de copia de seguridad, Archivos de actualización de
software, Archivos de registro de alarmas o Archivos de registros de informes.
Véase también
Copia de seguridad y restauración de la configuración del sistema en la página 308
Copias de seguridad de la configuración y los datos de sistema de ESM en la página 309
Restauración de la configuración de ESM en la página 310
Restauración de archivos de configuración con copias de seguridad en la página 311
Uso de los archivos de copia de seguridad en ESM en la página 312
Página Mantenimiento de archivos en la página 313
Véase también
Administración del mantenimiento de archivos en la página 312
ESM redundante
La función de ESM redundante permite guardar la configuración actual del ESM en ESM redundantes
que se pueden convertir en el ESM principal en caso de fallo del sistema o fuga de datos. Esta función
solo está disponible para los usuarios con privilegios de administrador del sistema.
Cuando se configura un ESM redundante, los datos de configuración y directiva del ESM principal se
sincronizan automáticamente cada cinco minutos con el ESM redundante. Para configurar un ESM
redundante, es necesario definir la configuración del dispositivo redundante, que recibe la
configuración y los datos del dispositivo principal, así como definir la configuración del dispositivo
principal, que envía la configuración y los datos de copia de seguridad al dispositivo redundante. El
ESM redundante se debe configurar antes de conectarlo al ESM principal.
Véase también
Configuración de un ESM redundante en la página 313
Sustitución de un ESM redundante en la página 315
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
b Asegúrese de que esté seleccionada la opción Activar SSH y haga clic en Aceptar.
b En el campo Tipo de ESM, seleccione Redundante, escriba la dirección IP y el puerto SSH del ESM
principal y haga clic en Aceptar.
c Cuando se le advierta de que es necesario reiniciar el servicio, lo cual hace que todos los
usuarios pierdan la conexión con el ESM, haga clic en Sí.
4 En el árbol de navegación del sistema, acceda a Propiedades del sistema y haga clic en Información del
sistema | Copia de seguridad y restauración | Redundancia.
5 En el campo de tipo de ESM, seleccione Principal, seleccione el puerto SSH para el ESM principal,
agregue una dirección de correo electrónico y seleccione o agregue el ESM redundante a la tabla.
Se le advertirá de que es necesario reiniciar el servicio, lo cual hace que todos los usuarios pierdan
la conexión con el ESM.
8 Finalice la configuración.
a Acceda a la página Configuración de redundancia de nuevo (Paso 2a).
Los ESM principal y secundarios se desactivarán para la sincronización final. El sistema volverá a
activarse cuando el proceso termine.
Véase también
ESM redundante en la página 313
Sustitución de un ESM redundante en la página 315
Página Configuración de redundancia en la página 315
Exportar archivos
incrementales Utilice esta función solamente si el ESM primario y el redundante no pueden
comunicarse entre sí.
(Cuando se ha seleccionado Principal) Exporte los archivos del ESM principal a una
ubicación remota. Después, podrá transferirlos manualmente al ESM redundante.
Si el perfil de la ubicación remota ya se ha definido, podrá seleccionarlo en la
lista desplegable. De lo contrario, haga clic en Exportar archivos incrementales y
agregue el perfil al ESM.
Véase también
Configuración de un ESM redundante en la página 313
Antes de empezar
Agregue el nuevo ESM redundante al sistema.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de que esté
seleccionada la opción Información del sistema.
2 Haga clic en Copia de seguridad y restauración | Redundancia, seleccione Principal y escriba la nueva dirección
IP redundante en el campo Dirección IP de ESM redundante.
3 Seleccione Redundante y asegúrese de que la dirección IP del ESM principal sea correcta.
4 Seleccione Principal y haga clic en Conectar para verificar que existe comunicación entre ambos
dispositivos.
Véase también
ESM redundante en la página 313
Configuración de un ESM redundante en la página 313
Sustitución de un ESM redundante en la página 315
Esta función emplea de forma efectiva los recursos proporcionados por los ESM redundantes. Cuando
la función Consultas compartidas está activada, se envían consultas al ESM redundante si los datos
solicitados abarcan más de 30 días o la hora de inicio de la consulta supera las 12 horas desde la hora
actual del ESM. Los resultados de estas consultas siempre se devuelven al ESM principal.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el ESM y haga clic en el icono Propiedades .
3 En la página Configuración de redundancia, anule la selección de Consultas compartidas y, después, haga clic
en Aceptar.
Administración de ESM
Existen varias operaciones que se pueden realizar para administrar el software, los registros, los
certificados, los archivos de funciones y las claves de comunicación de ESM.
Véase también
Página Administración de ESM en la página 318
Obtener funciones Para activar las funciones nuevas de ESM adquiridas, descargue en
primer lugar un archivo cifrado que contiene información sobre las
funciones de ESM admitidas en su caso actualmente.
Establecer funciones Instalar el archivo descargado mediante Obtener funciones.
Conectar o Otorgar al personal de soporte técnico acceso a su sistema cuando
Desconectar se llama a McAfee para solicitar ayuda.
Véase también
Administración de ESM en la página 316
Administración de registros
Existen diversos tipos de eventos que se generan en el ESM. Es posible seleccionar los que se desea
guardar en el registro de eventos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de
ESM.
2 Haga clic en Administrar registros y seleccione los tipos de eventos que desee registrar.
Véase también
Página Administración de registro eventos en la página 320
Véase también
Administración de registros en la página 319
Tipos de eventos
Estos son los tipos de registros de eventos generados en el ESM.
Para lograr la conformidad con las normativas de FIPS, Modo de autenticación siempre
debe establecerse con el valor Ninguno.
Enmascaramiento de direcciones IP
Existe la posibilidad de enmascarar ciertos datos en los registros de eventos enviados mediante el
reenvío de eventos a un ESM principal.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en
Administración de ESM | Jerarquía de ESM.
2 Seleccione Camuflar en el caso de los ESM en los que desee enmascarar los datos.
Una vez realizada esta configuración, si un ESM principal solicita un paquete de un ESM secundario,
los datos seleccionados se ocultarán.
Véase también
Página ESM jerárquicos en la página 321
Página Selección de campos de ocultación en la página 322
Página Configuración de ocultación en la página 322
Página Red local en la página 322
Véase también
Enmascaramiento de direcciones IP en la página 321
Véase también
Enmascaramiento de direcciones IP en la página 321
Véase también
Enmascaramiento de direcciones IP en la página 321
Véase también
Enmascaramiento de direcciones IP en la página 321
Descubrimiento de red en la página 485
Antes de empezar
Agregue un dispositivo ELM al sistema.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de
ESM.
Véase también
Páginas de Registro en la página 323
Páginas de Registro
Seleccione las opciones de registro predeterminadas y el grupo de almacenamiento para guardar los
datos de eventos internos de ESM.
Tabla 3-193 Definiciones de opciones
Opción Definición
Página Configuración de registro Seleccione Registro.
Página Asociación dispositivo - Si no ha asociado un ELM con este ESM, se le preguntará si desea
ELM hacerlo. Haga clic en Sí.
Página Seleccionar ELM para Si dispone de más de un dispositivo ELM en el sistema, seleccione el
registro ELM donde desee almacenar los datos. Este ESM siempre registrará los
datos en el ELM seleccionado.
Página Seleccionar dirección IP de Seleccione la dirección IP mediante la cual desee que se comunique el
ELM ESM con el ELM. Se le notificará cuando el ELM seleccionado esté
correctamente asociado con el dispositivo.
Página No hay grupos de ELM Si no se han configurado grupos de almacenamiento en el ELM, se le
informará de que es necesario agregar grupos de almacenamiento al
ELM antes de activar el registro.
Página Opciones de registro de Seleccione el grupo de almacenamiento donde se deben registrar los
ELM datos.
Véase también
Configuración del registro de ESM en la página 323
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de
ESM.
Cuando se regenere la clave, sustituirá al par de claves anterior en todos los dispositivos
administrados por el ESM.
• Cuando se hace clic en una consulta, los detalles aparecen en el área Detalles de consulta.
• Para ver las tareas del sistema, que son las tareas que aún no se han identificado, anule la
selección de Ocultar tareas del sistema.
•
Si una consulta se puede cerrar, aparece un icono de eliminación en la última columna. Al hacer
clic en él, se solicita confirmación mediante un cuadro de diálogo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades .
2 Haga clic en Administración de ESM, después en la ficha Mantenimiento y, por último, en Administrador de
tareas.
Véase también
Página Administrador de tareas en la página 325
Véase también
Administración de consultas en ejecución en ESM en la página 325
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
3 Actualice el ESM redundante. Esta actualización tardará más si hay archivos de redundancia que
procesar.
Esta opción no es conforme a FIPS, así que está desactivada en el modo FIPS.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de
ESM.
4 Introduzca los comandos Linux necesarios y lleve a cabo una exportación para guardar el contenido
en un archivo.
La exportación no incluye los resultados borrados de la página Terminal durante la sesión de terminal
en curso.
Véase también
Página Terminal en la página 327
Página Terminal de dispositivo en la página 327
Página Terminal
Permite ejecutar comandos de Linux para acceder a un dispositivo remoto. Esta función es para
usuarios avanzados y debe emplearse bajo la supervisión del personal de Soporte de McAfee.
Tabla 3-195 Definiciones de opciones
Opción Definición
Introducir comando Introduzca comandos de Linux y pulse Intro.
Esto es solo un emulador del modo por lotes, así que no estarán disponibles todos los
comandos (véase Comandos de Linux disponibles).
Véase también
Acceso a un dispositivo remoto en la página 326
Véase también
Acceso a un dispositivo remoto en la página 326
Esta opción no es conforme a FIPS, así que está desactivada en el modo FIPS.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de
ESM.
2 Haga clic en la ficha Mantenimiento, haga clic en Terminal, escriba la contraseña del sistema y, después,
haga clic en Aceptar.
• ps • date
• grep • ethtool
• ifconfig • df
• kill • tar
• sensors • netstat
• service • sar
• cat • tail
• rm • locate
• iptables • tcpdump -c -w
• updatedb • ip6tables
• cp
Para obtener información sobre el comando getstatsdata, consulte Recopilación de datos estadísticos
para la solución de problemas en el Apéndice D. Para obtener información sobre el resto de comandos,
consulte http://www.linuxmanpages.com.
Todos los dispositivos virtuales o Nitro IPS pueden usar la lista negra global. La función está
desactivada en todos los dispositivos hasta que se activa.
• Orígenes bloqueados: realiza una comparación con la dirección IP de origen del tráfico que pasa por el
dispositivo.
• Destinos bloqueados: realiza una comparación con la dirección IP de destino del tráfico que pasa por el
dispositivo.
• Exclusiones: impide la adición automática a cualquiera de las listas negras. Es posible agregar a las
exclusiones las direcciones IP críticas (por ejemplo, los servidores DNS y de otro tipo o las
estaciones de trabajo de los administradores del sistema) para asegurarse de que nunca se
incluyan automáticamente en las listas negras, independientemente de los eventos que puedan
generar.
Es posible configurar entradas tanto en Orígenes bloqueados como en Destinos bloqueados a fin de limitar el
efecto de la lista negra a un puerto de destino concreto.
• Las entradas de Orígenes bloqueados y Destinos bloqueados se pueden configurar para que se incluyan en
la lista negra en todos los puertos o en un puerto específico.
• Las entradas que usen un intervalo enmascarado de direcciones IP deben configurarse con el
puerto establecido como cualquiera (0), y la duración debe ser permanente.
• Aunque estas listas requieren un formato de dirección IP, se incluyen algunas herramientas que
ayudan a aportar significado a estas direcciones. Tras escribir una dirección IP o nombre de host en
el campo Dirección IP, en el botón situado junto al control se leerá Resolver o Búsqueda en función del
valor introducido. Si pone Resolver, al hacer clic se resolverá el nombre de host introducido, se
rellenará el campo Dirección IP con esa información y se moverá el nombre de host al campo
Descripción. De lo contrario, al hacer clic en Búsqueda se realizará una búsqueda sobre la dirección IP
y se rellenará el campo Descripción con los resultados de la búsqueda.
Algunos sitios web tienen más de una dirección IP o cuentan con direcciones IP cambiantes. No
confíe en esta herramienta para garantizar el bloqueo de algunos sitios web.
Véase también
Establecimiento de una lista negra global en la página 329
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Lista negra global.
2 Seleccione las fichas Orígenes bloqueados, Destinos bloqueados o Exclusiones y administre las entradas de la
lista negra.
Procedimientos
• Página Administrar listas negras globales en la página 331
Seleccione los dispositivos Nitro IPS que utilizan la lista negra global.
Véase también
Uso de una lista negra global en la página 329
Página Lista negra global en la página 330
Página Administrar listas negras globales en la página 331
Véase también
Establecimiento de una lista negra global en la página 329
Véase también
Establecimiento de una lista negra global en la página 329
Enriquecimiento de datos
Puede enriquecer los eventos enviados por el origen de datos situado en sentido ascendente con
contexto no presente en el evento original como, por ejemplo, una dirección de correo electrónico, un
número de teléfono o información sobre la ubicación del host. Estos datos enriquecidos pasan a formar
parte del evento analizado y se almacenan junto con el evento, de igual forma que los campos
originales.
Puede configurar orígenes de enriquecimiento de datos mediante la definición de la forma de conectar
con la base de datos y acceder a una o dos columnas de una tabla contenida en esa base de datos. A
continuación, se definen los dispositivos que recibirán los datos y la forma de enriquecer dichos datos,
tanto para eventos como para flujos.
También es posible editar o eliminar orígenes de enriquecimiento, así como ejecutar una consulta en la
página Enriquecimiento de datos.
Los eventos que se activan en el ESM no se enriquecen. La adquisición de datos tiene lugar en el ESM,
no en los dispositivos.
Un conector correspondiente al origen de datos relacionales de Hadoop HBase emplea los pares de
clave-valor del origen para el enriquecimiento. La asignación de identidad de HBase se puede extraer a
un receptor de forma regular para enriquecer los eventos.
Véase también
Adición de orígenes de enriquecimiento de datos en la página 332
Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 336
Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO™ en la página
336
Adición de un origen de enriquecimiento de datos de Hadoop Pig en la página 337
Adición de enriquecimiento de datos de Active Directory para nombres de usuario en la página
338
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en
Enriquecimiento de datos | Agregar.
Las fichas y los campos del Asistente de enriquecimiento de datos varían en función del tipo de
enriquecimiento seleccionado.
2 En cada una de las fichas, rellene los campos y, después, haga clic en Siguiente.
4 Seleccione los dispositivos en los que desee escribir las reglas de enriquecimiento de datos y haga
clic en Aceptar.
Véase también
Enriquecimiento de datos en la página 331
Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 336
Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO™ en la página
336
Adición de un origen de enriquecimiento de datos de Hadoop Pig en la página 337
Adición de enriquecimiento de datos de Active Directory para nombres de usuario en la página
338
Página Enriquecimiento de datos en la página 332
Página Asistente de enriquecimiento de datos en la página 333
Página Dispositivos y regla en la página 335
Véase también
Adición de orígenes de enriquecimiento de datos en la página 332
Valor de búsqueda o El valor que buscar en los eventos recopilados del ESM donde se
desea agregar más valores. Está asignado al Campo de búsqueda de la
ficha Destino.
Valor de enriquecimiento El valor enriquecido o insertado en los eventos de origen que
coincide con el valor de búsqueda. Está asignado al Campo de
enriquecimiento de la ficha Destino.
Ficha Permite configurar la consulta para los tipos Hadoop HBase (REST), Hive, LDAP, MSSQL,
Consulta MySQL, Oracle, PIG o McAfee Real Time for McAfee ePO.
Ficha Ajuste la calificación para cada valor devuelto por una consulta de una única columna.
Calificación Seleccione el campo de origen y el campo de destino donde desee aplicar la calificación
y haga clic en Ejecutar consulta.
Valor Muestra los valores devueltos.
Calificación Muestra el stepper numérico que se puede utilizar a fin de
establecer la calificación de riesgo para el valor. Realice cambios si
procede y, después, haga clic en Actualizar lista.
Ficha Permite ver los dispositivos y la regla para la asignación de campos correspondiente a
Destino los dispositivos alimentados por este origen de enriquecimiento de datos.
Agregar Permite seleccionar los dispositivos y las reglas.
Editar Permite cambiar la configuración de los dispositivos o las reglas.
Quitar Permite eliminar la configuración de dispositivos o reglas.
Véase también
Adición de orígenes de enriquecimiento de datos en la página 332
Véase también
Adición de orígenes de enriquecimiento de datos en la página 332
Cuando se selecciona el origen McAfee Real Time for McAfee ePO en el Asistente de enriquecimiento de datos,
es posible probar la consulta y elegir las columnas para Búsqueda y Enriquecimiento.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades .
2 Haga clic en Enriquecimiento de datos, después en Agregar y rellene la información en la ficha Principal.
3 En la ficha Origen, seleccione Real Time for ePO en el campo Tipo, seleccione el dispositivo y haga clic en
la ficha Consulta.
Véase también
Enriquecimiento de datos en la página 331
Adición de orígenes de enriquecimiento de datos en la página 332
Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 336
Adición de un origen de enriquecimiento de datos de Hadoop Pig en la página 337
Adición de enriquecimiento de datos de Active Directory para nombres de usuario en la página
338
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Enriquecimiento de
datos.
2 En el Asistente de enriquecimiento de datos, rellene los campos de la ficha Principal y, a continuación, haga
clic en la ficha Origen.
3 En el campo Tipo, seleccione Hadoop HBase (REST) y, a continuación, escriba el nombre de host, el
puerto y el nombre de la tabla.
b Rellene la consulta mediante un filtro de analizador con los valores codificados mediante
Base64. Por ejemplo:
<Scanner batch="1024">
<filter>
{
"type": "SingleColumnValueFilter",
"op": "EQUAL",
"family": " ZW1wbG95ZWVJbmZv",
"qualifier": "dXNlcm5hbWU=",
"latestVersion": true,
"comparator": {
"type": "BinaryComparator",
"value": "c2NhcGVnb2F0"
}
}
</filter>
</Scanner>
Véase también
Enriquecimiento de datos en la página 331
Adición de orígenes de enriquecimiento de datos en la página 332
Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 336
Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO™ en la página
336
Adición de un origen de enriquecimiento de datos de Hadoop Pig en la página 337
Adición de enriquecimiento de datos de Active Directory para nombres de usuario en la página
338
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
3 En la ficha Principal, rellene los campos y, a continuación, haga clic en la ficha Origen. En el campo
Tipo, seleccione Hadoop Pig y rellene los campos Host de Namenode, Puerto de Namenode, Host de
Jobtracker y Puerto de Jobtracker.
Por ejemplo, si el archivo de texto contiene información sobre los empleados con columnas para
número de la Seguridad Social, nombre, sexo, dirección y número de teléfono, introduzca el
siguiente texto en el campo Columnas: emp_Name:2, emp_phone:5. En el caso de una base de
datos de subárbol, utilice los nombres de las columnas de la tabla HCatalog.
c En Filtro, puede utilizar cualquier expresión integrada de Apache Pig para filtrar los datos. Véase
la documentación de Apache Pig.
d Si anteriormente ha definido los valores de las columnas, podrá agrupar y agregar esos datos
de columnas. Se requiere información en los campos Origen y Columna. El resto de campos
pueden dejarse en blanco. El uso de funciones de agregación requiere la especificación de
grupos.
6 En la ficha Calificación, establezca la calificación para cada valor devuelto por la consulta de columna
única.
7 En la ficha Destino, seleccione los dispositivos a los que desee aplicar el enriquecimiento.
Véase también
Enriquecimiento de datos en la página 331
Adición de orígenes de enriquecimiento de datos en la página 332
Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO™ en la página
336
Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 336
Adición de enriquecimiento de datos de Active Directory para nombres de usuario en la página
338
Antes de empezar
Verifique que dispone del privilegio Administración del sistema.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema.
4 Establezca tanto el Tipo de búsqueda como el Tipo de enriquecimiento con el valor Cadena.
5 Establezca la Frecuencia de extracción con el valor cada día, a menos que Active Directory se actualice
con una frecuencia mayor.
c En Consulta, introduzca (objectClass=person) para obtener una lista de todos los objetos de
Active Directory clasificados como personas.
Este campo es el valor existente en el evento, el cual se utiliza como índice para la búsqueda.
10 Tras escribir la configuración de enriquecimiento en los dispositivos, haga clic en Ejecutar ahora para
recuperar los valores de enriquecimiento del origen de datos hasta alcanzar el valor de Hora de
activación diaria.
Véase también
Enriquecimiento de datos en la página 331
Adición de orígenes de enriquecimiento de datos en la página 332
Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO™ en la página
336
Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 336
Adición de un origen de enriquecimiento de datos de Hadoop Pig en la página 337
McAfee ESM permite recuperar indicadores de compromiso (IOC) de orígenes remotos y acceder con
rapidez a la actividad de IOC relacionada en su entorno.
La administración de Cyber Threat permite configurar fuentes automáticas que generan listas de
vigilancia, alarmas e informes, lo cual proporciona visibilidad con respecto a datos procesables. Por
ejemplo, puede configurar una fuente que agregue automáticamente direcciones IP sospechosas a
listas de vigilancia a fin de supervisar el tráfico futuro. Dicha fuente puede generar y enviar informes
que indican la actividad pasada. Utilice las vistas de Vistas de flujo de trabajo de evento > Indicadores de Cyber
Threat para acceder a información detallada con rapidez sobre actividades y eventos específicos de su
entorno.
Contenido
Configuración de la administración de Cyber Threat
Visualización de resultados de fuentes de Cyber Threat
Tipos de indicadores compatibles
Errores en la carga manual de un archivo IOC STIX XML
Antes de empezar
Verifique que dispone de los permisos siguientes.
• Administración de Cyber Threat: permite al usuario configurar una fuente de Cyber
Threat.
• Usuario de Cyber Threat: permite al usuario ver los datos generados por la fuente.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
4 En la ficha Origen, seleccione el tipo de origen de datos y sus credenciales de conexión. Haga clic en
Conectar para probar la conexión.
Entre los orígenes admitidos se encuentran McAfee Advanced Threat Defense y MITRE Threat
Information Exchange (TAXII).
5 En la ficha Frecuencia, indique con qué frecuencia extrae la fuente los archivos IOC (frecuencia de
extracción). Entre las frecuencias de extracción disponibles están: cada x minutos, cada día, cada
hora, cada semana y cada mes. Especifique la hora de activación diaria.
6 En la ficha Lista de vigilancia, seleccione qué propiedad o campo de un archivo IOC desea anexar a una
lista de vigilancia existente. Es posible agregar listas de vigilancia para cualquier propiedad o
campo admitidos.
Si la lista de vigilancia que necesita no existe aún, haga clic en Crear nueva lista de vigilancia.
7 En la ficha Backtrace, identifique los eventos (opción predeterminada) y flujos que analizar, los datos
coincidentes que analizar y la antigüedad para analizar datos con respecto a esta fuente.
a Elija si desea analizar los eventos, los flujos o ambos.
b Indique la antigüedad (en días) para analizar los eventos y los flujos.
c Especifique la acción que desea que realice el ESM si Backtrace encuentra una coincidencia de
datos.
Se han agregado nuevas validaciones de archivos e indicadores al tipo de origen de carga manual. Si
recibe un error al seleccionar este tipo de origen, véase Errores en la carga manual de un archivo IOC
STIX XML para solucionar el problema.
Véase también
Visualización de resultados de fuentes de Cyber Threat en la página 342
Tipos de indicadores compatibles en la página 343
Errores en la carga manual de un archivo IOC STIX XML en la página 344
Antes de empezar
Verifique que dispone del permiso Usuario de Cyber Threat, el cual permite ver los resultados de
las fuentes de Cyber Threat de su organización.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En la consola de ESM, haga clic en la lista de vistas y seleccione Vistas de flujo de trabajo de evento |
Indicadores de Cyber Threat.
• Crear un caso.
5 Para acceder a información detallada sobre las amenazas, utilice las fichas Descripción, Detalles, Eventos
de origen y Flujos de origen.
Véase también
Configuración de la administración de Cyber Threat en la página 341
Tipos de indicadores compatibles en la página 343
Errores en la carga manual de un archivo IOC STIX XML en la página 344
Véase también
Configuración de la administración de Cyber Threat en la página 341
Visualización de resultados de fuentes de Cyber Threat en la página 342
Errores en la carga manual de un archivo IOC STIX XML en la página 344
Véase también
Configuración de la administración de Cyber Threat en la página 341
Visualización de resultados de fuentes de Cyber Threat en la página 342
Tipos de indicadores compatibles en la página 343
Cuando se produzca una situación de amenaza específica, responda de inmediato con la importación e
instalación del paquete de contenido relevante del servidor de reglas. Los paquetes de contenido
incluyen reglas de correlación, alarmas, vistas, informes, variables y listas de vigilancia que se basan
en casos de uso para hacer frente a malware o actividades de amenaza específicos. Los paquetes de
contenido permiten responder a las amenazas sin perder tiempo en crear herramientas desde cero.
Antes de empezar
Verifique que dispone de los permisos siguientes.
• Administración del sistema
• Administración de usuarios
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Los usuarios online reciben los paquetes de contenido disponibles automáticamente como parte de
las actualizaciones de reglas. Los usuarios sin conexión deben descargar e importar los paquetes de
contenido individuales de forma manual desde el sitio donde se alojan las reglas.
a Haga clic en Importar y navegue hasta el archivo del paquete de contenido que desee importar.
c Haga clic en el paquete de contenido para revisar los detalles sobre lo que incluye.
6 Para desinstalar un paquete de contenido existente, marque el paquete en cuestión y haga clic en
Desinstalar.
Familiarícese con el flujo de trabajo de las alarmas. Haga clic en el vínculo de tarea relevante para
obtener información detallada paso a paso.
Contenido
Preparación para la creación de alarmas
Creación de alarmas
Supervisión y respuesta para alarmas
Ajuste de alarmas
Antes de empezar
Para ver las alarmas activadas en el panel, véase Selección de la configuración de usuario
en la página 289.
Lea los procedimientos siguientes para obtener información sobre cómo preparar el entorno para las
alarmas.
Procedimientos
• Configuración de mensajes de alarma en la página 347
Configure el ESM para enviar mensajes sobre las alarmas activadas mediante correo
electrónico, Short Message Services (SMS), Simple Network Management Protocol (SNMP)
o syslog.
• Administración de archivos de audio para las alarmas en la página 353
Cabe la posibilidad de cargar y descargar archivos de audio para usarlos como alertas
sonoras de las alarmas.
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de alarmas.
Procedimientos
• Creación de plantillas de mensajes de alarma en la página 348
Es posible crear plantillas para los mensajes de alarma de correo electrónico, Short
Message Services (SMS), Simple Network Management Protocol (SNMP) o syslog.
Posteriormente se pueden asociar las plantillas con acciones de alarma y destinatarios de
mensajes específicos.
• Configuración de alarmas de correlación para la inclusión de eventos de origen en la página
350
Para incluir la información sobre los eventos de origen en los resultados de alarma,
configure una alarma de tipo Coincidencia de evento interno o Coincidencia de campo que emplee un
evento de correlación como coincidencia.
• Administración de los destinatarios de alarmas en la página 351
Identifique los destinatarios de los mensajes de alarma y configure la forma de envío de
dichos mensajes de alarma mediante correo electrónico, Short Message Services (SMS),
Simple Network Management Protocol (SNMP) o syslog.
Syslog también puede enviar informes de consulta en CSV generados por el ESM. Syslog envía estos
informes de consulta en CSV con el método de una línea por mensaje de syslog, con los datos de cada
línea de los resultados de la consulta organizados mediante campos separados por comas.
Véase también
Conexión con el servidor de correo en la página 239
Administración de destinatarios en la página 240
Adición de grupos de destinatarios de correo electrónico en la página 241
Creación de plantillas de mensajes de alarma en la página 348
Configuración de alarmas de correlación para la inclusión de eventos de origen en la página
350
Administración de los destinatarios de alarmas en la página 351
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades .
• Para copiar una plantilla existente, selecciónela y haga clic en Copiar. Guarde la plantilla copiada
con otro nombre.
• Para establecer una plantilla predeterminada para todos los mensajes de alarma, selecciónela y
haga clic en Convertir en predeterminado.
Opción Descripción
Tipo Indique si esta plantilla es para un mensaje de correo electrónico o un SMS.
Opción Descripción
Asunto En el caso de las plantillas de correo electrónico, seleccione el asunto del
mensaje. Haga clic en el icono Insertar campo y seleccione la información que
desee incluir en la línea de asunto del mensaje.
Cuerpo del mensaje Seleccione los campos que desee incluir en el cuerpo del mensaje.
Véase también
Definición de la configuración de los mensajes en la página 239
Configuración de alarmas de correlación para la inclusión de eventos de origen en la página
350
Administración de los destinatarios de alarmas en la página 351
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades .
5 En la sección Cuerpo del mensaje, coloque el cursor donde desee insertar las etiquetas, haga clic en el
icono Insertar campo y seleccione Bloque de eventos de origen.
6 Sitúe el cursor dentro de las etiquetas, haga clic en el icono Insertar campo de nuevo y, después,
seleccione la información que desee incluir cuando se active la alarma de correlación.
En el ejemplo siguiente se ilustra el aspecto de una plantilla de mensaje de alarma cuando se insertan
campos para la dirección IP de origen del evento, la dirección IP de destino y la gravedad:
Véase también
Definición de la configuración de los mensajes en la página 239
Creación de plantillas de mensajes de alarma en la página 348
Administración de los destinatarios de alarmas en la página 351
Antes de empezar
• Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso
con privilegios de administración de alarmas.
• Compruebe que existan los perfiles que pretende usar. Véase Configuración de SNMP en
la página 269 y Configuración de perfiles en la página 266.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades .
• Haga clic en Usuarios para ver los nombres de usuarios y las direcciones de correo electrónico.
• Haga clic en SMS para ver o actualizar los destinatarios de SMS y sus direcciones.
Opción Descripción
Perfil Seleccione un perfil de destinatario SNMP existente de la lista desplegable.
Para agregar un perfil, haga clic en Perfil.
Tipo de captura Seleccione el tipo de captura específico. El tipo de captura general siempre se
concreto establece en 6 (Específico de empresa).
OID de empresa Introduzca el identificador de objeto de empresa (OID) completo de la captura
que se enviará. Incluya todo desde el primer 1 hasta el número de empresa,
incluidos los posibles subárboles de la empresa.
Contenido Incluir enlaces de datos informativos: la captura contiene enlaces de variable con
información extra, incluido el número de línea del informe procesado, una
cadena que identifica el origen de la captura, el nombre de la notificación que
ha generado la captura y el ID del ESM que envía la captura.
Incluir solo datos de informe: los enlaces de variable extra no se incluirán en la
captura.
Formato Cada captura SNMP generada a partir de un informe contiene una línea de
datos del informe.
• Enviar cada línea del informe tal cual: los datos de la línea del informe se envían tal
cual en un único enlace de variable. El sistema construye los OID de enlace
de datos mediante la concatenación del ID de empresa, el tipo de captura
concreta y un número que aumenta automáticamente a partir del 1.
• Analizar resultados y usar estos OID de enlace: el sistema analiza la línea del informe
y envía cada campo en un enlace de datos distinto.
Lista de Analizar resultados y usar estos OID de enlace: especifique OID de enlace de datos
identificadores OID personalizados.
de enlace
• Si selecciona esta opción, haga clic en Agregar y escriba el valor de los OID
de enlace.
• Si no especifica suficientes OID de variable para todos los campos de datos
del informe, el ESM iniciará el incremento a partir del último OID
especificado en la lista.
Opción Descripción
IP del host y Puerto Introduzca la dirección IP del host y el puerto de cada destinatario.
Función y Gravedad Seleccione la función y la gravedad del mensaje.
Véase también
Definición de la configuración de los mensajes en la página 239
Creación de plantillas de mensajes de alarma en la página 348
Configuración de alarmas de correlación para la inclusión de eventos de origen en la página
350
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades .
3 Descargue, cargue, elimine o reproduzca los archivos de audio y, a continuación, haga clic en Cerrar.
ESM incluye tres archivos de sonido previamente instalados. Es posible cargar archivos de audio
personalizados.
Creación de alarmas
Las alarmas provocan acciones como respuesta a eventos de amenaza concretos. La creación de un
número excesivo o insuficiente de alarmas que se activen con frecuencia puede ser motivo de
distracción. Lo mejor es crear alarmas que escalen los eventos críticos para su organización.
McAfee ESM permite crear alarmas de varias formas: activar alarmas previamente existentes, copiar
alarmas existentes y cambiarlas o crear alarmas específicas para su organización.
Lea los procedimientos siguientes para obtener más información sobre la creación de alarmas.
Procedimientos
• Activación o desactivación de la supervisión de alarmas en la página 354
Active o desactive la supervisión de alarmas para todo el sistema o para alarmas concretas.
La supervisión de alarmas de ESM está activada de forma predeterminada.
• Cómo copiar una alarma en la página 354
Es posible utilizar una alarma existente a modo de plantilla para otra alarma nueva si se
copia y se guarda con un nombre distinto.
• Creación de alarmas en la página 355
Cree una alarma para que se active cuando se cumplan las condiciones definidas.
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades .
3 A fin de desactivar o activar la supervisión de alarmas para todo el sistema, haga clic en la ficha
Configuración y, después, en Desactivar o Activar.
4 Para desactivar o activar alarmas concretas, haga clic en la ficha Alarmas. La columna Estado indica si
las alarmas están activadas o desactivadas.
• Para activar una alarma específica, resáltela y seleccione Activado.
• Para desactivar una alarma específica, resáltela y anule la selección de Activado. ESM dejará de
generar esta alarma.
Véase también
Cómo copiar una alarma en la página 354
Creación de alarmas en la página 355
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades .
En la página Nombre de alarma, aparecerá el nombre de la alarma actual seguido por _copia.
Solo se pueden copiar las alarmas activadas. Las alarmas desactivadas no se pueden copiar.
5 Para realizar cambios en la configuración de alarma, seleccione la alarma copiada y haga clic en
Editar.
Véase también
Activación o desactivación de la supervisión de alarmas en la página 354
Creación de alarmas en la página 355
Creación de alarmas
Cree una alarma para que se active cuando se cumplan las condiciones definidas.
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades .
• En la lista Usuario asignado, seleccione la persona o el grupo a los que asignar esta alarma. Esta
lista incluye todos los usuarios y grupos con el privilegio Administración de alarmas.
• Seleccione Activado para activar la alarma y anule la selección de la casilla para desactivar la
alarma.
Condición Descripción
Tasa de Seleccione la frecuencia con la que el sistema debe comprobar esta condición.
comprobación
Desviación Especifique un umbral de porcentaje para la comprobación por encima de la
referencia y un porcentaje distinto por debajo de la referencia.
• Consulta: seleccione el tipo de datos de la consulta.
• Icono Filtros: seleccione los valores a fin de filtrar los datos para esta alarma.
• Espacio de tiempo: indique si desea que se consulte el último periodo de tiempo
seleccionado en el campo de número o el anterior.
• Activar cuando el valor sea: seleccione el alcance de la desviación por encima y por
debajo de la referencia para que el ESM active la alarma.
Tasa de eventos • Recuento de eventos: introduzca el número de eventos que deben producirse antes
de que ESM genere la alarma.
• Icono Filtros: seleccione los valores a fin de filtrar los datos.
• Espacio de tiempo: seleccione en qué intervalo se debe producir el número de
eventos seleccionado para que el ESM active la alarma.
• Desplazamiento: seleccione la cantidad de tiempo de desplazamiento de forma que
la alarma no incluya el brusco aumento al final provocado por la agregación. Por
ejemplo, si el ESM extrae eventos cada cinco minutos, el último minuto de los
eventos recuperados contiene los eventos agregados. Haga coincidir la
diferencia del espacio de tiempo con esa cantidad para que el último minuto no
se incluya en la medición de los datos. De lo contrario, el ESM incluirá los
valores de los datos agregados en el recuento de eventos y provocarán un falso
positivo.
Coincidencia de 1 Arrastre y coloque los iconos AND u OR (véase Elementos lógicos en la página
campo 377) para configurar la lógica de la condición de alarma.
2 Arrastre y coloque el icono Coincidir componente sobre el elemento lógico y,
después, rellene la página Agregar campo de filtro.
3 Limite el número de notificaciones recibidas mediante la configuración de la
Frecuencia máxima de activación de condición. Cada desencadenador contiene el primer
evento de origen que coincide con la condición de activación, pero no los
eventos que se producen durante el periodo de activación de la condición. Los
eventos nuevos que coinciden con la condición de activación no activan la
alarma de nuevo hasta que transcurre el periodo correspondiente a la frecuencia
de activación máxima. Por ejemplo, si establece la frecuencia en diez minutos y
se activa una alarma cinco veces en un periodo de diez minutos, el ESM envía
un único aviso que contiene cinco alarmas.
Si establece el intervalo en cero, cada evento que coincida con una condición
activará una alarma. En el caso de las alarmas de alta frecuencia, un intervalo
de cero puede producir muchas alarmas.
Estado del Seleccione los tipos de cambios de estado del dispositivo. Por ejemplo, si
monitor de estado selecciona solo Crítico, no se le notificará si se produce un cambio de estado del
monitor de estado con el nivel Advertencia (véase ID de firma del monitor de estado
en la página 367).
Condición Descripción
Coincidencia de • Activar cuando el valor no coincida: seleccione esta opción si desea que la alarma se
evento interno active cuando el valor no coincida con la configuración.
• Usar lista de vigilancia: indique si una lista de vigilancia contiene los valores de esta
alarma.
Los valores que contienen comas deben encontrarse en una lista de vigilancia o
delimitados por comillas.
Para las alarmas que se activan cuando se genera un evento del monitor de
estado, véase Adición de alarmas de eventos del monitor de estado en la página
366.
• Valor(es): escriba los valores específicos del tipo seleccionado en Campo (límite de
1000 caracteres). Por ejemplo, para IP de origen, introduzca las direcciones IP de
origen reales que activen esta alarma.
Frecuencia Seleccione la cantidad de tiempo que debe transcurrir entre condiciones para
máxima de evitar un aluvión de notificaciones.
activación de
condición
Umbral Solo tipo de condición Diferencia de eventos: seleccione la diferencia máxima
permitida para los eventos analizados antes de que se active la alarma.
Tipo Seleccione el tipo de alarma, lo cual determina los campos que hay que rellenar.
Acción Descripción
Registrar evento Crear un evento en el ESM.
Confirmar alarma Confirmar la alarma automáticamente tras su activación. Como resultado, la
automáticamente alarma no aparece en el panel Alarmas, pero el sistema la agrega a la vista
Alarmas activadas.
Alerta visual Se genera una notificación de alarma en la parte inferior derecha de la consola.
Para incluir una notificación de audio, haga clic en Configurar --> Reproducir sonido y
seleccione un archivo de audio.
Crear caso Crear un caso para la persona o el grupo seleccionados. Haga clic en Configurar
para identificar el propietario del caso y para seleccionar los campos que incluir
en el resumen del caso.
Actualizar lista de Cambiar las listas de vigilancia mediante la adición o eliminación de valores en
vigilancia función de la información contenida en un máximo de diez eventos que activan
alarmas. Haga clic en Configurar y seleccione qué campo del evento activador se
debe adjuntar o quitar en la lista de vigilancia seleccionada. Cuando esta
configuración modifica una lista de vigilancia, la ficha Acciones de la vista Alarma
activada muestra el cambio.
Esta acción requiere que el tipo de condición sea Coincidencia de evento interno.
Acción Descripción
Enviar mensaje Enviar un mensaje de correo electrónico o SMS a los destinatarios
seleccionados.
• Haga clic en Agregar destinatario y seleccione los destinatarios del mensaje.
• Haga clic en Configurar a fin de seleccionar la plantilla (para mensajes de
correo electrónico, SMS, SNMP o syslog), así como la zona horaria y el
formato de fecha que utilizar en el mensaje.
Generar informes Generar un informe, una vista o una consulta. Haga clic en Configurar y
seleccione un informe en la página Configuración de informe o haga clic en Agregar
para diseñar un informe nuevo.
Ejecutar comando Ejecutar un comando remoto en cualquier dispositivo que acepte conexiones
remoto SSH, excepto los dispositivos de McAfee del ESM. Haga clic en Configurar para
seleccionar el perfil y el tipo de comando, la zona horaria y el formato de fecha,
y también el host, el puerto, la contraseña del nombre de usuario y la cadena
de comando para la conexión SSH.
Enviar a Remedy Enviar hasta diez eventos a Remedy por alarma activada. Haga clic en Configurar
para establecer la información necesaria a fin de comunicarse con Remedy:
datos De y A, prefijo, palabra clave e ID de usuario (EUID). Cuando se envían
eventos a Remedy, el ESM agrega la opción Enviar evento a Remedy a la ficha
Acciones de la vista Alarma activada. Esta acción requiere que el tipo de condición
sea Coincidencia de evento interno.
Asignar etiqueta con Aplicar etiquetas de McAfee ePolicy Orchestrator a las direcciones IP que
ePO activan esta alarma. Haga clic en Configurar y seleccione la información siguiente.
• Seleccionar dispositivo ePO: el dispositivo que usar para el etiquetado.
• Nombre: etiquetas que se desea aplicar (solo aparecen en la lista las etiquetas
disponibles en el dispositivo seleccionado).
• Seleccionar el campo: campo en el que basar el etiquetado.
• Activar cliente: aplicar las etiquetas de inmediato.
Esta acción requiere que el tipo de condición sea Coincidencia de evento interno.
Acciones de Real Realizar las acciones de McAfee Real Time for McAfee ePO en el dispositivo
Time for ePO McAfee ePO seleccionado.
Esta opción requiere el complemento de McAfee Real Time for McAfee ePO
(versión 2.0.0.235 o posterior) y que el servidor de McAfee ePO reconozca el
dispositivo como uno de sus endpoints.
Acción Descripción
Lista negra Seleccionar las direcciones IP que se incluirán en la lista negra cuando se active
una alarma. Haga clic en Configurar y seleccione la información siguiente.
• Campo: seleccione el tipo de dirección IP que desee incluir en la lista negra. El
tipo Dirección IP incluye en la lista negra tanto la dirección IP de origen como la
de destino.
• Dispositivo: seleccione el dispositivo donde desee incluir las direcciones IP en la
lista negra. La opción Global agrega el dispositivo a la Lista negra global.
• Duración: seleccione cuánto tiempo se deben incluir en la lista negra las
direcciones IP.
Esta acción requiere que el tipo de condición sea Coincidencia de evento interno.
Resumen de alarma Personalizar los campos incluidos en el resumen de una alarma de tipo
personalizada Coincidencia de campo o Coincidencia de evento interno.
Escalación Descripción
Escalar después de Indique el tiempo tras el cual desea que se escale la alarma.
Usuario asignado escalado Seleccione la persona o el grupo que deben recibir la notificación escalada.
Gravedad de escalado Seleccione la gravedad de la alarma una vez escalada.
Registrar evento Indique si desea registrar el escalado como un evento.
Alerta visual Indique si la notificación debe ser una alerta visual. Haga clic en Reproducir
sonido y seleccione un archivo si desea que la notificación visual se
acompañe de un sonido.
Enviar mensaje Indique si desea enviar un mensaje al usuario asignado. Haga clic en Agregar
destinatario, seleccione el tipo de mensaje y, después, seleccione el
destinatario.
Generar informes Indique si desea generar un informe. Haga clic en Configurar para seleccionar
el informe.
Ejecutar comando remoto Indique si desea ejecutar un script en cualquier dispositivo que acepte
conexiones SSH. Haga clic en Configurar y proporcione el host, el puerto, el
nombre de usuario, la contraseña y la cadena de comando.
Véase también
Activación o desactivación de la supervisión de alarmas en la página 354
Cómo copiar una alarma en la página 354
Media 33–65
Baja 1–32
• Confirmación de alarmas activadas: el sistema las elimina del panel Alarmas. Las alarmas
confirmadas se conservan en la vista Alarmas activadas.
• Eliminación de alarmas activadas: el sistema las elimina del panel Alarmas y de la vista Alarmas
activadas.
Si emplea alertas visuales y no cierra, confirma o elimina una alarma activada, la alerta visual se
cerrará tras 30 segundos. Las alertas sonoras se reproducen hasta que la alarma activada se cierra,
confirma o elimina, o bien se hace clic en el icono de audio para detener la alerta.
Procedimientos
• Visualización y administración de alarmas activadas en la página 360
Es posible ver las alarmas activadas aún no eliminadas, así como responder a ellas.
• Administración de la cola de informes de alarma en la página 362
Si una acción de alarma genera informes, es posible ver la cola de informes generados y
cancelar uno o varios de ellos.
Antes de empezar
• Verifique con su administrador que pertenece a un grupo de acceso con privilegios de
administración de alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1 Acceda a las alarmas activadas desde una de las siguientes ubicaciones de ESM:
• Panel de registro Alarma: situado en la esquina inferior izquierda del panel, debajo del Árbol de
navegación del sistema.
•
Página Detalles: se abre al hacer clic en el icono Detalles del panel de registro Alarmas.
Eliminar una • Seleccione la alarma activada que desee eliminar y haga clic en el icono
alarma del sistema
Eliminar alarma .
Filtrar las alarmas • Introduzca la información que desee usar como filtro en el panel Filtros y
Cambiar el usuario 1
asignado de las Haga clic en el icono Ver detalles de datos para mostrar los detalles de
alarmas alarma en la parte inferior del panel.
2 Seleccione las alarmas, haga clic en Usuario asignado y seleccione el nuevo
usuario asignado.
• Haga clic en la ficha Condición para ver la condición que activó el evento.
• Haga clic en la ficha Acción para ver las acciones resultantes de la alarma
y las etiquetas de ePolicy Orchestrator asignadas al evento.
Editar la 1
configuración de Haga clic en la alarma activada, después en el icono Menú y seleccione
una alarma Editar alarma.
activada
2 En la página Configuración de alarma, realice los cambios y haga clic en Finalizar.
Véase también
Administración de la cola de informes de alarma en la página 362
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades .
4 Para ver los informes de alarma a la espera de ejecución, haga clic en Ver. El ESM ejecuta un
máximo de cinco informes de forma simultánea.
• Vea los informes generados por alarmas.
• Para evitar la ejecución de un informe concreto, selecciónelo y haga clic en Cancelar. Los informes
restantes se moverán hacia arriba en la cola.
Si es administrador o usuario principal, esta lista incluirá todos los informes a la espera de
ejecución en el ESM, lo que permite cancelar cualquiera de ellos.
5 Haga clic en Archivos para seleccionar si desea descargar, cargar, eliminar o actualizar los informes
de la lista.
Véase también
Visualización y administración de alarmas activadas en la página 360
Página Ver informes en la página 362
Página Lista de archivos en la página 363
Véase también
Administración de la cola de informes de alarma en la página 362
Véase también
Administración de la cola de informes de alarma en la página 362
Ajuste de alarmas
Perfeccione y ajuste las alarmas a medida que descubra lo que mejor se adapta a su organización.
Lea los procedimientos siguientes para obtener más información sobre el ajuste de las alarmas. Estos
procedimientos describen cómo crear tipos concretos de alarmas.
Procedimientos
• Creación de alarmas UCAPL en la página 364
Cree alarmas que cumplan los requisitos de UCAPL (del inglés Unified Capabilities Approved
Products List, lista de productos aprobados con capacidades unificadas).
• Adición de alarmas de eventos del monitor de estado en la página 366
Cree alarmas basadas en los eventos del monitor de estado que, después, permiten la
generación de un informe de Resumen de eventos de monitor de estado.
• Adición de una alarma de Coincidencia de campo en la página 375
Una alarma de Coincidencia de campo coincide con varios campos de un evento y se activa
cuando el dispositivo recibe y analiza el evento.
• Resumen personalizado para alarmas activadas y casos en la página 378
Seleccione los datos que se incluirán en el resumen de alarma y de caso para las alarmas
de tipo Coincidencia de campo y Coincidencia de evento interno.
• Adición de una alarma a las reglas en la página 378
Si desea recibir una notificación cuando se generen eventos a través de reglas específicas,
es posible agregar una alarma a esas reglas.
• Creación de capturas SNMP a modo de acciones de alarma en la página 379
Es posible enviar capturas SNMP a modo de acciones de alarma.
• Adición de una alarma de notificación sobre fallos de alimentación en la página 380
Es posible agregar una alarma para que se le notifiquen los fallos de cualquiera de las
fuentes de alimentación del ESM.
• Administración de orígenes de datos no sincronizados en la página 380
Configure una alarma que le avise cuando los datos no sincronizados generen eventos, de
forma que pueda ver una lista de orígenes de datos, editar su configuración y exportar la
lista.
Antes de empezar
• Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso
con privilegios de administración de alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
• Configure los tipos de alarma aplicables:
Umbral de Activar una alarma cuando se bloquee una cuenta de usuario porque se ha
inactividad alcanzado el umbral de inactividad.
alcanzado
1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de
firma.
2 Introduzca el valor 306-35.
Número de sesiones Activar una alarma si un usuario intenta iniciar sesión en el sistema
simultáneas después de alcanzar el número máximo de sesiones simultáneas.
permitidas
1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de
alcanzado
firma.
2 Introduzca el valor 306-37.
Certificados a punto Activar una alarma cuando haya certificados Common Access Card (CAC) o
de caducar de servidor web a punto de caducar.
1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de
firma.
2 Introduzca el valor 306-50081, 306-50082, 306-50083, 306-50084.
Envío de mensaje Configurar un mensaje de syslog de modo que la alarma envíe un mensaje
de syslog cuando el de syslog al NMS cuando detecte que el sistema ha dejado de funcionar en
estado del sistema un estado aprobado o seguro.
no es aprobado
1 Cree una alarma que coincida con cualquier condición, acceda a la ficha
Acciones y seleccione Enviar mensaje.
2 Haga clic en Agregar destinatario | Syslog, seleccione el destinatario y haga clic
en Aceptar.
3 En el campo Enviar mensaje, haga clic en Configurar, después en Plantillas y, por
último, en Agregar.
4 Seleccione Plantilla de Syslog en el campo Tipo, escriba el texto del mensaje y,
a continuación, haga clic en Aceptar.
5 En la página Administración de plantillas, seleccione la plantilla nueva y haga
clic en Aceptar.
6 Configure el resto de opciones de alarma.
El registro de Configurar una captura SNMP de modo que la alarma envíe una notificación
seguridad no a un centro de operaciones de red (NOC) apropiado en un plazo de 30
registra los eventos segundos si un registro de seguridad no está registrando los eventos
necesarios necesarios.
1 Acceda a Propiedades del sistema | Configuración SNMP | Capturas SNMP o Propiedades
del dispositivo | Configuración del dispositivo | SNMP.
2 Seleccione la captura de error del registro de seguridad, configure uno o
varios perfiles para el envío de capturas y haga clic en Aplicar.
ESM enviará capturas SNMP al destinatario del perfil SNMP con el mensaje
Error al escribir en el registro de seguridad.
Antes de empezar
• Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso
con privilegios de administración de alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 Para configurar una alarma antes de que se genere un evento del monitor de estado:
a Configure una Condición de alarma con el tipo Coincidencia de evento interno.
b
Haga clic en el evento y, después, haga clic en el icono Menú .
Véase también
ID de firma del monitor de estado en la página 367
Véase también
Adición de alarmas de eventos del monitor de estado en la página 366
Antes de empezar
• Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso
con privilegios de administración de alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades .
b Arrastre y coloque el icono Coincidir componente sobre el elemento lógico y, después, rellene la
página Agregar campo de filtro.
c En el campo Frecuencia máxima de activación de condición, seleccione la cantidad de tiempo que debe
transcurrir entre condiciones para evitar un aluvión de notificaciones. Cada desencadenador
contiene el primer evento de origen que coincide con la condición de activación, pero no los
eventos que se producen durante el periodo de activación de condición. Los eventos nuevos que
coinciden con la condición de activación no activan la alarma de nuevo hasta que transcurre el
periodo correspondiente a la frecuencia de activación máxima.
Si establece el intervalo en cero, cada evento que coincida con una condición activará una alarma.
En el caso de las alarmas de alta frecuencia, un intervalo de cero puede producir muchas alarmas.
5 Haga clic en Siguiente y seleccione los dispositivos que se deben supervisar para esta alarma. Este
tipo de alarma es compatible con Event Receiver, Enterprise Log Manager (ELM) de receptor local,
combinaciones de Event Receiver/ELM, ACE y Application Data Monitor (ADM).
Véase también
Resumen personalizado para alarmas activadas y casos en la página 378
Elementos lógicos en la página 377
Página Editar elemento lógico en la página 376
Véase también
Adición de una alarma de Coincidencia de campo en la página 375
Elementos lógicos
Cuando agregue un Application Data Monitor (ADM), una base de datos y un componente o una regla
de correlación, utilice Lógica de expresión o Lógica de correlación para crear el marco de la regla.
Elemento Descripción
AND Funciona igual que un operador lógico en un lenguaje informático. Todo lo agrupado bajo
este elemento lógico debe ser verdadero para que la condición sea verdadera. Use esta
opción si desea que se cumplan todas las condiciones bajo este elemento lógico antes de
que se active una regla.
OR Funciona igual que un operador lógico en un lenguaje informático. Solo una de las
condiciones agrupadas bajo este elemento tiene que ser verdadera para que la condición
sea verdadera. Use este elemento si desea que se active la regla cuando se cumpla una
de las condiciones.
SET En el caso de los componentes o las reglas de correlación, SET permite definir
condiciones y seleccionar el número de condiciones que deben ser verdaderas para que
se active la regla. Por ejemplo, si se deben cumplir dos de las tres condiciones del
conjunto para que se active la regla, la configuración será "2 de 3".
Cada uno de estos elementos dispone de un menú con al menos dos de estas opciones:
• Editar: es posible editar la configuración predeterminada (véase Edición de elementos lógicos).
• Quitar elemento lógico: permite eliminar el elemento lógico seleccionado. En caso de existir elementos
secundarios no se eliminan, sino que se mueven hacia arriba en la jerarquía.
Esto no se aplica al elemento raíz (el primero de la jerarquía). Si se elimina el elemento raíz,
también se eliminan todos los elementos secundarios.
• Quitar el elemento lógico y todos sus elementos secundarios: es posible eliminar el elemento seleccionado y
todos sus elementos secundarios de la jerarquía.
Al establecer la lógica de la regla, es necesario agregar componentes a fin de definir las condiciones
para la regla. En el caso de las reglas de correlación, también se pueden agregar parámetros para
controlar el comportamiento de la regla o el componente cuando se ejecuten.
Véase también
Adición de una alarma de Coincidencia de campo en la página 375
Edición de elementos lógicos en la página 547
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades .
4
Haga clic en la ficha Acciones, luego en Crear caso para, después en el icono de las variables y, a
continuación, seleccione los campos que incluir en el resumen de caso.
5
Haga clic en Personalizar resumen de alarma activada, después en el icono de las variables y, a
continuación, seleccione los campos que incluir en el resumen correspondiente a la alarma
activada.
6 Escriba la información solicitada para crear alarmas y, después, haga clic en Finalizar.
Véase también
Adición de una alarma de Coincidencia de campo en la página 375
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1
En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas situado en la
barra de herramientas de acciones.
4
Haga clic en el icono Alarmas .
5 Crear la alarma.
Antes de empezar
• Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso
con privilegios de administración de alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1 Cree un perfil SNMP para indicar al ESM dónde enviar las capturas SNMP.
a En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el
icono Propiedades .
b Haga clic en Administración de perfiles y seleccione Captura SNMP en el campo Tipo de perfil.
b Seleccione el puerto, seleccione los tipos de capturas que enviar y, después, seleccione el perfil
agregado en el Paso 1.
c Seleccione Enviar mensaje y haga clic en Configurar a fin de seleccionar o crear una plantilla para los
mensajes SNMP.
d Seleccione Plantilla de SNMP básica en el campo SNMP, o bien haga clic en Plantillas y seleccione una
plantilla existente o haga clic en Agregar para definir una plantilla nueva.
Antes de empezar
• Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso
con privilegios de administración de alarmas.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades .
3 Haga clic en Agregar, introduzca los datos solicitados en la ficha Resumen y, a continuación, haga clic
en la ficha Condición.
6 Introduzca la información restante en cada ficha según sea necesario y, a continuación, haga clic
en Finalizar.
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de alarmas.
Esta herramienta de diagnóstico detecta cuando un origen de datos está recopilando eventos pasados
o futuros, lo cual puede provocar la aparición de una marca roja en el receptor.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades .
2 Configure una alarma para recibir una notificación cuando llegue al receptor un evento generado
por un origen de datos que no está sincronizado con el ESM.
a Haga clic en Alarmas | Agregar, escriba la información solicitada en la ficha Resumen y haga clic en
la ficha Condición.
b Seleccione Diferencia de eventos en el campo Tipo, seleccione la frecuencia con que el ESM debe
comprobar los orígenes de datos no sincronizados y seleccione la diferencia de tiempo que debe
existir para que se active la alarma.
Véase también
Orígenes de datos no sincronizados en la página 381
Página Diferencia de tiempo en la página 382
Existen varios motivos por los que los orígenes de datos pueden no estar sincronizados con el ESM.
1 El ESM tiene una configuración de zona horaria incorrecta (véase Selección de la configuración de
usuario).
2 La hora se configura con la zona incorrecta al agregar el origen de datos (véase Adición de un
origen de datos).
Véase también
Administración de orígenes de datos no sincronizados en la página 380
Véase también
Administración de orígenes de datos no sincronizados en la página 380
El ESM permite identificar, recopilar, procesar, correlacionar y almacenar miles de millones de eventos
y flujos, además de conservar esta información disponible para fines de consulta, análisis forense,
validación de reglas y conformidad.
Contenido
Eventos, flujos y registros
Administración de informes
Descripción de los filtros contains y regex
Uso de las vistas de ESM
Filtros de tipos personalizados
®
Búsquedas de McAfee Active Response
Visualización de la hora del evento
• Como los flujos no son indicativos de tráfico anómalo o malicioso, normalmente son más comunes
que los eventos.
• Los flujos no están asociados a una firma de regla (ID de firma) como los eventos.
• Los flujos no están asociados con acciones de evento tales como alerta, supresión y rechazo.
• Ciertos datos son exclusivos de los flujos, como los bytes de origen y destino o los paquetes de
origen y destino. Los bytes y los paquetes de origen indican el número de bytes y de paquetes
transmitidos por el origen del flujo, mientras que los bytes y los paquetes de destino son el número
de bytes y paquetes transmitidos por el destino del flujo.
• Los flujos tienen una dirección: un flujo entrante es un flujo que se origina fuera de la red
HOME_NET. Un flujo saliente se origina fuera de la red HOME_NET. Esta variable se define en una
directiva para un dispositivo Nitro IPS.
Los eventos y los flujos generados por el sistema se pueden ver mediante las vistas, que se
seleccionan en la lista desplegable de vistas. Los registros se pueden ver mediante el Registro del sistema
o el Registro de dispositivo, a los que se accede a través de la página Propiedades del sistema o de cada
dispositivo.
Véase también
Configuración de descargas de eventos, flujos y registros en la página 384
Limitación del tiempo de recopilación de datos en la página 385
Definición de la configuración de umbral de inactividad en la página 386
Obtención de eventos y flujos en la página 387
Comprobación de eventos, flujos y registros en la página 388
Definición de la configuración de geolocalización y ASN en la página 390
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
Véase también
Eventos, flujos y registros en la página 383
Limitación del tiempo de recopilación de datos en la página 385
Definición de la configuración de umbral de inactividad en la página 386
Obtención de eventos y flujos en la página 387
Comprobación de eventos, flujos y registros en la página 388
Definición de la configuración de geolocalización y ASN en la página 390
Página Eventos, flujos y registros en la página 384
Generar eventos de Seleccione esta opción para que los eventos que coincidan con los datos de
vulnerabilidad origen de evaluación de vulnerabilidades agregados al sistema (véase
Integración de datos de evaluación de vulnerabilidades) se conviertan en
eventos de vulnerabilidad y generen una alerta en el ESM local. Las
propiedades de directiva del Editor de directivas son las mismas para todos
estos eventos y no se pueden modificar (por ejemplo, la gravedad siempre
es 100).
Proceso de última descarga de Permiten ver la última vez que se han recuperado eventos o flujos del
eventos o Proceso de última dispositivo, si el proceso ha sido correcto o no y el número de eventos o
descarga de flujos flujos recuperados.
Último registro de eventos Permiten ver la fecha y la hora del último registro de evento, cadena o
descargado, Último registro de flujo descargado. Si cambia este valor, es posible establecer la fecha y la
cadena descargado o Último hora a partir de las cuales se recuperarán eventos, cadenas o flujos. Por
registro de flujos descargado ejemplo, si introduce 13 de noviembre de 2010 a las 10:30:00 de la
mañana en el campo Último registro de eventos descargado, haga clic en Aplicar y,
después, en Obtener eventos; el ESM recuperará todos los eventos del
dispositivo desde ese momento hasta la fecha.
Configuración de base de datos Permite administrar la configuración de índice de base de datos en el ESM.
Configuración de inactividad Permite ver y cambiar la configuración de umbral de inactividad de cada
uno de los dispositivos administrados por el ESM (véase Definición de la
configuración de umbral de inactividad).
Geolocalización Permite configurar el ESM para registrar datos de geolocalización y ASN de
cada uno de los dispositivos (véase Definición de la configuración de
geolocalización y ASN).
Véase también
Configuración de descargas de eventos, flujos y registros en la página 384
Agregación de eventos o flujos en la página 391
Antes de empezar
Desactive Usar agregación dinámica y establezca Agregación de nivel 1 entre 240 y 360 minutos
(véase Cambio de la configuración de agregación de eventos o flujos).
Puede utilizar esta función para evitar usar la red en momentos de mucha actividad y que así el ancho
de banda esté disponible para otras aplicaciones. Esto produce un retraso en la entrega de datos al
ESM y el ELM, de modo que debe determinar si tal retraso es aceptable en su entorno.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Tenga cuidado al configurar esta función, ya que la planificación de la recopilación de eventos, flujos y
registros puede acarrear una fuga de datos.
icono Propiedades .
• Eventos y registros
• Registros
3 Seleccione Definir el intervalo de tiempo de extracción de datos diario y, a continuación, defina las horas de
inicio y finalización del intervalo de tiempo.
El ESM recopila datos del dispositivo y este envía los datos al ELM para su registro durante el intervalo
de tiempo que haya definido. Cuando se configura así un ELM, se define cuándo recopila datos el ESM
del ELM y cuándo envía los datos el ESM al ELM para su registro.
Véase también
Eventos, flujos y registros en la página 383
Configuración de descargas de eventos, flujos y registros en la página 384
Definición de la configuración de umbral de inactividad en la página 386
Obtención de eventos y flujos en la página 387
Comprobación de eventos, flujos y registros en la página 388
Definición de la configuración de geolocalización y ASN en la página 390
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema, asegúrese de que esté
seleccionada la opción Información del sistema y haga clic en Eventos, flujos y registros.
Véase también
Eventos, flujos y registros en la página 383
Configuración de descargas de eventos, flujos y registros en la página 384
Limitación del tiempo de recopilación de datos en la página 385
Obtención de eventos y flujos en la página 387
Comprobación de eventos, flujos y registros en la página 388
Definición de la configuración de geolocalización y ASN en la página 390
Página Umbral de inactividad en la página 387
Página Editar umbral de inactividad en la página 387
Véase también
Definición de la configuración de umbral de inactividad en la página 386
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione el sistema, un grupo o un dispositivo y haga clic
2 En la tabla superior, seleccione los eventos y los flujos que se deben recuperar; a continuación,
haga clic en Iniciar.
El estado de la recuperación se refleja en la columna Estado. La tabla inferior muestra más detalles
sobre los dispositivos resaltados en la tabla superior.
3 Una vez finalizada la descarga, seleccione una vista para mostrar estos eventos y flujos; después,
Véase también
Eventos, flujos y registros en la página 383
Configuración de descargas de eventos, flujos y registros en la página 384
Limitación del tiempo de recopilación de datos en la página 385
Definición de la configuración de umbral de inactividad en la página 386
Comprobación de eventos, flujos y registros en la página 388
Definición de la configuración de geolocalización y ASN en la página 390
Página Obtener eventos y flujos en la página 388
Véase también
Obtención de eventos y flujos en la página 387
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Eventos, flujos y
registros.
2 Realice las selecciones y los cambios que desee para la recuperación de eventos, flujos y registros.
Véase también
Eventos, flujos y registros en la página 383
Configuración de descargas de eventos, flujos y registros en la página 384
Limitación del tiempo de recopilación de datos en la página 385
Definición de la configuración de umbral de inactividad en la página 386
Obtención de eventos y flujos en la página 387
Definición de la configuración de geolocalización y ASN en la página 390
Página Eventos, flujos y registros en la página 389
Página Dispositivos en la página 389
Véase también
Comprobación de eventos, flujos y registros en la página 388
Página Dispositivos
Permite establecer la configuración de recuperación de eventos, flujos y registros de cada dispositivo
del sistema.
Véase también
Comprobación de eventos, flujos y registros en la página 388
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
2 Haga clic en Eventos, flujos y registros o en Eventos y registros; después, haga clic en Geolocalización.
3 Realice las selecciones para obtener la información necesaria y haga clic en Aceptar.
Véase también
Eventos, flujos y registros en la página 383
Configuración de descargas de eventos, flujos y registros en la página 384
Limitación del tiempo de recopilación de datos en la página 385
Definición de la configuración de umbral de inactividad en la página 386
Obtención de eventos y flujos en la página 387
Comprobación de eventos, flujos y registros en la página 388
Página Configuración de geolocalización en la página 390
Véase también
Definición de la configuración de geolocalización y ASN en la página 390
La agregación dinámica también está activada de forma predeterminada. Cuando se utiliza, reemplaza
la configuración de agregación de Nivel 1 y aumenta la configuración en Nivel 2 y Nivel 3. Recupera
registros de acuerdo con la configuración de recuperación de eventos, flujos y registros. Si se
configura para la recuperación automática, el dispositivo solo comprime un registro hasta la primera
vez que el ESM lo extrae. Si se configura para la recuperación manual, un registro se comprime un
máximo de 24 horas o hasta que se extraiga un nuevo registro manualmente, lo que antes ocurra. Si
el tiempo de compresión alcanza el límite de 24 horas, se extrae un nuevo registro y se inicia la
compresión en ese registro nuevo.
Véase también
Cambio de la configuración de agregación de eventos o flujos en la página 393
Adición de excepciones a la configuración de agregación de eventos en la página 394
Administración de las excepciones de agregación de eventos en la página 395
Página Eventos, flujos y registros en la página 384
trabajan solo con registros. Las opciones disponibles en esta página varían en función del dispositivo
seleccionado.
Tabla 7-7 Definiciones de opciones
Opción Definición
Actualizar automáticamente Si el ESM descarga automáticamente las reglas del servidor de reglas,
reglas seleccione esta opción en caso de que desee que las reglas descargadas se
desplieguen en el dispositivo.
Descargar automáticamente... Seleccione alguna de estas opciones si desea que el ESM compruebe la
existencia de eventos, flujos o registros de forma automática.
Obtener... Haga clic en esta opción si desea que el ESM busque eventos, flujos o
registros de inmediato. Para ver el estado de estos trabajos, véase Obtener
eventos y flujos.
Definir el intervalo de tiempo de Seleccione esta opción para planificar un intervalo de tiempo diario de
extracción de datos diario forma que el ESM extraiga datos de cada dispositivo y envíe los datos al
ELM desde cada dispositivo (véase Limitación del tiempo de recopilación de
datos).
Generar eventos de Seleccione esta opción para que los eventos que coincidan con los datos de
vulnerabilidad origen de evaluación de vulnerabilidades agregados al sistema (véase
Integración de datos de evaluación de vulnerabilidades) se conviertan en
eventos de vulnerabilidad y generen una alerta en el ESM local. Las
propiedades de directiva del Editor de directivas son las mismas para todos
estos eventos y no se pueden modificar (por ejemplo, la gravedad siempre
es 100).
Proceso de última descarga de Permiten ver la última vez que se han recuperado eventos o flujos del
eventos o Proceso de última dispositivo, si el proceso ha sido correcto o no y el número de eventos o
descarga de flujos flujos recuperados.
Último registro de eventos Permiten ver la fecha y la hora del último registro de evento, cadena o
descargado, Último registro de flujo descargado. Si cambia este valor, es posible establecer la fecha y la
cadena descargado o Último hora a partir de las cuales se recuperarán eventos, cadenas o flujos. Por
registro de flujos descargado ejemplo, si introduce 13 de noviembre de 2010 a las 10:30:00 de la
mañana en el campo Último registro de eventos descargado, haga clic en Aplicar y,
después, en Obtener eventos; el ESM recuperará todos los eventos del
dispositivo desde ese momento hasta la fecha.
Configuración de base de datos Permite administrar la configuración de índice de base de datos en el ESM.
Configuración de inactividad Permite ver y cambiar la configuración de umbral de inactividad de cada
uno de los dispositivos administrados por el ESM (véase Definición de la
configuración de umbral de inactividad).
Geolocalización Permite configurar el ESM para registrar datos de geolocalización y ASN de
cada uno de los dispositivos (véase Definición de la configuración de
geolocalización y ASN).
Véase también
Configuración de descargas de eventos, flujos y registros en la página 384
Agregación de eventos o flujos en la página 391
Antes de empezar
Es necesario disponer de privilegios de Administrador de directivas y Administración de dispositivo o
Administrador de directivas y Reglas personalizadas para cambiar estas opciones de configuración.
La agregación de eventos solo está disponible para los receptores y los dispositivos ADM e IPS, mientras
que la agregación de flujos lo está en los receptores y los dispositivos IPS.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
Véase también
Agregación de eventos o flujos en la página 391
Adición de excepciones a la configuración de agregación de eventos en la página 394
Administración de las excepciones de agregación de eventos en la página 395
Página Agregación de eventos/flujos en la página 393
Puertos (solo Configure los valores de agregación de puertos de flujos que sean necesarios
flujos) (véase Configuración de los valores de agregación de los puertos de flujos).
Véase también
Cambio de la configuración de agregación de eventos o flujos en la página 393
Administración de las excepciones de agregación de eventos en la página 395
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el panel de vistas, seleccione un evento generado por la regla a la que desee agregar la
excepción.
2
Haga clic en el icono Menú y seleccione Modificar configuración de agregación.
3 Seleccione los tipos de campos que desee agregar mediante las listas desplegables Campo 2 y Campo
3.
Los campos seleccionados en Campo 2 y Campo 3 deben ser de tipos distintos o se producirá un error.
Cuando seleccione estos tipos de campos, la descripción de cada nivel de agregación cambiará para
reflejar las selecciones realizadas. Los límites de tiempo de cada nivel dependen de la configuración
de agregación de eventos definida para el dispositivo.
4 Haga clic en Aceptar para guardar la configuración y, a continuación, haga clic en Sí para continuar.
6 Haga clic en Aceptar para desplegar los cambios en los dispositivos seleccionados.
La columna Estado mostrará el estado de la actualización a medida que se desplieguen los cambios.
Véase también
Agregación de eventos o flujos en la página 391
Cambio de la configuración de agregación de eventos o flujos en la página 393
Administración de las excepciones de agregación de eventos en la página 395
Página Excepciones de agregación de eventos en la página 395
Página Desplegar para excepciones de agregación en la página 395
Véase también
Adición de excepciones a la configuración de agregación de eventos en la página 394
Véase también
Adición de excepciones a la configuración de agregación de eventos en la página 394
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
Véase también
Agregación de eventos o flujos en la página 391
Cambio de la configuración de agregación de eventos o flujos en la página 393
Adición de excepciones a la configuración de agregación de eventos en la página 394
Página Agregación de eventos/flujos en la página 393
paquete y camuflar los datos de IP. Se pueden agregar filtros para que los datos de evento se filtren
antes de su reenvío.
Esto no sustituye a la administración de registros, ya que no se trata de un conjunto completo de
registros firmados digitalmente de cada uno de los dispositivos del entorno.
Véase también
Agentes de reenvío de eventos en la página 399
Envío y reenvío de eventos con el formato de eventos estándar en la página 403
Configuración del reenvío de eventos en la página 396
Adición de destinos de reenvío de eventos en la página 397
Activación o desactivación del reenvío de eventos en la página 400
Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401
Adición de filtros de reenvío de eventos en la página 401
Edición de la configuración de filtrado de reenvío de eventos en la página 402
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de
eventos.
Véase también
Configuración del reenvío de eventos en la página 395
Agentes de reenvío de eventos en la página 399
Envío y reenvío de eventos con el formato de eventos estándar en la página 403
Adición de destinos de reenvío de eventos en la página 397
Activación o desactivación del reenvío de eventos en la página 400
Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401
Adición de filtros de reenvío de eventos en la página 401
Edición de la configuración de filtrado de reenvío de eventos en la página 402
Página Reenvío de eventos en la página 396
Véase también
Configuración del reenvío de eventos en la página 396
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de
eventos.
Véase también
Configuración del reenvío de eventos en la página 395
Agentes de reenvío de eventos en la página 399
Envío y reenvío de eventos con el formato de eventos estándar en la página 403
Configuración del reenvío de eventos en la página 396
Activación o desactivación del reenvío de eventos en la página 400
Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401
Adición de filtros de reenvío de eventos en la página 401
Edición de la configuración de filtrado de reenvío de eventos en la página 402
Página Agregar destino de reenvío de eventos en la página 397
Véase también
Adición de destinos de reenvío de eventos en la página 397
Página Filtros de evento en la página 402
Página Filtrar informe en la página 402
Agente Contenido
Syslog ESM IP McAfee ESM (parte del encabezado de syslog), ID de firma, Mensaje de firma, IP
(McAfee de origen, IP de destino, Puerto de origen, Puerto de destino, MAC de origen, MAC de
9.2) destino, Protocolo, LAN virtual (VLAN), Flujo (si el evento ha sido generado por el emisor
o el destinatario de la conexión), Recuento de eventos, Primera vez (en formato de hora
de UNIX), Última vez (en formato de hora de UNIX), Segundo de usuario de última vez,
Subtipo de evento, Gravedad, ID interno (ID de evento de ESM), ID de evento, ID de
IPS, Nombre de IPS (nombre de origen de datos : dirección IP), ID de origen de datos,
IPv6 de origen, IPv6 de destino, ID de sesión, Secuencia, marca De confianza, ID
normalizado, GUID de origen, GUID de destino, Nombre de agregación 1, Valor de
agregación 1, Nombre de agregación 2, Valor de agregación 2, Nombre de agregación 3,
Valor de agregación 3.
Los siguientes campos de cadena también aparecen entre comillas porque podrían
contener un punto y coma: Aplicación, Comando, Dominio, Host, Objeto, Usuario de
destino, Usuario de origen, Tipo definido por el usuario 8, Tipo definido por el usuario 9,
Tipo definido por el usuario 10, Tipo definido por el usuario 21, Tipo definido por el
usuario 22, Tipo definido por el usuario 23, Tipo definido por el usuario 24, Tipo definido
por el usuario 25, Tipo definido por el usuario 26, Tipo definido por el usuario 27.
Paquete (el contenido del paquete solo presenta la codificación Base64 si la opción
"Copiar paquete" está activada en el caso de las reglas del editor de directivas y la opción
está marcada al configurar el reenvío de eventos en el ESM).
Syslog ESM IP McAfee ESM (parte del encabezado de syslog), ID de firma, Mensaje de firma, IP
(McAfee de origen, IP de destino, Puerto de origen, Puerto de destino, MAC de origen, MAC de
8.2) destino, Protocolo, LAN virtual (VLAN), Flujo (si el evento ha sido generado por el emisor
o el destinatario de la conexión), Recuento de eventos, Primera vez (en formato de hora
de UNIX), Última vez (en formato de hora de UNIX), Segundo de usuario de última vez,
Subtipo de evento, Gravedad, ID interno (ID de evento de ESM), ID de evento, ID de
IPS, Nombre de IPS (nombre de origen de datos : dirección IP), ID de origen de datos,
IPv6 de origen, IPv6 de destino, ID de sesión, Secuencia, marca De confianza, ID
normalizado.
Los siguientes campos de cadena también aparecen entre comillas porque podrían
contener un punto y coma: Aplicación, Comando, Dominio, Host, Objeto, Usuario de
destino, Usuario de origen, Tipo definido por el usuario 8, Tipo definido por el usuario 9,
Tipo definido por el usuario 10.
Paquete (el contenido del paquete solo presenta la codificación Base64 si la opción
"Copiar paquete" está activada en el caso de las reglas del editor de directivas y la opción
está marcada al configurar el reenvío de eventos en el ESM).
Syslog ESM IP, "McAfee ESM", ID de firma, Mensaje de firma, IP de origen, IP de destino, Puerto
(Nitro) de origen, Puerto de destino, MAC de origen, MAC de destino, Protocolo, LAN virtual
(VLAN), Flujo (si el evento ha sido generado por el emisor o el destinatario de la
conexión), Recuento de eventos, Primera vez (en formato de hora de UNIX), Última vez
(en formato de hora de UNIX), Segundo de usuario de última vez, Subtipo de evento,
Gravedad, ID interno (ID de evento de ESM), ID de evento, ID de IPS, Nombre de IPS, ID
de origen de datos, Paquete (el contenido del paquete tiene la codificación Base 64).
Syslog "McAfee", ID de equipo, "Notificación de ArcSight", "Línea 1", Nombre de grupo, Nombre
(ArcSight) de IPS, Última vez mm/dd/aaa HH:mm:ss.zzz, Segundo de usuario de última vez,
Primera vez mm/dd/aaa HH:mm:ss.zzz, ID de firma, Nombre de clase, Recuento de
eventos, IP de origen, Puerto de origen, IP de destino, Puerto de destino, Protocolo,
Subtipo de evento, ID de dispositivo de evento (ID interno del evento en el dispositivo),
ID de ESM de evento (ID interno del evento en el ESM), Mensaje de regla, Flujo (si el
evento ha sido generado por el emisor o el destinatario de la conexión), VLAN, MAC de
origen, MAC de destino, Paquete (el contenido del paquete tiene la codificación Base 64).
Agente Contenido
Syslog snort:, [sigid:smallsigid:0], Mensaje de firma o "Alerta", [Classification: ClassName],
(Snort) [Priority: ClassPriority], {Protocolo}, IP de origen:Puerto de origen -> IP de
destino:Puerto de destino, IP de origen -> IP de destino, Paquete (el contenido del
paquete tiene la codificación Base 64).
Syslog Hora (segundos desde tiempo), marca de estado, nombre de usuario, nombre de
(registros categoría de registro (en blanco para la versión 8.2.0, con valor para las versiones 8.3.0
de y posteriores), nombre de grupo de dispositivos, nombre de dispositivo, mensaje de
auditoría) registro.
Syslog Hora y fecha actuales, IP de ESM, versión de CEF 0, proveedor = McAfee, producto =
(formato modelo de ESM de /etc/McAfee Nitro/ipsmodel, versión = versión de ESM de /etc/
de evento buildstamp, ID de firma, mensaje de firma, gravedad (de 0 a 10), pares de nombre/valor,
común) dirección convertida de dispositivo.
Syslog <#>AAAA-MM-DDTHH:MM:SS.S [Dirección IP] McAfee_SIEM:
(formato { "source": { "id": 144120685667549200, "name": "McAfee Email Gateway (ASP)",
de evento "subnet": "::ffff:10.75.126.2/128" }, "fields": { "packet": { "encoding": "BASE64" } },
estándar) "data": { "unique_id": 1, "alert_id": 1, "thirdpartytype": 49, "sig": { "id": 5000012,
"name": "Random String Custom Type" }, "norm_sig": { "id": 1343225856, "name":
"Misc Application Event" }, "action": "5", "src_ip": "65.254.48.200", "dst_ip": "0.0.0.0",
"src_port": 38129, "dst_port": 0, "protocol": "n/a", "src_mac": "00:00:00:00:00:00",
"dst_mac": "00:00:00:00:00:00", "src_asn_geo": 1423146310554370000, "firsttime":
"2014-05-09T20:43:30Z", "lasttime": "2014-05-09T20:43:30Z", "writetime":
"2014-05-09T20:44:01Z", "src_guid": "", "dst_guid": "", "total_severity": 25, "severity":
25, "eventcount": 1, "flow": "0", "vlan": "0", "sequence": 0, "trusted": 2, "session_id": 0,
"compression_level": 10, "reviewed": 0, "a1_ran_string_CF1": "This is data for custom
field 1", "packet":
"PDE0PjA5MDUyMDE0IDIwOjE4OjQ0fDIxfDY1LjI1NC40OC4yMDAtMzgxMjl8MXwxMDJ8U3
BhbSBNZXNzYWdlIHR5cGU6IFRydXN0ZWRTb3VyY2UgU2lnbmF0dXJlIENvbmZpZGVuY2
UgPSBISUdILiBDb25uZWN0aW9uOiA2NS4yNTQuNDguMjAwLTM4MTI5KElQLVBvcnQpfF
RoaXMgaXMgZGF0YSBm b3IgY3VzdG9tIGZpZWxkIDF8W10A"
Véase también
Configuración del reenvío de eventos en la página 395
Envío y reenvío de eventos con el formato de eventos estándar en la página 403
Configuración del reenvío de eventos en la página 396
Adición de destinos de reenvío de eventos en la página 397
Activación o desactivación del reenvío de eventos en la página 400
Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401
Adición de filtros de reenvío de eventos en la página 401
Edición de la configuración de filtrado de reenvío de eventos en la página 402
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de
eventos.
2 Haga clic en Configuración y, después, seleccione Reenvío de eventos activado o anule su selección.
Véase también
Configuración del reenvío de eventos en la página 395
Agentes de reenvío de eventos en la página 399
Envío y reenvío de eventos con el formato de eventos estándar en la página 403
Configuración del reenvío de eventos en la página 396
Adición de destinos de reenvío de eventos en la página 397
Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401
Adición de filtros de reenvío de eventos en la página 401
Edición de la configuración de filtrado de reenvío de eventos en la página 402
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de
eventos.
Véase también
Configuración del reenvío de eventos en la página 395
Agentes de reenvío de eventos en la página 399
Envío y reenvío de eventos con el formato de eventos estándar en la página 403
Configuración del reenvío de eventos en la página 396
Adición de destinos de reenvío de eventos en la página 397
Activación o desactivación del reenvío de eventos en la página 400
Adición de filtros de reenvío de eventos en la página 401
Edición de la configuración de filtrado de reenvío de eventos en la página 402
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de
eventos.
Véase también
Configuración del reenvío de eventos en la página 395
Agentes de reenvío de eventos en la página 399
Envío y reenvío de eventos con el formato de eventos estándar en la página 403
Configuración del reenvío de eventos en la página 396
Adición de destinos de reenvío de eventos en la página 397
Activación o desactivación del reenvío de eventos en la página 400
Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401
Edición de la configuración de filtrado de reenvío de eventos en la página 402
Véase también
Página Agregar destino de reenvío de eventos en la página 397
Véase también
Página Agregar destino de reenvío de eventos en la página 397
Antes de empezar
Cuando se edita un filtro de dispositivos, es necesario tener acceso a todos los dispositivos
del filtro. A fin de activar el acceso a los dispositivos, véase Configuración de grupos de
usuarios.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de
eventos.
Véase también
Configuración del reenvío de eventos en la página 395
Agentes de reenvío de eventos en la página 399
Envío y reenvío de eventos con el formato de eventos estándar en la página 403
Configuración del reenvío de eventos en la página 396
Adición de destinos de reenvío de eventos en la página 397
Activación o desactivación del reenvío de eventos en la página 400
Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401
Adición de filtros de reenvío de eventos en la página 401
Cuando se configura el reenvío de eventos con SEF desde un ESM a otro ESM, es necesario llevar a
cabo estos cuatro pasos:
1 Exporte los orígenes de datos, los tipos personalizados y las reglas personalizadas desde el ESM
que reenvía los eventos.
— Para exportar los orígenes de datos, siga las instrucciones contenidas en Traslado de orígenes de
datos a otro sistema.
— Para exportar los tipos personalizados, acceda a Propiedades del sistema, haga clic en Tipos
personalizados y, después, haga clic en Exportar.
— Para exportar las reglas personalizadas, siga las instrucciones contenidas en Exportación de
reglas.
2 En el ESM con el receptor destino del reenvío, importe los orígenes de datos, los tipos
personalizados y las reglas personalizadas que acaba de exportar.
— Para importar los orígenes de datos, siga las instrucciones contenidas en Traslado de orígenes de
datos a otro sistema.
— Para importar los tipos personalizados, acceda a Propiedades del sistema, haga clic en Tipos
personalizados y, después, haga clic en Importar.
— Para importar las reglas personalizadas, siga las instrucciones contenidas en Importación de
reglas.
3 En el ESM que recibe los eventos de otro ESM, agregue un origen de datos de ESM.
— En el árbol de navegación del sistema, haga clic en el dispositivo receptor al que desee agregar
el origen de datos y, después, haga clic en el icono Agregar origen de datos .
— En la página Agregar origen de datos, seleccione McAfee en el campo Proveedor de origen de datos y,
después, seleccione Enterprise Security Manager (SEF) en el campo Modelo de origen de datos.
— En la página Agregar destino de reenvío de eventos, seleccione syslog (Formato de eventos estándar) en el
campo Formato, rellene el resto de campos con la información correspondiente al ESM destino del
reenvío y haga clic en Aceptar.
Véase también
Configuración del reenvío de eventos en la página 395
Agentes de reenvío de eventos en la página 399
Configuración del reenvío de eventos en la página 396
Adición de destinos de reenvío de eventos en la página 397
Activación o desactivación del reenvío de eventos en la página 400
Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401
Adición de filtros de reenvío de eventos en la página 401
Edición de la configuración de filtrado de reenvío de eventos en la página 402
Administración de informes
Los informes muestran datos sobre los eventos y flujos administrados en el ESM. Es posible diseñar un
informe propio o ejecutar alguno de los predefinidos, así como enviarlos en formato PDF, HTML o CSV.
Informes predefinidos
Los informes predefinidos se dividen en las siguientes categorías:
• Conformidad • McAfee Database Activity Monitoring (DAM)
Todos los diseños se guardan y se pueden utilizar para diversos informes. Cuando se agrega un
informe, existe la opción de crear un nuevo diseño, utilizar uno existente tal cual o emplear uno
existente como plantilla y editar sus funciones. También es posible eliminar un diseño de informe
cuando ya no es necesario.
Véase también
Establecimiento del mes de inicio para los informes trimestrales en la página 405
Adición de un informe en la página 405
Adición de un diseño de informe en la página 408
Inclusión de una imagen en los PDF y los informes en la página 411
Adición de una condición de informe en la página 411
Visualización de los nombres de hosts en un informe en la página 413
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En la consola de ESM, seleccione Propiedades del sistema y haga clic en Configuración personalizada.
Véase también
Administración de informes en la página 404
Adición de un informe en la página 405
Adición de un diseño de informe en la página 408
Inclusión de una imagen en los PDF y los informes en la página 411
Adición de una condición de informe en la página 411
Visualización de los nombres de hosts en un informe en la página 413
Adición de un informe
Agregue informes al ESM y configúrelos para que se ejecuten de forma regular según los intervalos
definidos, o bien para que se ejecuten al seleccionarlos manualmente. Es posible seleccionar un diseño
de informe existente o crear uno nuevo mediante el editor Diseño del informe.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Informes.
El informe se agregará a la tabla en la página Informes y se ejecutará según la definición del campo
Condición.
Véase también
Administración de informes en la página 404
Establecimiento del mes de inicio para los informes trimestrales en la página 405
Adición de un diseño de informe en la página 408
Inclusión de una imagen en los PDF y los informes en la página 411
Adición de una condición de informe en la página 411
Visualización de los nombres de hosts en un informe en la página 413
Página Informes en la página 406
Página Agregar informe en la página 406
Página Informes
Permite administrar los informes predefinidos y definidos por el usuario en el ESM.
Tabla 7-14 Definiciones de opciones
Opción Definición
Tabla Informes Ver los informes que hay actualmente configurados en el ESM.
Agregar Definir la configuración de un informe nuevo y agregarlo al ESM.
Editar Cambiar la configuración de un informe existente.
Quitar Eliminar un informe existente del ESM.
Ejecutar ahora Ejecutar el informe seleccionado en ese momento.
Compartir Comparta los informes seleccionados con los grupos o usuarios de su
elección.
Importar Importar informes que se han exportado previamente.
Exportar Exportar informes.
Activado Activar el informe seleccionado en la tabla.
Botón Activar o Desactivar Activar o desactivar la función de generación de informes. Si se desactiva, no
se generará ningún informe de la lista.
Condiciones Administrar los tipos de condiciones disponibles para los informes.
Destinatarios Administrar los destinatarios definidos en el ESM.
Ver Ver los informes que hay en cola a la espera de ejecución y cancelarlos si
procede.
Archivos Administrar los archivos de informes generados.
Véase también
Adición de un informe en la página 405
Mensaje de correo Seleccione esta opción si desea que el informe se envíe a usuarios o grupos y,
electrónico enviado a después, haga clic en Agregar destinatario para seleccionarlos. Si el formato del
usuarios y grupos informe es Informe en HTML o Consulta en CSV, indique si desea que el informe se envíe
como datos adjuntos en el mensaje de correo electrónico o directamente.
Archivo guardado en Permite guardar el informe dentro de un archivo en el ESM. Prefijo muestra el
el ESM prefijo predeterminado para el nombre del archivo, el cual se puede cambiar.
Una vez generado el archivo, haga clic en Archivos en la página Informes para ver el
informe.
Archivo guardado en Permite guardar el informe en una ubicación remota. Seleccione la ubicación en la
ubicación remota lista desplegable. Si no aparece, haga clic en administrar ubicaciones y agregue el
perfil de ubicación remota.
Elija un diseño Si ha seleccionado el formato PDF o HTML, seleccione un diseño existente o cree
existente o cree uno otro nuevo. Es posible administrar los diseños.
nuevo
• Elija un diseño existente: localice el diseño en la lista y haga clic en él.
• Agregar: haga clic aquí para abrir el editor Diseño del informe y cree un diseño
nuevo.
• Editar: realice cambios en un diseño existente.
• Agregar carpeta: permite agregar una carpeta para organizar los diseños. A
continuación cabe la posibilidad de agregar un diseño nuevo a la carpeta,
arrastrar y soltar un diseño existente en la carpeta o agregar una subcarpeta.
• Importar: a fin de importar un diseño, haga clic en esta opción y busque el
archivo que desee importar.
Elija una vista Si ha seleccionado Ver PDF como formato, seleccione la vista que desee incluir en
el informe en la lista desplegable.
Véase también
Adición de un informe en la página 405
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Informes.
2 Haga clic en Agregar para abrir la página Agregar informe y rellene las secciones 1, 2 y 3.
4 En la sección 5, haga clic en Agregar para abrir el editor Diseño del informe.
El informe se guarda y se puede utilizar tal cual para otros informes o a modo de plantilla editable.
Véase también
Administración de informes en la página 404
Establecimiento del mes de inicio para los informes trimestrales en la página 405
Adición de un informe en la página 405
Inclusión de una imagen en los PDF y los informes en la página 411
Adición de una condición de informe en la página 411
Visualización de los nombres de hosts en un informe en la página 413
Editor Diseño del informe en la página 408
Propiedades de pie de página Haga clic en el área del pie de la página del editor. En la sección
Propiedades de pie de página, seleccione los elementos que desee
incluir.
Guardar Haga clic aquí para guardar el diseño. Se le notificará si queda
alguna opción requerida sin definir.
Guardar como Permite guardar el diseño con un nombre de archivo nuevo.
Copiar Haga clic aquí para copiar el componente seleccionado en el
diseño. En la parte izquierda se agregará el icono de un
portapapeles que indica el tipo de componente copiado.
Posteriormente, se puede pegar de dos formas:
• Arrastre y suelte el icono en la ubicación donde desee
agregar el componente.
• Resalte un componente en el diseño y haga clic en Pegar. El
componente copiado se inserta debajo del componente
resaltado.
Véase también
Adición de un diseño de informe en la página 408
Antes de empezar
Agregue la imagen a la página Configuración personalizada (véase Personalización de la página
de inicio de sesión).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración
personalizada.
Véase también
Administración de informes en la página 404
Establecimiento del mes de inicio para los informes trimestrales en la página 405
Adición de un informe en la página 405
Adición de un diseño de informe en la página 408
Adición de una condición de informe en la página 411
Visualización de los nombres de hosts en un informe en la página 413
Página Selector de imagen o Imágenes de fondo en la página 411
Véase también
Inclusión de una imagen en los PDF y los informes en la página 411
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Informes.
Esta opción aparecerá en la lista de condiciones disponibles a la hora de seleccionar la condición para
un informe.
Véase también
Administración de informes en la página 404
Establecimiento del mes de inicio para los informes trimestrales en la página 405
Adición de un informe en la página 405
Adición de un diseño de informe en la página 408
Inclusión de una imagen en los PDF y los informes en la página 411
Visualización de los nombres de hosts en un informe en la página 413
Página Condiciones en la página 412
Página Agregar condición en la página 412
Página Condiciones
La adición de condiciones de informe hace que se genere un informe cuando se cumple un criterio
especificado.
Tabla 7-18 Definiciones de opciones
Opción Definición
Tabla Condiciones Ver las condiciones existentes.
Agregar Especificar la configuración de una condición nueva.
Editar Cambiar la configuración de una condición existente.
Quitar Eliminar una condición existente.
Véase también
Adición de una condición de informe en la página 411
Véase también
Adición de una condición de informe en la página 411
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades .
2 Haga clic en Informes, a continuación, en Agregar y rellene la información solicitada en las secciones
de la 1 a la 4.
3 En la sección 5, haga clic en Agregar, arrastre y suelte un componente de Tabla, Gráfico de barras o
Gráfico circular y rellene el Asistente de consultas.
4 En la sección Consulta del panel Propiedades del editor Diseño del informe, seleccione Resolver direcciones IP
como nombres de host.
Además de en el informe, podrá ver los resultados de la búsqueda de DNS en la tabla Hosts (Propiedades
del sistema | Hosts).
Véase también
Administración de informes en la página 404
Establecimiento del mes de inicio para los informes trimestrales en la página 405
Adición de un informe en la página 405
Adición de un diseño de informe en la página 408
Inclusión de una imagen en los PDF y los informes en la página 411
Adición de una condición de informe en la página 411
Estos comandos se pueden utilizar en cualquier campo que permita datos de texto o cadena. La
mayoría de los campos de texto están marcados con el icono de no distinción entre mayúsculas y
minúsculas junto al nombre del campo de filtro. Otros campos que permiten el uso de contains no
tienen ese icono. Para ver la lista completa de campos, consulte la sección Campos compatibles con
contains/regex.
Sintaxis y ejemplos
La sintaxis básica de contains es contains(valor) y, en el caso de regex, es
regex(expresión_regular).
Para que no se distinga entre mayúsculas y minúsculas, haga clic en el icono o incluya la notación
de expresión regular /i, como, por ejemplo, regex(/valor/i). La búsqueda devolverá cualquier valor
que contenga valor, independientemente de las mayúsculas y minúsculas utilizadas.
Los iconos NOT y OR se aplican a los valores de regex y contains. Si desea que los resultados
incluyan los valores que no contienen un valor, introduzca dicho valor y haga clic en el icono NOT. Si
desea que los resultados incluyan los valores que no contienen un valor u otro, introduzca los valores
y haga clic en el icono OR.
Ejemplo 2 - Búsqueda OR
Símbolo de dólar:
Con regex, si intenta utilizar $ sin escape, no obtendrá ningún resultado. La secuencia de escape de
PCRE es un método de búsqueda mejor.
Símbolo de porcentaje:
En algunos casos, si no se emplea el valor HEX o la barra con regex, puede obtener un error de
Expresión regular no válida (ER5-0015).
regex(nitroguard\x28[3-4]\x29[com|info}+)
(3)www(10)nitroguard(3)com(0)
(3)www(10)nitroguard(4)info(0)
(3)www(10)nitroguard(3)gov(0)
(3)www(10)nitroguard(3)edu(0)
(3)www(10)nitroguard(7)oddball(0)
Resultado: Esta expresión regular busca una cadena concreta. En este caso, se trata de
nitroguard, un dominio principal de tres o cuatro dígitos y com o info. Esta
expresión regular coincide con las primeras dos expresiones, pero no con las
demás. Estos ejemplos se emplean para mostrar cómo utilizar regex con esta
función. Las expresiones serán muy distintas en su caso.
Advertencias
• El uso de regex con valores de menos de tres caracteres provoca una sobrecarga mayor y un
rendimiento más lento en las consultas. Se recomienda que todas las consultas tengan más de tres
caracteres.
• Este filtro no se puede utilizar en alarmas ni reglas de correlación. La única excepción es que se
puede utilizar en reglas de correlación con tipos personalizados de nombre/valor.
• El uso de contains o regex con NOT puede provocar una sobrecarga mayor y un rendimiento más
lento en las consultas.
Contenido
Uso de las vistas de ESM
Visualización de detalles de sesión
Barra de herramientas de vistas
Vistas predefinidas
Adición de una vista personalizada
Componentes de vista
Uso del Asistente de consultas
Administración de vistas
Búsqueda alrededor de un evento
Visualización de los detalles de dirección IP de un evento
Cambio de la vista predeterminada
Filtrado de vistas
Listas de control
Normalización de cadenas
En los componentes del panel de vistas se muestra una barra de progreso cuando se ejecuta una
consulta. Si se pasa el cursor sobre ella, muestra la cantidad y el porcentaje de tiempo transcurrido
durante la ejecución de la consulta de cada componente. Para cancelar una consulta a fin de liberar
recursos en el ESM, haga clic en el icono de eliminación situado a la derecha de la barra de progreso.
En una vista, los valores de dirección IP de origen y destino no definidos o los valores agregados
aparecen como "::" en lugar de "0.0.0.0" en todos los conjuntos de resultados. Por ejemplo, ::ffff:
10.0.12.7 se inserta como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 es 10.0.12.7); ::0000:10.0.12.7 sería
10.0.12.7.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En la lista desplegable de vistas, seleccione la vista que incluya la sesión que desee ver.
2 Seleccione el evento, haga clic en el icono de menú de la barra de título del componente y, a
continuación, seleccione Información detallada de evento | Eventos.
3 Haga clic en el evento, después en la ficha Detalles avanzados y, después, en el icono de Ver datos de
sesión situado junto al campo ID de sesión.
Tabla 7-20
Opción Descripción
1 — Ocultar árbol de dispositivos Haga clic aquí para ampliar la vista actual mediante
la ocultación del panel del árbol de dispositivos.
2 — Navegación por vistas Permite retroceder y avanzar por las vistas
anteriores.
3 — Lista de vistas Seleccione una vista en la lista desplegable, la cual
incluye todas las vistas predefinidas y
personalizadas seleccionadas para su visualización
en esta lista.
4 — Administrar vistas Permite administrar todas las vistas (véase
Administración de vistas). Puede seleccionar qué
vistas desea incluir en la lista, agregar carpetas o
renombrar, eliminar, copiar, importar y exportar
vistas.
5 — Actualizar vista actual Permite actualizar todos los datos mostrados en el
panel de vistas.
6 — Vista predeterminada Volver a la vista predeterminada.
Tabla 7-20
(continuación)
Opción Descripción
7 — Imprimir vista actual Imprimir una copia de la vista actual. Las opciones
de impresión son:
• Cambiar tamaño para ajustar todos los componentes en una
página: los componentes que forman parte de la
vista se ajustan para que la vista quepa en una
página.
• Imprimir cada componente en una página distinta: cada
componente que forma parte de la vista se
imprime en una página diferente. Si hace clic en
Cambiar tamaño de componente para ajustarlo a la página, se
ajusta el tamaño de cada componente para
rellenar toda la página.
• Imprimir área visible solamente: solo se imprime la parte
de la vista visible en la pantalla.
• Exportar a PDF: la vista se guarda como un archivo
PDF.
Vistas predefinidas
La lista desplegable de la barra de herramientas de vistas ofrece acceso a las vistas predefinidas del
sistema, así como a cualquier vista personalizada que se agregue.
A continuación se detallan los diferentes tipos de vistas predefinidas.
• Las vistas de Activo, amenaza y riesgo resumen los datos de activos, amenazas y riesgos, así como su
posible efecto sobre su sistema.
• Vistas de panel: proporcionan una descripción general de aspectos específicos del sistema.
• La vista Estado del dispositivo muestra el estado de los dispositivos seleccionados en el árbol de
navegación del sistema. Si se hace clic en un dispositivo de la vista, la información de estado sobre
el dispositivo seleccionado aparece en la mitad inferior de la vista.
• Búsqueda de ELM mejorada proporciona capacidad de rastreo en tiempo real del progreso de la búsqueda
y los resultados. Esta vista solo está disponible si existe un ELM en el sistema (véase Vista
Búsqueda de ELM mejorada).
• Las Vistas de eventos desglosan la información generada por eventos asociados con el dispositivo
seleccionado en el árbol de navegación del sistema.
• Las Vistas ejecutivas proporcionan una descripción general de aspectos del sistema de mayor interés
para empleados ajenos al departamento de TI.
• Las Vistas de flujo desglosan la información registrada sobre cada flujo (o conexión) que se realiza
mediante Nitro IPS (véase Vistas de flujo).
• McAfee Event Reporter incluye vistas específicas para varios productos de McAfee.
• Las Vistas de riesgo se utilizan con el administrador predeterminado de ACE. A fin de ver
correctamente los datos en los administradores personalizados, es necesario crear vistas
personalizadas.
• Entre las Vistas de flujo de trabajo de evento se incluyen las vistas siguientes:
• Alarmas activadas: permite ver y administrar las alarmas que se han activado al cumplirse las
condiciones de alarma (véase Vista Alarmas activadas).
• Administración de casos: ver y administrar los casos del sistema (véase Visualización de todos los
casos).
Véase también
Vistas de flujo en la página 420
Activación del registro de flujos en la página 421
Vista Búsqueda de ELM mejorada en la página 421
Realización de una búsqueda de ELM mejorada en la página 422
Vistas de flujo
Un flujo es un registro de una conexión realizada a través del dispositivo. Cuando está activado el
análisis de flujos en Nitro IPS, se registran datos acerca de cada flujo (o conexión) que pasa por el
dispositivo Nitro IPS.
Los flujos tienen direcciones IP de origen y destino, puertos, direcciones MAC, un protocolo y una hora
de inicio y de fin (que indica el tiempo entre el inicio y la finalización de la conexión).
Como los flujos no son indicativos de tráfico anómalo o malicioso, normalmente hay más flujos que
eventos. Un flujo no está asociado con una firma de regla (ID de firma) como un evento. Los flujos no
están asociados con acciones de evento tales como alerta, supresión y rechazo.
Ciertos datos son exclusivos de los flujos, como los bytes de origen y destino o los paquetes de origen
y destino. Los bytes de origen y los paquetes de origen indican el número de bytes y paquetes
transmitidos por el origen del flujo. Los bytes de destino y los paquetes de destino indican el número
de bytes y paquetes transmitidos por el destino del flujo. Los flujos tienen una dirección: un flujo
entrante es un flujo que se origina fuera de la red HOME_NET. Un flujo saliente se origina fuera de la
red HOME_NET. Esta variable se define en una directiva para un dispositivo Nitro IPS.
A fin de ver los datos de flujo, hay que activar el registro de datos de flujo en el sistema. De hacerlo
así, podrá ver los flujos en la vista Análisis de flujos.
Véase también
Vistas predefinidas en la página 419
Activación del registro de flujos en la página 421
Vista Búsqueda de ELM mejorada en la página 421
Realización de una búsqueda de ELM mejorada en la página 422
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
2
Haga clic en el icono del Editor de directivas y seleccione Variable en el panel Tipos de regla.
Véase también
Vistas predefinidas en la página 419
Vistas de flujo en la página 420
Vista Búsqueda de ELM mejorada en la página 421
Realización de una búsqueda de ELM mejorada en la página 422
• Gráfico Resultados de origen de datos: muestra las estimaciones y los resultados de cada origen de datos
según los orígenes de datos de los dispositivos seleccionados en el árbol de navegación del
sistema.
• Gráfico Resultados de tipo de dispositivo: muestra las estimaciones y los resultados de cada tipo de
dispositivo según los dispositivos seleccionados en el árbol de navegación del sistema.
Estos gráficos presentan datos antes de que empiece la búsqueda y se actualizan a medida que se
encuentran resultados. Es posible seleccionar una o varias barras en los gráficos Resultados de origen de
datos y Resultados de tipo de dispositivo, o bien resaltar una sección del gráfico Distribución de tiempo de resultados.
Haga clic en Aplicar filtros para limitar la búsqueda una vez que los resultados hayan empezado a
mostrarse. Esto permite acceder a información detallada sobre los resultados de la búsqueda, además
de limitar la cantidad de datos en los que hay que buscar. Una vez finalizada la búsqueda, estos
gráficos muestran los resultados reales.
Véase también
Vistas predefinidas en la página 419
Vistas de flujo en la página 420
Activación del registro de flujos en la página 421
Realización de una búsqueda de ELM mejorada en la página 422
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
2 Si hay más de un dispositivo ELM en el sistema, seleccione los dispositivos en los que desee buscar
en la lista desplegable situada junto al campo de texto.
3 Escriba una búsqueda de texto normal o una expresión regular en el campo de texto.
5 En el árbol de navegación del sistema, seleccione los dispositivos en los que desee buscar.
• Expresión regular: el término del campo de búsqueda se considera como expresión regular.
• NO contiene el término de búsqueda: devuelve las coincidencias que no contienen el término incluido en
el campo de búsqueda.
Opción Definición
Guardar los resultados de esta búsqueda aunque se abandone
Guardar búsqueda la vista. Las búsquedas guardadas se pueden ver en la página
Propiedades de ELM | Datos.
Descargar archivo de resultados de Descargar los resultados en la ubicación designada.
búsqueda
Copiar elementos seleccionados al Copiar los elementos seleccionados al portapapeles para poder
pegarlos en un documento.
portapapeles
Mostrar los detalles de cualquier registro seleccionado en la
Ver detalles de datos tabla Resultados de la búsqueda.
Véase también
Vistas predefinidas en la página 419
Vistas de flujo en la página 420
Activación del registro de flujos en la página 421
Vista Búsqueda de ELM mejorada en la página 421
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En la barra de herramientas de vistas, haga clic en el icono Crear vista nueva y, después, arrastre y
suelte un componente de la Barra de herramientas de edición de vistas (véase Visualización de
componentes).
2 En el Asistente de consultas, realice selecciones de forma que la vista genere los datos que desee ver
(véase Uso del Asistente de consultas) y haga clic en Finalizar.
Guardar la vista 1 Haga clic en Guardar o en Guardar como y escriba un nombre para la
vista.
Componentes de vista
Es posible crear vistas personalizadas para mostrar datos de eventos, flujos, activos y vulnerabilidades
de la forma que le resulte más útil.
Las vistas constan de componentes que se seleccionan en la Barra de herramientas de edición de vistas y se
configuran para que muestren los datos. Cuando se selecciona un componente, se abre el Asistente de
consultas, el cual permite definir los detalles sobre los datos que se mostrarán en el componente.
Componente Descripción
Dial de control Muestra los datos de un vistazo. Es dinámico y se puede vincular con otros
componentes de la consola. Se actualiza a medida que el usuario interactúa
con la consola de ESM.
Gráfico circular Muestra la información consultada mediante un gráfico circular. Resulta útil
cuando hay pocas categorías que visualizar (por ejemplo, una consulta de
acción o protocolo).
Área de notas Un componente vacío que se emplea para notas de texto. Permite escribir
notas relacionadas con la vista actual.
Componente Descripción
Topología de red Permite ver los datos representados en la red. También se puede crear una
vista personalizada para utilizarla junto con los datos de descubrimiento de
red (véase Adición de dispositivos al componente de topología de red).
Filtrar lista Muestra una lista de usuarios y grupos de Active Directory. Cuando se
agrega el componente Filtrar lista, es posible enlazar otros componentes con
él; para ello, haga clic en la flecha hacia abajo de los campos de filtrado
Usuario de origen o Usuario de destino en el Asistente de consultas y seleccione Enlazar
con Lista de Active Directory. Asimismo, es posible ver los datos de eventos y
flujos asociados con Active Directory mediante el icono de menú.
Véase también
Personalización de componentes en la página 425
Detalles de dispositivos en los componentes de la Topología de red en la página 427
Barra de herramientas de componentes en la página 428
Opciones de menú de componentes en la página 431
Personalización de componentes
Al agregar o editar un componente, existen varias opciones disponibles en el panel Propiedades que se
pueden utilizar para personalizarlo. Las opciones disponibles dependen del componente seleccionado.
Opción Definición
Título Cambiar el título de un componente.
Anchura/Altura Definir las dimensiones del componente. También es posible hacer clic y arrastrar
la línea de límite.
X/Y Definir la ubicación del componente en la vista. También se puede hacer clic en la
barra de título del componente y, después, arrastrarlo y soltarlo.
Editar consulta Realizar cambios en la consulta actual. Al hacer clic en este botón, se abre el
Asistente de consultas (véase Uso del Asistente de consultas).
Mostrar barra de Indicar si se debe mostrar o no la barra de control en la parte inferior del
control componente.
Tamaño de página Definir cuántos registros se muestran por página si hay más datos de los que se
pueden mostrar de forma simultánea.
Mostrar valor “Otros” Si se selecciona esta opción, aparece el valor Otros en la parte inferior de un
componente de gráfico o lista. Proporciona el total de registros no mostrados en
la página actual. Por ejemplo, si está en la segunda página de un conjunto de
registros, la categoría Otros es la suma de los valores de la primera página y todas
las páginas existentes tras la segunda.
Mostrar leyenda Mostrar una leyenda en la parte inferior o a la derecha de un gráfico de sectores.
Mostrar valores Incluir el valor de cada elemento en un gráfico de barras.
(gráficos de barras y
lista)
Mostrar etiquetas Incluir una etiqueta por cada barra de un gráfico de barras. Es posible establecer
el número máximo de caracteres que se pueden mostrar en una etiqueta. Si se
establece en 0, no existirá límite máximo en la etiqueta.
Opción Definición
Mostrar promedios de Seleccione si desea comparar los datos actuales con los datos históricos en un
referencia gráfico de distribución o de barras, o bien en un dial de control. Existen dos
opciones distintas que se pueden usar al mostrar los datos de referencia:
• Usar intervalo de tiempo automático: si se selecciona esta opción, los datos de
referencia se correlacionan mediante el uso del mismo periodo de tiempo
utilizado en la consulta actual para los últimos cinco intervalos. Por ejemplo, si
está consultando el día en curso un lunes, los datos de referencia se calculan
para el mismo periodo de los últimos cinco lunes. Se emplean menos intervalos
si no existen datos para un intervalo concreto. Una vez recopilados los valores
de cada intervalo, se halla el promedio a fin de calcular el valor de referencia
actual.
• Usar intervalo de tiempo específico: al seleccionar un intervalo concreto, es posible
especificar un momento de inicio y fin para calcular un promedio. Si se emplea
esta opción, se calcula como un periodo de tiempo único. En el caso de los
informes de distribución, produce un promedio de línea plana.
Los datos de referencia se muestran en los gráficos de distribución mediante una
línea azul. La línea es plana si se ha seleccionado la opción Usar intervalo de tiempo
específico o si no hay datos suficientes para calcular un valor correlacionado. La
línea es curva (siempre que se muestren varios valores para cada periodo de
tiempo) si se calcula un valor correlacionado. El gráfico de barras muestra un
indicador de flecha en el punto de referencia de cada barra. Si el valor actual es
mayor que el de referencia, la barra será de color rojo por encima del marcador
de referencia. Si el gráfico de barras incluye la gravedad de la regla, el color de la
barra no cambiará para el valor de referencia.
Una opción adicional permite establecer la aparición de un valor de margen junto
con los datos de referencia. El valor de margen se calcula a partir del valor de
referencia. Por ejemplo, si el valor de referencia es 100 y el margen superior es
del 20 %, el valor de margen calculado será 120. La activación de esta función
permite mostrar el área de margen para cada una de las barras del gráfico de
barras. Un gráfico de distribución calcula el promedio de referencia, y muestra un
área sombreada por encima y por debajo de la referencia que indica el área de
margen.
Agrupaciones lógicas Crear carpetas a fin de agrupar los dispositivos para el componente Topología de red.
de dispositivos
Fondo Seleccionar el color del fondo para la vista. URL de imagen de fondo permite importar
una imagen para utilizarla como fondo.
Véase también
Descripción de los componentes de vista en la página 424
Detalles de dispositivos en los componentes de la Topología de red en la página 427
Barra de herramientas de componentes en la página 428
Opciones de menú de componentes en la página 431
Antes de empezar
Es necesario descubrir la red para que aparezca la lista de dispositivos (véase
Descubrimiento de red).
También permite crear una vista personalizada que se puede usar con los datos de descubrimiento de
red. Una vez creada una vista de topología de la red, hay que personalizarla para mostrar la
información de eventos o flujos (véase Adición de una vista personalizada).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 Si va a agregar o editar una vista, haga clic en el componente Topología de red de evento, arrástrelo y
suéltelo.
2 En la Lista de dispositivos o la Lista de carpetas, seleccione un dispositivo o una carpeta y haga una de
estas cosas:
• Para agregar el dispositivo o la carpeta al componente, arrástrelo y suéltelo en el componente.
Los dispositivos físicamente conectados al sistema se conectan mediante una línea recta negra al
componente. Las líneas curvas azules o rojas indican una ruta de datos.
Opción Definición
Resumen de puertos de Muestra el puerto que se está visualizando.
Total Proporciona el número total de dispositivos.
Por encima del promedio de referencia Indica el número de dispositivos por encima del promedio de
referencia actual.
Representa una estación de trabajo.
Indica que la interfaz tiene datos de alerta asociados y que los datos
están por debajo del promedio de referencia.
Indica que la interfaz tiene datos de alerta asociados y que los datos
están por encima del promedio de referencia.
Representa un enrutador.
Opción Definición
Indica que el puerto del conmutador está activo.
Véase también
Descripción de los componentes de vista en la página 424
Personalización de componentes en la página 425
Barra de herramientas de componentes en la página 428
Opciones de menú de componentes en la página 431
Opción Definición
Marcar eventos como revisados: marcar eventos concretos una vez
recibidos. Posteriormente, puede usar la lista desplegable
Cambiar filtro de estado de evento para mostrar solamente los
eventos revisados o solamente los eventos que no se han
revisado.
Asignar eventos a un caso o Remedy: asignar eventos a un caso
(véase Administración de casos) o enviar un mensaje de
correo electrónico al sistema Remedy (si está configurado).
Al hacer clic en este icono, es posible seleccionar:
• Crear un nuevo caso
• Agregar eventos a un caso
• Enviar evento a Remedy (véase Envío de un mensaje de
correo electrónico a Remedy)
Opción Definición
Ver u Ocultar detalles de datos: mostrar u ocultar los detalles del
evento seleccionado. Existen varias fichas en esta sección:
• Detalles: muestra la información disponible para el evento o
el flujo seleccionados.
• Detalles avanzados: muestra información sobre el dispositivo
de red de origen, el dispositivo de red de destino y las
correcciones. Es posible buscar eventos o flujos según su
ID, en caso de disponer de derechos suficientes para ver
los registros, haciendo clic en el icono de la lupa situado a
la derecha del campo ID de evento o ID de flujo.
• Geolocalización: muestra la ubicación del origen y el destino
del evento seleccionado.
• Descripción: proporciona el nombre, la descripción y la firma
o regla asociadas al evento.
• Notas: permite agregar notas al evento o el flujo que
aparecen cada vez que se visualiza el elemento particular.
• Paquete: recupera el contenido del paquete que generó el
evento seleccionado. Es posible llevar a cabo las siguientes
funciones en esta ficha:
• Seleccionar el formato en el que se desea ver el
paquete.
•
Recuperar los datos del paquete mediante .
•
Guardar el paquete en el equipo mediante . Si se
trata de una captura de paquete (PCAP) (como eventos
de Nitro IPS, eventos de ADM o eventos de Estreamer
procedentes del receptor), se guardará con la
extensión .pcap y se podrá abrir en cualquier programa
de visualización de PCAP. De lo contrario, se guardará
como archivo de texto.
• Configurar la recuperación automática del paquete al
hacer clic en un evento.
• Buscar información en el paquete mediante la
introducción de la palabra clave en el campo Buscar texto y
haciendo clic en .
Opción Definición
muestra los campos de tipos personalizados y los datos
del evento correspondientes a esos campos.
• Información: muestra información como el nombre del
dispositivo, la dirección IP, la versión del sistema operativo
y el dispositivo, la descripción del sistema, la persona de
contacto del sistema y la ubicación física del sistema.
• Interfaces: muestra el nombre de puerto, la velocidad del
puerto, la VLAN, el estado administrativo y el estado
operativo.
• Vecinos: muestra información específica sobre los
dispositivos vecinos, como la interfaz local, el dispositivo
vecino y la interfaz vecina.
en el icono Actualizar .
Geolocalización: cambiar entre marcar una ciudad, una región,
un país y áreas del mundo, acercar o alejar y seleccionar
ubicaciones mediante las teclas Ctrl y Mayús.
Cambiar página: navegar por los datos cuando hay más de una
página.
Cambiar filtro de estado de evento: seleccionar el tipo de eventos o
flujos que aparecerán en la lista de análisis. Es posible ver
todos los eventos, solo los eventos revisados, solo los
eventos no revisados, los eventos corregidos, todos los
flujos, solo los flujos abiertos o solo los flujos cerrados.
Botones de historial: desplazarse hacia adelante y hacia
atrás por los cambios realizados en la vista.
Ver rutas de datos u Ocultar rutas de datos: ocultar o ver la línea que
o conecta dos dispositivos con las conexiones de datos de
eventos o flujos.
Ocultar texto: ocultar o mostrar las etiquetas del dispositivo en
la vista Topología de red.
Véase también
Descripción de los componentes de vista en la página 424
Personalización de componentes en la página 425
Detalles de dispositivos en los componentes de la Topología de red en la página 427
Opciones de menú de componentes en la página 431
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
2
Haga clic en el icono Asignar eventos a un caso o Remedy y, después, seleccione Enviar evento a Remedy.
4 (Opcional) Agregue información en la sección Detalles, que contiene datos generados por el sistema
acerca del evento.
Opción Definición
Información detallada (de evento, Ver más detalles sobre el tipo de datos seleccionado en las listas de
flujo o activo) información detallada. Los detalles se muestran en una vista nueva.
Resumir o Resumir según Ver datos de otros eventos o flujos que comparten características con
los eventos seleccionados. Por ejemplo, si observa un evento de
barrido de puertos en la pantalla de análisis y desea ver otros eventos
generados por el mismo atacante, haga clic en el evento, seleccione
Resumir según y haga clic en IP de origen.
Modificar configuración de Crear una excepción a la configuración de agregación general para una
agregación regla individual (véase Adición de excepciones a la configuración de
agregación de eventos).
Crear nueva lista Seleccionar eventos en una vista y agregarlos a una nueva lista de
de vigilancia vigilancia (véase Listas de vigilancia).
Adjuntar a lista de Seleccionar eventos en una vista y agregarlos a una lista de vigilancia
control existente.
Crear nueva Seleccionar eventos en una vista y crear una alarma en función de sus
alarma valores (véase Creación de una alarma).
Realizar análisis Iniciar un análisis de McAfee Vulnerability Manager si el sistema
de MVM incluye un dispositivo McAfee Vulnerability Manager.
Acciones
Ejecutar ePO Abrir la interfaz de ePolicy Orchestrator (véase Ejecución de ePolicy
Orchestrator).
Historial de Cuando se selecciona un evento de TIE, se puede abrir la página
ejecución de TIE Historial de ejecución de TIE para ver las direcciones IP que han intentado
ejecutar el archivo seleccionado. Desde esta página, es posible crear
una nueva lista de vigilancia, anexar un archivo a una lista de
vigilancia, crear una nueva alarma, incluir un archivo en la lista negra,
exportar un archivo a CSV o agregar etiquetas de ePolicy Orchestrator
al archivo.
Mostrar regla Ver la regla que generó el evento.
Detalles de dirección IP Permite buscar información sobre un puerto o una dirección IP de
origen o destino. Es posible ver los detalles de la amenaza y los
resultados de la búsqueda de WHOIS correspondientes a la dirección
IP seleccionada.
Búsqueda de ASN Recuperar un registro de WHOIS mediante el identificador ASN.
Opción Definición
Examinar referencia Abrir el navegador web predeterminado y conectar con la base de
datos de firmas de McAfee online, la cual proporciona información
sobre la firma que generó el evento seleccionado.
Establecer ID de caso de Remedy Agregar el ID de caso de Remedy, recibido al enviar un mensaje de
correo electrónico de evento al sistema Remedy, al registro de eventos
con fines de referencia (véase Adición de un ID de caso de Remedy a
un registro de eventos).
Lista negra Agregar la dirección IP del evento seleccionado a la lista negra. Al
seleccionar esta opción, se abre el Editor de la lista negra, donde el campo
de dirección IP se rellena mediante los datos del evento seleccionado
(véase Lista negra de dispositivo virtual o IPS).
Buscar ELM Realizar una búsqueda de información contenida en el ELM sobre el
evento seleccionado. Se abrirá la página Búsqueda de ELM mejorada con los
datos seleccionados (véase Realización de una búsqueda de ELM
mejorada).
Cambiar VLAN Cambiar la VLAN para cualquier dispositivo seleccionado. Es posible
seleccionar entre uno y doce dispositivos.
Activar/Desactivar puerto(s) Es posible realizar una selección única o múltiple de interfaces o
endpoints. En función de lo seleccionado, aparecerá la opción para
activar o desactivar. Por ejemplo, si selecciona cinco interfaces y una
de ellas está activada mientras que las otras cuatro están
desactivadas, solo tendrá la posibilidad de desactivar el puerto. No
obstante, si selecciona un puerto desactivado, estará disponible la
opción Activar puerto(s).
Ver eventos/Ver flujos Ver los eventos generados por un flujo o los flujos generados por un
evento.
Exportar Exportar un componente de vista a formato PDF, texto, CSV o HTML
(véase Exportación de un componente).
Eliminar Eliminar eventos o flujos de la base de datos. Es necesario pertenecer
a un grupo con privilegios de evento y solo se pueden eliminar los
registros seleccionados, la página actual de datos o un número
máximo de páginas a partir de la primera.
Marcar como revisado Marcar con un indicador los eventos como revisados. Es posible marcar
todos los registros del conjunto de resultados, la página actual o los
registros seleccionados.
Crear regla de firewall personalizada Crear una regla de firewall personalizada basada en las propiedades
del evento o el flujo seleccionados. Al hacer clic en Crear regla de firewall
personalizada, se abre la página Nueva regla (véase Adición de reglas de
correlación, base de datos o ADM personalizadas).
Crear regla personalizada Crear una regla personalizada mediante la firma que activó una alerta
concreta como punto de partida. Esta opción está disponible cuando se
seleccionan las alertas generadas por reglas estándar (no de firewall).
Al hacer clic en Crear regla personalizada, se abre la página Nueva regla
(véase Adición de reglas de correlación, base de datos o ADM
personalizadas).
Véase también
Descripción de los componentes de vista en la página 424
Personalización de componentes en la página 425
Detalles de dispositivos en los componentes de la Topología de red en la página 427
Barra de herramientas de componentes en la página 428
Realización de una búsqueda de WHOIS o ASN en la página 433
Adición de un ID de caso de Remedy a un registro de evento en la página 433
Exportación de un componente en la página 434
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 Seleccione una dirección IP o un registro de flujo con datos de ASN incluidos en un componente de
tabla o una barra de consulta de ASN de un componente de gráfico.
2
Haga clic en el menú y seleccione Detalles de dirección IP o Búsqueda de ASN.
• En la página Búsqueda de ASN, escriba los números o realice una selección en la lista desplegable.
Véase también
Opciones de menú de componentes en la página 431
Adición de un ID de caso de Remedy a un registro de evento en la página 433
Exportación de un componente en la página 434
Página Búsqueda de WHOIS y DNS en la página 433
Véase también
Realización de una búsqueda de WHOIS o ASN en la página 433
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Resalte el evento en la vista Análisis de eventos y haga clic en el menú .
Véase también
Opciones de menú de componentes en la página 431
Realización de una búsqueda de WHOIS o ASN en la página 433
Exportación de un componente en la página 434
Página Establecer ID de caso de Remedy en la página 434
Véase también
Adición de un ID de caso de Remedy a un registro de evento en la página 433
Exportación de un componente
Es posible exportar los datos incluidos en un componente de vista de ESM. Los componentes de
gráfico se pueden exportar a texto o formato PDF, mientras que los componentes de tabla se pueden
exportar a una lista de valores separados por comas (CSV) o HTML.
Al exportar la página actual de un componente de gráfico, distribución o tabla de una vista, los datos
exportados coinciden exactamente con lo que se ve al iniciar la exportación. Si se exporta más de una
página, la consulta se vuelve a ejecutar conforme se exportan los datos, de modo que puede haber
diferencias respecto de lo que se ve en el componente.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En una vista, haga clic en el menú correspondiente al componente que desee exportar y haga
clic en Exportar.
• Si selecciona CSV o HTML, solo puede exportar los elementos seleccionados, la página de datos
actual o un número máximo de páginas a partir de la página 1.
Véase también
Opciones de menú de componentes en la página 431
Realización de una búsqueda de WHOIS o ASN en la página 433
Adición de un ID de caso de Remedy a un registro de evento en la página 433
Página Exportar en la página 435
Página Exportar
Seleccione los datos que desee exportar.
Véase también
Exportación de un componente en la página 434
Véase también
Administración de consultas en la página 436
Componentes enlazados en la página 438
Comparación de valores en la página 439
Comparación de valores de gráficos en la página 439
Configuración de la distribución apilada para vistas e informes en la página 440
Administración de consultas
El ESM incluye consultas predefinidas que se pueden seleccionar en el Asistente de consultas a la hora de
agregar o editar un informe o una vista. Existe la posibilidad de editar algunas de las opciones de
configuración, así como de agregar o quitar consultas personalizadas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Editar una consulta 1 Seleccione la consulta personalizada que desee editar y haga clic en
personalizada Editar.
2 En la segunda página del asistente, cambie la configuración mediante los
botones.
Quitar una consulta Seleccione la consulta personalizada que desee eliminar y, a continuación,
personalizada haga clic en Quitar.
Véase también
Uso del Asistente de consultas en la página 435
Componentes enlazados en la página 438
Comparación de valores en la página 439
Comparación de valores de gráficos en la página 439
Configuración de la distribución apilada para vistas e informes en la página 440
Página Asistente de consultas en la página 437
Filtros Muestra los valores de filtrado establecidos para la consulta. Puede cambiar esta
configuración en el caso de cualquier consulta en la segunda página del asistente.
Véase también
Administración de consultas en la página 436
Componentes enlazados
Cuando un componente de vista se enlaza con otro componente mediante un enlace de datos, la vista
pasa a ser interactiva.
Al seleccionar uno o varios elementos en el componente principal, los resultados mostrados en el
componente secundario cambian, igual que si se accediera a información detallada. Por ejemplo, si
enlaza un componente de IP de origen de gráfico de barras principal a un componente de IP de
destino de gráfico de barras secundario, al hacer una selección en el componente principal el
componente secundario ejecuta su consulta mediante la IP de origen seleccionada como filtro. Al
cambiar la selección en el componente principal, se actualizan los datos en el componente secundario.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
La página Filtros de consulta se abrirá con las consultas principales y secundarias activadas.
Véase también
Uso del Asistente de consultas en la página 435
Administración de consultas en la página 436
Comparación de valores en la página 439
Comparación de valores de gráficos en la página 439
Configuración de la distribución apilada para vistas e informes en la página 440
Comparación de valores
Los gráficos de distribución tienen una opción que permite superponer una variable adicional sobre el
gráfico actual.
De esta forma, es posible comparar dos valores a fin de mostrar con facilidad las relaciones, por
ejemplo, entre el total de eventos y la gravedad media. Esta función proporciona valiosas
comparaciones de datos a lo largo del tiempo de un vistazo. También resulta útil para ahorrar espacio
en la pantalla a la hora de crear vistas extensas, gracias a la combinación de los resultados en un
único gráfico de distribución.
La comparación se limita al mismo tipo que la consulta seleccionada. Por ejemplo, si se selecciona una
consulta de evento, solamente es posible realizar la comparación con los campos de la tabla de
eventos, pero no con la tabla de flujos o de activos y vulnerabilidades.
Véase también
Uso del Asistente de consultas en la página 435
Administración de consultas en la página 436
Componentes enlazados en la página 438
Comparación de valores de gráficos en la página 439
Configuración de la distribución apilada para vistas e informes en la página 440
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Seleccione el icono Crear vista nueva o el icono Editar vista actual .
2
Haga clic en el icono Distribución y, después, arrástrelo y suéltelo en la vista para abrir el
Asistente de consultas.
4 Haga clic en Comparar y seleccione el campo que desee comparar con la consulta seleccionada.
• Haga clic en Guardar como y agregue el nombre de la vista en caso de estar creando una vista
nueva.
Véase también
Uso del Asistente de consultas en la página 435
Administración de consultas en la página 436
Componentes enlazados en la página 438
Comparación de valores en la página 439
Configuración de la distribución apilada para vistas e informes en la página 440
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 Arrastre y suelte el componente Distribución en una vista (véase Adición de una vista personalizada)
o en un informe (véase Adición de un diseño de informe) y, después, seleccione el tipo de consulta.
El apilamiento no está disponible para las consultas de distribución de Tasa de recopilación ni Promedio
(por ejemplo, Promedio de gravedad por alerta o Duración media por flujo).
2 En la segunda página del Asistente de consultas, haga clic en Apilamiento y seleccione las opciones.
La vista se agregará. Puede cambiar la configuración, así como establecer el intervalo de tiempo y el
tipo de gráfico, mediante el icono Opciones de gráfico .
Véase también
Uso del Asistente de consultas en la página 435
Administración de consultas en la página 436
Componentes enlazados en la página 438
Comparación de valores en la página 439
Comparación de valores de gráficos en la página 439
Página Opciones de apilamiento en la página 441
Véase también
Configuración de la distribución apilada para vistas e informes en la página 440
Administración de vistas
La administración de vistas ofrece una forma rápida de copiar, importar o exportar más de una vista al
mismo tiempo, así como de seleccionar las vistas que incluir en la lista de vistas y asignar permisos a
usuarios o grupos específicos para el acceso a vistas concretas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En la consola de ESM, haga clic en el icono Administrar vistas .
2 Lleve a cabo cualquiera de las opciones disponibles y, después, haga clic en Aceptar.
Véase también
Página Administrar vistas en la página 442
Véase también
Administración de vistas en la página 441
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En la consola de ESM, haga clic en la lista de vistas y, después, seleccione Vistas de eventos | Análisis de
eventos.
2
Haga clic en un evento, haga clic en el icono de menú y, después, en Buscar.
3 Seleccione el número de minutos antes y después de la hora del evento donde desea que el
sistema busque una coincidencia.
4 Haga clic en Seleccionar filtro, seleccione el campo con el que desee que coincida la búsqueda y
escriba el valor.
Si sale de esta vista y desea volver a ella posteriormente, haga clic en Última búsqueda en el menú
Análisis de eventos.
Véase también
Página Buscar en la página 443
Página Buscar
Permite buscar eventos que coincidan con uno o varios de los campos de un evento dentro del espacio
de tiempo seleccionado antes y después del evento.
Véase también
Búsqueda alrededor de un evento en la página 442
Antes de empezar
Adquiera una licencia de McAfee GTI (véase Lista de vigilancia de McAfee GTI).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En la consola de ESM, seleccione una vista que incluya un componente de tabla, como Vistas de evento
| Análisis de eventos.
2
Haga clic en una dirección IP, después en el icono de menú de cualquier componente que
tenga una dirección IP y, a continuación, en Detalles de dirección IP.
La ficha Detalles de amenaza presenta una lista con datos correspondientes a la dirección IP seleccionada.
Puede copiar los datos al portapapeles del sistema.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
2 En la lista desplegable Vista predeterminada del sistema, seleccione la nueva vista predeterminada y haga
clic en Aceptar.
Filtrado de vistas
En el panel de filtros situado en la consola principal de ESM, es posible establecer filtros para
aplicarlos a las vistas. Cualquier filtro aplicado a una vista se aplica a la siguiente vista que se abre.
La primera vez que se inicia sesión en el ESM, el panel de filtros personalizados incluye los campos de
filtrado Usuario de origen, Usuario de destino, IP de origen e IP de destino. Cabe la posibilidad de agregar y
eliminar campos de filtrado, guardar conjuntos de filtros, cambiar el conjunto predeterminado,
administrar todos los filtros e iniciar el administrador de normalización de cadenas.
Aparece el icono de un embudo naranja en la esquina superior derecha del panel de vista para alertar
de que hay filtros aplicados a la vista. Si hace clic en este icono naranja, se borran todos los filtros y
se vuelve a ejecutar la consulta.
Siempre que haya valores de filtrado separados por comas, tales como variables, filtros globales,
filtros locales, cadenas normalizadas o filtros de informe, es necesario usar comillas si no forman parte
de una lista de vigilancia. Si el valor es Salas,Juan, deberá escribir "Salas,Juan". Si hay comillas en
el valor, será necesario entrecomillarlas. Si el valor es Salas,"Barbas"Juan, deberá escribirlo como
"Salas,""Barbas""Juan".
Puede utilizar los filtros contains y regex (véase Descripción de los filtros contains y regex).
Véase también
Filtrado de una vista en la página 444
Adición de filtros de ID de evento de Windows y UCF en la página 449
Selección de ID normalizados en la página 449
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En la consola de ESM, haga clic en la lista desplegable de vistas y seleccione la que desee filtrar.
2 En el panel Filtro, rellene los campos con los datos por los que desee filtrar de una de las formas
siguientes:
• Escriba la información de filtrado en el campo correspondiente. Por ejemplo, para filtrar la vista
actual de forma que solo se vean los datos con la dirección IP de origen 161.122.15.13, escriba
esta dirección IP en el campo IP de origen.
• Escriba un filtro contains o regex (véase Descripción de los filtros contains y regex).
• Haga clic en el icono Mostrar lista de filtros junto al campo y seleccione las variables o las listas
de vigilancia por las que filtrar.
• En la vista, seleccione los datos que desee utilizar como filtro y haga clic en el campo en el
panel Filtro. Si el campo está en blanco, se rellenará automáticamente con los datos
seleccionados.
En el caso de Promedio de gravedad, use dos puntos (:) para indicar un intervalo. Por ejemplo, 60:80
representa un intervalo de gravedad de entre 60 y 80.
Ver datos que coinciden con 1 Introduzca los valores de filtrado que desee incluir y excluir.
algunos valores de filtrado y
excluyen otros 2
Haga clic en el icono NOT situado junto a los campos que
desee excluir.
Ver datos que coinciden con 1 Introduzca los valores de filtrado en los campos de expresión
filtros de expresión regular o de regular y OR.
tipo OR
2 Haga clic en el icono OR junto a los campos que tengan los
valores OR.
La vista incluirá los datos que coincidan con los valores de los
campos no marcados como OR y que coincidan con cualquiera
de los valores de los campos marcados como OR.
Hacer que en los valores de Haga clic en el icono Sin distinción mayúsculas/minúsculas junto al
filtrado no se distinga entre campo de filtrado adecuado.
mayúscula y minúscula
4
Haga clic en el icono Ejecutar consulta .
La vista se actualizará y los registros que coincidan con los valores introducidos aparecerán en la
vista. Aparecerá un icono de filtrado naranja en la esquina superior derecha del panel de vista que
indica que los datos de la vista son el resultado de los filtros. Si se hace clic en este icono, los filtros se
borran y la vista muestra todos los datos.
Procedimientos
• Panel Filtros en la página 446
El panel de filtros proporciona opciones que le ayudarán a la hora de establecer filtros para
las vistas.
Véase también
Filtrado de vistas en la página 444
Adición de filtros de ID de evento de Windows y UCF en la página 449
Selección de ID normalizados en la página 449
Panel Filtros en la página 446
Página Filtros de consulta en la página 448
Página Buscar en la página 448
Panel Filtros
El panel de filtros proporciona opciones que le ayudarán a la hora de establecer filtros para las vistas.
Opciones de conjunto Seleccione una acción que realizar con los conjuntos de
de filtros filtros.
• Convertir en predeterminado: guarda los valores de filtro
introducidos como predeterminados. Estos filtros se
aplican automáticamente al iniciar sesión.
• Restaurar predeterminado: devuelve los filtros a los valores
predeterminados para poder ejecutar la consulta con el
conjunto de filtros predeterminado.
• Guardar filtros rellenados: guarda el conjunto de filtros actual y
lo agrega a la lista de filtros disponibles, donde podrá
seleccionarlo a la hora de agregar un filtro. Escriba un
nombre para el conjunto y seleccione la carpeta donde
desee guardarlo.
• Administrar filtros: abre la página Administración de conjuntos de
filtros, donde puede organizar los conjuntos de filtros
disponibles.
Véase también
Filtrado de una vista en la página 444
Puede utilizar los filtros contains y regex en estos campos (véase Descripción de los filtros
contains y regex).
ID de dispositivo o Dispositivos Haga clic en el icono de filtrado ( ) y seleccione los dispositivos por
los que filtrar.
Campos Haga clic en un campo y escriba el valor. Aparecerá una sugerencia en
la parte inferior de la página.
Agregue un campo de filtro a la lista actual de filtros. Al hacer clic en el
campo, un menú desplegable indica todos los filtros posibles.
Icono Mostrar lista de filtros Abre una lista con los valores que se pueden seleccionar para el
campo.
Haga clic en él si desea excluir el valor introducido en el campo.
Icono NOT
Icono OR Haga clic en él para incluir los datos que cumplan los criterios de los
filtros normales y OR. Introduzca los valores de filtrado en los campos
y, después, haga clic en el icono OR situado junto a los campos con los
valores de una opción u otra. Por ejemplo, a fin de incluir los datos que
coincidan con una dirección IP de destino y un puerto de destino, y
bien con un puerto de origen o una dirección IP de origen, introduzca
los valores en los cuatro campos y haga clic en el icono OR situado
junto a Puerto de origen e IP de origen.
Icono de no distinción entre Haga clic en él para incluir el valor introducido en el campo
mayúsculas y minúsculas independientemente del uso de mayúsculas y minúsculas.
Icono Quitar este filtro Permite eliminar el campo de filtro de la lista de filtros actuales.
Véase también
Filtrado de una vista en la página 444
Página Buscar
Permite buscar cadenas para agregarlas a la lista de alias.
Tabla 7-32 Definiciones de opciones
Opción Definición
Expresión regular Introduzca una expresión regular para buscar alias.
Buscar Haga clic aquí para iniciar la búsqueda.
Resultados Seleccione los alias que desee agregar a la lista y, después, haga clic en Aceptar.
Véase también
Filtrado de una vista en la página 444
Véase también
Filtrado de vistas en la página 444
Filtrado de una vista en la página 444
Selección de ID normalizados en la página 449
Selección de ID normalizados
Cuando se crea una vista nueva o se agrega un filtro a una vista, se puede optar por filtrar los datos
mediante ID normalizados.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
• Si va a agregar filtros a una vista, seleccione la vista a la que desee agregarlos. El panel Filtros
se encuentra en la parte derecha de la pantalla.
Véase también
Filtrado de vistas en la página 444
Filtrado de una vista en la página 444
Adición de filtros de ID de evento de Windows y UCF en la página 449
Listas de control
Una lista de vigilancia es un conjunto de información de un tipo concreto que se puede usar como
filtro o como condición de alarma.
Puede ser global o compartida con un usuario o grupo concretos, y puede ser estática o dinámica. Una
lista de vigilancia estática consta de valores específicos que se introducen o se importan. Una lista de
vigilancia dinámica consta de valores que resultan de una expresión regular o de los criterios de
búsqueda de cadenas que se definen.
Una lista de vigilancia puede contener un máximo de 1 000 000 de valores. Las listas de valores de las
páginas Agregar lista de vigilancia y Editar lista de vigilancia pueden mostrar un máximo de 25 000 valores. Si
hay más, se le informará de que existen demasiados valores para mostrarlos todos. Si desea editar
una lista de vigilancia mediante la adición de valores de forma que el total supere los 25 000, deberá
exportar la lista existente a un archivo local, agregar los valores nuevos e importar la nueva lista.
Es posible configurar los valores de una lista de vigilancia de forma que caduquen. Cada valor tiene
una marca de tiempo y caduca cuando se alcanza la duración especificada, a menos que se actualice.
Los valores se actualizan si se activa una alarma y los agrega a la lista de vigilancia. Es posible
actualizar los valores configurados para caducar mediante su anexión a la lista a través de la opción
Anexar a lista de vigilancia del menú presente en los componentes de vista (véase Opciones de menú de
componentes).
Es posible configurar los valores de una lista de vigilancia dinámica de forma que se actualicen
periódicamente. Se realiza una consulta en el origen mediante los datos proporcionados y los valores
se actualizan en el momento especificado.
Véase también
Adición de una lista de vigilancia en la página 450
Lista de vigilancia de McAfee GTI en la página 454
Creación de una lista de vigilancia de fuentes de amenazas o IOC de Internet en la página
455
Adición de una lista de vigilancia de Hadoop HBase en la página 455
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
• En el árbol de navegación del sistema, haga clic en Propiedades del sistema y, después, en Listas de
vigilancia.
La tabla Listas de vigilancia muestra todas las listas de vigilancia del sistema.
Las Direcciones IP maliciosas de GTI y las Direcciones IP sospechosas de GTI aparecen en la tabla, pero no
contienen datos a menos que se adquiera una licencia de McAfee GTI a través de McAfee. Póngase
en contacto con su técnico de ventas de McAfee o con el Soporte de McAfee para adquirir una
licencia.
3 Haga clic en Aceptar para agregar la nueva lista de vigilancia a la tabla Listas de vigilancia.
Véase también
Listas de control en la página 450
Lista de vigilancia de McAfee GTI en la página 454
Creación de una lista de vigilancia de fuentes de amenazas o IOC de Internet en la página
455
Adición de una lista de vigilancia de Hadoop HBase en la página 455
Página Listas de control en la página 451
Página Agregar lista de vigilancia en la página 451
Véase también
Adición de una lista de vigilancia en la página 450
Nombres de reglas Se busca en los mensajes de reglas de la tabla Regla, que contiene una
de ESM descripción breve de la regla. Introduzca la expresión regular o los criterios
de búsqueda de cadenas en el campo Buscar. En las búsquedas se distingue
entre mayúsculas y minúsculas de forma predeterminada. A fin de llevar a
cabo una búsqueda en la que no se tenga en cuenta el uso de mayúsculas y
minúsculas, delimite la cadena de búsqueda o la expresión regular
mediante barras diagonales seguidas de i, como, por ejemplo, /Exploit/i.
Análisis Datos sin procesar Cuando se selecciona HTTP/HTTPS como tipo de origen, permite ver las
primeras 200 líneas del código de origen correspondiente al campo URL de
la ficha Origen. Se trata solo de una vista previa del sitio web, pero es
suficiente a fin de escribir una expresión regular para la coincidencia. Una
actualización planificada o ejecutada mediante Ejecutar ahora de la lista de
vigilancia incluye todas las coincidencias correspondientes a la búsqueda
mediante la expresión regular. Esta función es compatible con expresiones
regulares de la sintaxis RE2, tales como (\d{1,3}\.\d{1,3}\.\d{1,3}\.
\d{1,3}).
Líneas de Por lo general, un sitio de Internet tiene un código de encabezado en el que
encabezado que no es necesario buscar. Especifique cuántas líneas del principio del sitio
omitir desea omitir para que la búsqueda no incluya los datos del encabezado.
Delimitador de Escriba lo que se utiliza en el sitio para separar los valores. Este campo
línea nueva tiene el valor predeterminado \n, que indica que el delimitador es una línea
nueva. El otro delimitador más habitual es la coma.
Ignorar expresión Escriba una expresión regular que elimine los valores no deseados de los
resultados de la búsqueda realizada mediante una expresión regular.
Expresión regular (Obligatorio) Escriba la lógica empleada para buscar una coincidencia y
extraer los valores del sitio. Utilice esto para crear una expresión que
coincida con una lista de direcciones IP maliciosas conocidas o sumas MD5
incluidas en un sitio.
Grupo coincidente Si la expresión regular contiene varios grupos de coincidencia, seleccione un
grupo en esta lista desplegable.
Valores Tipo Seleccione un tipo que asigne los resultados de la búsqueda a un tipo de
campo. Este tipo permite utilizar la lista de vigilancia en todo el sistema,
como por ejemplo en filtros y alarmas. Es posible cambiar esta
configuración en una lista de vigilancia existente. Si tiene menos de 25 000
valores, el ESM comprueba que los tipos anteriores y nuevos sean
compatibles, y devuelve un error de no ser así. Si tiene más de 25 000
valores, es necesario validar la compatibilidad.
Tanto las listas de vigilancia estáticas como las dinámicas están limitadas a
un máximo de 1 000 000 valores.
o
administrator@company.com
Borrar valores Haga clic en esta opción si desea eliminar todos los elementos de la lista
Valores.
Importar Haga clic en esta opción para agregar los valores importados a la lista
Valores. Si existen más de 25 000 valores importados, aparecerá un mensaje
que indica que no se pueden mostrar todos los valores importados.
Exportar Permite exportar la lista de valores.
Ejecutar ahora Permite ejecutar la consulta inmediatamente. Los resultados aparecerán en
el cuadro Valores.
Véase también
Adición de una lista de vigilancia en la página 450
Es necesario disponer de una conexión a Internet para descargar las listas. No cabe la posibilidad de
descargarlas sin conexión.
Estas listas no se pueden ver ni editar, pero la tabla Listas de control (Propiedades del sistema | Listas de control)
indica si la lista está activa (contiene valores) o inactiva (no contiene valores).
Para adquirir la licencia de McAfee GTI, póngase en contacto con su técnico de ventas de McAfee o con
el Soporte de McAfee.
Véase también
Listas de control en la página 450
Adición de una lista de vigilancia en la página 450
Creación de una lista de vigilancia de fuentes de amenazas o IOC de Internet en la página
455
Adición de una lista de vigilancia de Hadoop HBase en la página 455
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, haga clic en el sistema y, después, en el icono de Propiedades
El campo Datos sin procesar de la ficha Análisis se rellena con las primeras 200 líneas del código de
origen HTML. Se trata solamente de una vista previa del sitio web, pero es suficiente a fin de escribir
una expresión regular para la coincidencia. Una actualización planificada o ejecutada mediante
Ejecutar ahora de la lista de vigilancia incluye todas las coincidencias correspondientes a la búsqueda
mediante la expresión regular. Esta función es compatible con expresiones regulares de la sintaxis
RE2, tales como (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}), para la coincidencia con una
dirección IP.
Véase también
Listas de control en la página 450
Adición de una lista de vigilancia en la página 450
Lista de vigilancia de McAfee GTI en la página 454
Adición de una lista de vigilancia de Hadoop HBase en la página 455
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el sistema, haga clic en el icono Propiedades y,
después, haga clic en Listas de vigilancia.
2 En la ficha Principal del asistente Agregar lista de vigilancia, seleccione Dinámica, introduzca la información
solicitada y, a continuación, haga clic en la ficha Origen.
3 Seleccione Hadoop HBase (REST) en el campo Tipos y, a continuación, escriba el nombre de host, el
puerto y el nombre de la tabla.
b Rellene la consulta mediante un filtro de analizador con los valores codificados mediante
Base64. Por ejemplo:
<Scanner batch="1024">
<filter>
{
"type": "SingleColumnValueFilter",
"op": "EQUAL",
"family": " ZW1wbG95ZWVJbmZv",
"qualifier": "dXNlcm5hbWU=",
"latestVersion": true,
"comparator": {
"type": "BinaryComparator",
"value": "c2NhcGVnb2F0"
}
}
</filter>
</Scanner>
5 Haga clic en la ficha Valores, seleccione el tipo de valor y haga clic en el botón Ejecutar ahora.
Véase también
Listas de control en la página 450
Adición de una lista de vigilancia en la página 450
Lista de vigilancia de McAfee GTI en la página 454
Creación de una lista de vigilancia de fuentes de amenazas o IOC de Internet en la página 455
Normalización de cadenas
Recurra a la normalización de cadenas para configurar un valor de cadena que se pueda asociar con
valores de alias, así como para importar o exportar un archivo .csv de valores de normalización de
cadenas.
Esto permite filtrar la cadena y sus aliases mediante la selección del icono de normalización de
cadenas situado junto al campo apropiado del panel Filtro. En el caso de la cadena de nombre de
usuario Juan Doblas, se define un archivo de normalización de cadena donde la cadena principal es
Juan Doblas y sus alias son, por ejemplo, DoblasJuan, JDoblas, juan.doblas@gmail.com y JuanD. A
continuación, se puede introducir Juan Doblas en el campo de filtro User_Nickname, seleccionar el icono
de filtro de normalización situado junto al campo y actualizar la consulta. En la vista resultante se
muestran todos los eventos asociados con Juan Doblas y sus alias, lo cual permite comprobar la
existencia de incoherencias de inicio de sesión en las direcciones IP coincidan pero los nombres no.
Esta función también puede ayudarle a cumplir las normativas que requieren informar de la actividad
de usuarios con privilegios.
Véase también
Administración de archivos de normalización de cadenas en la página 456
Creación de un archivo de normalización de cadenas que importar en la página 458
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el panel Filtros, haga clic en el icono Iniciar administrador de normalización de cadenas .
2 Lleve a cabo cualquiera de las acciones disponibles y, después, haga clic en Cerrar.
Véase también
Normalización de cadenas en la página 456
Creación de un archivo de normalización de cadenas que importar en la página 458
Página Normalización de cadenas en la página 457
Página Agregar alias en la página 457
Véase también
Administración de archivos de normalización de cadenas en la página 456
Véase también
Administración de archivos de normalización de cadenas en la página 456
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En un programa de procesamiento de texto o de hoja de cálculo, escriba los alias con el formato
siguiente:
Véase también
Normalización de cadenas en la página 456
Administración de archivos de normalización de cadenas en la página 456
Es posible agregar, editar o eliminar tipos personalizados, así como exportarlos e importarlos. Use la
página Editar para cambiar el nombre. Si se trata de un tipo de datos personalizados, también puede
cambiar la configuración de subtipo.
Consultas personalizadas
A la hora de configurar una consulta personalizada para una vista, los tipos personalizados
predefinidos aparecen a modo de opciones cuando se seleccionan los campos para la consulta. Si
agrega un tipo personalizado como campo en la consulta, actuará a modo de filtro. Si la información
consultada no tiene datos para ese tipo personalizado, la tabla de consultas no muestra resultado
alguno. Para evitar que esto ocurra, seleccione el campo de usuario (campos personalizados del 1 al
10 en la columna Campo de evento de la tabla) que devuelva los resultados necesarios en lugar del tipo
personalizado.
Por ejemplo, supongamos que desea que los resultados de la consulta incluyan los datos del usuario
de origen, en caso de existir. Si selecciona Usuario de origen como campo de consulta, actuará como un
filtro y, si la información consultada no incluye datos sobre el usuario de origen, la consulta no
devolverá ningún resultado. Sin embargo, si selecciona el campo de usuario 7, designado como campo
de usuario para el usuario de origen, no actuará a modo de filtro y aparecerá como una columna en la
tabla de resultados. Si existen datos sobre el usuario de origen, aparecerán en esta columna. En caso
de no existir datos para este campo, la columna correspondiente al campo de usuario 7 estará vacía,
pero otras columnas mostrarán datos.
Por ejemplo, un registro (100300.351) contiene tres campos (100, 300.35 y 1). El subtipo
personalizado permite especificar de qué tipo es cada uno de los campos (entero, decimal o
booleano). Por ejemplo:
• Registro inicial: 100300.351
Los subtipos pueden incluir un máximo de ocho bytes (64 bits) de datos. Uso de espacio muestra el
número de bytes y bits utilizados. Cuando se supera el máximo, este campo indica mediante texto de
color rojo que el espacio se ha superado; por ejemplo: Uso de espacio: 9 de 8 bytes, 72 de 64
bits.
• Los pares se pueden correlacionar para permitir su selección en el Editor de reglas de correlación.
• La parte del par correspondiente al valor solo se puede recopilar mediante el Analizador de syslog
avanzado (ASP).
• El tamaño máximo de este tipo personalizado es de 512 caracteres, incluidos los nombres. Si
supera este tamaño, los valores se truncan cuando se recopilan. McAfee recomienda limitar el
tamaño y el número de nombres.
• Cada nombre del grupo de nombre/valor aparece en el filtro global como <nombre del grupo> -
<nombre>.
• Con contains(), si coloca un filtro separado por comas en un campo de tipo personalizado no
indizado (Tomás,Juan,Salvador), el sistema lleva a cabo una expresión regular. La coma y el
asterisco actúan como una barra (|) y un punto seguido por un asterisco (.*) en un campo de
cadena con hash, cadena aleatoria no indizada o contains. Si escribe un carácter como un asterisco
(*), se sustituye por un punto seguido por el asterisco (.*).
• Una expresión regular no válida o un paréntesis de apertura o cierre ausente pueden provocar un
error que indica que la expresión regular no es válida.
• Solo se puede usar un regex() o contains() en los campos de filtrado de tipo personalizado de
las cadenas con hash y las cadenas aleatorias indizadas o no indizadas.
• El campo de ID de firma ahora acepta contains(<en una parte o todo un mensaje de regla>)
y regex(<en una parte de un mensaje de regla>).
• Un filtro de búsqueda común para contains es un único valor, no un valor con .* antes y después.
• Varios valores separados por comas que se convierten en una expresión regular
Véase también
Tipos personalizados de nombre/valor en la página 462
Creación de tipos personalizados en la página 460
Adición de tipos personalizados de tiempo en la página 461
Adición de un tipo personalizado de grupo de nombre/valor en la página 462
Tabla de tipos personalizados predefinidos en la página 461
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Tipos
personalizados.
Véase también
Filtros de tipos personalizados en la página 458
Tipos personalizados de nombre/valor en la página 462
Adición de tipos personalizados de tiempo en la página 461
Adición de un tipo personalizado de grupo de nombre/valor en la página 462
Tabla de tipos personalizados predefinidos en la página 461
Página Tipos personalizados en la página 461
Véase también
Creación de tipos personalizados en la página 460
Véase también
Filtros de tipos personalizados en la página 458
Tipos personalizados de nombre/valor en la página 462
Creación de tipos personalizados en la página 460
Adición de tipos personalizados de tiempo en la página 461
Adición de un tipo personalizado de grupo de nombre/valor en la página 462
Si selecciona Índice al agregar este tipo personalizado, el campo aparece a modo de filtro en las
consultas, las vistas y los filtros. No aparece en los componentes de distribución y no está disponible en
el enriquecimiento de datos, las listas de vigilancia ni las alarmas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el sistema, haga clic en el icono Propiedades y,
a continuación, haga clic en Tipos personalizados | Agregar.
2 En el campo Tipo de datos, haga clic en Tiempo - Precisión de segundos o en Tiempo - Precisión de nanosegundos,
rellene la información restante y haga clic en Aceptar.
Véase también
Filtros de tipos personalizados en la página 458
Tipos personalizados de nombre/valor en la página 462
Creación de tipos personalizados en la página 460
Adición de un tipo personalizado de grupo de nombre/valor en la página 462
Tabla de tipos personalizados predefinidos en la página 461
• La parte del par correspondiente al valor solo se puede recopilar mediante ASP.
• El tamaño máximo de este tipo personalizado es de 512 caracteres, lo cual incluye los nombres.
Durante la recopilación, se truncan los caracteres a partir del 512. McAfee recomienda limitar el
tamaño y el número de nombres.
• Cada nombre del grupo de nombre/valor aparece en el filtro global como <nombre del grupo> -
<nombre>.
Véase también
Filtros de tipos personalizados en la página 458
Creación de tipos personalizados en la página 460
Adición de tipos personalizados de tiempo en la página 461
Adición de un tipo personalizado de grupo de nombre/valor en la página 462
Tabla de tipos personalizados predefinidos en la página 461
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades .
3 En el campo Tipo de datos, haga clic en Grupo de nombre/valor, rellene la información restante y haga clic
en Aceptar.
Véase también
Filtros de tipos personalizados en la página 458
Tipos personalizados de nombre/valor en la página 462
Creación de tipos personalizados en la página 460
Adición de tipos personalizados de tiempo en la página 461
Tabla de tipos personalizados predefinidos en la página 461
McAfee Active Response ofrece visibilidad y datos continuos sobre sus endpoints para que pueda
identificar las infracciones a medida que se producen. Ayuda a los profesionales de seguridad a
consultar la postura de seguridad actual, mejorar la detección de amenazas y realizar análisis
detallados e investigaciones forenses.
Si Active Response se instala como una extensión en un dispositivo McAfee ePO que se ha agregado al
ESM, es posible realizar una búsqueda en Active Response desde el ESM. La búsqueda genera una
lista de datos de los endpoints presentes que permite hacer lo siguiente:
• anexar los datos de la búsqueda de Active Response a una lista de vigilancia existente;
Las búsquedas se envían mediante DXL, así que debe estar activado en la página Conectar de las
propiedades de McAfee ePO (véase Ejecución de una búsqueda de Active Response.
• Cuando se anexan datos a una lista de vigilancia, los datos no se validan, lo que implica que se
podrían agregar datos a una lista de vigilancia que no coincidan con su tipo.
Véase también
Ejecución de una búsqueda de Active Response en la página 463
Administración de los resultados de las búsquedas de Active Response en la página 464
Adición de una lista de vigilancia de Active Response en la página 466
Antes de empezar
Agregue un dispositivo McAfee ePO con Active Response al ESM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
b Compruebe que la opción Activar DXL esté seleccionada y que se haya especificado un Puerto de
activación del agente (el predeterminado es el 8081).
2 En la consola de ESM, seleccione una vista con un componente de Tabla, como, por ejemplo, Análisis
de eventos.
3
Haga clic en un evento y, después, haga clic en el icono Menú en el componente.
Los tipos de búsqueda aparecen atenuados si la tabla no contiene los campos apropiados para la
búsqueda.
Véase también
Búsquedas de McAfee® Active Response en la página 463
Administración de los resultados de las búsquedas de Active Response en la página 464
Adición de una lista de vigilancia de Active Response en la página 466
Antes de empezar
Debe estar visualizando los resultados de una búsqueda de Active Response (véase
Ejecución de una búsqueda de Active Response).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En la página Detalles de Active Response (véase Ejecución de una búsqueda de Active Response),
• Crear nueva lista de vigilancia desde: crea una lista de vigilancia a partir de la columna seleccionada en
la lista desplegable.
• Anexar a lista de vigilancia desde: anexa a una lista de vigilancia existente los valores a partir de la
columna seleccionada.
Es posible seleccionar más de una fila de la tabla. No se lleva a cabo validación alguna en los
datos seleccionados en esta tabla.
• Búsqueda de Active Response: realizar otra búsqueda de Active Response en los datos de la fila
seleccionada. Si se devuelven resultados, los resultados nuevos sustituyen el conjunto de datos
existente.
Véase también
Búsquedas de McAfee® Active Response en la página 463
Ejecución de una búsqueda de Active Response en la página 463
Administración de los resultados de las búsquedas de Active Response en la página 464
Adición de una lista de vigilancia de Active Response en la página 466
Página Detalles de Active Response en la página 465
Véase también
Administración de los resultados de las búsquedas de Active Response en la página 464
Antes de empezar
Agregue un dispositivo McAfee ePO con una extensión de Active Response al ESM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, haga clic en el sistema y, después, en el icono de Propiedades
4 En la ficha Origen, seleccione Active Response en el campo Tipo y rellene la información solicitada.
El origen se agregará y los datos especificados se enriquecerán con los datos de Active Response.
El tipo Active Response no aparecerá si el ESM no puede extraer los recopiladores de Active Response
mediante DXL.
Antes de empezar
Agregue un dispositivo McAfee ePO con una extensión de Active Response al ESM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, haga clic en el sistema y, después, en el icono de Propiedades
4 En la ficha Origen, seleccione Active Response en el campo Tipo y rellene la información solicitada.
La lista de vigilancia se agregará y recopilará los datos especificados de las búsquedas de Active
Response.
El tipo Active Response no aparecerá si el ESM no puede extraer los recopiladores de Active Response
mediante DXL.
Véase también
Búsquedas de McAfee® Active Response en la página 463
Ejecución de una búsqueda de Active Response en la página 463
Administración de los resultados de las búsquedas de Active Response en la página 464
Antes de empezar
Debe contar con los siguientes permisos:
• Ver datos para obtener eventos y ver la hora del evento.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En la consola de ESM, agregue una vista de tabla de eventos que incluya el campo Hora de dispositivo.
a
En la barra de herramientas del panel de visualización, haga clic en el icono Crear vista nueva .
f En la Barra de herramientas de edición de vistas, haga clic en Guardar como, escriba el nombre de la vista y
haga clic en Aceptar.
Si envía un evento a Remedy (véase Envío de un mensaje de correo electrónico a Remedy), la hora
del dispositivo correspondiente al evento se perderá.
• Haga clic en el icono Ver detalles de datos en la barra de herramientas situada en la parte inferior
de la tabla, haga clic en la ficha Detalles avanzados y, después, visualice el campo Hora de dispositivo.
Use el administrador de casos de ESM para asignar y rastrear elementos de trabajo y fichas de soporte
asociados con eventos de red. Para acceder a esta función, debe formar parte de un grupo que tenga
el privilegio Usuario administrador de casos activado.
Hay cinco maneras de agregar un caso:
• En la vista Administración de casos
Contenido
Adición de un caso
Creación de un caso a partir de un evento
Adición de eventos a un caso existente
Edición o cierre de un caso
Visualización de detalles de casos
Adición de niveles de estado de casos
Envío de casos por correo electrónico
Visualización de todos los casos
Generación de informes de administración de casos
Adición de un caso
El primer paso para rastrear una tarea generada como resultado de un evento de red es agregar un
caso al sistema de administración de casos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
El caso se agregará al panel Casos del usuario al que esté asignado. Si ha seleccionado Enviar caso por
correo electrónico, también se enviará un mensaje (véase Envío de casos por correo electrónico).
Véase también
Creación de un caso a partir de un evento en la página 470
Adición de eventos a un caso existente en la página 470
Edición o cierre de un caso en la página 472
Visualización de detalles de casos en la página 473
Adición de niveles de estado de casos en la página 475
Envío de casos por correo electrónico en la página 476
Visualización de todos los casos en la página 476
Generación de informes de administración de casos en la página 477
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
2
Haga clic en el evento, haga clic en el icono de menú y, después, en Acciones | Crear un nuevo
caso.
3 Complete la información solicitada y, a continuación, haga clic en Aceptar para guardar el caso.
Véase también
Adición de un caso en la página 469
Adición de eventos a un caso existente en la página 470
Edición o cierre de un caso en la página 472
Visualización de detalles de casos en la página 473
Adición de niveles de estado de casos en la página 475
Envío de casos por correo electrónico en la página 476
Visualización de todos los casos en la página 476
Generación de informes de administración de casos en la página 477
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
•
Haga clic en el icono Menú , resalte Acciones y haga clic en Agregar eventos a un caso.
Véase también
Adición de un caso en la página 469
Creación de un caso a partir de un evento en la página 470
Edición o cierre de un caso en la página 472
Visualización de detalles de casos en la página 473
Adición de niveles de estado de casos en la página 475
Envío de casos por correo electrónico en la página 476
Visualización de todos los casos en la página 476
Generación de informes de administración de casos en la página 477
Página Administración de casos en la página 471
Página Configuración de administración de casos en la página 472
Véase también
Adición de eventos a un caso existente en la página 470
Véase también
Adición de eventos a un caso existente en la página 470
Visualización de detalles de casos en la página 473
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Un caso que no 1 Haga clic en el icono Abrir ventana de administración de casos en el panel
tiene asignado
Casos.
2 Seleccione el caso que desea modificar.
3
Haga clic en el icono Editar caso , situado en la parte inferior de la vista.
Los cambios se registrarán en la sección Notas de la página Detalles del caso. Si cierra el caso, ya no
aparecerá en el panel Casos, pero se conservará en la lista de Administración de casos con el estado Cerrado.
Véase también
Adición de un caso en la página 469
Creación de un caso a partir de un evento en la página 470
Adición de eventos a un caso existente en la página 470
Visualización de detalles de casos en la página 473
Adición de niveles de estado de casos en la página 475
Envío de casos por correo electrónico en la página 476
Visualización de todos los casos en la página 476
Generación de informes de administración de casos en la página 477
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Se abrirá la vista Administración de casos con todos los casos del sistema.
3 Para obtener más detalles, haga doble clic en el caso y revise la información en la página Detalles del
caso.
Véase también
Adición de un caso en la página 469
Creación de un caso a partir de un evento en la página 470
Adición de eventos a un caso existente en la página 470
Edición o cierre de un caso en la página 472
Adición de niveles de estado de casos en la página 475
Envío de casos por correo electrónico en la página 476
Visualización de todos los casos en la página 476
Generación de informes de administración de casos en la página 477
Página Detalles del caso en la página 473
Página Configuración de administración de casos en la página 472
Estado El estado actual del caso. El administrador de casos ofrece dos estados: Abierto y
Cerrado. Está establecido en Abierto de forma predeterminada. Para agregar más
estados a los que asignar los casos, haga clic en Estado, después en Agregar y, por
último, introduzca la información solicitada.
Véase también
Visualización de detalles de casos en la página 473
Véase también
Adición de eventos a un caso existente en la página 470
Visualización de detalles de casos en la página 473
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
3 Escriba un nombre para el estado e indique si desea que sea el estado predeterminado de los casos
nuevos.
4 Indique si desea que los casos con este estado aparezcan en el panel Casos y haga clic en Aceptar.
Véase también
Adición de un caso en la página 469
Creación de un caso a partir de un evento en la página 470
Adición de eventos a un caso existente en la página 470
Edición o cierre de un caso en la página 472
Visualización de detalles de casos en la página 473
Generación de informes de administración de casos en la página 477
Antes de empezar
Es necesario disponer de privilegios de Administrador de administración de casos.
También se puede enviar por correo electrónico una notificación de caso manualmente, así como
incluir notas sobre el caso y detalles del evento.
Enviar un caso 1 En el panel Casos, seleccione el caso que desee enviar por correo
existente por correo
electrónico electrónico y haga clic en el icono Editar caso .
manualmente
2 En Detalles del caso, haga clic en Enviar caso por correo electrónico y rellene los
campos Desde y Hasta.
3 Indique si desea incluir las notas y adjuntar un archivo CSV con los
detalles de evento.
4 Escriba las notas que desee incluir en el mensaje de correo electrónico y
haga clic en Enviar.
Véase también
Adición de un caso en la página 469
Creación de un caso a partir de un evento en la página 470
Adición de eventos a un caso existente en la página 470
Edición o cierre de un caso en la página 472
Visualización de detalles de casos en la página 473
Generación de informes de administración de casos en la página 477
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Cambiar las columnas de Haga clic en la ficha Eventos de origen y, después, haga clic en Editar
Eventos de origen columnas visibles en la ficha Eventos de origen.
Filtrar los casos En el panel Filtros, seleccione o escriba los datos por los que desee
Véase también
Adición de un caso en la página 469
Creación de un caso a partir de un evento en la página 470
Adición de eventos a un caso existente en la página 470
Edición o cierre de un caso en la página 472
Visualización de detalles de casos en la página 473
Generación de informes de administración de casos en la página 477
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
• Detalles de administración de casos: incluye toda la información del informe Resumen de administración de
casos, además de los números de ID de los eventos vinculados a los casos y la información
contenida en las secciones de notas de los casos.
• Tiempo de resolución de caso: muestra el tiempo transcurrido entre cambios de estado (por ejemplo,
la diferencia entre la marca de tiempo de Abierto y de Cerrado). De forma predeterminada, se
muestran los casos con el estado Cerrado por número de ID de caso, además de la gravedad, la
organización, la Fecha de creación, la última actualización, el resumen y la diferencia de tiempo.
• Casos por usuario asignado: incluye el número de casos asignados a un usuario o grupo.
5 Complete la sección 6 (véase Descripción de los filtros contains y regex) y haga clic en Guardar.
Véase también
Adición de un caso en la página 469
Creación de un caso a partir de un evento en la página 470
Adición de eventos a un caso existente en la página 470
Edición o cierre de un caso en la página 472
Visualización de detalles de casos en la página 473
Adición de niveles de estado de casos en la página 475
Envío de casos por correo electrónico en la página 476
Visualización de todos los casos en la página 476
Asset Manager proporciona una ubicación centralizada para descubrir, crear manualmente e importar
activos.
En la ficha Activo, es posible crear un grupo con uno o varios activos. Cabe la posibilidad de llevar a
cabo las siguientes operaciones en el grupo al completo:
• Cambiar los atributos de todos los activos del grupo.
Los grupos de activos permiten categorizar los activos de formas que no son posibles mediante el
etiquetado. Por ejemplo, supongamos que desea crear un grupo de activos por cada edificio de las
instalaciones. El activo consta de una dirección IP y un conjunto de etiquetas. Las etiquetas describen
el sistema operativo que ejecuta el activo y un conjunto de servicios de los que es responsable el
activo.
Existen dos formas de definir las etiquetas de un activo: lo hace el sistema cuando se recupera un
activo o lo hace el usuario cuando agrega o edita un activo. Si el sistema define las etiquetas, se
actualizan cada vez que se recupera el activo, en caso de haber cambiado. Si las define el usuario, el
sistema no actualiza las etiquetas cuando se recupera el activo, incluso aunque hayan cambiado. Si
agrega o edita las etiquetas de un activo pero desea que el sistema las actualice cuando se recupere
el activo, haga clic en Restablecer. Es necesario realizar esta acción cada vez que se realicen cambios en
la configuración de las etiquetas.
• Ver los datos de configuración, descargar los datos a un archivo y comparar la información de
configuración de ambos dispositivos.
Contenido
Administración de activos
Establecimiento de la administración de configuración
Descubrimiento de la red
Orígenes de activos
Administración de orígenes de evaluación de vulnerabilidades
Administración de zonas
Evaluación de activos, amenazas y riesgo
Administración de amenazas conocidas
Administración de activos
Un activo es cualquier dispositivo de la red que disponga de una dirección IP.
En la ficha Activo de Asset Manager es posible crear activos, modificar sus etiquetas, crear grupos de
activos, agregar orígenes de activos y asignar un activo a un grupo de activos. Los activos
descubiertos mediante alguno de los proveedores de evaluación de vulnerabilidades también se
pueden manipular.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Haga clic en el icono de inicio rápido de Asset Manager .
Procedimientos
• Definición de activos antiguos en la página 483
El grupo Activos antiguos del Administrador de activos permite almacenar activos que no se han
detectado en el periodo de tiempo definido.
Véase también
Descubrimiento de red en la página 485
Administración de orígenes de activos en la página 492
Administración de orígenes de evaluación de vulnerabilidades en la página 493
Administración de amenazas conocidas en la página 501
Definición de activos antiguos en la página 483
Ficha Activo en la página 480
Página Nuevo activo en la página 481
Página Opciones avanzadas en la página 482
Página Agregar grupo de filtrado en la página 482
Ficha Activo
Permite crear y administrar los activos del sistema.
Tabla 9-1 Definiciones de opciones
Opción Definición
Ver los activos con formato de árbol.
Ver activos en árbol
Ver lista plana de activos Ver los activos en una lista plana ordenable.
ordenable
Nuevo | Grupo Haga clic en esta opción para agregar un grupo de activos. Escriba un
nombre para el grupo y seleccione su criticidad.
Nuevo | Activo Haga clic en esta opción para agregar un activo.
Archivo | Exportar a archivo Haga clic en esta opción para exportar los archivos de activos
seleccionados.
Editar | Modificar Haga clic en esta opción para cambiar el activo o el grupo de activos
seleccionados.
Editar | Usar en cálculo de Seleccione un activo y haga clic en una de estas opciones para seleccionar
riesgoo Ignorar en cálculo de los activos que se emplearán en el cálculo del riesgo global para la
riesgo empresa. Usar en cálculo de riesgo es la configuración predeterminada.
Editar | Eliminar Haga clic en esta opción para eliminar el grupo o el activo seleccionados. Si
selecciona un grupo, se le preguntará si desea eliminar el grupo y los
activos contenidos en él o únicamente el grupo. Si elige solo el grupo, los
activos se reasignarán a la carpeta Sin asignar.
Herramientas | Crear servidor Seleccione un activo y agréguelo como servidor de base de datos a un
de base de datos de DEM dispositivo DEM del sistema.
Herramientas | Crear origen de Seleccione un activo y agréguelo como origen de datos a un receptor del
datos de receptor sistema.
Etiquetando Agregue etiquetas al activo seleccionado para definir sus atributos y que
actúen como filtros.
Véase también
Administración de activos en la página 480
Si hay una zona asignada a un activo o grupo de activos, los usuarios sin
permiso para esa zona no tendrán acceso a los activos.
Criticidad Seleccione la criticidad del activo para la empresa: 1 = criticidad más baja,
100 = criticidad más alta. La criticidad y la gravedad de una amenaza se
emplean para calcular la gravedad global del evento para la empresa.
Véase también
Administración de activos en la página 480
Usar la criticidad global Seleccione esta opción si desea que siempre se use el valor de criticidad más
calculada alto al calcular la gravedad del evento.
Calcular Haga clic en este botón para calcular la gravedad total, la cual se agrega al
campo Calcular.
Grupos Permite ver una lista de los grupos a los que pertenece este activo y la
criticidad de cada uno.
Restablecer Hace que el sistema establezca automáticamente las etiquetas del activo.
Véase también
Administración de activos en la página 480
Véase también
Administración de activos en la página 480
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Haga clic en el icono de inicio rápido de Asset Manager .
2 En la ficha Activo, haga doble clic en el grupo Activos antiguos de la lista de activos.
3 Seleccione el número de días desde la última detección de un activo antes de que deba moverse a
la carpeta Activos antiguos y, después, haga clic en Aceptar.
Véase también
Administración de activos en la página 480
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Haga clic en el icono de inicio rápido de Asset Manager y seleccione la ficha Administración de
configuración.
2 Lleve a cabo cualquiera de las acciones disponibles y, después, haga clic en Aceptar.
Procedimientos
• Administración de archivos de configuración recuperados en la página 485
Hay varias cosas que se pueden hacer para administrar los archivos que se recuperan
cuando se comprueba la configuración de los enrutadores y los conmutadores.
Véase también
Descubrimiento de red en la página 485
Administración de orígenes de activos en la página 492
Administración de orígenes de evaluación de vulnerabilidades en la página 493
Administración de amenazas conocidas en la página 501
Administración de archivos de configuración recuperados en la página 485
Ficha Administración de configuración en la página 484
Véase también
Establecimiento de la administración de configuración en la página 483
Antes de empezar
Recupere los archivos de configuración (véase Establecimiento de la administración de
configuración).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Haga clic en el icono de inicio rápido de Asset Manager y seleccione la ficha Administración de
configuración.
2 Lleve a cabo cualquiera de las acciones disponibles en la sección Archivos de configuración recuperados de
la página.
Véase también
Establecimiento de la administración de configuración en la página 483
Descubrimiento de la red
El Descubrimiento de la red muestra las ubicaciones físicas donde se producen los eventos en la red, lo cual
aumenta la capacidad de rastrear los eventos.
El Descubrimiento de la red es para usuarios avanzados con un conocimiento amplio de la red, y requiere la
asignación de privilegios. Es necesario disponer de privilegios activados para crear y ver el
Descubrimiento de la red, así como para modificar la configuración de conmutación en Control de puertos de red.
El Descubrimiento de la red a través de SNMPv3, Telnet o SSH no es conforme a FIPS. Si está obligado a
cumplir las normativas de FIPS, no utilice estas funciones.
Véase también
Descubrimiento de red en la página 485
Administración de la lista de exclusiones de IP en la página 489
Descubrimiento de endpoints en la página 490
Visualización de un mapa de la red en la página 490
Descubrimiento de red
El primer paso para crear un mapa de la red es su descubrimiento. Es necesario establecer los
parámetros antes de iniciar el análisis.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Haga clic en el icono de inicio rápido de Asset Manager y seleccione la ficha Descubrimiento de la red.
2 Haga clic en Configuración y, después, en Agregar en la página Configurar opciones de red a fin de agregar
los parámetros para el descubrimiento.
4 Haga clic en Aceptar. Los parámetros definidos se agregarán a la lista Configurar opciones de red.
6 Haga clic en Descubrir red a fin de iniciar el análisis. Si es necesario detener el descubrimiento, haga
clic en Detener descubrimiento.
La sección Dispositivo de red de la página se rellenará con los datos del análisis.
Véase también
Administración de activos en la página 480
Establecimiento de la administración de configuración en la página 483
Administración de orígenes de activos en la página 492
Administración de orígenes de evaluación de vulnerabilidades en la página 493
Administración de amenazas conocidas en la página 501
Descubrimiento de la red en la página 485
Administración de la lista de exclusiones de IP en la página 489
Descubrimiento de endpoints en la página 490
Visualización de un mapa de la red en la página 490
Ficha Descubrimiento de red en la página 486
Página Red local en la página 322
Página Registro de red en la página 487
Página Configurar opciones de red en la página 488
Página Parámetros de descubrimiento de red en la página 488
Véase también
Descubrimiento de red en la página 485
Véase también
Enmascaramiento de direcciones IP en la página 321
Descubrimiento de red en la página 485
Véase también
Descubrimiento de red en la página 485
Véase también
Descubrimiento de red en la página 485
Véase también
Descubrimiento de red en la página 485
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 Haga clic en el icono de inicio rápido de Asset Manager y seleccione la ficha Descubrimiento de la red.
Véase también
Descubrimiento de la red en la página 485
Descubrimiento de red en la página 485
Descubrimiento de endpoints en la página 490
Visualización de un mapa de la red en la página 490
Página Lista de exclusiones de direcciones IP en la página 489
Véase también
Administración de la lista de exclusiones de IP en la página 489
Descubrimiento de endpoints
A la hora de configurar la red, agregar direcciones IP a la lista de exclusiones y descubrir la red, es
necesario descubrir los endpoints conectados a los dispositivos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Haga clic en el icono de inicio rápido de Asset Manager y seleccione la ficha Descubrimiento de la red.
Los resultados y el estado del análisis se indicarán en la sección Dispositivos endpoint de la página.
Véase también
Descubrimiento de la red en la página 485
Descubrimiento de red en la página 485
Administración de la lista de exclusiones de IP en la página 489
Visualización de un mapa de la red en la página 490
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Haga clic en el icono de inicio rápido de Asset Manager y, después, en la ficha Descubrimiento de la
red.
3 Mueva los dispositivos o pase el ratón sobre un dispositivo a fin de ver sus propiedades.
Véase también
Descubrimiento de la red en la página 485
Descubrimiento de red en la página 485
Administración de la lista de exclusiones de IP en la página 489
Descubrimiento de endpoints en la página 490
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En la consola de ESM, haga clic en el icono de inicio rápido de Administrador de activos .
2 Haga clic en la ficha Descubrimiento de red, haga clic en Configuración y por último, en Opciones avanzadas.
Véase también
Página Opciones de descubrimiento de red avanzadas en la página 491
Véase también
Cambio del comportamiento de Descubrimiento de red en la página 490
Orígenes de activos
Es posible recuperar datos de Active Directory o, en caso de existir, de un servidor Altiris a través de
Orígenes de activos.
Active Directory permite filtrar los datos de eventos mediante la selección de los usuarios o grupos
recuperados en los campos de filtrado de consultas de vista Usuario de origen o Usuario de destino. Esto
aumenta la capacidad de proporcionar datos sobre conformidad a fin de satisfacer requisitos como los
de PCI. Altiris y Active Directory recuperan activos, tales como equipos con direcciones IP, y los agregan a
la tabla de activos.
Con el fin de recuperar activos en Altiris, es necesario disponer de privilegios para Asset Manager en la
consola de administración de Altiris.
Active Directory no suele almacenar información sobre direcciones IP. El sistema emplea DNS para
consultar la dirección una vez que obtiene el nombre de Active Directory. Si no puede encontrar la
dirección del equipo, no se agrega a la tabla Activos. Por este motivo, el servidor DNS del sistema debe
contener la información de DNS correspondiente a los equipos de Active Directory.
Véase también
Administración de orígenes de activos en la página 492
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Haga clic en el icono de inicio rápido de Asset Manager y, después, en la ficha Orígenes de activos.
El árbol de Orígenes de activos mostrará el ESM y los receptores del sistema, así como sus orígenes de
activos actuales.
Un ESM puede tener un origen de datos, mientras que los receptores pueden tener varios.
Véase también
Descubrimiento de red en la página 485
Administración de activos en la página 480
Establecimiento de la administración de configuración en la página 483
Administración de orígenes de evaluación de vulnerabilidades en la página 493
Administración de amenazas conocidas en la página 501
Orígenes de activos en la página 491
Ficha Orígenes de activos en la página 492
Página Origen de datos de activos en la página 493
Escritura de los cambios en los dispositivos en la página 493
Véase también
Administración de orígenes de activos en la página 492
Véase también
Administración de orígenes de activos en la página 492
Véase también
Administración de orígenes de activos en la página 492
deseados, debe agregarlos al sistema. Una vez agregado un origen al sistema, es posible recuperar los
datos de evaluación de vulnerabilidades.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Haga clic en el icono de inicio rápido de Asset Manager y, después, en Evaluación de vulnerabilidades.
Véase también
Descubrimiento de red en la página 485
Administración de orígenes de activos en la página 492
Administración de activos en la página 480
Establecimiento de la administración de configuración en la página 483
Administración de amenazas conocidas en la página 501
Página Quitando orígenes de evaluación de vulnerabilidades en la página 494
Véase también
Administración de orígenes de evaluación de vulnerabilidades en la página 493
Administración de zonas
Es posible utilizar zonas para categorizar los dispositivos y los orígenes de datos de la red.
Esto permite organizar los dispositivos y los eventos que estos generan en grupos basados en la
ubicación geográfica y la dirección IP. Por ejemplo, si dispone de oficinas en Madrid y Barcelona y
desea que los eventos generados por cada oficina se agrupen juntos, puede agregar dos zonas y
asignar los dispositivos cuyos eventos deban agruparse juntos a cada una de ellas. A fin de agrupar
los eventos de cada oficina según las direcciones IP específicas, puede agregar subzonas a cada una
de las zonas.
Véase también
Administración de las zonas en la página 495
Adición de una zona en la página 496
Exportación de la configuración de zonas en la página 497
Importación de la configuración de zonas en la página 497
Adición de una subzona en la página 499
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Haga clic en el icono de inicio rápido de Asset Manager y, después, en Administración de zonas.
2 Agregue una zona o subzona, edite o quite las zonas existentes, o bien importe o exporte la
configuración de zonas.
Véase también
Administración de zonas en la página 494
Adición de una zona en la página 496
Exportación de la configuración de zonas en la página 497
Importación de la configuración de zonas en la página 497
Adición de una subzona en la página 499
Ficha Administración de zonas o página Administrador de directivas de zona en la página 495
Página Desplegar para la configuración de zonas en la página 496
Véase también
Administración de las zonas en la página 495
Véase también
Administración de las zonas en la página 495
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Haga clic en el icono de inicio rápido de Asset Manager y, después, en Administración de zonas.
2 Introduzca la información solicitada y asigne dispositivos a la zona; después, haga clic en Aceptar.
Véase también
Administración de zonas en la página 494
Administración de las zonas en la página 495
Exportación de la configuración de zonas en la página 497
Importación de la configuración de zonas en la página 497
Adición de una subzona en la página 499
Página Agregar zona en la página 496
Véase también
Adición de una zona en la página 496
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Haga clic en el icono de Asset Manager y, después, en Administración de zonas.
Véase también
Administración de zonas en la página 494
Administración de las zonas en la página 495
Adición de una zona en la página 496
Importación de la configuración de zonas en la página 497
Adición de una subzona en la página 499
Página Exportar en la página 497
Página Exportar
Permite exportar la configuración de zonas del ESM a un archivo que, posteriormente, se puede
importar a otro ESM.
Véase también
Exportación de la configuración de zonas en la página 497
Antes de empezar
Exporte un archivo de configuración de zonas de otro ESM para poder importarlo a su ESM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
2 Introduzca comandos en la columna Comando para especificar la acción que debe realizarse por cada
línea cuando se importe.
• add (agregar): importar los datos de la línea tal cual están.
• edit (editar): importar los datos con los cambios que se realicen en ellos (solo disponible para
el archivo de definición de zonas).
• remove (quitar): eliminar la zona que coincide con esta línea del ESM.
4
Haga clic en el icono de inicio rápido de Asset Manager y, después, en la ficha Administración de
zonas.
6 Haga clic en Aceptar, localice el archivo que se debe importar y haga clic en Cargar.
7 En caso de existir errores, realice las correcciones necesarias en el archivo y vuelva a intentarlo.
Véase también
Administración de zonas en la página 494
Administración de las zonas en la página 495
Adición de una zona en la página 496
Exportación de la configuración de zonas en la página 497
Adición de una subzona en la página 499
Página Importar en la página 499
Página Importar
Permite seleccionar el tipo de archivo de zonas que importar.
Archivo de asignación de Importar un archivo que incluye los dispositivos y la zona a la que
importación de dispositivo a zona están asignados.
Véase también
Importación de la configuración de zonas en la página 497
Antes de empezar
Agregue zonas en la ficha Administración de zonas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Haga clic en el icono de inicio rápido de Asset Manager y, después, en la ficha Administración de
zonas.
Véase también
Administración de zonas en la página 494
Administración de las zonas en la página 495
Adición de una zona en la página 496
Exportación de la configuración de zonas en la página 497
Importación de la configuración de zonas en la página 497
Página Agregar subzona en la página 499
Página Agregar intervalo en la página 500
Véase también
Adición de una subzona en la página 499
Véase también
Adición de una subzona en la página 499
Administrador de activos
Cuando se agrega un activo al Administrador de activos (véase Administración de activos), se le asigna un
nivel de criticidad. Esto determina la criticidad que tiene el activo en su caso. Por ejemplo, si tiene un
único equipo para administrar la configuración de la empresa y no cuenta con copia de seguridad, su
criticidad es alta. No obstante, si tiene dos equipos para administrar la configuración, cada uno de
ellos con una copia de seguridad, el nivel de criticidad es considerablemente menor.
Puede elegir entre usar o ignorar un activo en el cálculo del riesgo para la empresa mediante el menú
Editar de la ficha Activo.
Administración de amenazas
La ficha Administración de amenazas del Administrador de activos muestra una lista de amenazas conocidas, su
gravedad, el proveedor y si se emplean o no para el cálculo del riesgo. Es posible activar o desactivar
amenazas específicas para que se empleen o no al calcular el riesgo. También puede ver los detalles
de las amenazas en la lista. Entre estos detalles se incluyen recomendaciones para la gestión de la
amenaza, así como las contramedidas que se pueden utilizar.
Vistas predefinidas
Hay tres vistas predefinidas (véase Uso de las vistas de ESM) que resumen y muestran los datos sobre
activos, amenazas y riesgo.
• Resumen de amenazas de activo: muestra los activos principales por calificación de riesgo y niveles de
amenaza, y los niveles de amenaza según el riesgo.
• Resumen de amenazas recientes: muestra las amenazas recientes por proveedor, riesgo, activo y
productos de protección disponibles.
Es posible acceder a detalles sobre los elementos individuales de estas vistas desde los menús del
componente.
Vistas personalizadas
Se han agregado opciones al Asistente de consultas para que sea posible configurar vistas personalizadas
(véase Adición de una vista personalizada) que muestren los datos necesarios.
• En los componentes Dial de control y Recuento, se pueden mostrar la calificación de riesgo empresarial
media y la calificación de riesgo empresarial total.
• En los componentes Gráfico circular, Gráfico de barras y Lista, se pueden mostrar los activos en riesgo, la
protección frente a amenazas del producto, las amenazas por activo, las amenazas por riesgo y las
amenazas por proveedor.
• En el componente Tabla, se pueden mostrar los activos, las amenazas más recientes, los activos
principales por calificación de riesgo y las amenazas principales por calificación de riesgo.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En la consola de ESM, haga clic en el icono de inicio rápido de Administrador de activos .
2 Haga clic en la ficha Administración de amenazas para ver la lista de amenazas conocidas.
• Si la columna Calcular riesgo tiene el valor Sí y no desea que se utilice en los cálculos de riesgo,
haga clic en Desactivar.
• Si la columna Calcular riesgo tiene el valor No y desea que se utilice en los cálculos de riesgo, haga
clic en Activar.
Véase también
Descubrimiento de red en la página 485
Administración de orígenes de activos en la página 492
Administración de orígenes de evaluación de vulnerabilidades en la página 493
Administración de activos en la página 480
Establecimiento de la administración de configuración en la página 483
Contenido
Descripción del Editor de directivas
El Árbol de directivas
Tipos de reglas y sus propiedades
Configuración de la directiva predeterminada
Operaciones relacionadas con reglas
Asignación de etiquetas a reglas o activos
Modificación de la configuración de agregación
Omisión de la acción en las reglas descargadas
Ponderaciones de gravedad
Visualización del historial de cambios de directiva
Aplicación de cambios de directivas
Administración del tráfico prioritario
En el modo FIPS, las reglas no se deben actualizar a través del servidor de reglas. En su lugar, hay que
actualizarlas manualmente (véase Comprobación de la existencia de actualizaciones de reglas).
El servidor de reglas de McAfee mantiene todas las reglas, variables y preprocesadores con usos o
valores predefinidos. La Directiva predeterminada hereda sus valores y opciones de configuración de estas
configuraciones mantenidas por McAfee, y es la predecesora del resto de directivas. De forma
predeterminada, las opciones de configuración del resto de directivas y dispositivos heredan los
valores de la Directiva predeterminada.
Para abrir el editor, haga clic en el icono del Editor de directivas o seleccione el nodo del sistema o el
dispositivo en el árbol de navegación y haga clic en el icono del Editor de directivas de la barra de
herramientas de acciones .
Los tipos de reglas indicados en el panel Tipos de regla varían en función del tipo de dispositivo
seleccionado en el árbol de navegación del sistema. El panel de ruta de navegación muestra la
jerarquía de la directiva seleccionada. Para cambiar la directiva actual, haga clic en el nombre de la
directiva en el panel de ruta de navegación y haga clic en la flecha del panel de ruta de navegación,
que muestra los elementos secundarios de la directiva. Si lo prefiere, puede hacer clic en el icono del
Árbol de directivas . El menú del Árbol de directivas indica las cosas que se pueden hacer con una
directiva.
Al seleccionar un tipo en el panel Tipo de regla, se muestran todas las reglas de ese tipo en la sección de
visualización de reglas. Las columnas indican los parámetros de regla específicos que se pueden
ajustar para cada regla (excepto para las de tipo Variable y Preprocesador). Existe la posibilidad de
cambiar la configuración; para ello, haga clic en el valor actual y seleccione otro en la lista
desplegable.
El panel Filtros/etiquetado permite filtrar las reglas que aparecen en el Editor de directivas de forma que solo
se vean las que cumplen los criterios, o bien agregar etiquetas a las reglas para definir sus funciones.
Véase también
El Árbol de directivas en la página 505
Tipos de reglas y sus propiedades en la página 509
Administración de directivas en el Árbol de directivas en la página 505
Aplicación de cambios de directivas en la página 575
El Árbol de directivas
El Árbol de directivas enumera las directivas y los dispositivos del sistema.
Icono Descripción
Directiva
Véase también
Descripción del Editor de directivas en la página 503
Tipos de reglas y sus propiedades en la página 509
Administración de directivas en el Árbol de directivas en la página 505
Aplicación de cambios de directivas en la página 575
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En la consola de ESM, haga clic en el icono del Editor de directivas y, después, en el icono del Árbol
de directivas .
Cambiar el 1 Seleccione la directiva que desee renombrar y haga clic en el icono Elementos
nombre de una de menú del árbol de directivas.
directiva
2 Haga clic en Cambiar nombre, introduzca el nombre nuevo y haga clic en Aceptar.
Eliminar una 1 Seleccione la directiva que desee eliminar y haga clic en el icono Elementos de
directiva menú del árbol de directivas.
2 Haga clic en Eliminar y después en Aceptar en la página de confirmación.
Copiar una 1 Seleccione la directiva que desee copiar y haga clic en el icono Elementos de
directiva menú del árbol de directivas.
2 Haga clic en Copiar, introduzca un nombre para la nueva directiva y haga clic
en Aceptar.
Mover dispositivos 1 Seleccione los dispositivos que quiera mover y haga clic en el icono Elementos
a una directiva
de menú del árbol de directivas .
2 Resalte la opción Mover y seleccione la directiva a la que desee mover los
dispositivos.
Copiar y 1 Seleccione la directiva que desee copiar, haga clic en el icono Elementos de
reemplazar una menú del árbol de directivas y seleccione Copiar y reemplazar.
directiva
2 En Seleccionar directiva, seleccione la directiva que desee reemplazar.
3 A fin de cerrar el Árbol de directivas, haga doble clic en una directiva o un dispositivo, o bien haga clic
en el icono de cierre .
Véase también
Descripción del Editor de directivas en la página 503
El Árbol de directivas en la página 505
Tipos de reglas y sus propiedades en la página 509
Aplicación de cambios de directivas en la página 575
Página Editor de directivas en la página 507
Página Importar directiva en la página 508
Página Exportar directiva en la página 509
Véase también
Administración de directivas en el Árbol de directivas en la página 505
Administración de reglas en la página 558
Véase también
Administración de directivas en el Árbol de directivas en la página 505
Véase también
Administración de directivas en el Árbol de directivas en la página 505
Todas las reglas se basan en un sistema jerárquico en el que cada regla hereda su uso del elemento
principal. La regla (excepto en el caso de las reglas de Variable y Preprocesador) se marca con un icono
para indicar cómo hereda su uso, y el icono cuenta con un punto en la esquina inferior izquierda si la
cadena de herencia se ha roto en algún punto por debajo de la fila actual.
Icono Descripción
Indica que el uso de este elemento está determinado por la configuración del elemento
principal. La mayoría de las reglas están configuradas para heredar la configuración de forma
predeterminada, pero el uso se puede cambiar.
Indica que la cadena de herencia está rota en este nivel y el valor de herencia está
desactivado.
Icono Descripción
Indica que la cadena de herencia está rota en este nivel. Los elementos por debajo de este
punto no heredan nada que se encuentre en un nivel superior de la cadena. Esta
configuración resulta útil para forzar a las reglas a usar los valores predeterminados.
Propiedades
Cuando se selecciona un tipo de regla, el panel de visualización de reglas muestra todas las reglas de
ese tipo que hay en el sistema y la configuración de sus propiedades. Entre estas propiedades pueden
encontrarse Acción, Gravedad, Lista negra, Agregación y Copiar paquete.
Esta Permite...
propiedad...
Acción Establecer la acción que realiza esta regla. Las opciones disponibles dependen del
tipo de regla.
Lista negra Permite crear automáticamente una entrada de lista negra por cada regla cuando
se activa en el dispositivo. Puede elegir entre incluir en la lista negra solo la
dirección IP o la dirección IP y el puerto.
Agregación Establezca para cada regla la agregación de los eventos creados cuando se active
la regla. La configuración de agregación definida en las páginas de Agregación de
eventos (véase Agregación de eventos o flujos) solo se aplica a las reglas definidas
en el Editor de directivas.
Copiar paquete Permite copiar los datos de paquete en el ESM, lo cual resulta útil en caso de que
se produzca una pérdida de comunicación. Si existe una copia de los datos de
paquete, es posible acceder a la información a través de su recuperación.
Para cambiar estas opciones de configuración, haga clic en ellas y seleccione otro valor.
Véase también
Descripción del Editor de directivas en la página 503
El Árbol de directivas en la página 505
Administración de directivas en el Árbol de directivas en la página 505
Aplicación de cambios de directivas en la página 575
Variables
Una variable es una configuración global o un marcador de posición para información específica de
cada usuario o sitio. Muchas reglas hacen uso de las variables.
Se recomienda tener conocimientos amplios sobre el formato Snort antes de agregar o modificar
variables.
Las variables se emplean para que las reglas se comporten de una forma concreta, lo cual puede
variar de un dispositivo a otro. El ESM tiene muchas variables predefinidas, pero también ofrece la
posibilidad de agregar variables personalizadas. Al agregar una regla, estas variables aparecen a
modo de opciones en la lista desplegable del tipo de campo seleccionado en el campo Tipo de la página
Nueva variable.
Cada variable tiene un valor predeterminado, pero se recomienda establecer algunos valores
correspondientes al entorno específico de cada dispositivo. No se permiten espacios al introducir un
nombre de variable. Si se requiere un espacio, use el carácter de subrayado ( _ ). A fin de maximizar
la efectividad de un dispositivo, resulta particularmente importante establecer la variable HOME_NET
de acuerdo con la red protegida por el dispositivo concreto.
En esta tabla se muestra una lista de variables habituales y sus valores predeterminados.
Las variables incluidas en el sistema de fábrica se pueden modificar. También es posible agregar,
modificar o eliminar las variables personalizadas.
Cabe la posibilidad de asignar tipos a las variables personalizadas. Los tipos de variables se usan al
filtrar reglas para generar informes, y determinan el campo donde están disponibles las variables a la
hora de agregar o modificar una regla. Los tipos de variables son globales por naturaleza, de forma
que todos los cambios realizados se reflejan en todos los niveles de la directiva.
Véase también
Administración de variables en la página 511
Detección de anomalías y secuestro de sesiones del protocolo TCP en la página 513
Administración de variables
Cuando se selecciona el tipo de regla de variable en el Editor de directivas, es posible llevar a cabo
diversas acciones a fin de administrar las variables, tanto personalizadas como predefinidas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Véase también
Variables en la página 510
Página Nueva variable en la página 512
Página Modificar variable en la página 513
Página Importar variable(s) en la página 513
Véase también
Administración de variables en la página 511
Véase también
Administración de variables en la página 511
Véase también
Administración de variables en la página 511
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En la consola de ESM, haga clic en el icono del Editor de directivas .
4 En la página Modificar variable, agregue alguno de los elementos siguientes en el campo Valor:
• Para detectar y alertar sobre anomalías del protocolo TCP, agregue detect_anomalies tras policy
first.
Véase también
Variables en la página 510
Reglas de preprocesador
Los preprocesadores proporcionan una forma de unificar la detección de anomalías y la inspección de
paquetes en los dispositivos McAfee Nitro IPS e IDS.
Los preprocesadores son vitales para la detección precisa de muchas reglas. Use los preprocesadores
aplicables a su configuración de red. Los parámetros de los preprocesadores se pueden cambiar
mediante la edición de la variable de preprocesador en cuestión en el tipo de regla Variables del Editor de
directivas.
Tipo Descripción
Normalización de Normaliza el tráfico específico del protocolo RPC de modo uniforme únicamente con
RPC fines de detección. Este preprocesador puede evitar que los ataques relacionados
con la fragmentación de RPC omitan el dispositivo Nitro IPS.
Detección de Genera un evento si detecta un barrido de puertos en los dispositivos del lado de
barrido de puertos confianza de la red.
Una vez configurada correctamente la variable HOME_NET, deberá modificar la
variable SFPORTSCAN_PARMS (Variables | preprocesador) de forma que tenga este
aspecto:
proto { all } scan_type { all } sense_level { medium } ignore_scanners
Esto se agrega a la variable sfportscan para eliminar lo que Nitro IPS reconoce
como barridos de puertos procedentes de HOME_NET. Las redes en las que el
dispositivo Nitro IPS o IDS está situado cerca de un enrutador o firewall que utiliza
la traducción de direcciones de red (NAT) parecen realizar barridos de puertos en el
dispositivo Nitro IPS. Al modificar esta variable, disminuyen los eventos que parecen
falsos positivos.
ZipZap Cuando sirven contenido web (HTTP), muchos servidores aceptan solicitudes de los
navegadores web, lo que indica que el contenido web se puede comprimir antes de
su envío. Aunque esto ahorra ancho de banda en la red, las páginas web
comprimidas no se pueden analizar mediante un dispositivo. El preprocesador
ZipZap hace que el servidor web devuelva los datos con un formato sin procesar, sin
comprimir y analizable. Al activar este preprocesador, aumenta el ancho de banda
utilizado por el tráfico web.
Desfragmentador de Modela los destinos reales de la red en lugar de simplemente modelar los protocolos
IP basado en y buscar ataques en ellos. Utiliza la estructura de datos sfxhash y listas vinculadas
destino para la gestión de datos de forma interna, lo que le permite ofrecer un rendimiento
predictivo y determinista en cualquier entorno, siendo esto de gran ayuda para la
administración en entornos con mucha fragmentación.
Tipo Descripción
Normalización de Normaliza las solicitudes web de manera uniforme únicamente con fines de
solicitud web detección. Siempre está activada, y no es posible realizar cambios. Hay dos tipos de
preprocesadores de normalización de solicitudes web, uno para las versiones hasta
la 8.2.x y otro para las versiones 8.3.0 y posteriores.
Este preprocesador detecta los siguientes ataques:
• Ataques de cruce de directorios web (http://algo.com/./ataque.cmd)
• Cadenas con doble codificación (http://algo.com/
%25%32%35%25%33%32%25%33%30ataque.cmd)
• Normalización de Unicode
• Caracteres no válidos en URI de solicitudes web
Reensamblado de Rastrea las sesiones. Es un preprocesador Stream5, así que las palabras clave de
TCP basado en regla "flow" y "flowbits" se pueden usar con el tráfico tanto TCP como UDP.
destino y rastreo de
sesiones TCP/UDP
Véase también
Administración de reglas de preprocesador en la página 515
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el panel Tipos de regla del Editor de directivas, haga clic en IPS | Preprocesador.
Véase también
Reglas de preprocesador en la página 514
Reglas de firewall
Las reglas de firewall se usan para detectar los eventos de red en función de la información de los
paquetes, como por ejemplo el protocolo, el puerto o la dirección IP de un dispositivo Nitro IPS.
La directiva de firewall analiza los paquetes entrantes y toma decisiones según la información inicial
encontrada antes de que el paquete se pase al motor de inspección profunda de paquetes (DPI). Las
reglas de firewall bloquean elementos tales como las direcciones IP no válidas o falsificadas. También
rastrean la velocidad y el tamaño del tráfico de red.
• Anomaly (Anomalía): detecta anomalías. Muchas reglas basadas en anomalías coinciden unas con
otras y se utilizan con los valores establecidos en la ficha Variables. Por ejemplo, la regla Duración de
conexión prolongada y la variable Segundos de duración prolongada se emplean juntas para determinar el
número de segundos antes de que se active la regla. Para ver detalles más específicos sobre cada
regla, consulte la sección de detalles en la parte inferior de la página.
• Blacklist (Lista negra): determina la acción que se llevará a cabo con los paquetes que se envían con
origen o destino en una dirección IP o un puerto incluidos en la lista negra.
Detección de anomalías
Ciertas reglas de firewall se basan en la tasa o velocidad. Una regla basada en la tasa es una regla
que solo activa una alerta si el tráfico de la red supera los umbrales definidos por las variables de la
categoría de firewall del Editor de directivas. Los valores predeterminados para estas variables podrían no
tener sentido en el caso del tráfico de su red, así que el Asistente de detección de anomalías según la tasa
proporciona la capacidad de analizar los gráficos de los datos de flujo de la red en relación con estos
parámetros (véase Asistente de detección de anomalías).
Excepciones de firewall
Las excepciones de firewall son necesarias a veces para que ciertos tipos de tráfico puedan pasar por
el firewall cuando, de lo contrario, quedarían bloqueados. Por ejemplo, si una dirección interna válida
procede de fuera de la red, como una red privada virtual (VPN), activa una alerta de direcciones IP
falsas entrantes. A fin de detener la alerta, es necesario configurar una excepción para la regla de
firewall.
También se puede considerar una excepción como una excepción a los patrones definidos en otras
excepciones, creando así una excepción para la lista de excepciones (en otras palabras, incluir una
dirección o un bloque de direcciones). Si es necesario comprobar una dirección con respecto a una
regla de firewall y la dirección IP está en un bloque de direcciones que ya se ha aceptado, se puede
excluir de la lista de excepciones mediante la introducción de la dirección IP (o la máscara) y la
selección de la casilla.
A modo de ejemplo, la lista de excepción ya contiene el bloque de direcciones 10.0.0.0/24. Todas las
direcciones de este intervalo son una excepción a la regla. Si la dirección de origen 10.0.0.1 está
activa para esta regla, seleccione Considerar esto como excepción a los patrones definidos en otras excepciones y
escriba 10.0.0.1 en el campo de origen. La regla de firewall se aplica entonces a 10.0.0.1, pero no al
resto de direcciones del bloque 10.0.0.0/24, ya que 10.0.0.1 es ahora la excepción a la lista de
excepciones.
Véase también
Acceso a reglas de firewall y estándar en la página 226
Adición de una regla de firewall personalizada en la página 516
Adición de excepciones de firewall en la página 518
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Los filtros de la nueva regla se aplicarán y la regla aparecerá en el panel de visualización de reglas. Si
hace clic en el icono de filtrado , se borrará el filtro.
Véase también
Reglas de firewall en la página 227
Adición de excepciones de firewall en la página 518
Página Regla de firewall en la página 517
Véase también
Adición de una regla de firewall personalizada en la página 516
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
2 En el panel de visualización de reglas, haga clic en la regla a la que desee agregar una excepción.
Para que sea más fácil localizar la regla, utilice los filtros del panel Filtros/etiquetado (véase Adición de
reglas de filtrado).
4 Haga clic en Agregar y seleccione o escriba los valores que definen la excepción.
Véase también
Reglas de firewall en la página 227
Adición de una regla de firewall personalizada en la página 516
Página Agregar excepción en la página 518
Página Excepciones de firewall en la página 519
Véase también
Adición de excepciones de firewall en la página 518
Véase también
Adición de excepciones de firewall en la página 518
Por lo general, las reglas predeterminadas son suficientes para proteger la red. No obstante, puede
haber situaciones en las que se necesiten reglas específicas para un entorno o un sistema protegidos.
Es posible agregar reglas de inspección profunda de paquetes (DPI) al ESM (véase Adición de reglas
de inspección profunda de paquetes (DPI)).
Véase también
Adición de reglas de inspección profunda de paquetes (DPI) en la página 520
Adición del atributo de inspección profunda de paquetes (DPI) en la página 521
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Los filtros de la nueva regla se aplicarán y la regla aparecerá en el panel de visualización de reglas. Si
hace clic en el icono de filtro, el filtrado se eliminará y se mostrarán todas las reglas de inspección
profunda de paquetes (DPI).
Véase también
Reglas de inspección profunda de paquetes (DPI) en la página 519
Adición del atributo de inspección profunda de paquetes (DPI) en la página 521
Página Regla de DPI en la página 520
Véase también
Adición de reglas de inspección profunda de paquetes (DPI) en la página 520
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
El nombre y el valor de la opción se agregarán a la tabla Opciones de regla. Seleccione el valor para
editarlo o eliminarlo.
Véase también
Reglas de inspección profunda de paquetes (DPI) en la página 519
Adición de reglas de inspección profunda de paquetes (DPI) en la página 520
Reglas internas
El tipo de regla Interno contiene reglas con ID de firma entre 3 000 000 y 3 999 999, que son alertas
internas y no tienen firmas como otras reglas. Estas reglas solo pueden estar activadas o
desactivadas.
Este tipo de regla solo está disponible cuando se selecciona un dispositivo virtual o Nitro IPS en el
árbol de navegación del sistema.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
3 En la columna Activar, haga clic en Seleccionar todo, No seleccionar nada o bien seleccione reglas
individuales o anule su selección.
Reglas de filtrado
Las reglas de filtrado permiten especificar la acción que se debe realizar cuando el receptor recibe los
datos definidos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
4 Para activar la regla, selecciónela en el panel de visualización de reglas, haga clic en el valor de la
columna Acción y haga clic en activada.
Véase también
Página Agregar regla de filtrado en la página 523
Página Agregar campo de filtro en la página 523
Coincidir todo • Permite escribir la regla sin cadenas de contenido o PCRE. Si selecciona esta
opción, las acciones especificadas en la sección Acción que realizar con esta regla se
realizarán en todos los datos recibidos.
Cadenas de (Opcional) Escriba cadenas de contenido para filtrar los datos recibidos. Cuando los
contenido datos recibidos coincidan con estas cadenas de contenido, se realizará la acción
especificada en este cuadro de diálogo.
• A fin de agregar una cadena, haga clic en Agregar y escríbala.
• Para editar o eliminar una cadena, selecciónela y haga clic en el botón
correspondiente.
PCRE • (Opcional) Escriba una única PCRE para filtrar los datos recibidos. Cuando los
datos recibidos coincidan con esta PCRE, se realizará la acción especificada en
este cuadro de diálogo.
Véase también
Adición de reglas de filtrado en la página 522
Véase también
Adición de reglas de filtrado en la página 522
Con el ASP, es posible escribir reglas para revisar orígenes de registro complejos en sus servidores
Linux y UNIX.
Cuando el sistema recibe un registro de ASP, compara el formato de hora del registro con el formato
especificado en la regla de ASP. Si el formato de hora no coincide, el sistema no procesa el registro.
Para aumentar las posibilidades de que el formato de hora coincida, agregue varios formatos de hora
personalizados (véase Adición del formato de hora a las reglas de ASP).
Si dispone de derechos de Administrador de directivas, puede definir el orden de ejecución de las reglas de
ASP (véase Establecimiento del orden de las reglas de filtrado y ASP).
Véase también
Adición de una regla de ASP personalizada en la página 524
Establecimiento del orden de las reglas de filtrado y ASP en la página 525
Adición de formatos de hora a las reglas de ASP en la página 526
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimientos
• Edición de texto de regla de ASP en la página 525
Si es un usuario avanzado con conocimientos sobre la sintaxis de ASP, puede agregar texto
de regla ASP directamente para no tener que definir la configuración en cada una de las
fichas.
Véase también
Reglas del analizador de syslog avanzado (ASP) en la página 524
Establecimiento del orden de las reglas de filtrado y ASP en la página 525
Adición de formatos de hora a las reglas de ASP en la página 526
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En la consola de ESM, haga clic en el icono del Editor de directivas .
2 En el menú Operaciones, seleccione Ordenar reglas de ASP u Ordenar reglas de filtrado y, a continuación,
seleccione un origen de datos en el campo Tipo de origen de datos.
El panel de la izquierda se rellena con las reglas que estén disponibles para su ordenación. Las
reglas ordenadas aparecen en el panel de la derecha.
3 En las fichas Reglas estándar o Reglas personalizadas, es posible mover una regla desde el panel de la
izquierda al de la derecha (arrástrela y colóquela o bien sírvase de las flechas) y colocarla por
encima o debajo de Reglas sin ordenar.
Reglas sin ordenar representa las reglas del panel de la izquierda, que son aquellas que tienen el orden
predeterminado.
4 Utilice las flechas para reordenar las reglas y, después, haga clic en Aceptar para guardar los
cambios.
Véase también
Reglas del analizador de syslog avanzado (ASP) en la página 524
Adición de una regla de ASP personalizada en la página 524
Adición de formatos de hora a las reglas de ASP en la página 526
Página Ordenar reglas de ASP en la página 525
Página Ordenar reglas de filtrado en la página 526
Véase también
Establecimiento del orden de las reglas de filtrado y ASP en la página 525
Véase también
Establecimiento del orden de las reglas de filtrado y ASP en la página 525
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En la consola de ESM, haga clic en el icono del Editor de directivas .
3 Una vez descargadas las reglas de ASP, realice una de las acciones siguientes:
• Para editar una regla existente, haga clic en ella y, después, en Editar | Modificar.
• Para agregar una regla nueva, haga clic en Nuevo | Regla de analizador de syslog avanzado y, después,
rellene las fichas General, Análisis y Asignación de campos.
4 Haga clic en la ficha Asignación y, después, en el icono situado sobre la tabla Formato de hora.
6 Seleccione los campos de hora que desee que empleen este formato.
Primera vez y Última vez hacen referencia a la primera y la última vez que se generó el evento. También
aparecerá cualquier campo de hora de Tipo personalizado agregado al ESM (véase Filtros de tipos
personalizados).
Véase también
Reglas del analizador de syslog avanzado (ASP) en la página 524
Adición de una regla de ASP personalizada en la página 524
Establecimiento del orden de las reglas de filtrado y ASP en la página 525
Editor Regla de analizador de syslog avanzado en la página 527
Coincidencias de Esta tabla muestra los valores extraídos de los datos de registro de
expresiones regulares muestra cuando se realiza la ejecución con respecto a las
expresiones regulares principal y secundaria.
Incluya el encabezado Seleccione esta opción si desea que la coincidencia con expresiones
de syslog en la regulares se realice con todos los datos de registro al completo.
coincidencia de
expresiones regulares
Datos de registro de Copie y pegue algunos datos de registro de ejemplo en este campo
muestra a fin de crear expresiones regulares válidas.
Véase también
Adición de formatos de hora a las reglas de ASP en la página 526
La opción Origen de datos del panel Tipos de regla solo resulta visible cuando se seleccionan una directiva,
un origen de datos, el Analizador de syslog avanzado o un receptor en el árbol de navegación del sistema. El
área de descripción situada en la parte inferior de la página ofrece información detallada sobre la regla
seleccionada. Todas las reglas tienen una configuración de gravedad que dicta su prioridad asociada.
La prioridad afecta a la forma en que se muestran las alertas generadas para estas reglas con fines de
generación de informes.
Las reglas de origen de datos tienen una acción predeterminada definida. El receptor la asigna al
subtipo de evento asociado a la regla. Es posible cambiar esta acción (véase Establecimiento de
acciones de reglas de origen de datos).
Véase también
Establecimiento de acciones de reglas de origen de datos en la página 530
Administración de reglas de origen de datos de aprendizaje automático en la página 531
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En la consola de ESM, haga clic con el botón derecho del ratón en el icono del Editor de directivas y,
a continuación, seleccione Receptor | Origen de datos en el panel Tipos de regla.
2 Haga clic en la columna Subtipo correspondiente a la regla que desee modificar y, a continuación,
seleccione la nueva acción.
• Seleccione Activar para rellenar el subtipo de evento con la acción predeterminada, alerta.
• Seleccione cualquier otra acción para rellenar el subtipo de evento con dicha acción.
Véase también
Reglas de origen de datos en la página 530
Administración de reglas de origen de datos de aprendizaje automático en la página 531
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
2 En el panel Filtros/etiquetado, haga clic en la barra Opciones avanzadas, situada en la parte inferior del
panel.
3 En la lista desplegable Origen, seleccione definido por el usuario y haga clic en el icono Ejecutar consulta
4 Seleccione la regla que desee editar o eliminar, haga clic en Editar y seleccione Modificar o Eliminar reglas
de aprendizaje automático.
• Si ha seleccionado Modificar, cambie el nombre, la descripción o el ID normalizado y haga clic en
Aceptar.
• Si selecciona Eliminar reglas de aprendizaje automático, seleccione la opción correcta y haga clic en
Aceptar.
Véase también
Reglas de origen de datos en la página 530
Establecimiento de acciones de reglas de origen de datos en la página 530
Página Eliminar reglas de aprendizaje automático en la página 532
Véase también
Administración de reglas de origen de datos de aprendizaje automático en la página 531
Reglas de ADM
McAfee ADM consta de una serie de dispositivos de red con tecnología de motor de ICE para la
inspección profunda de paquetes (Deep Packet Inspection, DPI).
El motor de ICE es una biblioteca de software y una recopilación de módulos de complementos de
protocolo y contenido que puede identificar y extraer contenido a partir del tráfico de red sin procesar
en tiempo real. Es capaz de volver a ensamblar y descodificar por completo el contenido de nivel de
aplicación, para lo cual transforma los crípticos flujos de paquetes de red en contenido fácilmente
legible, como si se leyera en un archivo local.
El motor de ICE puede identificar automáticamente protocolos y tipos de contenido sin necesidad de
confiar en números de puerto de TCP o extensiones de archivo concretos. El motor de ICE no emplea
firmas para realizar los análisis y la descodificación; en su lugar, sus módulos implementan
analizadores completos para cada protocolo o tipo de contenido. Esto tiene como resultado una
identificación y una descodificación extremadamente precisas del contenido, y permite identificar y
extraer el contenido aunque esté comprimido o codificado de cualquier otra forma (es decir, que no
pasa por la red sin cifrar).
Gracias a la identificación y descodificación altamente precisas, el motor de ICE puede ofrecer una
visión del tráfico de red con una profundidad única. Por ejemplo, el motor de ICE podría recibir un
flujo de documento PDF que pasó por la red dentro de un archivo zip a modo de datos adjuntos
codificados en BASE-64 con dirección a una dirección de correo electrónico SMTP y procedente de un
servidor proxy SOCKS.
• Exploits de última generación (por ejemplo, un documento PDF con un ejecutable incrustado).
El ADM también detecta patrones de tráfico malicioso mediante la localización de anomalías en los
protocolos de transporte y aplicación (por ejemplo, una conexión RPC que tiene un formato incorrecto
o que el puerto TCP es 0).
• Protocolos de red de bajo nivel: TCP/IP, UDP, RTP, RPC, SOCKS, DNS, etc.
• Correo web: AOL Mail, Hotmail, Yahoo! Mail, Gmail, Facebook y correo de MySpace
• Archivos de almacenamiento: RAR, ZIP, BZIP, GZIP, Binhex y archivos codificados con UU
• Archivos de imagen: GIF, JPEG, PNG, TIFF, AutoCAD, Photoshop, mapa de bits, Visio, RAW digital e
iconos de Windows
• Archivos de audio: WAV, MIDI, RealAudio, Dolby Digital AC-3, MP3, MP4, MOD, RealAudio,
SHOUTCast, etc.
• Archivos de vídeo: AVI, Flash, QuickTime, Real Media, MPEG-4 , Vivo, Digital Video (DV), MJPEG,
etc.
• Otras aplicaciones y archivos: bases de datos, hojas de cálculo, faxes, aplicaciones web, fuentes,
archivos ejecutables, aplicaciones de Microsoft Office, juegos e incluso herramientas de desarrollo
de software
Conceptos clave
Para comprender cómo funciona el ADM, es fundamental conocer los siguientes conceptos:
• Flujo: un flujo es la conexión de red TCP o UDP. Un flujo podría contener muchas transacciones.
Reglas de DEM
El auténtico poder de McAfee DEM radica en la forma en que captura y normaliza la información
contenida en los paquetes de red.
El DEM también tiene la capacidad de crear reglas complejas mediante expresiones lógicas y regulares
para la coincidencia con patrones, lo cual ofrece la posibilidad de supervisar los mensajes de bases de
datos o aplicaciones casi sin falsos positivos. Los datos normalizados (métricas) varían según la
aplicación, ya que algunos mensajes y protocolos de aplicación tienen más información que otros. Las
expresiones de filtrado se deben crear con cuidado, no solo en cuanto a sintaxis, sino también para
asegurarse de que la métrica sea compatible con la aplicación.
Estos son los tipos de reglas de DEM: base de datos, acceso a datos, descubrimiento y rastreo de
transacciones.
Acceso a datos Las reglas de acceso a datos del DEM proporcionan la capacidad de rastrear rutas
de acceso desconocidas a la base de datos y enviar alertas en tiempo real.
Algunas infracciones habituales en los entornos de base de datos, como que los
desarrolladores de aplicaciones accedan a los sistemas de producción mediante los
ID de inicio de sesión de aplicación, se pueden rastrear con facilidad cuando se
crean las reglas de acceso a datos apropiadas.
3 Comentario
Por ejemplo, spChangeControlStart ‘12345’, ‘mshakir’, ‘reindexing app’
Cuando el DEM detecta la ejecución del proceso spChangeControlStart, no
solamente registra la transacción, sino también los parámetros (ID, nombre,
comentario) a modo de información especial.
Una vez terminado el trabajo, el administrador de base de datos ejecuta el
procedimiento almacenado de etiqueta de fin (spChangeControlEnd) y, si procede,
incluye un parámetro de ID, que debe ser el mismo que el ID de la etiqueta de
inicio. Cuando el DEM detecta la etiqueta de fin (y el ID), puede agrupar todas las
actividades entre la etiqueta de inicio (que tiene el mismo ID) y la etiqueta de fin
como una transacción especial. Entonces es posible informar por transacciones y
buscar por ID, que en este ejemplo de conciliación de órdenes de trabajo podría
ser el número de control de cambio.
También es posible utilizar el rastreo de transacciones para registrar el inicio y el
fin de una ejecución de orden o las sentencias de inicio y confirmación a fin de
informar mediante transacciones en lugar de consultas.
Véase también
Referencias de métricas para reglas de DEM en la página 536
Desviación de hora Captura las desviaciones con respecto a la hora del MSSQL, Oracle, DB2,
de inicio servidor. Sybase, MySQL, PostgreSQL,
Teradata, PIServer,
InterSystems Cache
Nombre del cliente Nombre del equipo cliente. MSSQL, Oracle, DB2,
Sybase, Informix, PIServer,
InterSystems Cache
PID del cliente ID de proceso asignado por el sistema operativo al MSSQL, DB2, Sybase,
proceso del cliente. MySQL
Puerto del cliente Número de puerto de la conexión de socket del MSSQL, Oracle, DB2,
cliente. Sybase, MySQL, Informix,
PostgreSQL, Teradata,
PIServer, InterSystems
Cache
Datos entrantes Número total de bytes del paquete de consulta MSSQL, Oracle, DB2,
entrante. Sybase, MySQL, Informix,
PostgreSQL, Teradata,
PIServer, InterSystems
Cache
Datos salientes Número total de bytes del paquete de resultado MSSQL, Oracle, DB2,
saliente. Sybase, MySQL, Informix,
PostgreSQL, Teradata,
PIServer, InterSystems
Cache
Mensaje de error Contiene el texto de mensaje asociado con las DB2, Informix
variables SQLCODE y SQLSTATE de la estructura de
datos SQLCA, que proporciona información sobre el
éxito o el fracaso de las sentencias SQL solicitadas.
Número de mensaje Un número de mensaje exclusivo asignado por el MSSQL, Oracle, Sybase,
servidor de base de datos a cada error. MySQL, Informix,
PostgreSQL, Teradata,
InterSystems Cache
Gravedad del Número de nivel de gravedad entre 10 y 24 que MSSQL, Sybase, Informix
mensaje indica el tipo y la gravedad del problema.
Hora de red Tiempo que se tarda en enviar el conjunto de MSSQL, Oracle, DB2,
resultados de vuelta al cliente (response_time - Sybase, MySQL, Informix,
server_response_time). PostgreSQL, Teradata,
PIServer, InterSystems
Cache
Nombre de cliente Nombre del equipo Windows donde el usuario inició MSSQL
de NT la sesión.
Paquetes entrantes Número de paquetes que componen la consulta. MSSQL, Oracle, DB2,
Sybase, MySQL, Informix,
PostgreSQL, Teradata,
PIServer, InterSystems
Cache
Número de consulta Un número exclusivo asignado a cada consulta por el MSSQL, Oracle, DB2,
agente de supervisión AuditProbe; empieza desde Sybase, MySQL, PostgreSQL,
cero para la primera consulta y va aumentando de Teradata, PIServer,
uno en uno. InterSystems Cache
Texto de consulta La consulta SQL real enviada por el cliente. MSSQL, Oracle, DB2,
Sybase, MySQL, Informix,
PostgreSQL, Teradata,
PIServer, InterSystems
Cache
Tipo de consulta Un número entero asignado a los distintos tipos de MSSQL, Oracle, Sybase
consultas.
IP del servidor Dirección IP del host del servidor de base de datos. MSSQL, Oracle, DB2,
Sybase, MySQL, Informix,
PostgreSQL, Teradata,
InterSystems Cache
Nombre del servidor Se trata del nombre del servidor. El nombre de host MSSQL, Oracle, DB2,
se asigna como nombre de servidor de forma Sybase, Informix, PIServer,
predeterminada. InterSystems Cache
Puerto del servidor Número de puerto del servidor. MSSQL, Oracle, DB2,
Sybase, MySQL, Informix,
PostgreSQL, Teradata,
InterSystems Cache
Tiempo de respuesta Respuesta inicial del servidor de base de datos a la MSSQL, Oracle, DB2,
del servidor consulta del cliente. Sybase, MySQL, Informix,
PostgreSQL, Teradata,
PIServer, InterSystems
Cache
Nombre de usuario Nombre de inicio de sesión de usuario de la base de MSSQL, Oracle, DB2,
datos. Sybase, MySQL, Informix,
PostgreSQL, Teradata,
PIServer, InterSystems
Cache
Véase también
Reglas de DEM en la página 534
Reglas de correlación
La finalidad principal del motor de correlación es analizar los datos que fluyen del ESM, detectar
patrones interesantes en el flujo de datos, generar alertas que representen esos patrones e insertar
las alertas en la base de datos de alertas del receptor. El motor de correlación se activa cuando se
configura un origen de datos de correlación.
Dentro del motor de correlación, un patrón interesante tiene como resultado datos interpretados por
una regla de correlación. Una regla de correlación es distinta e independiente de una regla estándar o
de firewall, y dispone de un atributo que especifica su comportamiento. Cada receptor obtiene un
grupo de reglas de correlación de un ESM (grupo de reglas de correlación desplegado), el cual se
compone de cero o más reglas de correlación con un conjunto cualquiera de valores de parámetros
definidos por el usuario. Al igual que en el caso de los grupos de reglas estándar y de firewall, se
incluirá un grupo de reglas de correlación de base en cada ESM (grupo de reglas de correlación básico)
y las actualizaciones de este grupo de reglas se desplegarán en los dispositivos ESM desde el servidor
de actualización de reglas.
Las reglas del servidor de actualización de reglas incluyen valores predeterminados. Cuando se actualiza
el grupo de reglas básico del motor de correlación, es necesario personalizar estos valores
predeterminados para que representen la red de forma apropiada. Si despliega estas reglas sin cambiar
los valores predeterminados, pueden generar falsos positivos o falsos negativos.
Solo se puede configurar un origen de datos de correlación por cada receptor, de forma similar a la
configuración de syslog u OPSEC. Una vez configurado el origen de datos de correlación, se puede
editar el grupo de reglas de base a fin de crear el grupo de reglas de correlación desplegado mediante
el Editor de reglas de correlación. Cabe la posibilidad de activar o desactivar cada regla de correlación y
establecer el valor de los parámetros definibles por el usuario de cada regla.
Además de activar o desactivar las reglas de correlación, el Editor de reglas de correlación permite crear
reglas personalizadas y crear componentes de correlación personalizados que se pueden agregar a las
reglas de correlación.
Véase también
Visualización de los detalles de las reglas de correlación en la página 541
Configuración de una regla de correlación para comparar dos campos en un evento en la
página 541
Omisión de Agrupar por en la página 542
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 Configurar cada una de las reglas para que los detalles se muestren de inmediato:
a En la consola de ESM, haga clic en el icono de inicio rápido Correlación .
b En la lista de vistas, seleccione Vistas de eventos | Análisis de eventos y haga clic en el evento que
desee ver.
Véase también
Reglas de correlación en la página 540
Configuración de una regla de correlación para comparar dos campos en un evento en la
página 541
Omisión de Agrupar por en la página 542
En el caso de los campos numéricos, se admiten los operadores mayor que (>), menor que (<),
mayor o igual que (>=) y menor o igual que (<=).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En la consola de ESM, haga clic en el icono del Editor de directivas .
2 En el panel Tipos de regla, seleccione Correlación, haga clic en la regla que desee utilizar para comparar
campos y, después, haga clic en Editar | Modificar.
3
Haga clic en el icono de menú de un componente lógico y, después, haga clic en Editar.
4 En el área de filtrado, haga clic en Agregar, agregue un filtro nuevo o seleccione un filtro existente y
haga clic en Editar.
5
Haga clic en el icono del Editor de valores predeterminados , escriba el valor y haga clic en Agregar;
después, seleccione el campo en la ficha Campos y haga clic en Agregar.
Véase también
Reglas de correlación en la página 540
Visualización de los detalles de las reglas de correlación en la página 541
Omisión de Agrupar por en la página 542
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En la consola de ESM, haga clic en el icono del Editor de directivas .
2 Haga clic en Correlación en el panel Tipos de regla, seleccione una regla y haga clic en Editar | Modificar.
3 Arrastre y coloque el elemento lógico Coincidir componente en el área Lógica de correlación y, después,
haga clic en el icono de menú o en el icono de menú de un elemento Coincidir componente
existente en el área Lógica de correlación.
4 Seleccione editar, haga clic en Opciones avanzadas y, después, seleccione Omitir Agrupar por y haga clic en
Configurar.
5 En la página Configurar omisiones de Agrupar por, seleccione el campo de omisión y haga clic en Aceptar.
Véase también
Reglas de correlación en la página 540
Visualización de los detalles de las reglas de correlación en la página 541
Configuración de una regla de correlación para comparar dos campos en un evento en la
página 541
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el panel Tipos de regla del Editor de directivas, seleccione ADM, DEM | Base de datos o Correlación.
Procedimientos
• Adición de parámetros a un componente o una regla de correlación en la página 547
Los parámetros de una regla o un componente controlan su comportamiento cuando se
ejecutan. Los parámetros no son necesarios.
• Adición o edición de una regla de acceso a datos en la página 551
Las directivas de acceso a datos de DEM proporcionan la capacidad de rastrear rutas de
acceso desconocidas a la base de datos y enviar eventos en tiempo real.
• Adición o edición de una regla de rastreo de transacciones en la página 552
Las reglas de rastreo de transacciones rastrean las transacciones de la base de datos y
concilian automáticamente los cambios, además de registrar el inicio y el fin de una
ejecución de orden o las sentencias de inicio y confirmación a fin de informar mediante
transacciones en lugar de consultas.
• Administración de reglas de correlación, DEM o ADM personalizadas en la página 553
Copie una regla predefinida y utilícela como plantilla para crear una regla personalizada. Al
agregar una regla personalizada, es posible editar la configuración, copiarla y pegarla a fin
de emplearla a modo de plantilla para una regla personalizada nueva, o bien eliminarla.
• Configuración de la regla y el informe para las pistas de auditoría de base de datos en la
página 554
Un informe de tipo Pistas de auditoría de usuario con privilegios permite ver la pista de auditoría de
las modificaciones realizadas en la base de datos o rastrear el acceso a una base de datos o
tabla asociadas con un evento de base de datos concreto.
Véase también
Editor de reglas de base de datos en la página 543
Editor de reglas de correlación en la página 544
Página Coincidir componente en la página 545
Página Componente de expresión en la página 545
Área Lógica de expresión Arrastre y suelte componentes y elementos lógicos en esta área para
definir la lógica de la regla.
Elementos lógicos AND y Arrastre y suelte elementos lógicos en el área Lógica de expresión para definir
OR la lógica de la regla.
Icono Componente de Arrastre y suelte el icono para definir los detalles de los elementos
lógicos.
expresión
Descripción Escriba una descripción de la regla, la cual aparecerá en el área de
descripción del Editor de directivas al seleccionarla.
Véase también
Adición de reglas de correlación, base de datos o ADM personalizadas en la página 542
Área Lógica de correlación Arrastre y suelte componentes y elementos lógicos en esta área para
definir la lógica de la regla (véase Ejemplo de regla de correlación
personalizada).
Parámetros Personalice las instancias de una regla y la reutilización de componentes
(véase Adición de parámetros a un componente o una regla de
correlación).
Elementos lógicos AND, Arrastre y suelte los elementos lógicos en el área Lógica de correlación para
OR y SET definir la lógica de la regla.
Iconos Coincidir componente, Arrastre y suelte componentes para definir los detalles de los elementos
Componente de desviación y lógicos.
Reglas/componentes
Descripción Agregue una descripción de la regla, la cual aparecerá en el área de
descripción del Editor de directivas al hacer clic en ella.
Véase también
Adición de reglas de correlación, base de datos o ADM personalizadas en la página 542
Este componente Seleccione esta opción si desea que el componente solo se active si
solo debe activarse no se producen coincidencias en el período de tiempo especificado
si... en el campo Período de tiempo en el nivel de puerta.
Omitir Agrupar por Seleccione esta opción para personalizar la agrupación de los
eventos en una regla de correlación. Si dispone de una regla que
agrupa según un campo específico, puede omitir uno de sus
componentes para que la coincidencia se produzca con un campo
especificado en la página Configurar omisiones de Agrupar por. Haga clic en
Configurar para establecer el campo de omisión (véase Omisión de
Agrupar por).
Véase también
Adición de reglas de correlación, base de datos o ADM personalizadas en la página 542
Valores de Indique si la regla se activará cuando cualquiera de los valores coincida con el
coincidencia patrón definido o solamente cuando todos los valores coincidan con el patrón.
Valor (ADM) Seleccione las variables por las que filtrar.
• Si hay un icono de variables junto al campo, haga clic en él y seleccione las
variables.
• En caso contrario, escriba el valor según las instrucciones del campo Entrada válida.
(DEM) Introduzca el valor por el que filtrar.
Entrada válida Permite ver sugerencias sobre los valores que se pueden introducir en el campo
Valor.
Véase también
Adición de reglas de correlación, base de datos o ADM personalizadas en la página 542
Elementos lógicos
Cuando agregue un Application Data Monitor (ADM), una base de datos y un componente o una regla
de correlación, utilice Lógica de expresión o Lógica de correlación para crear el marco de la regla.
Elemento Descripción
AND Funciona igual que un operador lógico en un lenguaje informático. Todo lo agrupado bajo
este elemento lógico debe ser verdadero para que la condición sea verdadera. Use esta
opción si desea que se cumplan todas las condiciones bajo este elemento lógico antes de
que se active una regla.
OR Funciona igual que un operador lógico en un lenguaje informático. Solo una de las
condiciones agrupadas bajo este elemento tiene que ser verdadera para que la condición
sea verdadera. Use este elemento si desea que se active la regla cuando se cumpla una
de las condiciones.
SET En el caso de los componentes o las reglas de correlación, SET permite definir
condiciones y seleccionar el número de condiciones que deben ser verdaderas para que
se active la regla. Por ejemplo, si se deben cumplir dos de las tres condiciones del
conjunto para que se active la regla, la configuración será "2 de 3".
Cada uno de estos elementos dispone de un menú con al menos dos de estas opciones:
• Quitar elemento lógico: permite eliminar el elemento lógico seleccionado. En caso de existir elementos
secundarios no se eliminan, sino que se mueven hacia arriba en la jerarquía.
Esto no se aplica al elemento raíz (el primero de la jerarquía). Si se elimina el elemento raíz,
también se eliminan todos los elementos secundarios.
• Quitar el elemento lógico y todos sus elementos secundarios: es posible eliminar el elemento seleccionado y
todos sus elementos secundarios de la jerarquía.
Al establecer la lógica de la regla, es necesario agregar componentes a fin de definir las condiciones
para la regla. En el caso de las reglas de correlación, también se pueden agregar parámetros para
controlar el comportamiento de la regla o el componente cuando se ejecuten.
Véase también
Adición de una alarma de Coincidencia de campo en la página 375
Edición de elementos lógicos en la página 547
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el editor de reglas, arrastre y suelte un elemento lógico en las áreas Lógica de expresión o Lógica de
correlación.
2
Haga clic en el icono Menú correspondiente al elemento que desee editar y, después, haga clic
en Editar.
Véase también
Elementos lógicos en la página 377
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
3 Seleccione el tipo de parámetro que desee y, después, seleccione los valores o anule su selección.
Los valores de Lista e Intervalo no se pueden usar al mismo tiempo. Un valor de lista no puede incluir
un intervalo (1–6 8, 10, 13). La forma correcta de escribir esto es 1, 2, 3, 4, 5, 6, 8, 10, 13.
4 Para seleccionar el valor predeterminado del parámetro, haga clic en el icono Editor de valores
predeterminados .
5 Si no desea que el parámetro resulte visible de forma externa, anule la selección de la opción Visible
externamente. El parámetro es local en cuanto al ámbito de la regla.
6 Escriba una descripción del parámetro, que aparecerá en el cuadro de texto Descripción de la página
Parámetros de regla al resaltar el parámetro.
Véase también
Página Agregar parámetro en la página 548
Página Editor de valores en la página 548
Página Parámetros de regla en la página 549
Página Reglas/componentes en la página 549
Véase también
Adición de parámetros a un componente o una regla de correlación en la página 547
Véase también
Adición de parámetros a un componente o una regla de correlación en la página 547
Véase también
Adición de parámetros a un componente o una regla de correlación en la página 547
Página Reglas/componentes
La página Reglas/componentes indica las reglas y los componentes a los que se puede hacer referencia
desde el componente o la regla de correlación.
Tabla 10-24 Definiciones de opciones
Opción Definición
Tabla Seleccione la regla o el componente a los que desee hacer referencia.
Descripción Muestra una descripción de la regla o el componente seleccionados.
Véase también
Adición de parámetros a un componente o una regla de correlación en la página 547
La regla que vamos a agregar en este ejemplo genera una alerta cuando el ESM detecta cinco intentos
de inicio de sesión fallidos de un mismo origen en un sistema Windows, seguidos por un inicio de
sesión correcto, todo ello en un plazo de diez minutos.
Ya que un evento generado por esta regla podría indicar que una persona no autorizada ha accedido
al sistema, un valor de gravedad adecuado sería 80.
Se utiliza AND porque hay dos tipos de acciones que deben llevarse a cabo (primero los intentos de
inicio de sesión y luego un inicio de sesión correcto).
5
Haga clic en el icono Menú y seleccione Editar.
6 Seleccione Secuencia para indicar que las acciones (primero cinco intentos de inicio de sesión fallidos
y después un inicio de sesión correcto) deben producirse en una secuencia; después, establezca el
número de veces que se debe producir esta secuencia, que este caso sería "1".
7 Establezca el periodo de tiempo en que se deben producir las acciones y haga clic en Aceptar.
Ya que existen dos acciones que requieren periodos de tiempo, el periodo de diez minutos debe
dividirse entre las dos. En este ejemplo, cinco minutos es el periodo de tiempo para cada acción.
Una vez que se han producido los intentos fallidos en un plazo de cinco minutos, el sistema empieza
a esperar un inicio de sesión correcto del mismo origen de IP en los siguientes cinco minutos.
8 En el campo Agrupar por, haga clic en el icono, mueva la opción IP de origen de la izquierda a la derecha
para indicar que todas las acciones deben proceder de la misma IP de origen y, después, haga clic
en Aceptar.
Defina el segundo tipo 1 Arrastre y suelte el icono Filtro en la parte inferior del corchete
de filtro que debe correspondiente al primer elemento lógico AND.
utilizarse, que es el
inicio de sesión 2 En la página Coincidir componente, haga clic en Agregar.
correcto.
3 En los campos, seleccione Regla de normalización | En y, después, seleccione:
• Normalización
• Autenticación
• Inicio de sesión
• Inicio de sesión de host
4 Haga clic en Aceptar para volver a la página Coincidir componente.
5 Para definir que el inicio de sesión debe ser correcto, haga clic en Agregar,
seleccione Subtipo de evento | En, haga clic en el icono Variables y haga clic en
Subtipo de evento | correcto | Agregar.
6 Haga clic en Aceptar para volver al Editor de directivas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el panel Tipos de regla del Editor de directivas, seleccione DEM | Acceso a datos.
• Para editar una regla, selecciónela en el panel de la pantalla de reglas y haga clic en Editar |
Modificar.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
• Para editar una regla, selecciónela en el panel de la pantalla de reglas y haga clic en Editar |
Modificar.
Procedimientos
• Página Regla de rastreo de transacciones en la página 552
Permite agregar o editar una regla de rastreo de transacciones.
Véase también
Página Regla de rastreo de transacciones en la página 552
Véase también
Adición o edición de una regla de rastreo de transacciones en la página 552
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el Editor de directivas, seleccione ADM o DEM | Base de datos, Acceso a datos o Rastreo de transacciones.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el panel Tipos de regla del Editor de directivas, seleccione DEM | Acceso a datos.
2 Resalte DEM - Regla de plantilla - Acceso de uso de confianza desde intervalo de IP en el panel de visualización de
reglas.
5
Haga clic en el icono Desplegar .
6 Configure el informe:
a En Propiedades del sistema, haga clic en Informes | Agregar.
d En la sección 5, seleccione Conformidad | SOX | Pistas de auditoría de usuario con privilegios (Base de datos).
Reglas de ESM
Las reglas de ESM se emplean para generar eventos relacionados con el ESM.
Todas las reglas de este tipo están definidas por McAfee. Se pueden utilizar para generar informes de
conformidad o auditoría que muestren lo que ha ocurrido en el ESM. No es posible agregar, modificar
ni eliminar estas reglas. Sin embargo, es posible cambiar la configuración de las propiedades (véase
Tipos de reglas y sus propiedades).
Normalización
Cada proveedor pone nombre a sus reglas y las describe. Como resultado, a menudo un mismo tipo
de regla tiene distintos nombres, lo cual dificulta la recopilación de información sobre los tipos de
eventos que se producen.
McAfee ha compilado y actualiza de forma constante una lista de ID normalizados que describen las
reglas, de forma que los eventos se puedan agrupar en categorías útiles. Cuando se hace clic en
Normalización en el panel Tipos de regla del Editor de directivas, aparecen estos ID, nombres y descripciones.
Estas funciones de evento ofrecen la opción de organizar la información sobre eventos mediante ID
normalizados:
• Ver campos de componentes: Resumen de evento normalizado es una opción disponible al definir los
campos para una consulta de evento en un gráfico circular, un gráfico de barras y los componentes
de lista (véase Administración de consultas).
• Ver filtros de componentes: cuando se crea una vista nueva, es posible filtrar los datos de eventos
en un componente por los ID normalizados (véase Administración de consultas).
• Ver filtros: ID normalizado es una opción presente en la lista de filtros de vista (véase Filtrado de
vistas).
• Ver lista: hay disponible una vista Resumen de evento normalizado en la lista de Vistas de evento.
La ficha Detalles de la vista Análisis de eventos muestra el ID de normalización de los eventos que aparecen
en la lista.
• Filtrar por los ID de una carpeta de segundo o tercer nivel. Se incluye una máscara (/12 para una
carpeta de segundo nivel y /18 para una carpeta de tercer nivel) al final del ID para indicar que los
eventos se filtrarán según los ID secundarios de la subcarpeta seleccionada. El cuarto nivel no
dispone de máscara.
• Filtrar por varias carpetas o ID al mismo tiempo mediante su selección con las teclas Ctrl o Mayús.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En la consola de ESM, haga clic en el icono del Editor de directivas .
2 En el panel Tipos de regla, haga clic en el tipo de regla al que desee acceder y, después, localice la
regla en el panel de visualización de reglas.
3 Haga clic en la configuración actual de la columna Copiar paquete, que es desactivado de forma
predeterminada, y haga clic en activado.
La activación del Modo de solo alertas no cambia la configuración de uso individual de las reglas
individuales en el Editor de directivas. Por ejemplo, cuando está activado, podría enviarse una regla al
dispositivo Nitro IPS o el dispositivo virtual con el uso de alertas aunque su uso en el Editor de directivas
esté establecido en supresión (con la excepción de que un grupo de reglas esté establecido con el valor
paso, en cuyo caso permanece igual en este modo). Esto permite activar y desactivar con facilidad el
Modo de solo alertas sin que ello afecte a la configuración de directiva. El Modo de solo alertas no afecta a las
reglas desactivadas. Las reglas nunca se envían a un dispositivo cuando están configuradas con el
valor Desactivar.
Véase también
Activación del Modo de solo alertas en la página 556
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el Editor de directivas, haga clic en el icono Configuración .
Procedimientos
• Página Configuración en la página 557
Permite definir la configuración para el modo de solo alertas, el modo de sobresuscripción y
las actualizaciones de reglas.
Véase también
Modo de solo alertas en la página 556
Página Configuración en la página 557
Página Configuración
Permite definir la configuración para el modo de solo alertas, el modo de sobresuscripción y las
actualizaciones de reglas.
Tabla 10-26 Definiciones de opciones
Opción Definición
Modo de solo alertas Cuando está activado, es posible enviar todas las reglas activadas a los
dispositivos con el uso de alertas, incluso si la regla está establecida con una
acción de bloqueo, como por ejemplo la supresión.
Modo de sobresuscripción Defina cómo se gestionarán los paquetes si se supera la capacidad del
dispositivo.
Actualización de reglas Permite configurar actualizaciones de reglas automáticas, recuperar
manualmente una actualización o actualizar las credenciales utilizadas para
descargar actualizaciones de reglas.
Estado Ver un resumen del estado de actualización de los dispositivos incluidos en el
árbol de directivas.
• Actualizado: no se han realizado cambios en el Editor de directivas desde la última
vez que se desplegó la directiva en los dispositivos.
• Sin actualizar: se han realizado cambios desde la última vez que se desplegó la
directiva.
• Despliegue automático: la directiva tiene el despliegue automático planificado con
una fecha y hora concretas.
Véase también
Activación del Modo de solo alertas en la página 556
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el Editor de directivas, haga clic en el icono Configuración .
b Con la supresión (supresión o 0) se eliminan los paquetes que superan la capacidad del
dispositivo.
c Para dejar pasar o eliminar un paquete sin generar un evento, introduzca spass o sdrop.
A partir de la versión 8.1.0, cambiar el Modo de sobresuscripción afecta al dispositivo y a sus elementos
secundarios (dispositivos virtuales). A fin de que este cambio se aplique, es necesario cambiar el
modo en el dispositivo principal.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el Editor de directivas, haga clic en el icono Configuración .
2 En el campo Estado, observe el número de dispositivos que están actualizados, sin actualizar y
planificados para un despliegue automático.
Administración de reglas
Es posible visualizar, copiar y pegar las reglas de ADM, DEM, DPI, Analizador de syslog avanzado y Correlación.
Las reglas personalizadas de estos tipos se pueden modificar o eliminar. Las reglas estándar se pueden
modificar, pero deben guardarse como una nueva regla personalizada.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla con el que desee trabajar.
consulta .
Véase también
Página Editor de directivas en la página 507
Véase también
Administración de directivas en el Árbol de directivas en la página 505
Administración de reglas en la página 558
Importación de reglas
Es posible importar un conjunto de reglas exportado de otro ESM y guardarlo en su ESM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el panel Tipos de regla del Editor de directivas, haga clic en el tipo de directiva o reglas que desee
importar.
3 Haga clic en Importar reglas, navegue hasta el archivo que desee importar y seleccione Cargar.
4 En la página Importar reglas, seleccione la acción que se debe realizar si las reglas importadas tienen
el mismo ID que las existentes.
5 Haga clic en Aceptar para importar las reglas, resolviendo los conflictos para ello tal y como se
indica.
El contenido del archivo se revisa y se activan o desactivan las opciones apropiadas en función del
contenido del archivo seleccionado.
Véase también
Conflictos durante la importación de reglas de correlación en la página 561
Página Importar reglas en la página 560
Véase también
Importación de reglas en la página 560
Los conflictos se resuelven mediante la creación de los elementos necesarios a los que se hace
referencia (manualmente o a través de la importación, si procede) o la edición de la regla de
correlación para cambiar las referencias dentro de la regla.
Si hay reglas en conflicto, aparece una página inmediatamente tras el proceso de importación que
indica qué reglas hay en conflicto o cuáles han fallado. Las reglas se pueden editar para resolver
conflictos desde esa página, o bien se puede cerrar la página. Las reglas en conflicto se marcan con un
icono de signo de exclamación que indica su estado. La edición de una regla en conflicto en el editor
de reglas se realiza por medio de un botón que, al hacer clic en él, muestra los detalles del conflicto
en el caso de esa regla.
Véase también
Importación de reglas en la página 560
Importación de variables
Es posible importar un archivo de variables y cambiar su tipo. Si existen conflictos, la variable nueva
se cambia de nombre automáticamente.
Antes de empezar
Configure el archivo que desee importar.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
2 Haga clic en Archivo | Importar | Variables y desplácese hasta el archivo de variables y haga clic en
Cargar.
Si existen conflictos o errores en el archivo, se abrirá la página Importar: registro de errores para
informar de cada problema.
3 En la página Importar variable(s), haga clic en Editar para cambiar el Tipo de las variables seleccionadas.
Exportación de reglas
Es posible exportar reglas personalizadas o todas las reglas de una directiva y, después, importarlas a
otro ESM.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el panel Tipos de regla del Editor de directivas, haga clic en el tipo de regla que desee exportar.
d
Haga clic en el icono Ejecutar consulta .
3 Seleccione las reglas que desee exportar y haga clic en Archivo | Exportar | Reglas.
4 En la página Exportar reglas, seleccione el formato que se utilizará al exportar las reglas.
5 En la página Descargar, haga clic en Sí, seleccione la ubicación y, por último, haga clic en Guardar.
Si abre el archivo CSV mediante Microsoft Excel, algunos de los caracteres UTF-8 podrían dañarse.
Para corregir este problema, abra el Asistente para importar texto en Excel y seleccione Delimitados y Coma.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el panel Tipos de regla del Editor de directivas, amplíe IPS y seleccione el tipo de regla. Por ejemplo, a
fin de configurar las reglas de virus para la inclusión automática, seleccione DPI.
2 En la ficha Filtros del panel Filtros/etiquetado, seleccione el filtro. Siguiendo con el ejemplo anterior,
seleccione Virus.
4 Haga clic en el encabezado de la columna Lista negra o seleccione las reglas en la lista y, después,
haga clic en IP o IP y puerto.
5
Despliegue los cambios; para ello, haga clic en el icono Desplegar de la esquina superior derecha
y, después, cierre el Editor de directivas.
6 En el árbol de navegación del sistema, seleccione un dispositivo virtual o Nitro IPS y haga clic en el
icono Propiedades .
8 En la página Configuración de lista negra automática, defina la configuración y haga clic en Aceptar.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla que desee filtrar.
consulta .
Solo se mostrarán las reglas que coincidan con todos los filtros.
Buscar una etiqueta 1 Escriba el nombre de la etiqueta en el campo Escriba aquí para buscar
concreta una etiqueta.
2 Seleccione la opción que prefiera en la lista de opciones.
Ordenar las reglas por su • Haga clic en el icono Ordenar por hora en la barra de herramientas
hora de creación y, después, en el icono Ejecutar consulta.
Borrar los filtros • Haga clic en el icono del filtro naranja en la barra de título del
panel de visualización de reglas .
Los filtros se borrarán y todas las reglas aparecerán de nuevo en el
panel de visualización de reglas.
Filtrar por ID de firma 1 Haga clic en la barra Avanzadas en la parte inferior del panel Filtro.
Comparar las diferencias • En el panel Avanzadas, seleccione Ver excepciones y, después, haga clic
en la configuración de en el icono Ejecutar consulta.
directiva de un tipo de
regla y su elemento
principal inmediato
Filtrar por Gravedad, Lista • Seleccione el filtro en la lista desplegable de cada uno de esos
negra, Agregación, Copiar campos.
paquete, Origen y Estado
de regla
Ver solo las reglas • Seleccione definido por el usuario en el campo Origen del panel Opciones
personalizadas avanzadas y, después, haga clic en el icono Ejecutar consulta.
Ver las reglas creadas en 1 Haga clic en el icono del calendario situado junto al campo Hora del
un periodo de tiempo panel Avanzadas.
concreto
2 En la página Hora personalizada, seleccione las horas de inicio y
detención, haga clic en Aceptar y, después, haga clic en el icono
Ejecutar consulta.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla que desee ver.
4 Para ver el resumen de una firma, haga clic en los vínculos de la sección Firmas de la pantalla.
Procedimiento
Véase Omisión de la acción en las reglas descargadas a fin de configurar las omisiones para las acciones
realizadas cuando se recuperan reglas del servidor.
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el Editor de directivas, haga clic en el icono Configuración .
3 Establezca el ESM para que recupere las actualizaciones de forma automática o compruebe la
existencia de actualizaciones inmediatamente.
4
Si se descargaron las actualizaciones manualmente, haga clic en el icono Desplegar para
aplicarlas.
b En el campo Estado de regla, seleccione Actualizado, Nuevo o Actualizado/Nuevo para indicar el tipo de
reglas actualizadas que desea ver.
c
Haga clic en el icono Ejecutar consulta .
Las reglas actualizadas se mostrarán con el icono del estallido si se han agregado o con un signo
Véase también
Página Actualización de reglas en la página 565
horas, minutos Seleccione la frecuencia con la que desea que el sistema busque
actualizaciones.
Comprobar ahora Comprobar la existencia de actualizaciones de reglas y descargarlas ahora.
Véase también
Recuperación de actualizaciones de regla en la página 565
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla que desee borrar.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el árbol de navegación del sistema, haga clic en un dispositivo Nitro IPS, Event Receiver, ADM o
DEM.
2
Haga clic en el icono del Editor de directivas en la barra de herramientas de acciones y, después,
haga clic en Herramientas | Comparar archivos de regla.
3 En la página Comparar archivos de regla, realice las selecciones y, después, haga clic en Comparar.
Si los dos archivos resultantes son inferiores a 15,5 MB aproximadamente, aparecerán en la tabla
Comparar archivos de regla. Si cualquiera de los archivos tiene un tamaño superior, se le solicitará que
descargue ambos archivos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
2 En la página Historial de reglas, visualice los cambios realizados en las reglas o haga clic en la ficha
Versión de regla para ver la última versión de cada regla.
Véase también
Página Historial de reglas en la página 567
Véase también
Visualización del historial de cambios de reglas en la página 567
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla y, después, seleccione las
reglas que desee incluir en la lista de vigilancia.
Véase Adición de una lista de vigilancia para agregar una lista de vigilancia dinámica.
4 Seleccione el tipo de datos que controlará la lista de vigilancia y, después, seleccione el usuario
asignado.
Un usuario con privilegios de administrador puede asignar una lista de vigilancia a cualquier usuario
o grupo del sistema. Si no dispone de privilegios de administrador, solo puede asignarse listas de
control a sí mismo o a los grupos de los que sea miembro.
• Para agregar valores individuales, escriba un valor por línea en el cuadro Valores.
6 Si desea recibir una alarma cuando se genere un evento que contenga cualquiera de los valores de
la lista de vigilancia, haga clic en Crear alarma.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
2 Seleccione las reglas que desee adjuntar a la lista de vigilancia en el panel de visualización de
reglas.
4 Seleccione la lista de vigilancia a la que desee adjuntar las reglas y haga clic en Aceptar.
Véase también
Página Adjuntar a lista de control en la página 569
Véase también
Adición de reglas a una lista de vigilancia en la página 568
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla que desee etiquetar.
Agregar una nueva 1 Haga clic en la categoría en la que desee agregar la etiqueta y, después,
etiqueta
haga clic en el icono Nueva etiqueta .
2 Escriba el nombre de la etiqueta.
3 Si desea que esta etiqueta se utilice en el cálculo de la gravedad de
eventos, seleccione Usar etiqueta para el cálculo de gravedad de eventos y haga clic
en Aceptar.
Eliminar una 1 Resalte la etiqueta que desee eliminar y haga clic en el icono Quitar etiqueta
etiqueta
personalizada .
2 Haga clic en Sí para confirmarlo.
Procedimientos
• Página Selección de etiquetas en la página 570
Permite seleccionar las etiquetas para definir las categorías cuando se agrega una regla.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
4 Seleccione los tipos de campos que desee agregar mediante las listas desplegables Campo 2 y Campo
3.
Los campos seleccionados deben ser de tipos distintos para que no se produzca un error.
6 Si ha realizado cambios que afecten a la forma en que se agregan los dispositivos, se le preguntará
si desea desplegar los cambios. Haga lo siguiente:
a Haga clic en Sí.
b Si fuera necesario, anule la selección de los dispositivos a los que no desee aplicar los cambios.
La columna Estado reflejará el estado de la actualización a medida que se desplieguen los cambios.
Véase también
Página Modificar configuración de agregación en la página 571
Véase también
Modificación de la configuración de agregación en la página 570
Página Nueva configuración de reglas en la página 572
Página Agregar omisión en la página 572
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 En el Editor de directivas, haga clic en Herramientas y después seleccione Nueva configuración de reglas.
La página Nueva configuración de reglas indica las omisiones que existen para la Directiva predeterminada.
Véase también
Página Modificar configuración de agregación en la página 571
Campo Tipo de regla Seleccione el tipo de regla a la que desee que se aplique la omisión.
Acción de regla Indique si desea que la regla y la etiqueta conserven la configuración
predeterminada, si quiere activar la omisión o si la regla y la etiqueta se
deben desactivar.
Gravedad Seleccione la gravedad de esta omisión. El valor predeterminado es cero.
Lista negra, Agregación, Seleccione la configuración de esta omisión. Si no desea que la configuración
Copiar paquete de estas opciones se omita, conserve el valor de configuración predeterminado.
Véase también
Página Modificar configuración de agregación en la página 571
Ponderaciones de gravedad
La gravedad de los eventos se calcula en función de la ponderación de gravedad asignada a los
activos, las etiquetas, las reglas y las vulnerabilidades.
Cada una de las cuatro gravedades se pondera en el cálculo final. Este cálculo final es la suma de cada
una de las cuatro gravedades multiplicadas por sus ponderaciones respectivas. La página Ponderaciones
de gravedad muestra las ponderaciones asociadas con los grupos de activos, etiquetas, reglas y
vulnerabilidades. La suma de todas ellas debe equivaler a 100. Cuando se cambia un valor, se ven
afectados otros valores. A continuación se ofrece una descripción de cada tipo de gravedad:
Tipo de Descripciones
gravedad
Activo Un activo es una dirección IP, que puede tener una zona asignada o no. La
gravedad de activo de un evento se determina como sigue:
1 La dirección IP y la zona de destino del evento se comparan con todos los activos.
Si se encuentra alguna coincidencia, la gravedad del activo se emplea como
gravedad del evento.
2 Si no se encuentra ninguna coincidencia de dirección IP y zona de destino, se
comparan la dirección IP y la zona de origen con todos los activos. Si se
encuentra alguna coincidencia de dirección IP y zona de origen, se utiliza la
gravedad de ese activo como gravedad para el evento.
3 Si no se encuentra ninguna coincidencia, la gravedad del activo será cero.
Etiqueta La gravedad de etiqueta se calcula mediante las etiquetas de McAfee y las definidas
por el usuario. A fin de emplear una etiqueta en el cálculo de gravedad, debe
definirse tanto para la regla como para el activo del evento. Si la regla o el activo
no tienen etiquetas definidas o si no se encuentran coincidencias de activos, la
gravedad de etiqueta será cero. Para calcular la gravedad de etiqueta, el número de
etiquetas coincidentes de regla y activo se multiplica por 10. La gravedad de
etiqueta está limitada a 100.
Véase también
Establecimiento de las ponderaciones de gravedad en la página 573
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el Editor de directivas, haga clic en el icono Ponderaciones de gravedad .
Véase también
Ponderaciones de gravedad en la página 572
Página Ponderaciones de gravedad en la página 574
Véase también
Establecimiento de las ponderaciones de gravedad en la página 573
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el Editor de directivas, haga clic en el icono Ver historial de cambios de directiva .
Véase también
Página Historial de cambios de directiva en la página 574
Véase también
Visualización del historial de cambios de directiva en la página 574
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En el Editor de directivas, haga clic en el icono Desplegar .
Cuando todos los dispositivos finalicen el despliegue, el estado de la directiva indicará un despliegue
correcto. Si el comando de despliegue no tiene un resultado correcto, aparecerá una página con un
resumen de los comandos fallidos.
Véase también
Descripción del Editor de directivas en la página 503
El Árbol de directivas en la página 505
Tipos de reglas y sus propiedades en la página 509
Administración de directivas en el Árbol de directivas en la página 505
Página Desplegar en la página 575
Página Hora de despliegue en la página 575
Página Desplegar
Permite desplegar los cambios de directiva en el ESM.
Desplegar directiva en todos los dispositivos Permite desplegar los cambios de directiva en todos los
ahora dispositivos. Haga clic en Aceptar.
Editar Permite seleccionar otras opciones de despliegue.
Véase también
Aplicación de cambios de directivas en la página 575
Véase también
Aplicación de cambios de directivas en la página 575
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
adquisición de datos 219 módulos de protocolo de correo web para reglas de ADM 199
adquisición de datos, activar 219 módulos de protocolo de transferencia de archivos para reglas
de ADM 199
McAfee ServicePortal, acceso 10
monitor de estado
McAfee Vulnerability Manager
condición de alarma 355
análisis, desde vista 431
ID de firma 367
certificado y frase de contraseña, obtener 232
motor de correlación de riesgos, ACE 177
conexiones, configurar 233
motor de correlación, ACE 177
configuración 232
mover grupo de almacenamiento 159
P
O
página de inicio de sesión, personalizar 30
omitir acción en reglas descargadas 571
panel de casos 37
opciones de configuración, aplicar al DEM 205
pantalla personalizada, agregar, editar, eliminar 35, 66
operación, establecer para DEM 207
pantalla, seleccionar tipo 35
operadores para reglas de ADM 193
parámetros, agregar a componente o regla de correlación 547
origen de datos
particiones inactivas, configurar archivo 280
no sincronizado con ESM 381
PDF, incluir imagen 411
origen de evaluación de vulnerabilidades, agregar 100
perfil de comando remoto, configurar 266
orígenes de activos 491
perfil de sistema de evaluación de vulnerabilidades, definir 99
administrar 492
perfiles, configurar 266
agregar receptor 150
personalizados
receptor 150
filtros de tipos 458
orígenes de datos 93
personalizar resumen 378
administrar 98
plantillas, mensajes de alarma 348
admitidos 133
ponderaciones, configurar para gravedad 573
agregar 94
predefinidas, vistas 419
agregar para ArcSight 143
preferencias de la consola 36
agregar secundarios 113
preguntas más frecuentes 11, 15
analizador de syslog avanzado 137
propiedades específicas de protocolos para reglas de ADM 199
aprendizaje automático, configurar 108
protocolo
asociación de gravedades y acciones 136
eventos de anomalía 184