McAfee Enterprise Security Manager 9.5.0 Produkthandbuch
Contents
1. Die Zahlen haben folgende Bedeutung e 1 3 6 1 4 1 23128 ist die Unternehmensnummer die McAfee von der IANA zugewiesen wurde e 1 1 st eine Nitro IPS Integrit tsanfrage e Die letzte Zahl 1 35 wird f r die Berichterstellung im Zusammenhang mit den verschiedenen Merkmalen der Warnung verwendet S mtliche Details der McAfee MIB Definition finden Sie unter https x x x x BrowseReference NITROSECURITY BASE MIB txt wobei x x x x der IP Adresse Ihres ESM Ger ts entspricht Verwalten der Datenbank Verwalten Sie die ESM Datenbank um Informationen und Einstellungen anzugeben w hrend Sie die Funktionen im System einrichten Sie k nnen Indexeinstellungen f r die Datenbank verwalten Informationen zur Speicherverwendung der Datenbank durch Ereignisse und Fl sse anzeigen und drucken Speicherorte f r inaktive Partitionen die Datenbeibehaltungs Richtlinie f r Ereignisse und Fl sse sowie die Speicherplatzzuordnung f r Ereignis und Flussdaten in der Datenbank konfigurieren McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 195 196 Konfigurieren von ESM Verwalten der Datenbank Bei einer VM mit mehr als vier CPUs k nnen Sie den zus tzlichen Speicherplatz als Systemspeicher Datenspeicher und Hochleistungsspeicher verwenden Wenn Sie mehrere Laufwerke gleichzeitig aus der ESM VM entfernen gehen m glicherweise alle vorherigen ELM Suchen verloren Dies k nnen Sie verhindern indem Sie die ELM Suchergebn2. Intervallzeitraum ndern und Intervallrate ndern Legen Sie fest wie oft die Daten im Diagramm aktualisiert werden sollen Rate festlegen W hlen Sie die Rate f r die angezeigten Daten aus keine pro Sekunde pro Minute pro Stunde pro Tag pro Woche pro Monat IP Adresse Zeigen Sie die Quell und Zielereignisse oder fl sse f r eine bestimmte IP Adresse an Geben Sie die Adresse in das Feld ein oder w hlen Sie eine zuvor verwendete Adresse aus und klicken Sie auf das Symbol a Aktualisieren FE Geolocation Optionen Markieren Sie mit der STRG Taste und der UMSCHALTTASTE wahlweise Ort Bundesland Land und Weltregion vergr ern und verkleinern Sie die Anzeige und w hlen Sie Standorte aus IS D Seite ndern Navigieren Sie durch Daten auf mehreren Seiten A T E A Statusfilter filr Ereignisse ndern W hlen Sie den Typ der Ereignisse oder Fl sse aus die in der Analyseliste angezeigt werden sollen Sie k nnen alle Ereignisse nur berpr fte Ereignisse nur nicht berpr fte Ereignisse behobene Ereignisse alle Fl sse nur offene Fl sse oder nur geschlossene Fl sse anzeigen Verlaufschaltfl chen F hren Sie in den an der Ansicht vorgenommenen nderungen einen Bildlauf vorw rts und r ckw rts aus F oder IK Datenpfade anzeigen oder Datenpfade ausblenden Sie k nnen die Verbindungslinie zwischen zwei Ger ten mit Ereignis oder Flussdatenverbi
3. Greifen Sie auf die folgenden Informationen f r ESM Ger te zu e Statistiken zur Verwendung des Arbeitsspeichers und des Auslagerungsbereichs e CPU Verwendung Wechselaktivit ten von Systemen Statistiken zu Eingang Ausgang und bertragungsrate e L nge der Warteschlange und durchschnittliche Belastung Siehe auch Zugreifen auf ein Remote Ger t auf Seite 217 Erneutes Generieren des SSH Schl ssels auf Seite 215 Verwalten von Empf ngern auf Seite 179 Ereignistypen auf Seite 213 Verwalten von Protokollen auf Seite 212 Installieren eines neuen Zertifikats auf Seite 187 Einrichten der ESM Protokollierung auf Seite 214 Maskieren von IP Adressen auf Seite 213 Exportieren und Wiederherstellen von Kommunikationsschl sseln auf Seite 214 Verf gbare Linux Befehle auf Seite 218 Verwenden von Linux Befehlen auf Seite 217 Verwalten von Protokollen Auf dem ESM Ger t werden verschiedene Ereignistypen generiert Sie k nnen ausw hlen welche Ereignistypen im Ereignisprotokoll gespeichert werden sollen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Vorgehensweise Konfigurieren von ESM 3 Verwalten des ESM Ger ts Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf ESM Verwaltung 2 Klicken Sie auf Protokolle verwalten und w hlen Sie dann die z
4. McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 281 282 Arbeiten mit Ereignissen Arbeiten mit ESM Ansichten Hinzuf gen von Ger ten zur Netzwerktopologie Komponente Mit der Netzwerktopologie k nnen Sie Ereignis und Flussdaten aus den Ger ten oder der Ger testruktur abrufen und die entsprechenden Daten im gesamten Netzwerk anzeigen Bevor Sie beginnen Sie m ssen die Netzwerkerkennung ausf hren damit die Liste der Ger te angezeigt wird siehe Netzwerkerkennung Au erdem k nnen Sie eine benutzerdefinierte Ansicht erstellen die Sie f r Netzwerkerkennungsdaten verwenden k nnen Wenn Sie eine Ansicht f r die Netzwerktopologie erstellt haben m ssen Sie diese anpassen um die Ereignis oder Flussinformationen anzuzeigen siehe Hinzuf gen einer benutzerdefinierten Ansicht Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Wenn Sie eine Ansicht hinzuf gen oder bearbeiten klicken Sie auf die Komponente Netzwerktopologie f r Ereignis ziehen Sie sie und legen Sie sie an der gew nschten Stelle ab Im Bereich Eigenschaften werden die Ger teliste und die Struktur Logische Ger tegruppierungen angezeigt 2 W hlen Sie in der Ger teliste oder Ordnerliste ein Ger t bzw einen Ordner aus und f hren Sie einen der folgenden Schritte aus e Zum Hinzuf gen des Ger ts oder Ordners zur Komponente m ssen Sie das Ger t bzw den Ordner a
5. Die Datenbank wird nicht ausgef hrt Auf dem McAfee Extreme Database Server EDB ist eine Fehlfunktion aufgetreten M glicherweise k nnen Sie das Problem durch Neustarten des Ger ts beheben Es kann jedoch sein dass die Datenbank erneut erstellt werden muss berbelegungsmodus Wenn das berwachte Netzwerk f r Nitro IPS zu stark ausgelastet ist werden Netzwerkpakete m glicherweise nicht berpr ft Von der Integrit ts berwachung wird eine Warnung generiert aus der hervorgeht dass Nitro IPS berbelegt ist Der Wert f r den berbelegungsmodus ist standardm ig auf Verwerfen festgelegt Zum ndern des Werts navigieren Sie zu Richtlinien Editor klicken Sie im Bereich Regeltypen auf Variable erweitern Sie die Variable packet_inspection und w hlen Sie f r die Variable OVERSUBSCRIPTION _MODE die Option Vererben aus F r diese Variable sind die Werte passieren lassen und Verwerfen zul ssig Der Steuerungskanal wird nicht ausgef hrt Der Prozess f r den Kommunikationskanal mit dem ESM Ger t ist fehlgeschlagen M glicherweise kann das Problem durch einen Neustart des Ger ts behoben werden RDEP oder Syslog Programme werden nicht ausgef hrt Bei einer Fehlfunktion des Subsystems f r die Behandlung von Drittanbieter Datenquellen beispielsweise Syslog oder SNMP wird die Warnung Kritisch ausgel st Eine Warnmeldung der Stufe Warnung wird ausgel st wenn die Erfassung in einem bestimmten Zeitrau
6. URL Zeichenfolge Benutzerdefiniertes Feld 8 Keines McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Benutzerdefinierte Typfilter Name Datentyp Ereignisfeld Flussfeld User_Agent Zeichenfolge Benutzerdefiniertes Keines Feld 6 User_Nickname Zeichenfolge Benutzerdefiniertes Keines Feld 5 Version Zeichenfolge Benutzerdefiniertes Keines Feld 10 Hinzuf gen benutzerdefinierter Typen f r die Uhrzeit Sie k nnen benutzerdefinierte Typen hinzuf gen mit denen Sie Uhrzeitdaten speichern k nnen Uhrzeit Genauigkeit f r Sekunden speichert Uhrzeitdaten auf die Sekunde genau Uhrzeit Genauigkeit f r Nanosekunden speichert die Uhrzeit auf die Nanosekunde genau Dazu geh rt eine Gleitkommazahl mit neun Genauigkeitswerten die die Nanosekunden darstellen Wenn Sie beim Hinzuf gen dieses benutzerdefinierten Typs die Option Index ausw hlen wird das Feld in O Abfragen Ansichten und Filtern als Filter angezeigt Es wird nicht in Verteilungskomponenten angezeigt und ist in Datenanreicherungen Watchlists oder Alarmen nicht verf gbar Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das System aus Klicken Sie auf das Symbol Eigenschaften und dann auf Benutzerdefinierte Typen Hinzuf gen 2 Klicken Sie im Feld Datentyp auf Uhrzeit Genauigkeit f r Seku
7. sdee_proxy_ip Erforderlich wenn use_proxy T Standardwert leer sdee_proxy_username Erforderlich wenn use_proxy T Standardwert leer sdee_proxy_password Erforderlich wenn use_proxy T Standardwert leer sdee_use_ proxy Standardwert F Tabelle 3 9 mssql Felder ab Spalte BU Spalte Beschreibung Details mssql_parent Ger te Typ Standardwert T Server T Verwaltetes Ger t F mssql_port Wird verwendet wenn bergeordnetes Element T Standardwert 1433 mssql_interval Wird verwendet wenn bergeordnetes Element T Standardwert 600 Sekunden mssql_username Erforderlich wenn bergeordnetes Element T Standardwert leer McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Tabelle 3 9 mssql Felder ab Spalte BU Fortsetzung Konfigurieren von ESM 3 Konfigurieren von Ger ten Spalte Beschreibung Details mssql_password Erforderlich wenn bergeordnetes Element T Standardwert leer mssql_parent_id Name des Erforderlich wenn bergeordnetes Element F Wenn bergeordneten die Datenquelle nicht anhand des Namens des Elements bergeordneten Elements gefunden wurde wird ein Fehler protokolliert Tabelle 3 10 syslog Felder ab Spalte CA Vertrauensw rdigkeit Spalte Beschreibung Details syslog_untrust_iface Schnittstelle mit Erforderlich wenn der Vendor auf CyberGuard niedrigster festgelegt
8. 2 Geben Sie die erforderlichen Informationen ein und klicken Sie dann auf OK McAfee Network Security Manager Einstellungen Sie k nnen McAfee Network Security Manager als Ger t zu ESM hinzuf gen sodass Sie ber ESM auf die Funktionen zugreifen k nnen Dies ist hilfreich wenn Sie ein Ger t erworben haben auf das Sie ber ESM zugreifen m chten Wenn Sie ein McAfee Network Security Manager Ger t zu ESM hinzuf gen werden die Sensoren des Ger ts in der Systemnavigationsstruktur unter dem Ger t als untergeordnete Elemente aufgef hrt Das Ger t muss einem Empf nger zugeordnet sein da die Ereignisse nicht von McAfee Network Security Manager sondern vom Empf nger abgerufen werden Hinzuf gen eines Blacklist Eintrags Die Anwendung der Blacklist durch McAfee Network Security Manager erfolgt ber die Sensoren Auf der Seite Blacklist werden die Blacklist Eintr ge angezeigt die f r den ausgew hlten Sensor definiert wurden ber diese Seite k nnen Sie Blacklist Elemente hinzuf gen bearbeiten und l schen 67 Sie m ssen Superuser sein damit Sie die Blacklist Funktion verwenden k nnen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option NSM Eigenschaften aus klicken Sie auf Blacklist und w hlen Sie dann einen Sensor aus 2 Zum Anwenden der Eintr ge in der globalen Blacklist auf den Sensor w hlen Sie
9. 5 Klicken Sie auf OK und melden Sie sich dann beim prim ren ESM Ger t ab McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Erste Schritte 2 Informationen zum FIPS Modus Aktion Schritte Exportieren der EXK Datei des Ger ts vom prim ren ESM Ger t 1 W hlen Sie in der Systemnavigationsstruktur des prim ren ESM Ger ts das Ger t aus das Sie konfigurieren m chten Klicken Sie auf das Symbol Eigenschaften und w hlen Sie dann Schl sselverwaltung aus Klicken Sie auf Schl ssel exportieren w hlen Sie den gesicherten Ger teschl ssel aus und klicken Sie dann auf Weiter Geben Sie ein Kennwort ein best tigen Sie es und legen Sie dann das Ablaufdatum fest Wenn das Ablaufdatum verstrichen ist kann die Person die den Schl ssel importiert erst mit dem Ger t kommunizieren wenn ein anderer Schl ssel mit 7 einem in der Zukunft liegenden Ablaufdatum exportiert wird Wenn Sie Kein Ablauf ausw hlen und der Schl ssel auf einem anderen ESM Ger t importiert wird l uft der Schl ssel nie ab W hlen Sie die Berechtigungen f r die EXK Datei aus und klicken Sie dann auf OK W hlen Sie den Speicherort f r die Datei aus und melden Sie sich dann beim prim ren ESM Ger t ab Importieren der EXK Datei auf dem sekund ren ESM Ger t 1 W hlen Sie in der Systemnavigationsstruktur des sekund ren Ger ts das System oder den Knoten auf Gruppenebene aus zu dem Sie das Ger
10. Bevor Sie beginnen Vergewissern Sie sich dass zum ausgew hlten Ger t virtuelle Ger te hinzugef gt werden k nnen siehe Informationen zu virtuellen Ger ten McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 53 54 Konfigurieren von ESM Verwalten von Ger ten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein ADM oder IPS Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Virtuelle Ger te Hinzuf gen 3 Geben Sie die erforderlichen Informationen ein und klicken Sie dann auf OK 4 Klicken Sie auf Schreiben um die Einstellungen zum Ger t hinzuzuf gen Verwalten benutzerdefinierter Anzeigetypen Sie k nnen die Anordnung der Ger te in der Systemnavigationsstruktur definieren indem Sie benutzerdefinierte Anzeigetypen hinzuf gen bearbeiten oder l schen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie im Systemnavigationsbereich auf den Dropdown Pfeil f r den Anzeigetyp 2 F hren Sie einen der folgenden Schritte aus Aufgabe Vorgehensweise Hinzuf gen eines 1 Klicken Sie auf Anzeige hinzuf gen benutzerdefinierten Anzeigetyps 2 F llen Sie die Felder aus und klicken Sie dann auf OK Bearbeiten eines 1 Klicken Sie neben dem zu bearbeitenden Anzeigetyp auf das benutzer
11. b Klicken Sie unten im Bereich auf die Leiste Erweitert c W hlen Sie in der Dropdown Liste Herkunft die Option benutzerdefiniert aus d y Klicken Sie auf das Symbol Abfrage ausf hren FE 3 W hlen Sie die zu exportierenden Regeln aus und klicken Sie dann auf Datei Exportieren Regeln 4 W hlen Sie auf der Seite Regeln exportieren das Format aus das beim Exportieren der Regel verwendet werden soll 5 Klicken Sie auf der Seite Herunterladen auf Ja w hlen Sie den Speicherort aus und klicken Sie dann auf Speichern Wenn Sie die CSV Datei in Microsoft Excel ffnen sind m glicherweise einige der UTF 8 Zeichen besch digt Beheben Sie das Problem indem Sie in Excel den Textkonvertierungs Assistenten ffnen und die Optionen Getrennt und Komma ausw hlen Festlegen der automatischen Aufnahme in die Blacklist durch Regeln Sie k nnen Regeln f r die automatische Aufnahme in die Blacklist markieren Die IP Adresse bzw die IP Adresse und der Port des Angreifers werden zur Blacklist hinzugef gt wenn die definierten Bedingungen erf llt sind Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Erweitern Sie im Richtlinien Editor im Bereich Regeltypen die Option IPS und w hlen Sie dann den Typ der Regel aus Wenn Sie beispielsweise die automatische Aufnahme in die Blacklist f r Virenregeln festlegen m chten w hlen Sie Deep Packet Inspection aus 2 W hlen Sie i
12. 3 Liste anzeigen W hlen Sie eine Ansicht in der Dropdown Liste aus in der alle vordefinierten und benutzerdefinierten Ansichten aufgef hrt werden die f r die Anzeige in dieser Liste ausgew hlt sind 4 Ansichten verwalten Verwalten Sie alle Ansichten siehe Verwalten der Ansichten Sie k nnen ausw hlen welche Ansichten in der Liste der Ansichten enthalten sein sollen Ordner hinzuf gen und Ansichten umbenennen l schen kopieren importieren und exportieren 5 Aktuelle Ansicht aktualisieren Aktualisieren Sie alle Daten die zurzeit im Ansichtsbereich angezeigt werden McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 271 272 Arbeiten mit Ereignissen Arbeiten mit ESM Ansichten Tabelle 7 1 IM BB2em amp arnmn gt Fortsetzung Option Beschreibung 6 Standardansicht Wechseln Sie zur ck zur Standardansicht 7 Aktuelle Ansicht drucken Drucken Sie eine Kopie der aktuellen Ansicht Folgende Druckoptionen stehen zur Verf gung e Alle Komponenten an eine Seite anpassen Die in der Ansicht enthaltenen Komponenten werden so angepasst dass die Ansicht auf eine Seite passt e Jede Komponente auf einer separaten Seite drucken Jede in der Ansicht enthaltene Komponente wird auf einer separaten Seite gedruckt Wenn Sie auf Passt die Komponente an die Seite an klicken wird die Gr e jeder Komponente so angepasst dass die Seite ausgef llt ist e Nur sichtbaren Berei
13. 3 W hlen Sie den Speicherort f r die Datei aus und klicken Sie dann auf Speichern Wiederherstellen aller 1 Klicken Sie auf Alle Schl ssel wiederherstellen Kommunikationsschl ssel 2 Suchen Sie die beim Exportieren der Schl ssel eingerichtete Datei und klicken Sie dann auf ffnen 3 Klicken Sie auf Hochladen und geben Sie dann das festgelegte Kennwort ein 4 W hlen Sie die wiederherzustellenden Ger te aus und klicken Sie dann auf OK Erneutes Generieren des SSH Schl ssels Generieren Sie das private oder ffentliche SSH Schl sselpaar erneut um mit allen Ger ten zu kommunizieren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf ESM Verwaltung 2 Klicken Sie auf der Registerkarte Schl sselverwaltung auf SSH erneut generieren Sie werden gewarnt dass der alte Schl ssel durch den neuen ersetzt wird 3 Klicken Sie auf Ja Wenn der Schl ssel erneut generiert wird ersetzt er das alte Schl sselpaar auf allen vom ESM Ger t verwalteten Ger ten Task Manager f r Abfragen Wenn Sie ber die Rechte eines Administrators oder Master Benutzers verf gen k nnen Sie auf den Task Manager zugreifen Dort wird die Liste der auf dem ESM Ger t ausgef hrten Abfragen angezeigt Hier k nnen Sie bestimmte Abfragen schlie en wenn sich diese auf
14. Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie im Richtlinien Editor auf das Symbol Einstellungen to 2 Im Feld Status wird die Anzahl der Ger te angezeigt die aktuell oder veraltet sind und f r die ein automatischer Rollout geplant ist 3 Klicken Sie auf Schlie en Regelvorg nge Sie k nnen verschiedene Vorg nge f r die Regeln ausf hren um sie zu verwalten und die ben tigten Informationen zu generieren Verwalten von Regeln Sie k nnen Regeln f r ADM DEM Deep Packet Inspection den Erweiterten Syslog Parser und die Korrelation anzeigen kopieren und einf gen Benutzerdefinierte Regeln dieser Typen k nnen ge ndert oder gel scht werden Standardregeln k nnen ge ndert werden m ssen aber als neue benutzerdefinierte Regel gespeichert werden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie im Richtlinien Editor im Bereich Regeltypen den Typ der Regel aus mit der Sie arbeiten m chten 2 F hren Sie einen oder mehrere der folgenden Schritte aus Aufgabe Vorgehensweise Anzeigen 1 W hlen Sie im Bereich Filter Kennzeichnung die Registerkarte Filter aus benutzerdefinierter Regeln 2 Klicken Sie unten im Bereich auf die Leiste Erweitert W hlen Sie im Feld Herkunft die Option benutzerdefiniert aus und klicken ar Sie dann auf Abfrage ausf hren MEF
15. Datenquellen oder Datenbank Server sind nicht mit den tats chlichen Einstellungen des Ger ts synchronisiert e Rollover ausgef hrt F r die Protokolltabelle des Ger ts war nicht mehr genug Speicherplatz verf gbar Daher wurde ein Rollover ausgef hrt Dies bedeutet dass die alten Protokolle mit den neuen Protokollen berschrieben werden e Inaktiv Auf dem Ger t wurden im Zeitraum des Schwellenwerts f r Inaktivit t keine Ereignisse oder Fl sse generiert e Unbekannt Es konnte keine Verbindung zwischen ESM und dem Ger t hergestellt werden Die Kennzeichnungen Partition wurde gel scht Speicherplatz Rollover ausgef hrt und Information k nnen Sie l schen indem Sie die Kontrollk stchen neben den Kennzeichnungen aktivieren und auf Auswahl l schen oder Alle l schen klicken Ger t Die Seite Statuswarnungen f r Ger te mit Schaltfl chen ber die Sie an die entsprechenden Stellen zum Beheben des Problems gelangen Die Seite kann die folgenden Schaltfl chen enthalten e Protokoll Auf der Seite Systemprotokoll f r Lokales ESM Ger t oder Ger teprotokoll wird eine Zusammenfassung aller Aktionen angezeigt die f r das System oder Ger t ausgef hrt wurden e Virtuelle Ger te Datenquellen VA Quellen oder Datenbank Server Hier werden die im System vorhandenen Ger te des jeweiligen Typs aufgef hrt und k nnen auf Probleme berpr ft werden e Inaktiv Auf der Seite Schwellenwert f r Inaktivit t wird
16. Hier ist eine Liste mit den Firewall Regeln f r ratenbasierte Anomalien und den Variablen die sich auf die Funktionsweise der Regeln auswirken Regel Variablen Large inbound byte rate LARGE_INBOUND_BYTE_RATE_LIMIT LARGE_INBOUND_BYTE_RATE_SECONDS Large inbound bytes LARGE_INBOUND_BYTES_LIMIT Large inbound network connections rate LARGE_IB_CONN_RATE_BURST LARGE_IB_CONN_RATE_LIMIT Large inbound packet rate LARGE_INBOUND_PACKET_RATE_LIMIT LARGE_INBOUND_PACKET_RATE_SECS Large inbound packet LARGE_INBOUND_PACKETS_LIMIT Large outbound byte rate LARGE_OUTBOUND_BYTE_RATE_LIMIT LARGE_OUTBOUND_BYTE_RATE_SECONDS Large outbound network connection rate LARGE_OB_CONN_RATE_BURST LARGE_OB_CONN_RATE_LIMIT Large outbound packet rate LARGE_OUTBOUND_PACKET_RATE_LIMIT LARGE_OUTBOUND_PACKET_RATE_SECS McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 171 3 Konfigurieren von ESM Konfigurieren von Ger ten Regel Variablen Large outbound packets LARGE_OUTBOUND_PACKETS_LIMIT Long connection duration LONG_DURATION_SECONDS Bearbeiten von Variablen f r die Entdeckung von Anomalien Im Assistenten zur Entdeckung von ratenbasierten Anomalien werden die Variablen f r die Entdeckung von Anomalien aufgef hrt Au erdem finden Sie hier verschiedene Optionen die Sie zum Analysieren der Daten aus der Entdeckung von ratenbasierten Anomalien verwenden k nnen Vorgehensweise Beschreibung
17. MAC Quelladresse des Flusses MAC Name MAC Quelladresse des Flusses MAC Zieladresse des Flusses MAC Name MAC Zieladresse des Flusses VLAN Zahl Virtuelle LAN ID Wochentag Zahl Der Tag der Woche G ltige Werte 1 bis 7 1 steht f r Montag Stunde Zahl Die Tageszeit gem GMT G ltige Werte O bis 23 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Eigenschaft oder Begriff Beschreibung Deklarierter Inhaltstyp Der vom Server angegebene Typ des Inhalts Theoretisch Zeichenfolge entspricht der Objekttyp objtype immer dem tats chlichen Typ und der deklarierte Inhaltstyp content type ist nicht vertrauensw rdig da er vom Server oder der Anwendung gef lscht werden kann Kennwort Zeichenfolge Das von der Anwendung f r die Authentifizierung verwendete Kennwort URL Zeichenfolge Website URL Gilt nur f r das HTTP Protokoll Dateiname Zeichenfolge Der Name der bertragenen Datei Anzeigename Zeichenfolge Hostname Zeichenfolge Der bei der DNS Suche angegebene Hostname Allgemeine Anomalien e Abmeldung des Benutzers boolescher Wert e Autorisierungsfehler boolescher Wert e Autorisierung erfolgreich boolescher Wert e Autorisierung fehlgeschlagen boolescher Wert Protokollspezifische Eigenschaften Neben den Eigenschaften die den meisten Protokollen gemeinsam sind
18. e F ralle anderen Ger te Geben Sie die Ziel IP Adresse oder URL f r das Ger t ein Geben Sie dann eine Nummer eines Ziel SSH Ports ein die f r die Verwendung mit der IP Adresse g ltig ist 6 W hlen Sie aus ob die NTP Einstellungen Network Time Protocol auf dem Ger t verwendet werden sollen und klicken Sie dann auf Weiter 7 Wenn Sie einen Schl ssel haben den Sie importieren m chten w hlen Sie Schl ssel importieren aus nicht verf gbar f r ELM oder Kombination aus Empf nger und Log Manager Anderenfalls klicken Sie auf Authentifizierungsschl ssel f r Ger t festlegen Ger teschl ssel die urspr nglich von einem ESM Ger t mit einer niedrigeren Version als 8 3 X exportiert wurden verf gen nicht ber Informationen zum Kommunikationsmodell der Version 8 4 0 Beim Durchf hren des Upgrades mussten Sie den Authentifizierungsschl ssel f r das O Ger t erneut festlegen Um Zugriff auf Ger te mit Version 9 0 0 oder h her zu erhalten m ssen Sie den Schl ssel f r dieses Ger t von einem ESM Ger t mit Version 8 5 0 oder h her erneut exportieren Achten Sie darauf alle f r das Ger t erforderlichen Berechtigungen festzulegen beispielsweise die Berechtigung Virtuelle Ger te konfigurieren 8 Geben Sie ein Kennwort f r das Ger t ein und klicken Sie dann auf Weiter Die Kommunikation zwischen dem ESM Ger t und dem anderen Ger t wird getestet und der Verbindungsstatus wird gemeldet Ausw hlen eines Anzeig
19. klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Dateiwartung 2 W hlen Sie in der Dropdown Liste Typ ausw hlen die Option Sicherungsdateien aus 3 W hlen Sie die auszuf hrende Aktion aus 4 Klicken Sie auf OK Siehe auch Sichern von ESM Einstellungen und Systemdaten auf Seite 207 Verwalten der Dateiwartung Auf dem ESM Ger t werden Dateien f r Sicherungen Software Aktualisierungen Alarmprotokolle und Berichtsprotokolle gespeichert Sie k nnen aus jeder dieser Listen Dateien herunterladen hochladen und entfernen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Dateiwartung 2 W hlen Sie im Feld Dateityp ausw hlen die Option Sicherungsdateien Software Aktualisierungsdateien Alarmprotokolldateien oder Berichtsprotokolldateien aus 3 W hlen Sie die Dateien aus und klicken Sie dann auf eine der Optionen 4 Klicken Sie auf Anwenden oder OK Siehe auch Sichern von ESM Einstellungen und Systemdaten auf Seite 207 Redundantes ESM Ger t Mit der Funktion Redundantes ESM Ger t k nnen Sie die aktuellen ESM Einstellungen auf einem redundanten ESM Ger t speichern das im Fall eines Systemfehlers oder Datenverlusts in das prim re ESM Ger t konvertiert werden kann Diese Funktion ist
20. nn nn nn 312 Anzeigen von Falldetails lt a s nn 313 Hinzuf gen von Fallstatusebenen 2 2 nn nn nn nn 313 Senden von F llen per E Mail 2 2 2 2 nun 314 Anzeigen aller F lle oa aaa ee a a A Generieren von Falverwaltungsberichten poa RA a a A AR A OS Arbeiten mit Asset Manager 317 Verwalten von Ressourcen 2 nn nn nenn 318 Definieren alter Ressourcen 2 2 2 2 nn a en 318 Einrichten der Konfigurationsverwaltung 2 2 2 2 non nenn 318 Verwalten abgerufener Konfigurationsdateien 2 2 2 nn nn nn 319 Netzwerkerkennung s so a nn non So een 319 Entdecken des Netzwerks a s s nn s oao oao so oso osoon oa osos ooo oa nn 319 Verwalten der IP Ausschlussliste 2 2 a au a nn nn 320 Entdecken von Endpunkten 2 2 nn nn nn 320 Anzeigen einer Netzwerk bersicht 2 2 2 nn m nn 321 ndern des Verhaltens der Netzwerkerkennung 2 2 2 2 2 nn nn 321 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Inhaltsverzeichnis Ressourcenquellen dor a a a a aa eL Verwalten von Ressgurenausllen El A a ee se 2 Verwalten von Vulnerability Assessment Quellen 22 un m non nn 322 Zonenverw lt ng e ios da re a ee ee ne DLR Verwalten von Z nen so gt ao e RA A e er e22 Hinzuf gen einer Zone En Ka HER Lara he Bar da a na De a RR e ne re ZO Exportieren von Zoneneinstellungen Be a re E a ee ae ae ie re 2 Importieren von
21. 360 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von Richtlinien und Regeln 10 Einstellungen f r Standardrichtlinien e Filtern Sie nach allen normalisierten IDs in einem Ordner der ersten Ebene Am Ende der ID ist eine Maske 5 f r einen Ordner der ersten Ebene enthalten Daran erkennen Sie dass die Ereignisse au erdem nach den untergeordneten IDs des ausgew hlten Ordners gefiltert werden e Filtern Sie nach den IDs in einem Ordner der zweiten oder dritten Ebene Am Ende der ID ist eine Maske 12 f r einen Ordner der zweiten Ebene 18 f r einen Ordner der dritten Ebene enthalten Daran erkennen Sie dass die Ereignisse nach den untergeordneten IDs des ausgew hlten Unterordners gefiltert werden Die vierte Ebene hat keine Maske e Filtern Sie nach einer einzelnen ID e Filtern Sie nach mehreren Ordnern oder IDs gleichzeitig indem Sie beim Ausw hlen der Ordner oder IDs die STRG Taste oder die UMSCHALTTASTE gedr ckt halten Aktivieren von Paket kopieren Wenn Paket kopieren f r eine Regel aktiviert ist werden die Paketdaten auf das ESM Ger tekopiert Wenn die Option aktiviert ist sind Paketdaten in den Quellereignisdaten eines Alarms vom Typ Interne Ereignis bereinstimmung oder Feld bereinstimmung enthalten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 m m Klicken Sie in der ESM Konsole auf das Symbol Richtlinien Editor ii 2 Kli
22. 7 Richten Sie f r jede Quelle von der Daten an das ArcSight Ger t weitergeleitet werden eine Datenquelle ein Die von ArcSight empfangenen Daten werden analysiert damit sie in der ESM Konsole angezeigt werden k nnen Einheitliches Ereignisformat CEF Zurzeit werden von ArcSight Ereignisse aus 270 Datenquellen mithilfe von intelligenten Konnektoren in das einheitliche Ereignisformat Common Event Format CEF konvertiert CEF ist ein Interoperabilit tsstandard f r Ger te auf denen Ereignisse oder Protokolle generiert werden Dieser Standard enth lt die relevantesten Ger teinformationen und erleichtert die Analyse und Verwendung von Ereignissen Die Ereignisnachricht muss nicht ausdr cklich vom Ereigniserzeuger generiert werden Die Nachricht wird mit einem allgemeinen Pr fix formatiert das aus durch Pipe Zeichen getrennten Feldern besteht Das Pr fix ist obligatorisch und alle angegebenen Felder m ssen vorhanden sein Zus tzliche Felder werden in der Erweiterung angegeben Das Format lautet CEF Version Ger teanbieter Ger teprodukt Ger teversion Ger te Ereignisklassen ID Name Schweregrad Erweiterung Der Erweiterungsteil der Nachricht ist ein Platzhalter f r zus tzliche Felder Die Pr fixfelder werden wie folgt definiert e Version ist eine Ganzzahl und gibt die Version des CEF Formats an Ereignisverbraucher ermitteln anhand dieser Informationen was die Felder darstellen Zurzeit wird nur Versi
23. Benachrichtigungen Hinzuf gen von Empf ngern 179 Benutzerdefiniert 263 Direkt nach der Installation verf gbar 263 Einschlie en eines Bilds 265 Ereigniszeitpunkt 177 ESM Anzahl der Ger tetypen 177 Fallverwaltung Generieren 315 Ger tezusammenfassung 56 Hinzuf gen 264 Hinzuf gen einer Bedingung 265 Host Namen anzeigen 266 IPS Analyse Generieren 172 Layout 265 Quartalsweise Festlegen des Startmonats 264 Best tigen eines ausgel sten Alarms 275 Bewertung Risikokorrelation 138 Bilder Einschlie en in PDF Dateien und Berichte 265 Hinzuf gen zu Anmeldeseite 22 Binden von Komponenten 292 McAfee Enterprise Security Manager 9 5 0 Index Blacklist Aus Ereignis in Ansicht 287 Einrichten global 219 Eintrag Hinzuf gen oder L schen entfernt McAfee Network Security Manager 176 Global 218 Hinzuf gen eines McAfee Network Security Manager Eintrags 176 IPS oder virtuelles Ger t 173 Konfigurieren der automatischen Aufnahme in die Blacklist 174 Regeln automatisch 366 Verwalten IPS 174 Build Anzeigen Software 47 C CAC Anmeldung Einrichten 203 Authentifizierung 201 Einstellungen 203 Hinzuf gen von Benutzern 203 Check Point Datenquellen Einrichten 117 Client Datenquellen 82 Hinzuf gen 83 Suchen 83 Codierung f r ASP Datenquelle 109 Common Criteria Konfiguration 20 Common Event Format Datenquellen 112 Computer ID Anzeigen Ger t 47 contains Filter 266 CSV Abfrageberichte 178 D DAS
24. Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das System aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Datenanreicherung klicken Sie auf Hinzuf gen und geben Sie die Informationen auf der Registerkarte Hauptbildschirm ein 3 W hlen Sie auf der Registerkarte Quelle im Feld Typ die Option Real Time forePO aus w hlen Sie das Ger t aus und klicken Sie dann auf die Registerkarte Abfrage 4 F gen Sie die erforderlichen Informationen hinzu und klicken Sie anschlie end auf Test Wenn durch die Abfrage nicht die gew nschten Informationen generiert werden passen Sie die Einstellungen an Hinzuf gen einer Hadoop HBase Datenanreicherungsquelle Rufen Sie HBase Identit tszuordnungen ber einen Empf nger ab um Ereignisse anzureichern indem Sie Hadoop HBase als Datenanreicherungsquelle hinzuf gen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Datenanreicherung 2 F llen Sie im Datenanreicherungs Assistenten die Felder auf der Registerkarte Hauptbildschirm aus und klicken Sie dann auf die Registerkarte Quelle 3 W hlen Sie im Feld Typ die Option Hadoop HBase REST aus und geben Sie dann den Host Namen den Port und den Namen der Ta
25. Das Korrelationsmodul wird beim Konfigurieren einer Korrelationsdatenquelle aktiviert Innerhalb des Korrelationsmoduls f hrt ein relevantes Muster dazu dass Daten von einer Korrelationsregel interpretiert werden Eine Korrelationsregel ist ein vollst ndig von einer Firewall Regel oder Standardregel getrenntes eindeutiges Element mit einem Attribut das sein Verhalten festlegt Jeder Empf nger erh lt einen Satz von Korrelationsregeln von einem ESM Ger t bereitgestellter Korrelationsregelsatz der aus null oder mehr Korrelationsregeln besteht f r die benutzerdefinierte Parameterwerte festgelegt sind Neben Firewall Regels tzen und Standardregels tzen ist in jedem ESM Ger t ein Satz von Basiskorrelationsregeln enthalten Aktualisierungen f r diesen Regelsatz werden vom Regelaktualisierungs Server auf ESM Ger ten bereitgestellt Die Regeln auf dem Regelaktualisierungs Server enthalten Standardwerte Wenn Sie den Basisregelsatz f r das Korrelationsmodul aktualisieren m ssen Sie diese Standardwerte an Ihr Netzwerk anpassen Wenn Sie die Regeln bereitstellen ohne die Standardwerte zu ndern werden m glicherweise False Positives oder False Negatives generiert McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von Richtlinien und Regeln 10 Regeltypen und ihre Eigenschaften Sie k nnen hnlich wie beim Konfigurieren von Syslog oder OPSEC nur eine Korrelationsdatenquelle pro Empf nger konfigurieren Wenn Sie die
26. Datenbeibehaltung 2 Jahre 2 Definieren von Quellen f r Protokolldaten Das Ziel besteht hier darin alle Quellen f r auf dem ELM Ger t gespeicherte Protokolle zu definieren und f r jede Quelle die durchschnittliche Gr e der Protokolle in Byte sowie die durchschnittliche Anzahl der pro Tag generierten Protokolle zu sch tzen Hier ist nur eine Sch tzung notwendig M glicherweise f llt es Ihnen leichter die durchschnittliche Gr e der Protokolle in Byte und die durchschnittliche Anzahl der pro Tag generierten Protokolle f r Quellentypen beispielsweise Firewall Router Nitro IPS ADM DEM ELM und dann die Anzahl der Quellen pro Typ zu sch tzen Im n chsten Schritt m ssen Sie die einzelnen Quellen einer in Schritt 1 definierten Beibehaltungsdauer zuordnen Achten Sie daher darauf dies beim Sch tzen der Quellentypen zu ber cksichtigen beispielsweise SOX Firewall PCI DEM 3 Definieren von Speicherpools Ordnen Sie basierend auf den ELM Installationsanforderungen die einzelnen Protokollquellen oder Quellen einer Datenbeibehaltungsdauer zu Definieren Sie dabei die Gruppe der f r die ELM Installation erforderlichen Speicherpools McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 121 122 Konfigurieren von ESM Konfigurieren von Ger ten Schritt Aktion Beschreibung 4 Sch tzen der Anforderungen f r die Speicherpoolgr e Sch tzen Sie mithilfe einer der folgenden Gleichun
27. Deaktivieren oder erneutes Aktivieren eines Benutzers 2 2 2 nn nn nn 205 Authentifizieren von Benutzer gegen ber einem LDAP Server 2 2 2 22 nn 205 Einrichten von Benutzergruppen kak Bos aa e oak ok ui 20D Hinzuf gen einer Gruppe mit eingeschr nktem Zugriff dias ae ar e Dar a ls 3206 Sichern und Wiederherstellen von Systemeinstellungen a a 2 2 nn m nn 206 Sichern von ESM Einstellungen und Systemdaten 2 2 2 nn nn nn 207 Wiederherstellen der ESM Einstellungen 2 2 nn m nn 207 Wiederherstellen gesicherter Konfigurationsdateien 2 2 2 2 nn nn nn 208 Arbeiten mit Sicherungsdateien in ESM a 2 2 nn nn nenn 208 Verwalten der Dateiwartung 2 2 2 nn nn nn 209 Redundantes ESM Ger t 2 nn nn nn 209 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch McAfee Enterprise Security Manager 9 5 0 Inhaltsverzeichnis Verwalten des ESM Ger ts 211 Verwalten von Protokollen 212 Maskieren von IP Adressen 213 Einrichten der ESM Protokollierung 214 ndern der Sprache f r Ereignisprotokolle 214 Exportieren und Wiederherstellen von Kommunllationssdhllisse a 214 Erneutes Generieren des SSH Schl ssels 215 Task Manager f r Abfragen 215 Verwalten von Abfragen die in ESM Seon werden 216 Aktualisieren eines prim ren oder redundanten ESM Ger ts 216 Zugreifen auf ein Remote Ger t 217 Verwenden von Linux Befe
28. Komponente ist hilfreich wenn Sie eine detailliertere Liste mit Elementen in einem kleineren Bereich anzeigen m chten Verteilung Zeigt die Verteilung von Ereignissen und Fl ssen in einem Zeitraum an Sie k nnen Intervalle festlegen um bestimmte Zeitsegmente zu betrachten und die Daten zu formen Hinweisbereich Diese leere Komponente wird f r textbasierte Hinweise verwendet Sie k nnen Hinweise eingeben die sich auf die aktuelle Ansicht beziehen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 279 280 Arbeiten mit Ereignissen Arbeiten mit ESM Ansichten Komponente Beschreibung Ej Anzahl Zeigt die Gesamtanzahl der Ereignisse Ressourcen Schwachstellen oder Fl sse an die f r eine bestimmte Ansicht abgefragt werden Hier k nnen Sie einen Titel oder eine berschrift f r die Ansicht erstellen Den Titel k nnen Sie an einer beliebigen Stelle in der Ansicht platzieren Titel So Netzwerktopologie Hier k nnen Sie die Daten als Darstellung f r das gesamte Netzwerk anzeigen Au erdem k nnen Sie eine benutzerdefinierte Ansicht erstellen die zusammen mit Netzwerkerkennungsdaten verwendet werden kann siehe Hinzuf gen von Ger ten zur Netzwerktopologie Komponente Geolocation bersicht Zeigt Ziel und Quellspeicherort von Warnungen und Fl ssen in einer Geolocation bersicht an ber die Optionen in dieser Komponente k nnen Sie mit der STRG Taste und der UM
29. Pig Skript ein 6 Legen Sie auf der Registerkarte Bewertung den Faktor f r jeden einzelnen Wert fest der von der Abfrage f r eine einzelne Spalte zur ckgegeben wird 7 W hlen Sie auf der Registerkarte Ziel die Ger te aus auf die Sie die Anreicherung anwenden m chten Hinzuf gen von Active Directory Datenanreicherung f r Benutzernamen Sie k nnen Microsoft Active Directory nutzen um Windows Ereignisse mit den vollst ndigen Anzeigenamen der Benutzer auszuf llen Bevor Sie beginnen Vergewissern Sie sich dass Sie ber die Berechtigung zur Systemverwaltung verf gen 222 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Was ist Datenanreicherung Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken Vorgehensweise 1 2 3 10 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus Klicken Sie auf Datenanreicherung und dann auf Hinzuf gen Geben Sie auf der Registerkarte Hauptbildschirm einen aussagekr ftigen Namen unter Anreicherungsname ein Verwenden Sie dabei das Format vollst ndiger Name aus Benutzer ID Legen Sie Suchtyp und Anreicherungstyp auf Zeichenfolge fest Legen Sie Abrufh ufigkeit auf t glich fest sofern Active Directory nicht h ufiger aktualisiert wird Klicken Sie auf Weiter oder auf die Registerkarte Quelle a W hlen Sie im Feld Typ die Option LDAP aus b Geben Sie IP Adress
30. Sie k nnen die Ansichtsfunktionen verwenden um eine andere vordefinierte Ansicht auszuw hlen siehe Vordefinierte Ansichten oder eine neue Ansicht zu erstellen siehe Hinzuf gen einer benutzerdefinierten Ansicht und eine Abfrage auszuf hren mit der Sie Ereignisse im Netzwerk anzeigen k nnen siehe Ansichtssymbolleiste Au erdem k nnen Sie die verschiedenen Optionen der Ansichtssymbolleiste des Komponentenmen s und der Komponenten Symbolleiste f r Interaktionen mit den Ansichten und den darin enthaltenen Daten verwenden Bei Ausf hrung einer Abfrage wird in jeder Komponente des Ansichtsbereichs eine Statusanzeige angezeigt Wenn Sie den Cursor ber die Statusanzeige bewegen wird angezeigt wie viel Zeit bei der Ausf hrung der Abfragen der einzelnen Komponenten verstrichen ist und wie viel Prozent dies entspricht Wenn Sie eine Abfrage abbrechen m chten um ESM Ressourcen freizugeben klicken Sie auf das L schsymbol rechts neben der Statusanzeige McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Arbeiten mit ESM Ansichten Die nicht festgelegten Werte oder aggregierten Werte f r Quell IP Adresse und Ziel IP Adresse werden in allen Ergebniss tzen einer Ansicht als anstelle von 0 0 0 0 angezeigt Beispiel ffff 10 0 12 7 wird als 0 0 0 0 0 FFFF AO0 C07 eingef gt A00 C07 entspricht 10 0 12 7 0000 10 0 12 7 entspricht 10 0 12 7 Anzeigen von Sitzungsdetails In der Sitzungsanzei
31. Systemstatus Wenn Sie einen SNMP Trap als Alarmaktion konfigurieren m chten damit ein Trap an NMS gesendet wird wenn erkannt wird dass sich das System nicht mehr in einem genehmigten oder sicheren Zustand befindet f hren Sie die folgenden Schritte aus 1 Erstellen Sie einen Alarm mit Vergleich einer beliebigen Bedingung Wechseln Sie dann zur Registerkarte Aktionen und w hlen Sie Nachricht senden aus 2 Klicken Sie auf Empf nger hinzuf gen SNMP w hlen Sie den Empf nger aus und klicken Sie dann auf OK 3 Klicken Sie im Feld Nachricht senden auf Konfigurieren klicken Sie auf Vorlagen und dann auf Hinzuf gen 4 W hlen Sie im Feld Typ die Option SNMP Vorlage aus geben Sie den Text f r die Nachricht ein und klicken Sie dann auf OK 5 W hlen Sie auf der Seite Vorlagenverwaltung die neue Vorlage aus und klicken Sie dann auf OK 6 F llen Sie die verbleibenden Alarmeinstellungen aus Syslog Nachricht gesendet bei nicht genehmigtem Systemstatus Wenn Sie eine Syslog Nachricht als Alarmaktion konfigurieren m chten damit eine Syslog Nachricht an NMS gesendet wird wenn erkannt wird dass sich das System nicht mehr in einem genehmigten oder sicheren Zustand befindet f hren Sie die folgenden Schritte aus 1 Erstellen Sie einen Alarm mit Vergleich einer beliebigen Bedingung Wechseln Sie zur Registerkarte Aktionen und w hlen Sie dann Nachricht senden aus 2 Klicken Sie auf Empf nger hinzuf gen Syslog
32. Tabellenspalten ein 7 Die Richtlinie oder den Namen der Datenquelle k nnen Sie nicht bearbeiten c Sprechen Sie die in der Tabelle vorgenommenen nderungen Sie k nnen nicht eine Datenquelle bearbeiten um sie als Datenquelle von einer Client Datenquelle oder umgekehrt festzulegen 3 Importieren Sie die Liste auf dem Empf nger a W hlen Sie in der Systemnavigationsstruktur die Option Empf ngereigenschaften aus und klicken Sie dann auf Datenquellen b Klicken Sie auf Importieren w hlen Sie die Datei aus und klicken Sie auf Hochladen Die Richtlinie oder den Namen der Datenquelle k nnen Sie nicht ndern Die Seite Datenquellen importieren wird ge ffnet Hier werden die an der Tabelle vorgenommenen nderungen aufgef hrt c Zum Importieren der nderungen klicken Sie auf OK Die richtig formatierten nderungen werden hinzugef gt d Wenn die Formatierung der nderungen Fehler enth lt werden diese in einem Nachrichtenprotokoll beschrieben 84 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten e Klicken Sie auf Gesamte Datei herunterladen und dann auf Ja f W hlen Sie den Speicherort f r den Download aus ndern Sie bei Bedarf den Namen der Datei und klicken Sie dann auf Speichern g ffnen Sie die heruntergeladene Datei Sie enth lt eine Liste der Datenquellen bei denen Fehler aufgetreten sind h Korrigieren Sie die Fehler speichern
33. Zeichenfolgen zuf llige Zeichenfolgen und Zeichenfolgen Hashs e Sie k nnen die Syntax contains lt regul rer Ausdruck gt verwenden oder einfach einen Wert in die Felder f r nicht indizierte zuf llige Zeichenfolgen oder Zeichenfolgen Hashs eingeben und dann benutzerdefinierte Typen filtern e Sie k nnen die Syntax regex verwenden e Wenn Sie contains verwenden und einen durch Komma getrennten Filter in einem Feld f r nicht indizierte benutzerdefinierte Typen verwenden Tom John Steve wird vom System ein regul rer Ausdruck ausgef hrt Das Komma und das Sternchen fungieren als Pipe und als Punkt gefolgt von einem Sternchen in einem contains Feld einem Feld f r nicht indizierte zuf llige Zeichenfolgen oder einem Feld f r Zeichenfolgen Hashs Wenn Sie ein Zeichen wie beispielsweise ein Sternchen eingeben wird es durch einen Punkt gefolgt von dem Sternchen ersetzt e Ein ung ltiger regul rer Ausdruck oder eine fehlende schlie ende Klammer k nnen zu einem Fehler f hren bei dem Sie informiert werden dass der regul re Ausdruck ung ltig ist McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Benutzerdefinierte Typfilter e Sie k nnen nur einen einzelnen regex oder contains Wert in Feldern f r benutzerdefinierte Typen mit nicht indizierten oder indizierten Zeichenfolgen zuf lligen Zeichenfolgen und Zeichenfolgen Hashs verwenden e Im Feld Signatur ID
34. ad 2 Klicken Sie auf Starten um das Streaming zu starten und auf Anhalten um es anzuhalten 3 W hlen Sie eine oder mehrere der verf gbaren Aktionen in der Anzeige aus 4 Klicken Sie auf Schlie en Empf nger mit Hochverf gbarkeit Empf nger mit Hochverf gbarkeit werden im prim ren und im sekund ren Modus verwendet damit die Funktionen schnell vom sekund ren Empf nger bernommen werden k nnen wenn der prim re Empf nger ausf llt Dadurch wird die Kontinuit t der Datenerfassung wesentlich besser gew hrleistet als bei einem einzigen Empf nger O Die Funktion f r Empf nger mit Hochverf gbarkeit ist nicht FIPS konform Verwenden Sie diese Funktion nicht wenn Sie FIPS Vorschriften einhalten m ssen Dieses Setup besteht aus zwei Empf ngern wobei der eine als prim rer oder bevorzugter Empf nger und der andere als sekund rer Empf nger fungiert Der prim re Empf nger wird kontinuierlich vom sekund ren Empf nger berwacht Wenn vom sekund ren Empf nger ein Fehler auf dem prim ren Empf nger festgestellt wird wird der prim re Empf nger angehalten und seine Funktion vom sekund ren Empf nger bernommen Nach der Reparatur des prim ren Empf ngers wird dieser zum sekund ren Empf nger oder wieder zum prim ren Empf nger Dies h ngt davon ab welche Option auf der Registerkarte HA Empf nger im Feld Bevorzugtes prim res Ger t ausgew hlt ist siehe Einrichten von Empf nger HA Ger ten McAfee Enterprise S
35. ausgel st wurde Diese Option ist verf gbar wenn Sie durch Standardregeln Nicht Firewall Regeln generierte Warnungen ausw hlen Wenn Sie auf Benutzerdefinierte Regel erstellen klicken wird die Seite Neue Regel ge ffnet siehe Hinzuf gen benutzerdefinierter ADM Regeln Datenbankregeln oder Korrelationsregeln Ausf hren einer WHOIS oder ASN Suche Sie k nnen in einer Tabellenkomponente eine WHOIS Suche ausf hren um Informationen zu einer Quell oder Ziel IP Adresse zu finden Mit der f r jede ASN Abfrage in einem Balkendiagramm und f r jeden Flussdatensatz in einer Tabellenkomponente mit ASN Daten verf gbaren ASN Suche k nnen Sie anhand der ASN ID einen WHOIS Datensatz abrufen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie eine IP Adresse oder einen Flussdatensatz mit ASN Daten in einer Tabellenkomponente oder eine ASN Abfrageleiste in einer Balkendiagrammkomponente aus nl Klicken Sie auf das Men 5 und w hlen Sie dann Details zur IP Adresse oder ASN Suche aus 3 So suchen Sie eine andere IP Adresse oder ID e W hlen Sie auf der Registerkarte WHOIS in der Dropdown Liste eine IP Adresse aus und geben Sie den Host Namen ein e Geben Sie auf der Seite ASN Suche die Zahlen ein oder w hlen Sie in der Dropdown Liste eine Zahl aus Hinzuf gen einer Remedy Fall ID zu einem Ereignisdatensatz Wenn Sie eine Ereignis E Mail an das Remed
36. b Geben Sie einen Namen f r die Regel und dann den Benutzernamen ein c W hlen Sie den Aktionstyp Nicht vertrauensw rdig aus und klicken Sie dann auf OK Klicken Sie auf das Symbol Rollout x McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 359 10 Verwalten von Richtlinien und Regeln Regeltypen und ihre Eigenschaften 6 Richten Sie den Bericht ein a Klicken Sie in Systemeigenschaften auf Berichte Hinzuf gen b F llen Sie die Abschnitte 1 3 und 6 aus c W hlen Sie in Abschnitt 4 die Option Bericht im PDF Format oder Bericht im HTML Format aus d W hlen Sie in Abschnitt 5 die Optionen Compliance SOX Audit Listen f r berechtigte Benutzer Datenbank aus e Klicken Sie auf Speichern 7 Zum Generieren des Berichts klicken Sie auf Jetzt ausf hren ESM Regeln ESM Regeln werden verwendet um Ereignisse im Zusammenhang mit dem ESM Ger t zu generieren Alle Regeln dieses Typs werden von McAfee definiert Sie k nnen verwendet werden um Compliance oder Audit Berichte zu generieren aus denen die auf dem ESM Ger t aufgetretenen Ereignisse hervorgehen Sie k nnen diese Regeln nicht hinzuf gen ndern oder l schen Sie k nnen jedoch die Eigenschaftseinstellungen ndern siehe Regeltypen und ihre Eigenschaften Normalisierung Die Namen und Beschreibungen der Regeln werden von den jeweiligen Anbietern festgelegt Daher haben Regeln des gleichen Typs oft unterschiedliche Namen Dies erschwert das Samm
37. benutzerdefinierte Regel zu verwenden oder die Einstellungen l schen Einrichten einer Regel und eines Berichts f r Datenbank Audit Listen auf Seite 359 Im Bericht Audit Listen f r berechtigte Benutzer k nnen Sie die Audit Liste f r nderungen an der Datenbank anzeigen oder den Zugriff auf eine Datenbank oder Tabelle verfolgen der einem bestimmten Datenbankereignis zugeordnet war Logische Elemente Wenn Sie eine ADM Regel Datenbankregel und Korrelationsregel oder Korrelationskomponente hinzuf gen m ssen Sie die Kernfunktionalit t der Regel erstellen indem Sie die logischen Elemente in den Bereich Ausdruckslogik oder Korrelationslogik ziehen Die logischen Elemente bilden das Ger st f r die Regel Element Beschreibung Zn AND Funktioniert wie ein logischer Operator in einer Computersprache Alle unter diesem logischen Element gruppierten Elemente m ssen wahr sein damit die Bedingung wahr ist Verwenden Sie diese Option wenn alle Bedingungen dieses logischen Elements erf llt sein m ssen damit eine Regel ausgel st wird OR Funktioniert wie ein logischer Operator in einer Computersprache Nur eine unter diesem Element gruppierte Bedingung muss wahr sein damit diese Bedingung wahr ist Verwenden Sie dieses Element wenn nur eine Bedingung erf llt sein muss damit die Regel ausgel st wird SET F r Korrelationsregeln oder Komponenten k nnen Sie mit diesem Element mehrere Bedingungen definieren und die
38. bersicht der Alarme vom Typ Feld bereinstimmung und Interne Ereignis bereinstimmung enthalten sein sollen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das System aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf der Seite Systemeigenschaften auf Alarme und dann auf Hinzuf gen 3 W hlen Sie auf der Registerkarte Bedingung den Typ Feld bereinstimmung oder Interne Ereignis bereinstimmung aus 4 Klicken Sie auf die Registerkarte Aktionen klicken Sie auf Fall erstellen f r und dann auf das Variablensymbol a W hlen Sie dann die Felder aus die in der Fall bersicht enthalten sein sollen Klicken Sie auf bersicht f r ausgel sten Alarm anpassen klicken Sie auf das Variablensymbol a und w hlen Sie dann die Felder aus die in der bersicht f r den ausgel sten Alarm enthalten sein sollen 6 Geben Sie die weiteren erforderlichen Informationen zum Einrichten des Alarms ein siehe Erstellen eines Alarms und klicken Sie dann auf Fertig stellen Verwalten von Nachrichtenvorlagen f r Alarme 248 Eine der beim Einrichten eines Alarms verf gbaren Aktionen lautet Nachricht senden Damit k nnen Sie Alarminformationen an E Mail Empf nger oder ausgew hlte SMS Empf nger Short Message Services SNMP oder Syslog Empf nger weiterleiten Sie k nnen Vorlagen hinzuf gen um die in den Nach
39. ein neuer Begriff eine Hervorhebung Text der stark hervorgehoben wird Befehle oder andere Texte die vom Benutzer eingegeben werden ein Code Beispiel eine angezeigte Meldung W rter aus der Benutzeroberfl che des Produkts z B Optionen Men s Schaltfl chen und Dialogfelder Ein Link auf ein Thema oder eine externe Website Hinweis Zus tzliche Informationen beispielsweise eine alternative Methode f r den Zugriff auf eine Option Tipp Vorschl ge und Empfehlungen Produkthandbuch 9 Einleitung Quellen f r Produktinformationen O Wichtig Vorsicht Wichtige Ratschl ge zum Schutz Ihres Computersystems der Software Installation des Netzwerks Ihres Unternehmens oder Ihrer Daten A Warnung Wichtige Ratschl ge um k rperliche Verletzungen bei der Nutzung eines Hardware Produkts zu vermeiden Quellen fiir Produktinformationen 10 Nach der Ver ffentlichung eines Produkts werden Informationen zu dem Produkt im Online Knowledge Center von McAfee eingegeben Vorgehensweise 1 Rufen Sie im McAfee ServicePortal unter http support mcafee com die Registerkarte Knowledge Center auf 2 Klicken Sie im Bereich Knowledge Base auf eine Inhaltsquelle e Produktdokumentation f r die Suche nach Benutzerdokumentation e Technische Artikel f r die Suche nach KnowledgeBase Artikeln 3 W hlen Sie Meine Filter nicht l schen aus 4 Geben Sie ein Produkt ein und w hlen Sie die Version aus Klicken Sie dann auf
40. gen eines Speicherpools 7 Starten der Protokollierung von Daten Konfigurieren Sie Quellen so dass ihre Protokolle an das ELM Ger t gesendet werden Warten Sie ein oder zwei Tage ab 8 Optimieren der gesch tzten Anforderungen f r die Speicherpoolgr e Optimieren Sie f r jeden in Schritt 6 definierten Speicherpool mithilfe der folgenden Gleichung den zugeh rigen gesch tzten Speicherbedarf RSGB 1 1 DRTD SPABRPD 1024 1024 1024 Dabei gilt Folgendes RSGB Erforderlicher Speicherplatz in GB DRTD Dauer der Datenbeibehaltung in Tagen SPABRPD Wert der t glichen durchschnittlichen Byte Rate des Speicherpools aus dem Statistikbericht McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Schritt Aktion Beschreibung 9 ndern oder Erstellen von ndern oder erstellen Sie f r jeden RSGB Wert aus Schritt 8 Speicherger ten ELM Speicherger te so dass diese gro genug sind um die mit RSGB angegebene Datenmenge zu speichern 10 Andern von Speicherpools ndern Sie bei Bedarf die einzelnen in Schritt 6 erstellten Speicherpools indem Sie in Schritt 9 erstellte Speicherger te hinzuf gen oder die vorhandene Zuordnung von Speicherger ten erh hen Einrichten von ELM Speicher Zum Speichern von Protokollen ben tigt das ELM Ger t Zugriff auf mindestens ein Speicherger t Der Speicherbedarf f r eine ELM Installation wird
41. gt In der Host Tabelle werden die Daten als Automatisch erlernt markiert und laufen nach dem Zeitraum ab den Sie im Feld Eintr ge laufen ab nach unter der Host Tabelle auf der Seite Systemeigenschaften Hosts den Umgehungsmodus f r das Ger t zu deaktivieren Nach Ablauf der Daten wird eine weitere DNS Suche ausgef hrt sobald Sie wieder in einer Ansicht die Option Hostnamen anzeigen ausw hlen In der Host Tabelle werden automatisch erlernte und hinzugef gte Hostnamen und die zugeh rigen IP Adressen aufgef hrt Sie k nnen manuell Informationen zur Host Tabelle hinzuf gen indem Sie einen Hostnamen und eine IP Adresse einzeln eingeben oder eine durch Tabstopps getrennte Liste mit Hostnamen und IP Adressen importieren Je mehr Daten Sie auf diese Weise eingeben umso weniger Zeitaufwand entsteht f r DNS Suchen Wenn Sie einen Hostnamen manuell eingeben l uft dieser nicht ab Sie k nnen ihn jedoch bearbeiten oder entfernen Verwalten von Hostnamen F hren Sie auf der Seite Hosts alle erforderlichen Aktionen zum Verwalten der Hostnamen aus beispielsweise Hinzuf gen Bearbeiten Importieren Entfernen oder Suchen Au erdem k nnen Sie das Ablaufdatum f r automatisch erlernte Hosts festlegen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Hosts 2 W hlen Sie eine
42. hlen Sie aus wie die Ger te in der Struktur angeordnet werden sollen Im Lieferumfang des ESM Ger ts sind drei vordefinierte Typen enthalten e Physische Anzeige Die Ger te werden hierarchisch aufgef hrt Auf der ersten Ebene befinden sich die Systemknoten physische Anzeige lokales ESM Ger t und lokales ESM Basisger t Auf der zweiten Ebene befinden sich einzelne Ger te und auf allen anderen Ebenen die Quellen die Sie zu den Ger ten hinzuf gen Datenquelle virtuelles Ger t und andere Basisger te werden automatisch unter den Knoten f r lokale ESM Ger te Datenquellen virtuelle Ger te und Datenbank Server hinzugef gt Sie sind mit einem abgeblendeten Symbol und Klammern versehen e Ger tetyp der Anzeige Die Ger te sind nach dem Ger tetyp gruppiert Nitro IPS ADM DEM e Zone der Anzeige Die Ger te sind nach der Zone angeordnet die Sie mit der Funktion Zonenverwaltung definieren Sie k nnen auch benutzerdefinierte Anzeigetypen hinzuf gen siehe Anordnen der Ger te 3 Schnellsuche F hren Sie eine Schnellsuche f r ein Ger t in der Systemnavigationsstruktur aus 4 Systemnavigationsstruktur Zeigen Sie die Ger te im System an Siehe auch Anordnen der Ger te auf Seite 39 Berichte zum Integrit tsstatus von Ger ten auf Seite 57 Verwalten mehrerer Ger te auf Seite 56 Anzeigen der Ger testatistik Zeigen Sie ger tespezifische Details zu CPU Arbeitsspeicher und Warteschlange sowie a
43. hlen Sie dann Ansichten aus 2 W hlen Sie in der Dropdown Liste Standardsystemansicht die neue Standardansicht aus und klicken Sie dann auf OK McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 295 7 Arbeiten mit Ereignissen Arbeiten mit ESM Ansichten Filtern von Ansichten Im Filterbereich der Hauptkonsole von ESM k nnen Sie Filter einrichten die auf Ansichten angewendet werden k nnen Alle auf eine Ansicht angewendeten Filter werden f r die n chste ge ffnete Ansicht bernommen Wenn Sie sich erstmals bei ESM anmelden enth lt der Bereich mit den Standardfiltern die Filterfelder Quellbenutzer Zielbenutzer Quell IP und Ziel IP Sie k nnen Filterfelder hinzuf gen und l schen Filters tze speichern den Standardsatz ndern alle Filter verwalten und den Manager f r die Normalisierung von Zeichenfolgen starten Rechts oben im Ansichtsbereich wird ein orangefarbiges Trichtersymbol angezeigt Daran erkennen Sie ob Filter auf die Ansicht angewendet wurden Wenn Sie auf das orangefarbige Symbol klicken werden alle Filter gel scht und die Abfrage wird erneut ausgef hrt An allen Stellen an denen Sie durch Komma getrennte Filterwerte beispielsweise Variablen globale Filter lokale Filter normalisierte Zeichenfolgen oder Berichtsfilter verwenden die nicht Teil einer Watchlist sind m ssen Sie Anf hrungszeichen verwenden F r den Wert Smith John m ssen Sie Smith John eingeben Wenn der Wert Anf hrungszeic
44. indem Sie das Netzwerkobjekt des Check Point Protokoll Servers auf der Benutzeroberfl che von Smart Dashboard berpr fen Der eindeutige Name des SMS CMA Ger ts sieht hnlich aus wie der f r die OPSEC Anwendung Lediglich der erste Eintrag wird durch CN cp_mgmt ersetzt Angenommen die OPSEC Anwendung hat den eindeutigen Namen CN mcafee_OPSEC O r75 n55nc3 Der eindeutige Name des SMS CMA Ger ts lautet dann CN cp_mgmt O r75 n55nc3 Der eindeutige Name des Protokoll Servers lautet CN CPlogserver O r75 n55nc3 6 F gen Sie f r alle Firewalls Protokoll Server oder sekund ren SMS CMA Ger te die von der eingerichteten bergeordneten Datenquelle verwaltet werden eine untergeordnete Datenquelle hinzu siehe Hinzuf gen einer untergeordneten Datenquelle Der Ger tetyp f r alle Firewall Gateway Datenquellen lautet Sicherheitsger t Als Standardeinstellung f r bergeordnete Berichtskonsole wird die bergeordnete Datenquelle festgelegt 118 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch McAfee Regels tze In dieser Tabelle finden Sie die McAfee Regels tze sowie die externen Datenquellen IDs Konfigurieren von ESM Konfigurieren von Ger ten Datenquellen ID Anzeigename Entsprechende RSID Regelbereich 50201 Firewall 0 2 000 000 2 099 999 50202 Benutzerdefinierte Firewall 0 2 200 000 2 299 999 50203 Benutzerdefinierte Signaturen 0 5 000 000 5 999 999
45. jestream_password Erforderlich jestream_estreamer_cert_file Erforderlich jestream_collect_rna Tabelle 3 15 file source Felder ab Spalte DI Spalte Beschreibung Details Wird f r die Protokolle cifs ftp http nfs und scp verwendet fs_record_lines Anzahl der Zeilen pro Datensatz Wird verwendet wenn flat file support verwendet wird Standardwert 1 fs_file_check Intervall Standardwert 15 Minuten fs_file_completion Standardwert 60 Sekunden fs_share_path Standardwert leer fs_filename Platzhalterausdruck Erforderlich fs_share_name Erforderlich wenn Protocol auf cifs oder nfs festgelegt ist wird ansonsten nicht verwendet fs_username Wird verwendet wenn Protocol auf cifs ftp oder scp festgelegt ist Standardwert leer fs_password Wird verwendet wenn Protocol auf cifs ftp oder scp festgelegt ist Standardwert leer fs_encryption Wird verwendet wenn Protocol auf ftp oder http festgelegt ist Standardwert no Wird auch verwendet wenn flat file support und Protocol auf ftp festgelegt sind McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 93 Konfigurieren von ESM Konfigurieren von Ger ten Tabelle 3 15 file source Felder ab Spalte DI Fortsetzung Spalte Beschreibung Details fs_port Wird verwendet wenn Protocol auf ftp festgelegt ist Standardwert 990 Wenn Protocol auf http festgelegt is
46. lle ndern die Ihnen zugewiesen sind Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Greifen Sie mit einer der folgenden Methoden auf Falldetails zu McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von F llen 8 Anzeigen von Falldetails Art des Falls Vorgehensweise Ein Ihnen zugewiesener Fall 1 W hlen Sie den Fall im Bereich F lle aus 2 Klicken Sie auf das Symbol Fall bearbeiten E Ein nicht Ihnen zugewiesener Fall 1 Klicken Sie auf das Symbol Fallverwaltung ffnen EZ im Bereich F lle 2 W hlen Sie den Fall aus den Sie ndern m chten 3 Klicken Sie unten in der Ansicht auf das Symbol Fall bearbeiten 2 2 Bearbeiten Sie die Einstellungen oder schlie en Sie den Fall im Feld Status 3 Klicken Sie auf OK um die nderungen zu speichern Die nderungen werden auf der Seite Falldetails im Abschnitt Hinweise aufgezeichnet Wenn Sie den Fall geschlossen haben wird er im Bereich F lle nicht mehr angezeigt In der Liste Fallverwaltung bleibt er jedoch sichtbar und der Status lautet jetzt Abgeschlossen Anzeigen von Falldetails Wenn Sie ber Administratorrechte auf dem ESM Ger t verf gen k nnen Sie alle F lle auf dem ESM Ger t anzeigen und Aktionen f r sie ausf hren Alle Benutzer in einer Gruppe k nnen alle F lle in dieser Gruppe anzeigen Vorgehensweise Beschreibungen der Optionen erhalten Sie
47. nach denen Sie filtern m chten e W hlen Sie in der Ansicht die Daten aus die Sie als Filter verwenden m chten und klicken Sie dann im Bereich Filter auf das entsprechende Feld Wenn das Feld leer ist wird es automatisch mit den ausgew hlten Daten ausgef llt 6 F r Durchschnitt f r Schweregrad k nnen Sie mit einem Doppelpunkt einen Bereich eingeben Beispielsweise entspricht 60 80 dem Schweregradbereich von 60 bis 80 3 F hren Sie eine oder mehrere der folgenden Aktionen aus 296 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Arbeiten mit ESM Ansichten Aufgabe Vorgehensweise Anzeigen von Daten die mit Geben Sie die Werte in die einzelnen Felder ein mehreren Filtern bereinstimmen Anzeigen von Daten die mit 1 Geben Sie die Filterwerte ein die Sie ein bzw ausschlie en einigen Filterwerten m chten bereinstimmen und Ausschlie en anderer Daten 2 Klicken Sie neben den auszuschlie enden Feldern auf das Symbol NICHT Anzeigen von Daten die mit 1 Geben Sie die Filterwerte in die Felder f r regul re Ausdr cke Filtern f r regul re Ausdr cke und f r ODER ein oder ODER Filtern bereinstimmen 2 Klicken Sie auf das Symbol ODER neben den Feldern mit den ODER Werten Die Ansicht enth lt die Daten die mit den Werten in den nicht mit ODER markierten Feldern und mit einem der Werte in den mit ODER markierten Feldern bereinstimmen Sie m ssen m
48. r e In den n chsten beiden Zeilen werden die Hostnamen der Empf nger im HA Paar angezeigt und der Ausf hrungsstatus der einzelnen Empf nger aufgef hrt Der Status f r beide lautet Online e Mit corosync wird der Ausf hrungsstatus von Corosync angezeigt der Wird ausgef hrt entsprechen sollte e hi bit entspricht auf dem einen Empf nger nein und auf dem anderen Ja Um welchen Empf nger es sich jeweils handelt spielt dabei keine Rolle Stellen Sie sicher dass nur f r einen der HA Empf nger der hi_bit Wert festgelegt ist Wenn f r beide HA Empf nger der gleiche Wert festgelegt ist wenden Sie sich vor der Durchf hrung des Upgrades an den McAfee Support um die falsch konfigurierte Einstellung zu korrigieren 5 Greifen Sie ber Secure Shell oder SSH auf die einzelnen HA Empf nger zu und f hren Sie auf beiden Empf ngern ber die Befehlszeilenschnittstelle den Befehl ifconfig aus 6 Vergewissern Sie sich dass Folgendes auf die generierten Daten zutrifft e Die MAC Adressen an ethO und eth1 sind auf beiden Empf ngern eindeutig e Der prim re Empf nger hat die freigegebene IP Adresse an eth1 und der sekund re Empf nger hat keine IP Adresse an ethi Wenn f r beide HA Empf nger der gleiche Wert festgelegt ist wenden Sie sich vor der Durchf hrung des Upgrades an den McAfee Support um die falsch konfigurierte Einstellung zu korrigieren McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 71 Konfigurieren von
49. r automatisches Erstellen Hinzuf gen 80 Schweregrade und Aktionen Zuordnungen 103 Security Device Event Exchange SDEE 110 Tabelle zum Importieren 85 Uhrzeit nicht mit ESM synchronisiert 81 Unterst tzt 100 Unterst tzung f r Syslog Relay 114 Verschieben auf ein anderes System 97 Verwalten 75 Windows Sicherheitsprotokolle 102 WMI Ereignisprotokoll 101 Datenquellen Regelaktionen 342 Datenquellenregeln 342 Automatisch erlernt Verwalten 343 Datenspeicher Einrichten der ESM VM 196 Einrichten von ESM 196 Datenspeicher Hinzuf gen ELM gespiegelt 126 Datenspeicher Spiegeln ELM 126 Datenspeicher Vorbereiten zum Speichern von ELM Daten 121 Datenverkehr mit Priorit t Manager 375 Datenzugriffsregeln Hinzuf gen oder Bearbeiten 358 Datenzuordnung Definieren von Limits 198 Datumsformat ndern 30 200 Deaktivieren der SSH Kommunikation mit ESM 48 380 McAfee Enterprise Security Manager 9 5 0 Deaktivieren eines ELM Spiegelger ts 127 Deep Packet Inspection Regeln 338 Attribute Hinzuf gen 339 Hinzuf gen 338 DEM Aktualisieren der Lizenz 156 Bearbeiten einer benutzerdefinierten Aktion 159 Benutzeridentifizierung 160 Datenbank Server Hinzuf gen 162 Definieren von Aktionen 157 Erweiterte Einstellungen Konfigurieren 157 Festlegen des Vorgangs 159 Hinzuf gen einer Aktion 158 Konfigurationseinstellungen Anwenden 157 Masken f r vertrauliche Daten 159 Regel Messgr enreferenzen 348 Regeln 345 Synchronisieren v
50. sondern erst nach dem maximalen Zeitraum f r die Bedingungsausl sung E Wenn Sie den Zeitraum auf null festlegen wird durch alle Ereignisse ein Alarm generiert 236 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Alarmen 6 Erstellen eines Alarms 4 Klicken Sie auf Weiter und w hlen Sie die Ger te aus die f r diesen Alarm berwacht werden sollen Dieser Alarmtyp unterst tzt Empf nger lokale Empf nger ELM Ger te Enterprise Log Manager Kombinationen aus Empf nger und ELM ACE Ger te und ADM Ger te Application Data Monitor 5 Klicken Sie auf die Registerkarten Aktionen und Eskalation und definieren Sie die Einstellungen Klicken Sie dann auf Fertig stellen Der Alarm wird in das Ger t geschrieben Wenn der Alarm nicht in das Ger t geschrieben wird geht aus einer Kennzeichnung neben dem Ger t in e der Systemnavigationsstruktur hervor dass das Ger t nicht synchronisiert ist Klicken Sie auf die Kennzeichnung und dann auf Alarme synchronisieren Hinzuf gen eines Alarms zu Regeln Sie k nnen zu bestimmten Regeln einen Alarm hinzuf gen damit Sie benachrichtigt werden wenn Ereignisse durch diese Regeln generiert werden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie in der Systemnavigationsstruktur auf der Aktionssymbolleiste auf das Symbol m m Richtlinien Editor ii 2 W hlen Sie im Bereich Regeltypen den T
51. t eine SAN Karte installiert ist und SAN Volumes verf gbar sind Deaktivieren der Dateifreigabe f r die Heimnetzgruppe In Windows 7 m ssen Sie die Dateifreigabe f r die Heimnetzgruppe verwenden die auf anderen Windows 7 Computern aber nicht mit Samba funktioniert Um einen Windows 7 Computer als CIFS Freigabe zu verwenden m ssen Sie die Dateifreigabe f r die Heimnetzgruppe deaktivieren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 ffnen Sie in Windows 7 die Systemsteuerung und w hlen Sie dann Netzwerk und Freigabecenter aus 2 Klicken Sie auf Erweiterte Freigabeeinstellungen ndern 3 Klicken Sie auf das Profil Privat oder Arbeitsplatz und vergewissern Sie sich dass es als aktuelles Profil gekennzeichnet ist 4 Aktivieren Sie die Netzwerkerkennung die Datei und Druckerfreigabe und den ffentlichen Ordner 5 Wechseln Sie zu dem Ordner den Sie mit CIFS freigeben m chten versuchen Sie es zuerst mit dem ffentlichen Ordner und klicken Sie mit der rechten Maustaste auf den Ordner 6 W hlen Sie Eigenschaften aus und klicken Sie dann auf die Registerkarte Freigabe 7 Klicken Sie auf Erweiterte Freigabe und w hlen Sie dann Diesen Ordner freigeben aus 8 Optional ndern Sie den Freigabenamen und klicken Sie auf Berechtigungen Vergewissern Sie sich dass die Berechtigungen wie gew nscht festgelegt sind ein H kchen unter ndern bedeutet
52. t hinzuf gen m chten Klicken Sie auf der Aktionssymbolleiste auf Ger t hinzuf gen W hlen Sie den Typ des hinzuzuf genden Ger ts aus und klicken Sie dann auf Weiter Geben Sie einen in dieser Gruppe eindeutigen Namen f r das Ger t ein und klicken Sie dann auf Weiter Klicken Sie auf Schl ssel importieren und wechseln Sie dann zur EXK Datei Klicken Sie auf Hochladen und geben Sie dann das beim Exportieren des Schl ssels festgelegte Kennwort ein Melden Sie sich beim sekund ren ESM Ger t ab McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 19 Erste Schritte Zertifizierte Common Criteria Konfiguration Fehlerbehebung f r den FIPS Modus Beim Betrieb des ESM Ger ts im FIPS Modus kann es zu Problemen kommen Problem Beschreibung und Behebung Keine Kommunikation mit dem ESM Ger t e berpr fen Sie das LCD Display auf der Vorderseite des Ger ts Wenn dort FIPS Fehler angezeigt wird wenden Sie sich an den McAfee Support e berpr fen Sie ber die HTTP Schnittstelle ob eine Fehlerbedingung vorliegt Zeigen Sie dazu in einem Browser die ESM Webseite f r den FIPS Selbsttest an Wenn die einzelne Ziffer 0 angezeigt wird die auf das Fehlschlagen eines FIPS Selbsttests hinweist starten Sie das ESM Ger t neu und versuchen Sie das Problem zu beheben Wenn die Fehlerbedingung weiterhin besteht wenden Sie sich an den Support und bitten Sie um weitere Anweisungen Wenn
53. t ist nicht erreichbar 146 1 Das zu ESM hinzugef gte Software Monitor ESM Niedrig Netzwerkerkennungsger t ist nicht erreichbar McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 241 6 Arbeiten mit Alarmen Erstellen eines Alarms Regelname Signatur ID Beschreibung Typ Ger t Schweregra Warnung zu Fehlern des 306 50018 berpr ft die Integrit t aller Hardware Monitor Alle Hoch Festplattenlaufwerks Festplattenlaufwerke intern oder DAS Warnung zur Status nderung 306 50045 Das ELM Komprimierungsmodul Software Monitor APM REC IPSfttel des ELM Archivprozesses wurde angehalten oder DBM gestartet ELM EDS FTP 306 50074 Das ELM SFTP Programm wurde Software Monitor ELM Mittel angehalten oder gestartet ELM Dateiprozess 306 50065 Das Modul f r die erneute Software Monitor ELM Mittel ELM Einf gung wurde angehalten oder gestartet Wenn bei einem Protokoll Fehler auftreten wird die Einf gung erneut versucht Wenn der Prozess der erneuten Einf gung fehlschl gt wird diese Regel ausgel st ELM FTI Warnung 306 50064 Das Modul f r die Software Monitor ELM Mittel ELM Volltextindizierung wurde angehalten oder gestartet Warnung zur Status nderung 306 50053 Der ELM Remote Speicher Software Monitor ELM Mittel des ELM Bereitstellungspunkts CIFS NFS ISCSI SAN wurde angehalten oder gestartet Warnung zur Status nderung 306 50046 Der ELM Auftragsprozess alle Software Monitor
54. tigen Sie die Berechtigungen Richtlinienadministrator und Ger teverwaltung oder Richtlinienadministrator und Benutzerdefinierte Regeln Die Ereignisaggregation ist nur f r ADM und IPS Ger te sowie Empf ngerger te verf gbar die Flussaggregation ist f r IPS Ger te und Empf ngerger te verf gbar Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Ereignisaggregation oder Flussaggregation 3 Definieren Sie die Einstellungen und klicken Sie dann auf OK Verwalten von Aggregationsausnahmen f r Ereignisse Sie k nnen eine Liste der Aggregationsausnahmen f r Ereignisse anzeigen die zum System hinzugef gt wurden Au erdem k nnen Sie eine Ausnahme bearbeiten oder entfernen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Ereignisaggregation und dann unten auf dem Bildschirm auf Ansicht 3 Nehmen Sie die gew nschten nderungen vor und klicken Sie dann auf Schlie en Hinzuf gen von Ausnahmen f r Einstellungen f r die Ereignisaggregation Aggregationseinstellungen gelten f r alle von einem Ger t generierten Ereignisse Sie k nne
55. tzung der Compliance in Bezug auf Vorschriften besteht darin dass sich die Vorschriften st ndig ndern Unified Compliance Framework UCF ist ein Unternehmen das die Details einzelner Vorschriften harmonisierten Kontroll IDs zuordnet Bei nderungen an Vorschriften werden diese IDs aktualisiert und mithilfe von Push an ESM bertragen e Sie k nnen nach Compliance IDs filtern um die erforderliche Compliance oder bestimmte Unterkomponenten auszuw hlen oder nach Windows Ereignis IDs filtern Aufgabe Vorgehensweise Hinzuf gen von 1 Klicken Sie im Bereich Filter auf das Filtersymbol neben dem Feld UCF Filtern Compliance ID 2 W hlen Sie die Compliance Werte aus die Sie als Filter verwenden m chten und klicken Sie dann auf OK Abfrage ausf hren FE Hinzuf gen von Filtern f r 1 Klicken Sie auf das Filtersymbol neben der Signatur ID Windows Ereignis IDs 2 W hlen Sie in Filtervariablen die Registerkarte Windows aus 3 Geben Sie im Textfeld die Windows Ereignis IDs durch Kommas getrennt ein oder w hlen Sie die Werte nach denen Sie filtern m chten in der Liste aus berwachungslisten Eine berwachungsliste ist eine Gruppierung bestimmter Informationstypen die Sie als Filter oder Alarmbedingung verwenden k nnen Die Watchlist kann global oder spezifisch f r einen Benutzer oder eine Gruppe gelten und statisch oder dynamisch sein Eine statische Watchlist besteht aus bestimmten Werten die Si
56. w hlen Sie dann den Beauftragten aus Ein Benutzer mit Administratorberechtigungen kann eine berwachungsliste einem belieben Benutzer oder einer beliebigen Gruppe im System zuweisen Wenn Sie nicht ber Administratorberechtigungen verf gen k nnen Sie berwachungslisten nur sich selbst oder Gruppen in denen Sie Mitglied sind zuweisen Wenn Sie weitere Werte zur Watchlist hinzuf gen m chten haben Sie folgende M glichkeiten e Zum Importieren einer Datei mit Werten im durch neue Zeilen getrennten Format klicken Sie auf Importieren und w hlen Sie dann die Datei aus e Zum Hinzuf gen einzelner Werte geben Sie im Feld Werte einen Wert pro Zeile ein 7 Es sind maximal 1 000 Werte m glich Um einen Alarm zu erhalten sobald ein Ereignis generiert wird das einen der Werte aus der Watchlist enth lt klicken Sie auf Alarm erstellen Klicken Sie auf OK Hinzuf gen von Regeln zu einer berwachungsliste Wenn Sie eine berwachungsliste erstellt haben m ssen Sie m glicherweise Regelwerte hinzuf gen Dazu k nnen Sie die Option An berwachungsliste anf gen verwenden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 2 W hlen Sie im Richtlinien Editor im Bereich Regeltypen den Typ der Regel aus W hlen Sie im Regelanzeigebereich die Regeln aus die Sie an die berwachungsliste anf gen m chten Klicken Sie auf das Men Vorg nge und w hlen
57. w hlen Sie den Empf nger aus und klicken Sie dann auf OK 3 Klicken Sie im Feld Nachricht senden auf Konfigurieren klicken Sie dann auf Vorlagen und auf Hinzuf gen 4 W hlen Sie im Feld Typ die Option Syslog Vorlage aus geben Sie den Text f r die Nachricht ein und klicken Sie dann auf OK 5 W hlen Sie auf der Seite Vorlagenverwaltung die neue Vorlage aus und klicken Sie dann auf OK 6 F llen Sie die verbleibenden Alarmeinstellungen aus McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Alarmen 6 Erstellen eines Alarms Alarmtyp Beschreibung Erforderliche Ereignisse Zum Konfigurieren eines SNMP Traps der innerhalb von 30 Sekunden an werden im ein entsprechendes Netzwerkbetriebszentrum Network Operation Center Sicherheitsprotokoll NOC gesendet wird wenn erforderliche Ereignisse nicht im nicht aufgezeichnet Sicherheitsprotokoll aufgezeichnet werden f hren Sie die folgenden Schritte aus 1 Wechseln Sie zu Systemeigenschaften SNMP Konfiguration SNMP Traps oder Ger teeigenschaften Ger tekonfiguration SNMP 2 W hlen Sie den Trap f r Fehler im Sicherheitsprotokoll aus konfigurieren Sie dann mindestens ein Profil an das die Traps gesendet werden sollen und klicken Sie auf Anwenden Die SNMP Traps werden mit der Nachricht Das Schreiben in das Sicherheitsprotokoll ist fehlgeschlagen an den SNMP Profilempf nger gesendet Audit Funktionen Zum Konfigurieren eines SNM
58. 0 3 9 X 10 X Linux alle 1ig R2 11 X Versionen Sybase 11 X 12 X 15 X 11 X 12 X 15 X DB2 8 X 9 X 10 X 7 1 X 8 X 9 X McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 161 162 Konfigurieren von ESM Konfigurieren von Ger ten os Database DEM Appliance DEM Agent Informix siehe 11 5 Hinweis 4 MySQL Ja 4 X 5 X 6 X Ja 4 1 22 X 5 0 3X PostgreSQL 7 4 X 8 4 X 9 0 X 9 1 X Teradata 12 x 13 x 14 x InterSystems Cach 2011 1 x UNIX Linux alle Greenplum 8 2 15 Yersionen Vertica 5 1 1 0 Mainframe DB2 zOS Alle Versionen Option f r Partner Agenten AS 400 DB2 Alle Versionen 1 Die Paketentschl sselung f r Microsoft SQL Server wird in Version 8 3 0 und h her unterst tzt 2 Die Paketentschl sselung f r Oracle wird in Version 8 4 0 und h her unterst tzt 3 Oracle 11g ist in Version 8 3 0 und h her verf gbar 4 Unterst tzung f r Informix ist in Version 8 4 0 und h her verf gbar e Es werden die 32 Bit und 64 Bit Versionen von Betriebssystemen und Datenbankplattformen unterst tzt e DEM Agenten werden in allen Betriebssystemversionen von Windows UNIX und Linux unterst tzt e F r DEM Agenten ist Java Virtual Machine JVM erforderlich e MySQL wird nur auf Windows 32 Bit Plattformen unterst tzt e Die Paketentschl sselung wird f r MSSQL und Oracle unterst tzt Verwalten von Datenbank Servern Die Seite Datenbank Serve
59. 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Database Archivierung 2 F llen Sie die Felder aus die vom ausgew hlten Typ abh ngen 3 Klicken Sie auf OK um die Einstellungen zu speichern Inaktive Partitionen werden an diesen Speicherort kopiert und auf den Registerkarten Ereignispartitionen und Flusspartitionen aufgef hrt Einrichten von Datenbeibehaltungs Limits Wenn Sie eine Konfiguration haben bei der historische Daten an das System gesendet werden k nnen Sie ausw hlen wie lange Ereignisse und Fl sse beibehalten werden sollen und wie viele historische Daten maximal eingef gt werden sollen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 197 198 Konfigurieren von ESM Verwalten der Datenbank Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Database Datenbeibehaltung 2 W hlen Sie aus wie lange Ereignisse und Fl sse beibehalten werden sollen und ob Sie historische Daten einschr nken m chten 3 Klicken Sie auf OK Siehe auch Einrichten des ESM Datenspeichers auf Seite 196 Definieren von Datenzuordnungslimits Die maximale Anzahl der vom System verwalteten Ereignis und Flussdatens tze ist ein fester Wert Mithilfe der Datenzuordnung k nnen Sie festlegen wie viel Sp
60. 168 1 0 255 Die folgenden Aussagen treffen auf W rterb cher zu e Listen mehrere durch Kommas getrennte Werte die in eckige Klammern eingeschlossen sind sind in W rterb chern nicht zul ssig McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 143 3 Konfigurieren von ESM Konfigurieren von Ger ten e Eine Spalte darf nur aus einem einzigen unterst tzten ADM Typ bestehen Dies bedeutet dass Sie nicht in einer einzigen ADM W rterbuchdatei verschiedene Typen Zeichenfolgen regul re Ausdr cke IPv4 beliebig kombinieren k nnen e W rterb cher k nnen Kommentare enthalten Alle Zeilen die mit dem Pfundzeichen beginnen werden in einem ADM W rterbuch als Kommentar betrachtet e Namen k nnen nur aus alphanumerischen Zeichen und Unterstrichen bestehen und d rfen maximal 20 Zeichen enthalten e Listen werden in W rterb chern nicht unterst tzt e Vor ADM 8 5 0 mussten Sie W rterb cher au erhalb von ESM mit einem Text Editor Ihrer Wahl bearbeiten oder erstellen W rterb cher k nnen ber ESM importiert oder exportiert werden sodass Sie ADM W rterb cher leichter ndern oder erstellen k nnen Beispiele f r ADM W rterb cher Sie k nnen mit dem ADM Modul Objektinhalte oder beliebige andere Messgr en oder Eigenschaften mit einem einspaltigen W rterbuch anhand des Kriteriums wahr oder falsch ist im W rterbuch vorhanden oder nicht vorhanden vergleichen Tabelle 3 25 Einspaltige
61. 269 Arbeiten mit Ereignissen Arbeiten mit ESM Ansichten Ansichten Fallverwaltung e Zeichenfolge e Hinweise e Zuf llige Zeichenfolge e Zusammenfassung e Name Wert e Verlauf e Zeichenfolgen Hashes Arbeiten mit ESM Ansichten 270 Mit ESM werden von einem Ger t protokollierte Informationen zu Ereignissen Fl ssen Ressourcen und Schwachstellen abgerufen Die Informationen werden korreliert und in das MSEAC Modul McAfee Security Event Aggregation and Correlation eingef gt Inhalt Verwenden von ESM Ansichten Anzeigen von Sitzungsdetails Ansichtssymbolleiste Vordefinierte Ansichten Hinzuf gen einer benutzerdefinierten Ansicht Ansichtskomponenten Arbeiten mit dem Abfragen Assistenten Ansichten verwalten Untersuchen der umliegenden Ereignisse eines Ereignisses Anzeigen der Details zur IP Adresse eines Ereignisses ndern der Standardansicht Filtern von Ansichten Uberwachungslisten Zeichenfolgennormalisierung Verwenden von ESM Ansichten Die vom ESM Ger t abgerufenen Daten k nnen mit dem MSEAC Modul in einer leistungsstarken und flexiblen Berichtanzeige analysiert und berpr ft werden Diese Anzeige befindet sich im mittleren Abschnitt der ESM Konsole Dort werden die Daten f r die Ger te angezeigt die Sie in der Systemnavigationsstruktur ausgew hlt haben Beim Starten der ESM Konsole wird die Standardansicht angezeigt siehe ndern der Standardansicht
62. 353 IP Protokollanomalien f r ADM Regeln 154 Literale 146 Logische Elemente 354 Logische Elemente Bearbeiten 355 Messgr enreferenzen 151 Operatoren 146 Protokollanomalien 154 Protokollspezifische Eigenschaften 153 Regul re Ausdr cke Grammatik 146 Syntax 146 TCP Protokollanomalien f r ADM Regeln 154 Unterst tzte Anwendungen und Protokolle 344 Verwalten benutzerdefiniert 358 Web Mail Protokoll Module 153 McAfee Enterprise Security Manager 9 5 0 ADM Regeln Fortsetzung Wichtige Konzepte 344 ADM Sitzungsanzeige Anzeigen von Kennw rtern 142 ADM W rterb cher 142 Beispiele 144 Einrichten 142 Verwalten 145 Verweisen auf 146 Aggregation ndern der Einstellungen in Ansicht 287 ndern der Regeleinstellungen 373 Beschreibung 49 256 Einstellungen f r Ger t 50 257 Hinzuf gen von Ausnahmen 50 258 Verwalten von Ereignisausnahmen 50 258 Akkumulator Indizes Erh hen der Anzahl der verf gbaren 196 Akkumulator Indizierung Verwalten 198 Aktionen Datenquellen 103 Definieren f r DEM 157 Hinzuf gen zu DEM 158 Symbolleiste 29 33 Zuordnungen 103 Aktivieren des FIPS Modus 21 Aktualisieren der DEM Lizenz 156 Aktualisieren der ESM Software 23 Aktualisieren der Ger tesoftware 39 45 Aktualisieren von Ger ten 60 Aktualisierter Regelstatus L schen 369 Aktualisierung Software auf mehreren Ger ten 56 Status f r Ger te Anzeigen Richtlinien 362 Aktualisierungen Abrufen von Regeln 369 berpr fen
63. Adresse des Clients MSSQL Oracle DB2 Sybase MySQL Informix PostgreSQL Teradata PIServer InterSystems Cach Client Name Name des Client Computers MSSQL Oracle DB2 Sybase Informix PIServer InterSystems Cach Client PID Die Prozess ID die dem Client Prozess vom Betriebssystem zugewiesen wurde MSSQL DB2 Sybase MySQL Client Port Port Nummer der Socket Verbindung des Clients MSSQL Oracle DB2 Sybase MySQL Informix PostgreSQL Teradata PIServer InterSystems Cach Befehlsname Name des MySQL Befehls MSSQL Oracle DB2 Sybase Informix Abfragepaket Befehlstyp Typ des MySQL Befehls DDL DML Anzeigen MSSQL Oracle DB2 oder Replizierung Sybase MySQL Informix PostgreSQL Teradata PIServer InterSystems Cache Eingehende Daten Gesamtanzahl der Bytes im eingehenden MSSQL Oracle DB2 Sybase MySQL Informix PostgreSQL Teradata PIServer InterSystems Cach Ausgehende Daten Gesamtanzahl der Bytes in den ausgehenden Ergebnispaketen MSSQL Oracle DB2 Sybase MySQL Informix PostgreSQL Teradata PIServer InterSystems Cach McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von Richtlinien und Regeln 10 Regeltypen und ihre Eigenschaften Name Beschreibung Datenbanktypen Datenbankname Name der Datenbank auf die zugegriffen wird MSSQL DB2 Sybase MySQL Informix PostgreSQL PIServer InterSys
64. Aktionen hinzuf gen und den Vorgang f r Standardaktionen und benutzerdefinierte Aktionen festlegen Im Lieferumfang des DEM Ger ts sind Standardaktionen enthalten die Sie anzeigen k nnen indem Sie auf der Seite Aktionsverwaltung auf Global bearbeiten klicken Au erdem sind die folgenden Standardvorg nge enthalten e Keine e Skript e Ignorieren e Zur cksetzen e Verwerfen Wenn Sie den Vorgang Skript ausw hlen ist ein Alias Name erforderlich SKRIPT ALIAS der auf das eigentliche Skript SKRIPTNAME verweist das beim Auftreten des Ereignisses mit der entsprechenden Wichtigkeit ausgef hrt werden muss Dem Skript werden zwei Umgebungsvariablen bergeben ALERT_EVENT und ALERT_REASON ALERT_EVENT enth lt eine durch Doppelpunkte getrennte Liste mit Messgr Ben DEM enth lt ein Beispiel f r ein Bash Skript home auditprobe conf sample process_alerts bash mit dem veranschaulicht wird wie die Aktion f r die Wichtigkeit in einem Skript aufgezeichnet werden kann Beachten Sie beim Arbeiten mit Aktionen und Vorg ngen Folgendes e Aktionen werden nach Priorit t aufgef hrt e Bei Ereignissen werden Aktionen wie beispielsweise das Senden eines SNMP Traps oder einer Seite nur ausgef hrt wenn Sie dies als Warnungsaktion festlegen e Wenn eine Regel f r mehrere Warnungsstufen gilt k nnen nur f r die h chste Warnungsstufe Aktionen ausgef hrt werden e Ereignisse werden unabh ngig von der Aktion in eine Ereignisdatei geschrie
65. Alarm die Aktion Berichte generieren ausgew hlt haben k nnen Sie nderungen an den auf die Ausf hrung wartenden Berichten vornehmen und die abgeschlossenen Berichte anzeigen 250 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Alarmen 6 Verwalten von Alarmen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus klicken Sie auf Alarme und dann auf die Registerkarte Einstellungen 2 F hren Sie einen der folgenden Schritte aus e Zum Anzeigen oder Abbrechen von Berichten in der Ausf hrungswarteschlange klicken Sie auf Ansicht e Zum Anzeigen und Verwalten abgeschlossener Berichte klicken Sie auf Dateien 3 Klicken Sie auf Schlie en Verwalten von Alarmberichtsdateien Wenn ein Alarmbericht ausgef hrt wurde wird er der Liste der verf gbaren Berichte in ESM hinzugef gt Sie k nnen diese Liste anzeigen und verschiedene Aktionen ausf hren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Alarme 2 Klicken Sie auf die Registerkarte Einstellungen klicken Sie auf Dateien und w hlen Sie dann aus ob Berichte aus der Liste heruntergeladen oder entfernt werden sollen oder ob Berichte in die Liste hochg
66. Bearbeiten und dann auf Ereignisfilter 3 Nehmen Sie die nderungen vor und klicken Sie dann auf OK Siehe auch Einrichten von Benutzergruppen auf Seite 206 Senden und Weiterleiten von Ereignissen mit Standardereignisformat Das Standardereignisformat Standard Event Format SEF ist ein JSON basiertes Java Script Object Notation Ereignisformat f r die Darstellung generischer Ereignisdaten Mit dem SEF Format werden Ereignisse vom ESM Ger t an einen Empf nger auf einem anderen ESM Ger t sowie vom ESM Ger t an Dritte weitergeleitet Sie k nnen das Format au erdem verwenden um Ereignisse von Dritten an einen Empf nger zu senden indem Sie beim Erstellen der Datenquelle SEF als Datenformat ausw hlen Beim Einrichten der Ereignisweiterleitung mit SEF von ESM zu ESM m ssen Sie vier Schritte ausf hren 262 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Verwalten von Berichten 1 Exportieren Sie Datenquellen benutzerdefinierte Typen und benutzerdefinierte Regeln von dem ESM Ger t von dem die Ereignisse weitergeleitet werden Zum Exportieren der Datenquellen folgen Sie den Anweisungen unter Verschieben von Datenquellen auf ein anderes System Zum Exportieren der benutzerdefinierten Typen ffnen Sie Systemeigenschaften klicken Sie auf Benutzerdefinierte Typen und dann auf Exportieren Zum Exportieren der benutzerdefinierten Regeln folgen Sie den Anweisungen unter Exportieren von
67. Begriff ist entweder eine IP Adresse eine MAC Adresse eine Zahl eine Zeichenfolge oder ein boolescher Wert Au erdem gibt es zwei zus tzliche Literaltypen regul re Ausdr cke und Listen Ein Begriff eines bestimmten Typs kann im Allgemeinen nur mit einem Literal des gleichen Typs oder mit einer Liste von Literalen des gleichen Typs oder einer Liste von Listen von Literalen verglichen werden F r diese Regel gelten drei Ausnahmen 1 Ein Zeichenfolgenbegriff kann mit einem numerischen Literal verglichen werden um seine L nge zu testen Die folgende Regel wird ausgel st wenn ein Kennwort aus weniger als acht Zeichen besteht password ist ein Zeichenfolgenbegriff password lt 8 2 Ein Zeichenfolgenbegriff kann mit einem regul ren Ausdruck verglichen werden Die folgende Regel wird ausgel st wenn ein Kennwort nur Kleinbuchstaben enth lt password a z 3 Alle Begriffe k nnen anhand von booleschen Literalwerten darauf getestet werden ob sie berhaupt vorkommen Die folgende Regel wird ausgel st wenn eine E Mail eine Cc Adresse enth lt email cc ist ein Zeichenfolgenbegriff email cc true Typ Formatbeschreibung IP Adressen e IP Adressliterale werden in standardm iger Dotted Quad Notation geschrieben und nicht in Anf hrungszeichen eingeschlossen 192 168 1 1 e F r IP Adressen kann eine Maske in der standardm igen CIDR Schreibweise geschrieben werden die keine Leerzeichen zwischen Adresse und Maske ent
68. Bei der ersten Anmeldung beim ESM Ger t haben Sie die Sprache f r Ereignisprotokolle wie beispielsweise das Protokoll der Integrit ts berwachung und das Ger teprotokoll ausgew hlt Sie k nnen diese Spracheinstellung ndern Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur Folgendes aus Systemeigenschaften ESM Verwaltung 2 Klicken Sie auf Gebietsschema des Systems w hlen Sie in der Dropdown Liste eine Sprache aus und klicken Sie dann auf OK Verbinden von Ger ten Verbinden Sie physische und virtuelle Ger te mit McAfee ESM um forensische Funktionen in Echtzeit Anwendungs und Datenbank berwachung erweiterte regel und risikobasierte Korrelation sowie die Erstellung von Compliance Berichten zu erm glichen Wenn mehr Ger te zum System hinzukommen sollten Sie sie logisch anordnen Wenn Sie beispielsweise Niederlassungen an verschiedenen Orten haben zeigen Sie die entsprechenden Ger te nach der jeweiligen Zone an Sie k nnen die vordefinierten Anzeigen verwenden oder eigene benutzerdefinierte Anzeigen entwerfen Sie k nnen die Ger te weiter untergliedern indem Sie in den einzelnen benutzerdefinierten Anzeigen Gruppen hinzuf gen Inhalt Hinzuf gen von Ger ten zur ESM Konsole Ausw hlen eines Anzeigetyps Verwalten benutzerdefinierter Anzeigetypen Verwalten einer Gruppe in einem benutzerdefinie
69. Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Erstellen Sie auf dem System unter Windows 2008 oder 2008 R2 auf dem Sie Ereignisprotokolle lesen m chten einen neuen Benutzer 2 Weisen Sie den Benutzer auf dem Windows System der Gruppe Ereignisprotokollleser zu 3 Erstellen Sie in McAfee Event Receiver eine neue Datenquelle f r das Microsoft WMI Ereignisprotokoll Geben Sie dabei die Anmeldeinformationen f r den in Schritt 1 erstellten Benutzer ein siehe Hinzuf gen einer Datenquelle 4 Aktivieren Sie das Kontrollk stchen RPC verwenden und klicken Sie dann auf OK Korrelationsdatenquelle Mithilfe einer Korrelationsdatenquelle werden Daten analysiert die von einem ESM Ger t flie en verd chtige Muster innerhalb des Datenflusses entdeckt den Mustern entsprechende Korrelationswarnungen generiert und die Warnungen in die Warnungsdatenbank des Empf ngers eingef gt Ein verd chtiges Muster wird durch Daten dargestellt die mithilfe von Richtlinienregeln f r die Korrelation interpretiert werden Diese Regeln k nnen Sie erstellen und ndern Diese separaten Regeltypen unterscheiden sich von Nitro IPS Regeln oder Firewall Regeln und verf gen ber Attribute mit denen ihr Verhalten angegeben wird Sie k nnen hnlich wie beim Konfigurieren von Syslog oder OPSEC nur eine Korrelationsdatenquelle pro Empf nger konfigurieren Wenn Sie die Korrelationsdatenquelle eines Empf ngers konfig
70. Datei und weisen Sie die Ger te oder Datenquellen den Zonen zu McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Asset Manager 9 Zonenverwaltung Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie auf das Schnellstartsymbol f r Asset Manager E und w hlen Sie dann Zonenverwaltung aus 2 Sie k nnen eine Zone oder Teilzone hinzuf gen vorhandene Zonen bearbeiten oder entfernen oder Zoneneinstellungen importieren oder exportieren 3 F hren Sie einen Rollout f r alle vorgenommenen nderungen aus und klicken Sie dann auf OK Hinzuf gen einer Zone Der erste Schritt bei der Zonenverwaltung besteht darin die zum Kategorisieren der Ger te und Datenquellen verwendeten Zonen hinzuzuf gen Diese k nnen Sie mit der Funktion Zone hinzuf gen einzeln hinzuf gen oder Sie k nnen eine von einem anderen System exportierte Datei importieren Sie k nnen die Einstellungen einer hinzugef gten Zone bei Bedarf bearbeiten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie auf das Schnellstartsymbol f r Asset Manager E und dann auf Zonenverwaltung 2 Geben Sie die erforderlichen Informationen ein weisen Sie Ger te zu der Zone hinzu und klicken Sie dann auf OK Exportieren von Zoneneinstellungen Sie k nnen die Zoneneinstellungen vom ESM Ger t exportieren um sie a
71. Daten in der untergeordneten Komponente aktualisiert 67 Mit der Datenbindung k nnen Sie nur jeweils ein Feld an ein anderes binden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Erstellen Sie die bergeordneten und untergeordneten Komponenten und w hlen Sie dann die untergeordnete Komponente aus 2 Klicken Sie im Bereich Eigenschaften auf Abfrage bearbeiten Filter Daraufhin wird die Seite Abfragefilter ge ffnet auf der die bergeordneten und untergeordneten Abfragen aktiviert sind 3 W hlen Sie in der Dropdown Liste f r die untergeordnete Abfrage die Option Binden an aus 4 Klicken Sie auf OK und dann auf Fertig stellen 292 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Arbeiten mit ESM Ansichten Vergleichen von Werten Verteilungsdiagramme haben eine Option mit der Sie das aktuelle Diagramm mit einer zus tzlichen Variable berlagern k nnen Auf diese Weise k nnen Sie zwei Werte vergleichen um leicht die Beziehungen beispielsweise zwischen der Gesamtzahl der Ereignisse und dem durchschnittlichen Schweregrad anzuzeigen Mit dieser Funktion erhalten Sie auf einen Blick wertvolle Datenvergleiche im Zeitverlauf Die Funktion ist auch beim Erstellen umfangreicher Ansichten hilfreich um Platz auf dem Bildschirm zu sparen indem Sie die Ergebnisse in einem einzigen Verteilungsdiagramm kombinieren Der Vergleich i
72. Die Integrit t des prim ren Empf ngers kann stark beeintr chtigt sein Zu einer stark kompromittierten Integrit t geh ren eine nicht reagierende Datenbank eine nicht regierende Datenquellen Schnittstelle und berm ig viele Datentr gerfehler Wenn vom prim ren Empf nger eine Warnung der Integrit ts berwachung f r eine dieser Bedingungen bemerkt wird werden die Corosync und Pacemaker Prozesse sofort beendet und eine Warnung der Integrit ts berwachung festgelegt Durch das sofortige Beenden dieser Prozesse werden die Datenerfassungsaufgaben auf den zweiten Empf nger bertragen Integrit tsproblem auf dem sekund ren Empf nger Wenn die Integrit t des sekund ren Empf ngers stark beeintr chtigt ist geschieht Folgendes e Vom sekund ren Empf nger werden auf Abfrage Integrit tsprobleme an ESM gemeldet und die Corosync und Pacemaker Prozesse werden sofort beendet e Wenn der sekund re Empf nger noch Bestandteil des Clusters ist wird er aus dem Cluster entfernt und ist im Fall eines Fehlers auf dem prim ren Empf nger nicht verf gbar e Das Integrit tsproblem wird analysiert und es wird ein Reparaturversuch unternommen e Wenn das Integrit tsproblem behoben ist wird mit dem Verfahren Wieder in Betrieb nehmen der Normalbetrieb des Empf ngers wieder aufgenommen e Wenn das Integrit tsproblem nicht behoben ist wird der Prozess Ersetzen eines Empf ngers mit Fehlern initiiert Wiederinbetriebnahme Wenn d
73. ELM Mittel des ELM Abfragemoduls ELM Auftr ge wie unter anderem ELM Abfragen und Einf gungen wurde angehalten oder gestartet Redundanter ELM Speicher 306 50063 Die ELM Spiegelung wurde Software Monitor ELM Mittel angehalten oder gestartet Fehler in der 306 50044 Die ELM Datenbank wurde Software Monitor ELM Hoch ELM Systemdatenbank angehalten oder gestartet Warnung zur Status nderung 306 50040 Die Cisco MARS Erfassung Software Monitor Empf nger Mittel der E Mail Erfassung wurde angehalten oder gestartet ePO Tags wurden angewendet 306 28 McAfee ePO Tags wurden Software Monitor ESM Niedrig angewendet Fehler bei der Kommunikation 306 50047 Die Kommunikation mit ELM ist Software Monitor APM REC IPS ch mit ELM fehlgeschlagen DBM Fehler bei der SSH 306 50077 Bei der Kommunikation mit ELM Software Monitor Alle Hoch Kommunikation sind Ger teprobleme aufgetreten beispielsweise unterschiedliche Versionen ge nderte Schl ssel Neustart von ESM 306 32 ESM wurde neu gestartet Software Monitor ESM Mittel Herunterfahren von ESM 306 33 ESM wurde heruntergefahren Software Monitor ESM Mittel Warnung zur 306 50070 Die eStreamer Erfassung wurde Software Monitor Empf nger Mittel eStreamer Erfassung angehalten oder gestartet Warnung zur Status nderung 306 50041 Die eStreamer Erfassung wurde Software Monitor Empf nger Mittel der eStreamer Erfassung angehalten oder gestartet Trennen der Ereignispartition 306 4 Die Ereignispartition wurde Software
74. ESM Ger t wird neu gestartet und alle aktuellen Sitzungen werden w hrend der Installation der Aktualisierung getrennt Siehe auch Aktualisieren eines prim ren oder redundanten ESM Ger ts auf Seite 216 Anfordern und Hinzuf gen von Anmeldeinformationen f r Regelaktualisierungen ber ESM erhalten Sie im Rahmen Ihres Wartungsvertrags Aktualisierungen f r Richtlinien Parser und Regeln Sie k nnen 30 Tage lang ohne dauerhafte Anmeldeinformationen auf ESM zugreifen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 23 Erste Schritte berpr fen auf Regelaktualisierungen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Fordern Sie die Anmeldeinformationen per E Mail von Licensing McAfee com an Geben Sie dabei die folgenden Informationen an e McAfee Grant Nummer e Kontoname e Adresse e Kontaktname e E Mail Adresse 2 Wenn Sie die Kunden ID und das Kennwort von McAfee erhalten haben w hlen Sie in der Systemnavigationsstruktur die Optionen Systemeigenschaften Systeminformationen Regelaktualisierung aus 3 Klicken Sie auf Anmeldeinformationen und geben Sie dann die Kunden ID und das Kennwort ein 4 klicken Sie auf berpr fen berpr fen auf Regelaktualisierungen 24 Die von einem Nitro IPS Ger t oder einem virtuellen Ger t f r die Untersuchung des Netzwerkverkehrs verwendeten Regelsignaturen werden vom f r Signaturen zust ndigen
75. Elnstellunge E ZB Definieren von Nachrichteneinstellungen 2 2 nn nn nn nn a 178 Einrichten von NTP auf einem Ger t En non nenn 179 Konfigurieren von Netzwerkeinstellungen 2 2 2 2 2 nn nenn nn 180 Systemzeitsynchronisierung 2 a nn 186 Installieren eines neuen Zertifikats nn m m nn 187 Konfigurieren von Profilen 2 2 2 2 nun nenn nn 188 SNMP Konfiguration 2 2 22 aa a a a a 188 Verwalten der Datenbank Ss a aa a aa 195 Einrichten des ESM Datenspeicher ERA RRA a ee de o 96 Einrichten des ESM VM Datenspeichers Boab a a ds a a 96 Erh hen der Anzahl verf gbarer Akkumulator indizes ko oie Ro a k o 96 Einrichten des Archivs f r inaktive Partitionen 2 2 2 a nn a 197 Einrichten von Datenbeibehaltungs Limits 2 2 2 nn m nenn 197 Definieren von Datenzuordnungslimits prada a a 198 Verwalten von Indexeinstellungen f r die Datenbank are o er e a a a een 198 Verwalten der Akkumulator Indizierung a a 2m m m m 198 Anzeigen der Speicherverwendung der Datenbank 2 2 m nn nn nn 199 Arbeiten mit Benutzern und Gruppen 2 m nn m nn a o o 199 Hinzuf gen eines Benutzers a nn nn nn 200 Ausw hlen von Benutzereinstellungen 2 2 2 nn nn nn 200 Einrichten der Sicherheit at ee 2 OL Einrichten von Benutreranmeldelaformation n f r McAfee ePO E O a 204
76. Falldetails Hinzuf gen von Fallstatusebenen Senden von F llen per E Mail Anzeigen aller F lle Generieren von Fallverwaltungsberichten Hinzuf gen eines Falls Beim Verfolgen eines Tasks der als Ergebnis eines Netzwerkereignisses generiert wurde f gen Sie als Erstes im Fallverwaltungssystem einen Fall hinzu Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie im Bereich F lle auf das Symbol Fall hinzuf gen E 2 Geben Sie die erforderlichen Informationen ein und klicken Sie dann auf OK Der Fall wird zu dem Bereich F lle des Benutzers hinzugef gt dem der Fall zugewiesen wird Wenn Sie Fall per E Mail senden ausgew hlt haben wird au erdem eine E Mail gesendet siehe Senden eines Falls per E Mail McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 311 Verwalten von F llen Erstellen eines Falls aus einem Ereignis Erstellen eines Falls aus einem Ereignis Zum Verfolgen eines Ereignisses in der Ansicht Ereignisanalyse erstellen Sie einen Fall Damit wird die Workflow berwachung aktiviert Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Liste der Ansichten die folgenden Optionen aus Ereignisansichten Ereignisanalyse 2 Bo Klicken Sie auf das Ereignis klicken Sie auf das Men symbol E und dann auf Aktionen Neuen Fall erstellen
77. Ger ten Konfigurieren von Ger ten Verbinden Sie physische und virtuelle Ger te mit McAfee ESM um forensische Funktionen in Echtzeit Anwendungs und Datenbank berwachung erweiterte regel und risikobasierte Korrelation sowie die Erstellung von Compliance Berichten zu erm glichen Inhalt Ger te und ihre Funktion Event Receiver Einstellungen Einstellungen f r Enterprise Log Manager ELM Einstellungen f r Advanced Correlation Engine ACE Einstellungen f r Application Data Monitor ADM Einstellungen f r Database Event Monitor DEM Einstellungen f r verteilte ESM Ger te DESM ePolicy Orchestrator Einstellungen Einstellungen f r Nitro Intrusion Prevention System Nitro IPS McAfee Vulnerability Manager Einstellungen McAfee Network Security Manager Einstellungen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 61 3 Konfigurieren von ESM Konfigurieren von Ger ten Ger te und ihre Funktion Mit dem ESM Ger t k nnen Sie alle physischen und virtuellen Ger te in einer Sicherheitsumgebung verwalten und mit den Ger ten interagieren McAfee Enterprise A Security Manager id Unternehmensnetzwerk Siehe auch Event Receiver Einstellungen auf Seite 63 Einstellungen f r Enterprise Log Manager ELM auf Seite 120 Einstellungen f r Application Data Monitor ADM auf Seite 140 Einstellungen f r Database Event Monitor DEM auf Seite 155 Ein
78. Globale Blacklist einschlie en aus Das Element der globalen Blacklist wird zur Liste hinzugef gt Bei doppelten IP Adressen wird die Adresse von McAfee Network Security Manager mit der Adresse aus der globalen Blacklist berschrieben O Die Auswahl dieser Option kann nicht automatisch r ckg ngig gemacht werden Sie m ssen die Elemente manuell l schen 3 Klicken Sie auf Hinzuf gen geben Sie die erforderlichen Informationen ein und klicken Sie dann auf OK Der Eintrag wird bis zum Ablauf der Dauer in der Blacklist angezeigt Hinzuf gen oder L schen eines entfernten Blacklist Eintrags F r Eintr ge die auf dem ESM Ger t mit einer nicht abgelaufenen Dauer initiiert wurden die aber beim Abfragen von McAfee Network Security Manager Manager nicht in der Liste der Blacklist Eintr ge zur ckgegeben werden wird der Status Entfernt und ein Kennzeichnungssymbol angezeigt Diese Bedingung tritt auf wenn der Eintrag entfernt wurde ohne dass das Entfernen auf dem ESM Ger t initiiert wurde Sie k nnen den Eintrag erneut hinzuf gen oder ihn aus der Blacklist l schen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von zus tzlichen Diensten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option NSM Eigenschaften aus und klicken Sie dann auf Blacklist W h
79. Konfigurieren von Ger ten 4 Geben Sie das Kennwort f r das neue Ger t ein und klicken Sie dann auf Weiter 5 Klicken Sie auf ELM Informationen Sichern und wiederherstellen ELM wiederherstellen 6 Synchronisieren Sie die einzelnen auf dem ELM Ger t protokollierten Ger te erneut indem Sie f r jedes Ger t auf ELM synchronisieren auf der Seite Eigenschaften Konfiguration klicken Die Verwaltungsdatenbank und der ELM Datenspeicher werden auf dem neuen ELM Ger t wiederhergestellt Dieser Vorgang kann mehrere Stunden dauern Erm glichen schnellerer ELM Suchvorg nge Mit der Volltextindizierung k nnen ELM Protokolle indiziert werden Wenn die Funktion aktiviert ist wird die ELM Suche beschleunigt da weniger Dateien durchsucht werden m ssen Bevor Sie beginnen Definieren Sie das Speicherger t und den Speicherplatz den Sie der Indizierung zuordnen m chten Wie viele ELM Protokolle indiziert werden k nnen h ngt davon ab wie viel Speicherplatz Sie der Indizierung zuordnen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ELM Eigenschaften aus und klicken Sie dann auf ELM Konfiguration Volltextindex 2 W hlen Sie auf der Seite Speicherort der Volltextindizierung ausw hlen die erforderlichen Optionen aus 3 Klicken Sie auf OK um die Einstellungen zu speichern Anzeigen der Verwendung d
80. Mails zu berpr fen die ein Wort aus dem W rterbuch enthalten protocol email amp amp naughtyWords objcontent Beim Schreiben von Regeln mit dem ADM Regel Editor k nnen Sie das W rterbuch ausw hlen auf das Sie in der Regel verweisen m chten 7 W rterb cher unterst tzen mehrere Millionen von Eintr gen Beim Hinzuf gen eines W rterbuchs zu einer Regel m ssen Sie die folgenden Schritte ausf hren 1 Einrichten und Speichern eines W rterbuchs in dem die Schl ssel und gegebenenfalls die Werte aufgef hrt sind 2 Verwalten des W rterbuchs in ESM 3 Zuweisen des W rterbuchs zu einer Regel Einrichten eines ADM W rterbuchs Ein W rterbuch ist eine Klartextdatei mit einem Eintrag pro Zeile Es gibt ein und zweispaltige W rterb cher Zweispaltige W rterb cher enthalten einen Schl ssel und einen Wert F r die Schl ssel sind die Typen IPv4 MAC Zahl Regul rer Ausdruck und Zeichenfolge m glich F r die Werte sind die Typen Boolescher Wert IPv4 IPv6 MAC Zahl und Zeichenfolge m glich Ein Wert ist optional und wird standardm ig auf den booleschen Wert Wahr festgelegt wenn er nicht vorhanden ist Werte in einem ein oder zweispaltigen W rterbuch m ssen einem der unterst tzten ADM Typen entsprechen Zeichenfolge Regul rer Ausdruck Zahl IPv4 IPv6 oder MAC F r ADM W rterb cher gelten die folgenden Formatierungsrichtlinien McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfiguri
81. Mal und Letztes Mal als Hinweis auf den Zeitraum zwischen Initiierung und Trennung der Verbindung Es gibt jedoch mehrere Unterschiede zwischen Ereignissen und Fl ssen e Da Fl sse keinen Hinweis auf anomalen oder b sartigen Datenverkehr darstellen sind sie h ufiger anzutreffen als Ereignisse e Im Gegensatz zu einem Ereignis ist ein Fluss nicht einer Regelsignatur Signatur ID zugeordnet e Fl sse sind nicht Ereignisaktionen wie Warnung Verwerfen und Ablehnen zugeordnet e Bestimmte Daten beziehen sich eindeutig auf Fl sse Dazu geh ren Quell und Ziel Bytes sowie Quell und Zielpakete Bei Quell Bytes und Quellpaketen handelt es sich um die Anzahl der Bytes und Pakete die von der Quelle des Flusses bermittelt wurden w hrend die Ziel Bytes und Zielpakete die Anzahl der Bytes und Pakete darstellen die vom Ziel des Flusses bermittelt wurden e Fl sse haben eine Richtung Ein eingehender Fluss ist definiert als ein Fluss dessen Ursprung sich au erhalb des Heimnetzwerks HOME_NET befindet Ein ausgehender Fluss hat seinen Ursprung au erhalb des Heimnetzwerks HOME_NET Diese Variable wird in einer Richtlinie f r ein Nitro IPS Ger t definiert McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 253 254 Arbeiten mit Ereignissen Ereignisse Fl sse und Protokolle Die vom System generierten Ereignisse und Fl sse k nnen Sie in Ansichten anzeigen die Sie in der Dropdown Liste f r Ansichten ausw hlen Protokoll
82. McAfee Team st ndig aktualisiert und k nnen vom zentralen Server von McAfee heruntergeladen werden Die Regelaktualisierungen k nnen automatisch oder manuell abgerufen werden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und vergewissern Sie sich dass Systeminformationen ausgew hlt ist 2 Vergewissern Sie sich im Feld Regelaktualisierungen dass Ihre Lizenz nicht abgelaufen ist Wenn die Lizenz abgelaufen ist finden Sie weitere Informationen unter Anfordern und Hinzuf gen von Anmeldeinformationen f r Regelaktualisierungen 3 Wenn die Lizenz g ltig ist klicken Sie auf Regelaktualisierung 4 W hlen Sie eine der folgenden Optionen aus e Mit Intervall f r automatische berpr fung richten Sie das System so ein dass mit der ausgew hlten H ufigkeit automatisch eine berpr fung auf Aktualisierungen vorgenommen wird e Mit Jetzt berpr fen f hren Sie die berpr fung auf Aktualisierungen sofort aus e Mit Manuelle Aktualisierung aktualisieren Sie die Regeln aus einer lokalen Datei 5 Klicken Sie auf OK Siehe auch Anfordern und Hinzuf gen von Anmeldeinformationen f r Regelaktualisierungen auf Seite 23 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch A Erste Schritte 2 Andern der Sprache f r Ereignisprotokolle ndern der Sprache f r Ereignisprotokolle
83. Mittel des OPSEC Abrufs Point wurde angehalten oder gestartet 244 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Alarmen Erstellen eines Alarms Regelname Signatur ID Beschreibung Typ Ger t Schweregra Warnung zur Status nderung 306 50034 Die OPSEC Erfassung Check Software Monitor Empf nger Mittel des OPSEC Abrufs Point wurde angehalten oder gestartet Warnung zur 306 50072 Die Oracle IDM Erfassung Software Monitor Empf nger Mittel Oracle IDM Erfassung wurde angehalten oder gestartet Warnung zur berbelegung 306 50012 ADM oder IPS hat den Software Monitor IPS ADM Mittel berbelegungsmodus IPS angenommen oder verlassen Warnung zum Erfassungs 306 50073 Das Erfassungs Parser Plug In Software Monitor Empf nger Mittel Parser Plug In wurde angehalten oder gestartet Hinzuf gen einer Richtlinie 306 15 Eine Richtlinie wurde zum Software Monitor ESM Niedrig System hinzugef gt L schen einer Richtlinie 306 17 Eine Richtlinie wurde aus dem Software Monitor ESM Niedrig System gel scht ndern einer Richtlinie 306 16 Eine Richtlinie wurde im System Software Monitor ESM Niedrig ge ndert Keine bereinstimmung mit der 146 6 Die Konfiguration des Software Monitor ESM Niedrig vorherigen Konfiguration Netzwerkerkennungsger ts wurde ge ndert Empf nger HA 306 50058 Ein HA Prozess wurde Software Monitor Empf nger Mittel angehalten oder gestartet Cor
84. Netzwerkger t Ziel Netzwerkger t und zu Abhilfen an Wenn Sie ber ausreichende Rechte zum Anzeigen der entsprechenden Datens tze verf gen k nnen Sie anhand der IDs nach Ereignissen oder Fl ssen suchen indem Sie auf das Lupensymbol rechts neben dem Feld Ereignis ID oder Fluss ID klicken Geolocation Zeigt den Standort der Quelle und des Ziels des ausgew hlten Ereignisses an Beschreibung Zeigt den Namen die Beschreibung und die Signatur oder Regel an der bzw die dem Ereignis zugeordnet ist Hinweise Hier k nnen Sie Hinweise zum Ereignis oder Fluss hinzuf gen die immer angezeigt werden wenn Sie das jeweilige Element anzeigen Paket Ruft den Inhalt des Pakets ab von dem das ausgew hlte Ereignis generiert wurde Auf dieser Registerkarte k nnen Sie die folgenden Funktionen ausf hren e W hlen Sie das Format zum Anzeigen des Pakets aus Rufen Sie die Paketdaten ab indem Sie auf klicken e Speichern Sie das Paket auf dem Computer indem Sie auf Y klicken Wenn es sich um eine Paketaufzeichnung Packet Capture PCAP handelt beispielsweise Nitro IPS Ereignisse ADM Ereignisse eStreamer Ereignisse vom Empf nger wird das Paket mit der Erweiterung pcap gespeichert und kann in jedem PCAP Anzeigeprogramm ge ffnet werden Anderenfalls wird das Paket als Textdatei gespeichert e Legen Sie fest dass das Paket automatisch abgerufen wird wenn Sie auf ein Ereignis klicken e Suchen Sie nach Informationen
85. Option aus und geben Sie die erforderlichen Informationen ein 3 Klicken Sie auf Anwenden oder OK Einrichten von DHCP Mithilfe von DHCP Dynamic Host Configuration Protocol werden in IP Netzwerken Konfigurationsparameter wie beispielsweise IP Adressen f r Schnittstellen und Dienste dynamisch verteilt Wenn Sie ESM f r die Bereitstellung in der Cloud Umgebung einrichten wird DHCP automatisch aktiviert und es wird eine IP Adresse zugewiesen Au erhalb der Cloud Umgebung k nnen Sie DHCP Dienste in ESM in Nicht HA Empf ngern in ACE und in ELM aktivieren und deaktivieren wenn Sie ber Rechte zur Ger teverwaltung verf gen Dies ist hilfreich wenn Sie die IP Adressen f r das Netzwerk zur cksetzen m ssen 67 Aliasse sind deaktiviert wenn DHCP aktiviert ist McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 185 186 Konfigurieren von ESM Konfigurieren von zus tzlichen Diensten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das System oder ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 F hren Sie eine der folgenden Aktionen aus e F r ESM Klicken Sie auf Netzwerkeinstellungen und dann auf die Registerkarte Hauptbildschirm e F rein Ger t W hlen Sie die entsprechende Option Konfiguration aus klicken Sie auf Schnittstellen und dann auf die Registerkarte Netzwerk 3 Klic
86. Oracle und Model auf Oracle Audits festgelegt ist e Der Standard ist 3 6 wenn Vendor auf McAfee und Model auf ePolicy Orchestrator oder ePolicy Orchestrator Firewall oder ePolicy Orchestrator Host IPS festgelegt ist nfxsql_logtype Protokollierungstyp Erforderlich wenn Vendor auf Oracle und Model auf Oracle Audits FGA GA oder beide festgelegt ist nfxsql_sid Datenbank SID Optional wenn Vendor auf Oracle und Model auf Oracle Audits festgelegt ist Standardwert leer McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Tabelle 3 12 nfxhttp Felder ab Spalte CU Konfigurieren von ESM Konfigurieren von Ger ten Spalte Beschreibung Details nfxhttp_port Standardwert 433 nfxhttp_userid Erforderlich nfxhttp_password Erforderlich nfxhttp_mode Standardwert secure Tabelle 3 13 email Felder ab Spalte CY Spalte Beschreibung Details email_port Standardwert 993 email_mailbox E Mail Protokoll Standardwert imap pop3 email_connection Verbindungstyp Standardwert ssl clear email_interval Standardwert 600 Sekunden email_userid Erforderlich email_password Erforderlich Tabelle 3 14 estream Felder ab Spalte DE Spalte Beschreibung Details die Felder zurzeit ignoriert Diese Felder sind in der Tabelle enthalten Da jedoch eine Zertifizierungsdatei erforderlich ist werden jestream_port Standardwert 993
87. Ports die Firewall passieren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie im Richtlinien Editor Folgendes aus IPS Firewall 2 Klicken Sie im Regelanzeigebereich auf die Regel f r die Sie eine Ausnahme hinzuf gen m chten 6 Sie k nnen die Regel leichter finden wenn Sie die Filter im Bereich Filter Kennzeichnung verwenden siehe Filterregeln 3 W hlen Sie Neu aus und klicken Sie dann auf Firewall Ausnahme 4 Klicken Sie auf Hinzuf gen und w hlen Sie dann die Werte zum Definieren der Ausnahme aus oder geben Sie sie ein 5 Klicken Sie auf OK Deep Packet Inspection Regeln Mit Deep Packet Inspection Regeln k nnen Sie den Inhalt eines Pakets testen und mit Mustern in den Regelsignaturen vergleichen Wenn eine bereinstimmung vorliegt wird die angegebene Aktion ausgef hrt Der BASE Filter im Bereich Filter Kennzeichnung bietet Schutz vor bekannten Eindringungsversuchen die sch dlich f r das System oder dessen Daten sein k nnen Das gleiche gilt f r die Filter MALWARE und VIRUS Mit den Filtern RICHTLINIE und MULTIMEDIA k nnen Sie Netzwerkaktivit ten im Zusammenhang mit benutzerdefinierten Angaben f r die Netzwerkverwendung verhindern oder entsprechende Warnungen ausgeben Diese Filter sind nicht potenziell gef hrlichen Netzwerk Eindringungsversuchen zugeordnet Es gibt die folgenden allgemeinen Filtergruppentypen e Schutzregeln BAS
88. Produkthandbuch Verwalten von Cyber Bedrohungen Sie k nnen mit McAfee ESM Kompromittierungsindikatoren Indicators of Compromise IOC aus Remote Quellen abrufen und schnell auf zugeh rige IOC Aktivit ten in Ihrer Umgebung zugreifen Durch die Verwaltung von Cyber Bedrohungen k nnen Sie automatische Feeds einrichten durch die Watchlists Alarme und Berichte generiert werden Auf diese Weise erhalten Sie Einblicke in Daten f r die Sie Ma nahmen ergreifen k nnen Sie k nnen beispielsweise einen Feed einrichten durch den automatisch verd chtige IP Adressen zu Watchlists hinzugef gt werden um zuk nftigen Datenverkehr zu berwachen Durch diesen Feed k nnen Berichte zu vergangenen Aktivit ten generiert und gesendet werden Mit den Optionen Workflow Ansichten f r Ereignisse gt Cyber Threat Indikatoren k nnen Sie schnell bestimmte Ereignisse und Aktivit ten in der Umgebung weiter aufgliedern Inhalt Einrichten der Cyber Threat Verwaltung Anzeigen von Ergebnissen eines Cyber Threat Feeds Einrichten der Cyber Threat Verwaltung Richten Sie Feeds ein um Kompromittierungsindikatoren Indicators of Compromise IOC aus Remote Quellen abzurufen Mithilfe dieser Feeds k nnen Sie Watchlists Alarme und Berichte generieren damit Benutzer auf zugeh rige IOC Aktivit ten in Ihrer Umgebung zugreifen k nnen Bevor Sie beginnen Vergewissern Sie sich dass Sie ber die folgenden Berechtigungen verf gen e Cyber Threat
89. Quellen Blockierte Ziele oder Ausschl sse aus und verwalten Sie dann Blacklist Eintr ge 3 W hlen Sie die Ger te aus auf denen die globale Blacklist verwendet werden muss 4 Klicken Sie auf Anwenden oder OK McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 219 3 Konfigurieren von ESM Was ist Datenanreicherung Was ist Datenanreicherung Sie k nnen von Upstream Datenquellen gesendete Ereignisse mit Kontext anreichern der im urspr nglichen Ereignis nicht enthalten ist beispielsweise mit einer E Mail Adresse einer Telefonnummer oder Informationen zum Standort des Hosts Diese angereicherten Daten werden dann Bestandteil des analysierten Ereignisses und werden genau wie die urspr nglichen Felder mit dem Ereignis gespeichert Richten Sie Datenanreicherungsquellen ein indem Sie definieren wie die Verbindung mit der Datenbank hergestellt werden soll und auf ein oder zwei Tabellenspalten in der Datenbank zugegriffen werden soll Legen Sie anschlie end fest welche Ger te die Daten empfangen und wie die Daten Ereignisse und Fl sse angereichert werden sollen Au erdem k nnen Sie auf der Seite Datenanreicherung Datenanreicherungsquellen bearbeiten oder entfernen und eine Abfrage ausf hren W hlen Sie dazu die Quelle aus und klicken Sie auf Bearbeiten Entfernen oder Jetzt ausf hren Im ESM Ger t ausgel ste Ereignisse werden nicht angereichert Die Datenerfassung findet in ESM und nicht in den Ger ten stat
90. Regeln 2 Importieren Sie auf dem ESM Ger t mit dem Empf nger an den Sie weiterleiten die gerade exportierten Datenquellen benutzerdefinierten Typen und benutzerdefinierten Regeln Zum Importieren der Datenquellen folgen Sie den Anweisungen unter Verschieben von Datenquellen auf ein anderes System Zum Importieren der benutzerdefinierten Typen ffnen Sie Systemeigenschaften klicken Sie auf Benutzerdefinierte Typen und dann auf Importieren Zum Importieren der benutzerdefinierten Regeln folgen Sie den Anweisungen unter Importieren von Regeln 3 F gen Sie auf dem ESM Ger t das die Ereignisse von einem anderen ESM Ger t empf ngt eine ESM Datenquelle hinzu Klicken Sie in der Systemnavigationsstruktur auf das Empf ngerger t zu dem Sie die Datenquelle hinzuf gen m chten und klicken Sie dann auf das Symbol Datenquelle hinzuf gen Er W hlen Sie auf der Seite Datenquelle hinzuf gen im Feld Datenquellenanbieter die Option McAfee und dann im Feld Datenquellenmodell die Option Enterprise Security Manager SEF aus Geben Sie die erforderlichen Informationen ein und klicken Sie dann auf OK 4 F gen Sie das Ereignisweiterleitungsziel auf dem sendenden ESM Ger t hinzu Klicken Sie in der Systemnavigationsstruktur auf das System und klicken Sie dann auf das Symbol Eigenschaften ES Klicken Sie auf Ereignisweiterleitung und dann auf Hinzuf gen W hlen Sie auf der Seite Ereignisweiterleitungsziel hinzuf gen
91. Seite 120 Einstellungen f r Application Data Monitor ADM auf Seite 140 Einstellungen f r Database Event Monitor DEM auf Seite 155 Einstellungen f r Advanced Correlation Engine ACE auf Seite 136 Einstellungen f r verteilte ESM Ger te DESM auf Seite 163 ePolicy Orchestrator Einstellungen auf Seite 164 Einstellungen f r Nitro Intrusion Prevention System Nitro IPS auf Seite 170 12 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Erste Schritte Vergewissern Sie sich dass die ESM Umgebung auf dem aktuellen Stand und einsatzbereit ist Inhalt Informationen zum FIPS Modus Zertifizierte Common Criteria Konfiguration An und Abmelden Anpassen der Anmeldeseite Aktualisieren der ESM Software Anfordern und Hinzuf gen von Anmeldeinformationen f r Regelaktualisierungen berpr fen auf Regelaktualisierungen ndern der Sprache f r Ereignisprotokolle Verbinden von Ger ten Konsoleneinstellungen Informationen zum FIPS Modus Der Federal Information Processing Standard FIPS umfasst ffentlich bekannt gegebene Standards der USA Wenn Sie an diese Standards gebunden sind m ssen Sie das System im FIPS Modus betreiben O Sie m ssen den FIPS Modus bei der ersten Anmeldung beim System ausw hlen und k nnen ihn sp ter nicht mehr ndern Siehe auch Informationen zum FIPS Modus auf Seite 14 Inhalt gt Informationen zum FIPS Modus Ausw hlen des FIPS Modus be
92. Sicherheits Administrations und Ereignisprotokolle erfasst Sie k nnen weitere Protokolldateien eingeben beispielsweise Verzeichnisdienstprotokolle oder Exchange Protokolle Die Ereignisprotokolldaten werden in den Paketdaten erfasst und k nnen ber die Details der Ereignistabelle angezeigt werden F r WMI Ereignisprotokolle sind die Berechtigungen eines Administrators oder Sicherungs Operators erforderlich es sei denn Sie verwenden Windows 2008 oder 2008 R2 und die Datenquelle und der Benutzer sind richtig eingerichtet siehe Einrichten des Abrufs von Windows Sicherheitsprotokollen Die folgenden zus tzlichen Ger te werden von der WMI Datenquelle unterst tzt e McAfee Antivirus e Microsoft SQL Server e Windows e RSA Authentication Manager e Microsoft ISA Server e Symantec Antivirus e Microsoft Active Directory e Microsoft Exchange Anweisungen zum Einrichten von Syslog WMI ber Adiscon finden Sie unter Adiscon Setup Wenn Sie eine WMI Datenquelle einrichten lautet der Anbieter Microsoft und das Modell WMI Event Log McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 101 102 Konfigurieren von ESM Konfigurieren von Ger ten Einrichten f r das Abrufen von Windows Sicherheitsprotokollen Wenn Sie Windows 2008 oder 2008 R2 verwenden und die Datenquelle f r das WMI Ereignisprotokoll richtig eingerichtet ist k nnen Benutzer ohne Administratorberechtigungen Windows Sicherheitsprotokolle abrufen Vorgehensweise
93. Sie einen gr eren Ersatzempf nger kaufen und die Datenquellen vom aktuellen Empf nger auf den neuen bertragen m chten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Empf ngereigenschaften f r den Empf nger mit den Datenquellen aus und klicken Sie dann auf Datenquellen 2 W hlen Sie die zu migrierenden Datenquellen aus und klicken Sie dann auf Migrieren 3 W hlen Sie im Feld Zielempf nger den neuen Empf nger aus und klicken Sie dann auf OK Verschieben von Datenquellen auf ein anderes System Zum Verschieben von Datenquellen von einem Empf nger auf einen anderen in einem anderen System m ssen Sie die zu verschiebenden Datenquellen ausw hlen und die Datenquellen und ihre Rohdaten an einem Remote Speicherort speichern Anschlie end importieren Sie sie auf dem anderen Empf nger Bevor Sie beginnen Um diese Funktion zu verwenden ben tigen Sie auf beiden Empf ngern Rechte zur Ger teverwaltung Verwenden Sie dieses Verfahren um Datenquellen von einem Empf nger an einem sicheren Speicherort auf einen Empf nger an einem unsicheren Speicherort zu verschieben Beim Exportieren von Datenquelleninformationen gelten Einschr nkungen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 97 3 Konfigurieren von ESM Konfigurieren von Ger ten e Sie k nnen keine Flussdatenquellen tran
94. Sie dann auf OK 3 Klicken Sie in der Liste der Abfragen auf die gerade hinzugef gte Abfrage und dann auf Weiter 4 ndern Sie auf der zweiten Seite des Assistenten die Einstellungen indem Sie auf die Schaltfl chen klicken Bearbeiten einer 1 W hlen Sie die zu bearbeitende benutzerdefinierte Abfrage aus und benutzerdefinierten klicken Sie dann auf Bearbeiten Abfrage 2 ndern Sie auf der zweiten Seite des Assistenten die Einstellungen indem Sie auf die Schaltfl chen klicken Entfernen einer W hlen Sie die zu entfernende benutzerdefinierte Abfrage aus und benutzerdefinierten klicken Sie dann auf Entfernen Abfrage 3 Klicken Sie auf Fertig stellen Binden von Komponenten Wenn eine Ansichtskomponente ber eine Datenbindung mit einer anderen Komponente verkn pft ist wird die Ansicht interaktiv Wenn Sie mindestens ein Element in der bergeordneten Komponente ausw hlen werden die in der untergeordneten Komponente angezeigten Elemente so ge ndert als h tten Sie eine Aufgliederung nach weiteren Details ausgef hrt Wenn Sie beispielsweise eine Quell IP Komponente eines bergeordneten Balkendiagramms an eine Ziel IP Komponente eines untergeordneten Balkendiagramms binden und in der bergeordneten Komponente eine Auswahl vornehmen wird die Abfrage der untergeordneten Komponente mit der ausgew hlten Quell IP als Filter ausgef hrt Wenn Sie die Auswahl in der bergeordneten Komponente ndern werden die
95. Sie haben zwei Client Datenquellen eine mit der IP Adresse 1 1 1 1 und eine zweite mit der IP Adresse 1 1 1 0 24 die einen Bereich abdeckt Beide weisen den gleichen Typ auf Wenn ein Ereignis mit 1 1 1 1 bereinstimmt wird es an den ersten Client geleitet da es spezifischer ist Suchen nach einem Client Auf der Seite Datenquellen Clients werden alle im System vorhandenen Clients aufgef hrt Da mehr als 65 000 Clients vorhanden sein k nnen wird eine Suchfunktion bereitgestellt damit Sie bei Bedarf einen bestimmten Client finden k nnen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Empf ngereigenschaften aus und klicken Sie dann auf Datenquellen Clients 2 Geben Sie die gesuchten Informationen ein und klicken Sie dann auf Suchen Importieren einer Liste von Datenquellen Mit der Option Importieren auf der Seite Datenquellen k nnen Sie eine Liste von Datenquellen im CSV Format importieren Dadurch entf llt das Hinzuf gen Bearbeiten oder Entfernen der einzelnen Datenquellen Diese Option verwenden Sie in zwei Situationen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 83 3 Konfigurieren von ESM Konfigurieren von Ger ten e Sie m chten unbearbeitete Datenquellendaten von einem Empf nger an einem sicheren Speicherort auf einem Empf nger an einem unsicheren Speicherort importieren Weitere
96. Sie weitere Informationen unter Fehlerbehebung f r den VA Abruf Planen des Abrufs 1 Klicken Sie auf Bearbeiten 2 W hlen Sie im Feld VA Datenabruf planen die H ufigkeit aus 3 Klicken Sie auf OK 4 Klicken Sie auf der Seite Vulnerability Assessment auf Schreiben um die nderungen in das Ger t zu schreiben 3 Klicken Sie auf OK 4 Zum Anzeigen der Daten klicken Sie auf das Schnellstartsymbol f r Asset Manager E und w hlen Sie dann die Registerkarte Vulnerability Assessment aus Fehlerbehebung f r den VA Abruf Beim Abrufen von VA Daten werden Sie informiert falls der Vorgang nicht erfolgreich ausgef hrt wurde Die folgenden Gr nde sind unter anderem m glich wenn der Abruf nicht erfolgreich ausgef hrt wurde Ressource Verursachtes Problem Nessus OpenVAS und Rapid Metasploit Pro e Leeres Verzeichnis e Fehler in den Einstellungen e Die Daten im Verzeichnis wurden bereits abgerufen daher sind die Daten nicht aktuell Qualys FusionVM Die Daten im Verzeichnis wurden bereits abgerufen daher sind die Daten nicht und Rapid7 Nexpose aktuell Nessus Wenn Sie beim Hochladen einer neuen Nessus Datei auf Ihre FTP Site eine vorhandene Nessus Datei berschrieben haben bleibt das Datum der Datei unver ndert Daher werden beim Ausf hren eines VA Abrufs keine Daten zur ckgegeben da die Daten als alte Daten betrachtet werden Diese Situation k nnen Sie vermeiden indem Sie
97. SigID Signaturnachricht SigMessage Quell IP SrcIP Ziel IP DstIP Quellport SrcPort Zielport DstPort Quell MAC SrcMac Ziel MAC DstMac Protokoll VLAN Fluss gibt an ob das Ereignis vom Initiator oder Empf nger der Verbindung generiert wird Ereignisanzahl EventCount Erstes Mal FirstTime im UNIX Zeitformat Letztes Mal LastTime im UNIX Zeitformat Letztes Mal_Mikrosekunden LastTime_usec Ergebnisuntertyp Schweregrad Interne ID InternalID Ereignis ID auf dem ESM Ger t Ereignis ID EventID IPS ID IPSID IPS Name IPSName Name der Datenquelle IP Adresse Datenquellen ID DSID Quell IPv6 Ziel IPv6 Sitzungs ID Sequenz Als vertrauensw rdig gekennzeichnet Normalisierte ID GUID Quelle GUID Ziel Agg 1 Name Agg 1 Wert Agg 2 Name Agg 2 Wert Agg 3 Name Agg 3 Wert Die folgenden Zeichenfolgenfelder sind au erdem in Anf hrungszeichen eingeschlossen da sie ein Semikolon enthalten k nnen Application Command Domain Host Object Destination User Source User User defined type 8 User defined type 9 User defined type 10 User defined type 21 User defined type 22 User defined type 23 User defined type 24 User defined type 25 User defined type 26 User defined type 27 Packet Paketinhalt ist nur mit Base 64 codiert wenn die Option Paket kopieren f r die Regeln im Richtlinien Editor auf An festgelegt ist und die Option beim Einrichten der Ereignisweiterleitung auf dem ESM Ger t aktiv
98. Suchen um eine Liste der gew nschten Dokumente anzuzeigen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Einleitung Experten f r Sicherheit und Compliance k nnen mit McAfee Enterprise Security Manager McAfee ESM Risiken und Bedrohungen zentral erfassen speichern analysieren und entsprechende Ma nahmen ergreifen Inhalt Funktionsweise von McAfee Enterprise Security Manager Ger te und ihre Funktion Funktionsweise von McAfee Enterprise Security Manager Mit McAfee ESM werden Daten und Ereignisse aus Sicherheitsger ten Netzwerkinfrastrukturen Systemen und Anwendungen erfasst und aggregiert Diese Daten werden dann mit weiteren Informationen kombiniert das hei t mit Kontextinformationen zu Benutzern Ressourcen Schwachstellen und Bedrohungen Diese Informationen werden korreliert um relevante Vorf lle zu finden Mithilfe interaktiver anpassbarer Dashboards k nnen Sie bestimmte Ereignisse weiter aufgliedern um Vorf lle zu untersuchen ESM besteht aus drei Schichten Benutzeroberfl che Ein Browser Programm das die Schnittstelle zwischen Benutzer und System darstellt und als ESM Konsole bezeichnet wird e Datenspeicher verwaltung und analyse Diese Ger te stellen alle notwendigen Dienste f r die Datenbearbeitung wie beispielsweise Konfiguration Berichterstellung Visualisierung und Suche bereit F r diese Funktionen verwenden Sie ESM erforderlich Advanced Correlation Engine ACE D
99. System Number ist eine Zahl die einem autonomen System zugewiesen wird und jedes Netzwerk im Internet eindeutig identifiziert Mithilfe dieser beiden Datentypen k nnen Sie den physischen Standort einer Bedrohung identifizieren Daten f r Quell und Ziel Geolocation k nnen f r Ereignisse erfasst werden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Ereignisse Fl sse und Protokolle oder Ereignisse und Protokolle und dann auf Geolocation 3 W hlen Sie die entsprechenden Optionen zum Generieren der gew nschten Informationen aus und klicken Sie dann auf OK Anhand dieser Informationen k nnen Sie Ereignisdaten filtern Abrufen von Ereignissen und Fl ssen Rufen Sie Ereignisse und Fl sse f r die in der Systemnavigationsstruktur ausgew hlten Ger te ab Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das System eine Gruppe oder ein Ger t aus i 2 Klicken Sie auf der Aktionssymbolleiste auf das Symbol Ereignisse und Fl sse abrufen Und f hren Sie dann die erforderlichen Schritte aus 3 W hlen Sie nach Abschluss des Downloads eine Ansicht aus in der die Ereignisse und Fl sse angezeigt werden sollen Klicken Sie dann auf
100. Verschieben Sie die Komponente an die richtige Position in der Ansicht und f hren Sie dann die folgenden Schritte aus e Wenn Sie die Komponente zu einer vorhandenen Ansicht hinzuf gen klicken Sie auf Speichern e Wenn Sie eine neue Ansicht erstellen klicken Sie auf Speichern unter und f gen Sie den Namen f r die Ansicht hinzu Einrichten der gestapelten Verteilung f r Ansichten und Berichte Richten Sie die Verteilungskomponente in einer Ansicht oder einem Bericht so ein dass Sie die Verteilung der Ereignisse im Zusammenhang mit einem bestimmten Feld sehen k nnen Sie k nnen beim Hinzuf gen der Komponente zu einer Ansicht oder einem Bericht das Feld ausw hlen nach dem gestapelt werden soll Wenn Sie auf die Ansicht zugreifen k nnen Sie die Einstellungen ndern das Zeitintervall festlegen und Diagrammtyp und Details festlegen Die Funktionen Stapeln und Vergleichen k nnen nicht in der gleichen Abfrage verwendet werden McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 293 7 Arbeiten mit Ereignissen Arbeiten mit ESM Ansichten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Ziehen Sie die Verteilungskkomponente in einer Ansicht oder einem Bericht an die gew nschte Stelle und legen Sie sie dort ab siehe Hinzuf gen einer benutzerdefinierten Ansicht oder Hinzuf gen eines Berichtslayouts W hlen Sie dann den Typ der Abfrage aus Stapeln ist
101. Wenn es Ihnen wichtiger ist mehr Protokolle pro Sekunde zu verarbeiten als Speicherplatz zu sparen w hlen Sie niedrige Komprimierung aus Festlegen der ELM Komprimierung W hlen Sie die Komprimierungsstufe f r die auf dem ELM Ger t eingehenden Daten aus um Speicherplatz zu sparen oder mehr Protokolle zu verarbeiten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ELM Eigenschaften aus und klicken Sie dann auf ELM Konfiguration Komprimierung 2 W hlen Sie die ELM Komprimierungsstufe aus und klicken Sie dann auf OK Nach der Aktualisierung der Stufe werden Sie benachrichtigt Anzeigen der Ergebnisse einer Suche oder Integrit tspr fung Nach Abschluss eines Such oder Integrit tspr fungsauftrags k nnen Sie die Ergebnisse anzeigen Bevor Sie beginnen F hren Sie einen Such oder Integrit tspr fungsauftrag aus der zu Ergebnissen f hrt Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ELM Eigenschaften aus 2 Klicken Sie auf Daten und w hlen Sie dann die Registerkarte Protokolle und Dateien durchsuchen oder Integrit tspr fung aus 3 Heben Sie in der Tabelle Suchergebnisse den anzuzeigenden Auftrag hervor und klicken Sie dann auf Ansicht McAfee Enterprise Security Mana
102. Werte w hlen Sie den Werttyp aus und klicken Sie dann auf die Schaltfl che Jetzt ausf hren Zeichenfolgennormalisierung Mit der Zeichenfolgennormalisierung k nnen Sie einen Zeichenfolgenwert einrichten der Alias Werten zugeordnet werden kann und eine CSV Datei mit Zeichenfolgennormalisierungs Werten importieren oder exportieren Dann k nnen Sie die Zeichenfolge und ihre Aliasse filtern indem Sie neben dem entsprechenden Feld im Bereich Filter das Symbol f r die Zeichenfolgennormalisierung ausw hlen F r die Benutzernamen Zeichenfolge John Doe definieren Sie eine Zeichenfolgennormalisierungs Datei Die prim re Zeichenfolge lautet in diesem Fall John Doe und die Aliasse beispielsweise DoeJohn JDoe john doe gmail com und JohnD Anschlie end k nnen Sie John Doe in das Filterfeld User_Nickname eingeben neben dem Feld das Symbol f r den Zeichenfolgennormalisierungs Filter ausw hlen und die Abfrage aktualisieren In der sich ergebenden Ansicht werden alle Ereignisse angezeigt die John Doe und seinen Aliassen zugeordnet sind Daher k nnen Sie nach Inkonsistenzen bei der Anmeldung suchen bei denen zwar die Quell IPs aber nicht die Benutzernamen bereinstimmen Diese Funktion ist auch hilfreich wenn Sie Vorschriften einhalten m ssen die das Melden von Aktivit ten berechtigter Benutzer vorsehen Verwalten von Zeichenfolgennormalisierungs Dateien Damit Sie eine Zeichenfolgennormalisierungs Datei verwenden k nnen m ssen Sie sie
103. Zeichen Escape Zeichen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 147 3 Konfigurieren von ESM Konfigurieren von Ger ten Escape Zeichen d Ziffer 0 9 D Nicht Ziffer 0 9 Ye Escape Zeichen 0x1B f Seitenvorschub 0x0C n Zeilenvorschub Ox0A r Wagenr cklauf 0x0D s Leerzeichen S Nicht Leerzeichen t Tabstopp 0x09 v Vertikaler Tabstopp 0x0B w Wort A Za z0 9_ W Nicht Wort x0o0o Darstellung im Hexadezimalformat 0000 Darstellung im Oktalformat A Zeilenanfang S Zeilenende 7 Die Anker f r Zeilenanfang und Zeilenende und funktionieren f r objcontent nicht POSIX Zeichenklassen alunum Ziffern und Buchstaben alpha Alle Buchstaben ascii ASCII Zeichen blank Leerzeichen und Tabstopp cntrl Steuerzeichen digit Ziffern graph Sichtbare Zeichen lower Kleinbuchstaben print Sichtbare Zeichen und Leerzeichen punct Satzzeichen und Symbole space Alle Leerraumzeichen upper Gro buchstaben 148 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten POSIX Zeichenklassen word Wortzeichen xdigit Ziffer im Hexadezimalformat Begriffstypen f r ADM Regeln Alle Begriffe in einer ADM Regel haben einen bestimmten Typ Jeder
104. Ziehen Sie dann das logische Element AND an die gew nschte Stelle und legen Sie es ab W hlen Sie AND aus da zwei Aktionstypen auftreten m ssen zuerst Anmeldeversuche dann eine erfolgreiche Anmeldung Klicken Sie auf das Symbol Men und w hlen Sie dann Bearbeiten aus W hlen Sie Sequenz aus um anzugeben dass die Aktionen zuerst f nf nicht erfolgreiche Anmeldeversuche und dann eine erfolgreiche Anmeldung der Reihe nach auftreten m ssen Legen Sie dann fest wie oft diese Sequenz auftreten muss 1 Legen Sie den Zeitraum fest in dem die Aktionen auftreten m ssen und klicken Sie dann auf OK Da es sich um zwei Aktionen handelt f r die Zeitfenster erforderlich sind m ssen Sie den Zehn Minuten Zeitraum auf die beiden Aktionen aufteilen In diesem Beispiel betr gt der Zeitraum f r jede Aktion f nf Minuten Sobald die nicht erfolgreichen Versuche innerhalb von f nf Minuten aufgetreten sind wird vom System abgeh rt ob innerhalb der n chsten f nf Minuten eine erfolgreiche Anmeldung von der gleichen IP Quelle erfolgt Klicken Sie im Feld Gruppieren nach auf das Symbol verschieben Sie die Option Quell IP von links nach rechts was bedeutet dass alle Aktionen von der gleichen Quell IP ausgehen m ssen Klicken Sie dann auf OK Definieren Sie die Logik f r diese Regel oder Komponente 356 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von Richtlinien und Regeln 10 Regeltypen und ih
105. Zoneneinstellungen 2 2 nn nn nn nn 323 Hinzuf gen einer Teilzone Do a A a e A ZA Bewertung von Ressourcen Bedrohungen und Risiken se En ea fe Be AA A BAD Verwalten bekannter Bedrohungen 2 2 nn nn nn nn 326 10 Verwalten von Richtlinien und Regeln 327 Grundlegendes zum Richtlinien Editor a a 2 nn nn nn 327 Richtlinienstruktur LA ls Er a ren DAO Verwalten von Richtlinien in dei Richtiinlensbruktur a N a ee ZO Regeltypen und ihre Eigenschaften 2 2 2 2 nn nn ne 331 Variablen 7 a 3 00a e RA ee A AR OZ Pr prozessorregelni os sonso cc e ie 339 Firewall Regeln ko i eop POR E Oop pOr ava ai 330 Deep Packet Inspection Regels ar ae A a a a ee BIO Interne Regeln osn 3 Wa we a A A aa 339 Filterregeln o cp wu Wengen ie ac A a te DAN ASP Regelm o 5 a 00 0 A ee ee 30 Datenquellenregeln 2 2 2 nn 342 Windows Ereignisregeln 2 s s s s soso nn 343 ADM Regeln s u u or ta oan p Son ee a E ee aa a IA DEM REgElMi gre 7 aan oa tar a a se un A a ee a A As BAS Korrelationsregeln A a ee ae a or BZ Anzeigen von Details zu Korrelationsregeln a 353 Hinzuf gen benutzerdefinierter ADM Regeln Datenbankregeln oder Korrelsftaneregeln Lt 393 ESM Regeln o eog mem do Eo gop a a aa a a 00 Normalisierung u A a a a O Aktivieren von Paket k hleren Eabh otok ee a os BOL Einstellungen f r Standardrichtlinien a 2 2 a nn a a aaa 361 Reiner WarnungsmoduS 3
106. aktivieren wenn eine Ressource erkannt wird auf der MySQL ausgef hrt wird Sie k nnen in vordefinierten Ansichten oder selbst erstellten benutzerdefinierten Ansichten auf vom System generierte VA Daten zugreifen Die folgenden vordefinierten Ansichten sind vorhanden e Dashboard Ansichten Dashboard f r Ressourcenschwachstellen e Compliance Ansichten PCI Testen von Sicherheitssystemen und prozessen 11 2 Schwachstellen Scans im Netzwerk e Management Ansichten Kritische Schwachstellen in regulierten Ressourcen Informationen zum Erstellen einer benutzerdefinierten Ansicht finden Sie unter Hinzuf gen einer benutzerdefinierten Ansicht Wenn Sie eine Ansicht erstellen die die Komponenten Anzahl der Schwachstellen insgesamt Anzahl oder Messuhr enth lt wird m glicherweise eine zu hohe Anzahl von Schwachstellen angezeigt Dies liegt daran dass 7 durch den Feed von McAfee Threat Intelligence Services MTIS Bedrohungen basierend auf der von der VA Quelle gemeldeten urspr nglichen Schwachstelle hinzugef gt werden siehe Bewertung von Ressourcen Bedrohungen und Risiken Das f r Regeln zust ndige McAfee Team verwaltet eine Regeldatei in der eine McAfee Signatur ID einer VIN mindestens einem Verweis auf eine CVE ID Common Vulnerabilities and Exposures BugTraq ID OSVDB ID Open Source Vulnerability Database und oder Secunia ID zugeordnet wird Diese Anbieter melden CVE und BugTraq IDs in ihren Schwachstellen Daher sind CVE
107. andere Zahlen m glich In diesem Fall kann die Verbindung 33 Sekunden lang getrennt werden wenn das Ger t in den Umgehungsmodus wechselt oder diesen verl sst In dem Szenario in dem es 33 Sekunden dauert die Kommunikation wieder herzustellen k nnen Sie Portfast f r den Switch Port aktivieren und die Geschwindigkeit sowie den Duplex Modus manuell festlegen um wieder normale Zeiten zu erzielen Achten Sie darauf f r alle vier Ports Switch beide Ports von Nitro IPS und den Port des anderen Ger ts die gleiche Einstellung festzulegen Anderenfalls tritt m glicherweise im Umgehungsmodus ein Aushandlungsproblem auf siehe Einrichten von Umgehungs Netzwerkkarten Die verf gbaren Umgehungsoptionen h ngen vom Typ der Umgehungs Netzwerkkarte im Ger t ab Typ 2 oder Typ 3 Einrichten von Netzwerkschnittstellen Mit Schnittstelleneinstellungen bestimmen Sie wie die Verbindung zwischen ESM und dem Ger t hergestellt wird Sie m ssen diese Einstellungen f r jedes Ger t definieren McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 181 182 Konfigurieren von ESM Konfigurieren von zus tzlichen Diensten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie f r das Ger t auf die Option Konfiguration und dann auf Schnittstellen 3 Geben
108. anhand der Anzahl der Datenquellen der entsprechenden Protokollierungsmerkmale und der entsprechenden Anforderungen an die Dauer der Datenbeibehaltung berechnet Der Speicherbedarf variiert im Lauf der Zeit da sich vermutlich alle diese Aspekte w hrend der Lebensdauer einer ELM Installation ndern Details zum Sch tzen und Anpassen des Speicherbedarfs f r ein System finden Sie unter ELM Einstellungen Terminologie im Zusammenhang mit dem ELM Speicher Die folgenden Begriffe sollten Sie beim Arbeiten mit ELM Speicher kennen e Speicherger t Ein Datenspeicherger t auf das von einem ELM Ger t zugegriffen werden kann Einige ELM Modelle verf gen ber ein integriertes Speicherger t andere ber die M glichkeit einen SAN Verbindung herzustellen und manche bieten beides Alle ELM Modelle verf gen ber die M glichkeit eine NAS Verbindung herzustellen e Speicherzuordnung Eine konkrete Datenspeichermenge auf einem bestimmten Speicherger t beispielsweise 1 TB auf einem NAS Speicherger t e Dauer der Datenbeibehaltung Gibt an wie lange ein Protokoll gespeichert wird e Speicherpool Eine oder mehrere Speicherzuordnungen die zusammen die gesamte Speichermenge angeben in Kombination mit einer Datenbeibehaltungsdauer aus der hervorgeht wie viele Tage lang ein Protokoll maximal gespeichert werden soll e Protokollquelle Eine Quelle f r Protokolle die auf einem ELM Ger t gespeichert werden ELM Speicherger tetypen Wenn S
109. auf Bearbeiten Wenn in der Statusspalte f r das Ger t Nicht erforderlich angezeigt wird ist das Ger t f r globale Benutzerauthentifizierung eingerichtet Sie k nnen den Status auf der Seite Verbindung f r das Ger t ndern siehe Andern der Verbindung mit ESM 3 Geben Sie den Benutzernamen und das Kennwort ein testen Sie die Verbindung und klicken Sie dann auf OK F r den Zugriff auf dieses Ger t ben tigen Benutzer den Benutzernamen und das Kennwort die Sie hinzugef gt haben McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 31 32 Erste Schritte Konsoleneinstellungen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM Mit ESM werden Daten Einstellungen Aktualisierungen und Konfigurationen verwaltet Die Kommunikation erfolgt mit mehreren Ger ten gleichzeitig W gen Sie beim Erstellen der ESM Umgebung sorgf ltig die Anforderungen des Unternehmens und die Compliance Ziele ab die den Sicherheitsverwaltungs Lebenszyklus im Unternehmen unterst tzen sollen Inhalt Verwalten von Ger ten Konfigurieren von Ger ten Konfigurieren von zus tzlichen Diensten Verwalten der Datenbank Arbeiten mit Benutzern und Gruppen Sichern und Wiederherstellen von Systemeinstellungen Verwalten des ESM Ger ts Verwenden einer globalen Blacklist Was ist Datenanreicherung Verwalten von Ger ten Im Systemnavigationsbereich werden die Ger te aufgef hrt
110. auf Verbinden um zu berpr fen ob die beiden Ger te kommunizieren W hlen Sie Gesamtes ESM Ger t synchronisieren aus und klicken Sie dann auf OK 210 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Verwalten des ESM Ger ts Verwalten des ESM Ger ts Sie k nnen verschiedene Vorg nge ausf hren um Software Protokolle Zertifikat Funktionsdateien und Kommunikationsschl ssel f r das ESM Ger t zu verwalten Registerkarte Option Beschreibung Konfiguration Protokolle verwalten Konfigurieren Sie die Ereignistypen die im Ereignisprotokoll protokolliert werden ESM Hierarchie Konfigurieren Sie Datenoptionen wenn Sie mit hierarchischen ESM Ger ten arbeiten Verschleierung Definieren Sie globale Einstellungen zum Maskieren ausgew hlter Daten in Warnungsdatens tzen die bei der Ereignisweiterleitung gesendet werden oder an ein bergeordnetes ESM Ger t gesendet werden Protokollierung Senden Sie interne Ereignisse zur Speicherung an das ELM Ger t Diese Daten k nnen zu Audit Zwecken verwendet werden Gebietsschema des Systems W hlen Sie die Systemsprache aus die f r die Protokollierung von Ereignissen verwendet werden soll beispielsweise f r die Integrit ts berwachung und das Ger teprotokoll Namenszuordnung Heben Sie die Auswahl der Ports und Protokolle auf damit anstelle von Namen reine Zahlen angezeigt werden Wenn Sie
111. auf die Links im Bildschirmabschnitt Signaturen Produkthandbuch Verwalten von Richtlinien und Regeln 10 Regelvorg nge Abrufen von Regelaktualisierungen Die von einem Nitro IPS Ger t oder einem virtuellen Ger t f r die Untersuchung des Netzwerkverkehrs verwendeten Regelsignaturen werden vom f r Signaturen zust ndigen McAfee Team st ndig aktualisiert und stehen auf dem zentralen Server als Download zur Verf gung Die Regelaktualisierungen k nnen automatisch oder manuell abgerufen werden Vorgehensweise Informationen zum Einrichten von berschreibungen f r die Aktionen die beim Abruf der Regeln vom Server ausgef hrt werden finden Sie unter Uberschreibungsaktion f r heruntergeladene Regeln Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken wo Klicken Sie im Richtlinien Editor auf das Symbol Einstellungen E 2 Klicken Sie in der Zeile Regelaktualisierung auf Aktualisieren 3 Legen Sie fest dass die Aktualisierungen automatisch vom ESM Ger t abgerufen werden oder f hren Sie die berpr fung auf Aktualisierungen sofort aus Wenn Aktualisierungen manuell heruntergeladen wurden klicken Sie auf das Symbol Rollout ler um sie anzuwenden 5 Zum Anzeigen der manuellen Aktualisierungen f hren Sie die folgenden Schritte aus a Klicken Sie im Bereich Filter Kennzeichnung auf die Leiste Erweitert b W hlen Sie im Feld Regelstatus die Option aktualisiert neu oder aktu
112. auf einem Ger t Werte von ihren bergeordneten Richtlinienvorlagen erben Durch die Vererbung sind auf ein Ger t angewendete Richtlinieneinstellungen unbegrenzt konfigurierbar und dennoch einfach und benutzerfreundlich F r jede hinzugef gte Richtlinie sowie f r alle Ger te ist in der Richtlinienstruktur ein Eintrag vorhanden Beim Betrieb im FIPS Modus sollten Sie die Regeln nicht ber den Regel Server aktualisieren Aktualisieren Sie sie stattdessen manuell siehe berpr fen auf Regelaktualisierungen Auf dem McAfee Regel Server werden alle Regeln Variablen und Pr prozessoren mit vordefinierten Werten oder Verwendungen verwaltet Die Standardrichtlinie erbt ihre Werte und Einstellungen von diesen von McAfee verwalteten Einstellungen und alle anderen Richtlinien erben von ihr Einstellungen f r alle anderen Richtlinien und Ger te erben standardm ig ihre Werte von der Standardrichtlinie Zum ffnen des Editors klicken Sie auf das Symbol Richtlinien Editor oder w hlen Sie das System oder den Ger teknoten in der Navigationsstruktur aus und klicken Sie auf der Aktionssymbolleiste auf das m m Symbol Richtlinien Editor ii McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 327 10 Verwalten von Richtlinien und Regeln Richtlinienstruktur 1 Men leiste 4 Regelanzeige 2 Navigationsbereich 5 Suchfeld f r Tags 3 Bereich f r Regeltypen 6 Bereich Filter Kennzeichnung Die im Bereich Regeltypen aufgef hrten Regelt
113. aus dem Internet abzurufen In dieser Watchlist k nnen Sie eine Vorschau der ber die HTTP Anfrage abzurufenden Daten anzeigen und regul re Ausdr cke zum Filtern dieser Daten hinzuf gen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Arbeiten mit ESM Ansichten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie in der Systemnavigationsstruktur auf das System und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Watchlists und dann auf Hinzuf gen 3 F llen Sie die Registerkarte Hauptbildschirm aus und w hlen Sie dabei Dynamisch aus 4 Klicken Sie auf die Registerkarte Quelle und w hlen Sie im Feld Typ die Option HTTP HTTPS aus 5 Geben Sie die erforderlichen Informationen auf den Registerkarten Quelle Analysieren und Werte ein Das Feld Rohdaten auf der Registerkarte Analysieren wird mit den ersten 200 Zeilen des HTML Quellcodes ausgef llt Es handelt sich nur um eine Vorschau der Website die jedoch ausreicht um einen regul ren Ausdruck f r den Vergleich zu schreiben Wenn Sie Jetzt ausf hren 7 verwenden oder eine geplante Aktualisierung der Watchlist stattfindet enth lt das Ergebnis alle Ubereinstimmungen aus der Suche mit dem regul ren Ausdruck F r diese Funktion werden regul re Ausdr cke mit RE2 Syntax unterst tzt beispielsweise d 1 3 d 1 3 d 1 3 N d 1 3 f r den Verglei
114. beim ADM oder Nitro IPS Ger t eingehenden Pakete in der Reihenfolge mit den Auswahlregeln f r jedes virtuelle Ger t verglichen werden in der die virtuellen Ger te eingerichtet wurden Das Paket erreicht die Auswahlregeln f r das zweite virtuelle Ger t nur wenn es keiner Auswahlregel auf dem ersten Ger t entspricht e Die Reihenfolge auf einem ADM Ger t k nnen Sie auf der Seite Virtuelles Ger t bearbeiten ndern ADM Eigenschaften Virtuelle Ger te Bearbeiten Bringen Sie die Filter mithilfe der Pfeile in die richtige Reihenfolge e Die Reihenfolge auf einem Nitro IPS Ger t k nnen Sie mit den Pfeilen auf der Seite Virtuelle Ger te ndern IPS Eigenschaften Virtuelle Ger te Virtuelle ADM Ger te Mit virtuellen ADM Ger ten berwachen Sie den Datenverkehr an einer Schnittstelle Es sind bis zu vier ADM Schnittstellenfilter im System m glich Jeder Filter kann nur auf jeweils ein virtuelles ADM Ger t angewendet werden Wenn ein Filter einem virtuellen ADM Ger t zugewiesen ist wird er erst in der Liste der verf gbaren Filter angezeigt wenn er von dem jeweiligen Ger t entfernt wurde Ung ltige Pakete Pakete durch die nicht eine Verbindung eingerichtet wird oder die nicht Bestandteil einer hergestellten Verbindung sind werden auf dem Basisger t einsortiert Wenn Sie beispielsweise ein virtuelles ADM Ger t verwenden auf dem nach Paketen mit dem Quell oder Ziel Port 80 gesucht wird und ein ung ltiges Paket mit
115. das Feld Schnittstelle 1 auf Setup und klicken Sie dann auf Erweitert 4 Klicken Sie auf VLAN hinzuf gen geben Sie das VLAN ein und w hlen Sie dann DHCP aus 5 Klicken Sie auf OK um zur Seite Netzwerkeinstellungen zur ckzukehren und klicken Sie dann auf Anwenden Wenn es sich bei den Ger ten nicht um Empf nger handelt werden Sie informiert dass der ESM Server f r die nderungen neu gestartet werden muss Systemzeitsynchronisierung Da die von ESM und den zugeh rigen Ger ten generierten Aktivit ten mit einem Zeitstempel versehen sind m ssen ESM und die Ger te unbedingt synchronisiert werden Nur so ist gew hrleistet dass der McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von zus tzlichen Diensten Bezugsrahmen f r alle gesammelten Daten gleich ist Sie k nnen die ESM Systemzeit festlegen oder ESM und die Ger te ber einen NTP Server synchronisieren lassen Einrichten der Systemzeit Bevor Sie beginnen Wenn Sie NTP Server zum ESM Ger t hinzuf gen m chten richten Sie die NTP Server ein und halten Sie die zugeh rigen Autorisierungsschl ssel und Schl ssel IDs bereit Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und vergewissern Sie sich dass Systeminformationen ausgew hlt ist 2 Klicken Sie auf S
116. dem Quell oder Ziel Port 80 durchgeleitet wird geschieht Folgendes Das Paket wird nicht an das virtuelle ADM Ger t weitergeleitet das nach Datenverkehr an Port 80 sucht sondern auf dem Basisger t einsortiert Daher sehen Sie m glicherweise auf dem Basisger t Ereignisse die so aussehen als h tten sie an ein virtuelles ADM Ger t weitergeleitet werden sollen Verwalten von Auswahlregeln Auswahlregeln werden als Filter verwendet mit denen Sie festlegen k nnen welche Pakete von einem virtuellen Ger t verarbeitet werden Sie k nnen Auswahlregeln hinzuf gen bearbeiten und l schen Die Reihenfolge der Auswahlregeln ist wichtig da das erste Paket das mit einer Regel bereinstimmt automatisch zur Verarbeitung an das entsprechende virtuelle Ger t weitergeleitet wird Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie einen IPS oder ADM Ger teknoten aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Virtuelle Ger teund dann auf Hinzuf gen Das Fenster Virtuelles Ger t hinzuf gen wird ge ffnet 3 Sie k nnen in der Tabelle Auswahlregeln hinzuf gen bearbeiten entfernen oder ihre Reihenfolge ndern Hinzuf gen eines virtuellen Ger ts Sie k nnen auf einigen ADM und IPS Ger ten ein virtuelles Ger t hinzuf gen und durch Festlegen von Auswahlregeln bestimmen welche Pakete von den einzelnen Ger ten verarbeitet werden
117. dem es 33 Sekunden dauert die Kommunikation wieder herzustellen k nnen Sie Portfast f r den Switch Port aktivieren und die Geschwindigkeit sowie den Duplex Modus manuell festlegen um wieder normale Zeiten zu erzielen Achten Sie darauf f r alle vier Ports Switch beide Ports von Nitro IPS und den Port des anderen Ger ts die gleiche Einstellung festzulegen Anderenfalls tritt m glicherweise im Umgehungsmodus ein Aushandlungsproblem auf Die verf gbaren Umgehungsoptionen h ngen vom Typ der Umgehungs Netzwerkkarte im Ger t ab Typ 2 oder Typ 3 Einrichten von Umgehungs Netzwerkkarten Auf IPS Ger ten k nnen Sie Einstellungen f r eine Umgehungs Netzwerkkarte definieren um s mtlichen Verkehr passieren zu lassen 6 ADM und DEM Ger te befinden sich immer im IDS Modus Sie k nnen Typ und Status der Umgehungs Netzwerkkarte anzeigen aber Sie k nnen die Einstellungen nicht ndern Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Konfiguration Schnittstellen 3 Wechseln Sie auf der Seite Einstellungen f r Netzwerkschnittstellen unten zum Abschnitt Konfiguration f r Umgehungs Netzwerkkarte 4 Sie k nnen Typ und Status anzeigen oder auf einem IPS Ger t die Einstellungen ndern 5 Klicken Sie auf OK Hinzuf gen von VLANs und A
118. den Wert oder die Beschreibung und klicken Sie dann auf OK L schen einer 1 W hlen Sie im Regelanzeigebereich die Variable aus die Sie entfernen benutzerdefinierten m chten Variablen l 2 W hlen Sie Bearbeiten aus und klicken Sie dann auf L schen TA einer 1 W hlen Sie Datei aus und klicken Sie dann auf Importieren Variablen ariablen 2 Klicken Sie auf Importieren navigieren Sie zu der Datei und laden Sie sie hoch Bei der Importdatei muss es sich um eine TXT Datei handeln die die folgenden Informationen in diesem Format enth lt Variablenname Variablenwert Kategoriename optional Beschreibung optional Wenn ein Feld fehlt muss als Platzhalter ein Semikolon verwendet werden ndern des Typs einer 4 benutzerdefinierten Variablen 2 3 4 W hlen Sie die benutzerdefinierte Variable aus Klicken Sie auf Bearbeiten und w hlen Sie dann ndern aus ndern Sie den Variablentyp Wenn der Variablentyp auf eine andere Option als Kein Typ ausgew hlt festgelegt ist und diese Einstellung angewendet wurde k nnen Sie den Wert nicht ndern Klicken Sie auf OK um die nderungen zu speichern Entdecken von TCP Protokollanomalien und bernahme der Kontrolle ber TCP Sitzungen Sie k nnen TCP Protokollanomalien entdecken und entsprechende Warnungen ausgeben und auf bernahmen der Kontrolle ber TCP Sitzungen berpr fen indem Sie die Stream5 Pr prozessor Variable verwenden 334 McAfee Enterpr
119. denen Eintr ge f r Blacklists und Quarant nelisten definiert werden die dann auf die von diesem Ger t verwalteten Nitro IPS Ger te angewendet werden Au erdem werden in der McAfee MIB Textkonventionen aufgez hlte Typen f r Werte definiert Dazu geh ren e Die bei Empfang einer Warnung ausgef hrte Aktion e Richtung und Status von Fl ssen e Datenquellentypen e Blacklist Aktionen Die Syntax der McAfee MIB ist SMI konform SNMPv2 Structure of Management Information McAfee Produkte in denen SNMP verwendet wird k nnen f r den Betrieb ber SNMPv1 SNMPv2c und SNMPv3 konfiguriert werden einschlie lich Authentifizierung und Zugriffssteuerung F r Integrit tsanfragen wird der SNMP GET Vorgang verwendet Der SNMP GET Vorgang wird von SNMP Manager Anwendungen verwendet um Werte von den Objekten abzurufen die vom SNMP Agenten in diesem Fall ESM Ger t verwaltet werden Von den Anwendung wird in der Regel eine SNMP GET Anfrage ausgef hrt Dabei werden der Hostname des ESM Ger ts und OIDs sowie die konkrete Instanz der OID angegeben Das ESM Ger t antwortet mit einem R ckgabewert oder einem Fehler Beispiel Eine Integrit tsanfrage und die entsprechende Antwort f r die Integrit t des Nitro IPS Ger ts mit der Nitro IPS ID 2 k nnte so aussehen Anfrage und Antwort OID Einheiten Antwortwert Bedeutung 1 3 6 1 4 1 23128 1 3 2 1 2 Intern Name des Nitro IPS Ger ts 1 3 6 1 4 1 23128 1 3 2 2 2 2 Eindeutige E
120. der Regel generiert wurde f r die Sie eine Ausnahme hinzuf gen m chten 2 Fi Klicken Sie auf das Symbol Men E und w hlen Sie dann Aggregationseinstellungen ndern aus 3 W hlen Sie in den Dropdown Listen Feld 2 und Feld 3 die zu aggregierenden Feldtypen aus Sie m ssen in Feld 2 und Feld 3 unterschiedliche Typen ausw hlen da ansonsten ein Fehler auftritt O Wenn Sie diese Feldtypen ausw hlen werden die Beschreibungen der einzelnen Aggregationsebenen ge ndert und spiegeln nun die ausgew hlten Optionen wider Die Zeitlimits f r die einzelnen Ebenen h ngen von der f r das Ger t definierten Einstellung f r die Ereignisaggregation ab 4 Klicken Sie auf OK um die Einstellungen zu speichern und dann auf Ja um fortzufahren 5 Heben Sie die Auswahl von Ger ten auf f r die Sie keinen Rollout der nderungen ausf hren m chten 6 Klicken Sie auf OK um den Rollout f r die nderungen auf den ausgew hlten Ger ten auszuf hren In der Spalte Status wird beim Rollout der nderungen der Aktualisierungsstatus angezeigt Verwalten von Aggregationsausnahmen f r Ereignisse Sie k nnen eine Liste der Aggregationsausnahmen f r Ereignisse anzeigen die zum System hinzugef gt wurden Au erdem k nnen Sie eine Ausnahme bearbeiten oder entfernen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und k
121. der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Alarme 2 W hlen Sie den zu kopierenden Alarm aus und klicken Sie dann auf Kopieren Auf der Seite Alarmname wird der Name des aktuellen Alarms gefolgt von copy angezeigt 3 ndern Sie den Namen und klicken Sie dann auf OK 4 Zum ndern der Alarmeinstellungen w hlen Sie den kopierten Alarm aus und klicken Sie auf Bearbeiten 5 ndern Sie die Einstellungen nach Bedarf Siehe auch Erstellen eines Alarms auf Seite 232 Aktivieren oder Deaktivieren der Alarm berwachung Die Alarm berwachung ist standardm ig aktiviert Sie k nnen sie deaktivieren und dann bei Bedarf erneut aktivieren McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 247 Arbeiten mit Alarmen Anpassen der bersicht f r ausgel ste Alarme und F lle Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Alarme 2 Klicken Sie auf die Registerkarte Einstellungen und dann auf Deaktivieren Die Alarm berwachung wird angehalten und die Schaltfl che ndert sich in Aktivieren 3 Klicken Sie auf Aktivieren um die berwachung der Alarme fortzusetzen Anpassen der bersicht f r ausgel ste Alarme und F lle W hlen Sie die Daten aus die in der Alarm bersicht und in der Fall
122. die Sprache der Konsole McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Arbeiten mit Benutzern und Gruppen ndern Au erdem k nnen Sie ausw hlen ob deaktivierte Datenquellen und die Registerkarten Alarme und F lle angezeigt werden sollen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie auf der Systemnavigationsleiste der ESM Konsole auf Optionen 2 Vergewissern Sie sich dass Benutzereinstellungen ausgew hlt ist 3 Nehmen Sie nach Bedarf nderungen an den Einstellungen vor und klicken Sie dann auf OK Die Darstellung der Konsole wird basierend auf den Einstellungen ge ndert Einrichten der Sicherheit Verwenden Sie die Anmeldesicherheit um Standardanmeldeeinstellungen einzurichten die Zugriffssteuerungsliste ACL Access Control List zu konfigurieren und CAC Einstellungen Common Access Card zu definieren Au erdem k nnen Sie die Authentifizierung ber RADIUS Remote Authentication Dial In User Service Active Directory und LDAP Lightweight Directory Access Protocol aktivieren nur verf gbar wenn Sie ber die Berechtigungen eines Systemadministrators verf gen Sicherheitsfunktionen von ESM Die Produktfamilie der Nitro IPS L sungen von McAfee soll das Auffinden von Netzwerken und vor allem Angriffe erschweren Da Nitro IPS Ger te standardm ig keinen IP Stack haben k nnen Pakete nicht direkt an dies
123. die Systemleistung auswirken Bei lange ausgef hrten Abfragen ist die Wahrscheinlichkeit h her dass sie sich auf die Leistung auswirken D Diese Funktion ist f r die Fehlerbehebung bei ESM Laufzeitproblemen gedacht nicht zum Schlie en von Abfragen Verwenden Sie diese Funktion mit Unterst tzung des McAfee Supports Der Task Manager hat unter anderem folgende Merkmale e Sie k nnen Abfragen f r Berichte Ansichten Watchlists Ausf hrungen und Exporte und Alarme sowie Abfragen ber externe APIs im System schlie en Systemabfragen k nnen nicht geschlossen werden e Wenn Sie auf eine Abfrage klicken werden die Details im Bereich Abfragedetails angezeigt McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 215 3 Konfigurieren von ESM Verwalten des ESM Ger ts e Standardm ig wird die Liste automatisch alle f nf Sekunden aktualisiert Wenn Sie eine Abfrage ausw hlen und die Liste automatisch aktualisiert wird bleibt die Abfrage ausgew hlt und die Details werden aktualisiert Wenn die Abfrage abgeschlossen ist wird sie nicht mehr in der Liste angezeigt e Wenn die Liste nicht automatisch aktualisiert werden soll heben Sie die Auswahl von Liste automatisch aktualisieren auf e Zum Anzeigen von System Tasks das hei t noch nicht identifizierten Tasks heben Sie die Auswahl von System Tasks ausblenden auf e Die Spalten der Tabelle k nnen sortiert werden e Sie k nnen die Daten im Bereich Abfragedetails ausw h
124. die alte Nessus Datei auf der FTP Site vor dem Hochladen der neuen Datei l schen oder f r die hochgeladene Datei einen anderen Namen verwenden Verf gbare VA Anbieter Die folgenden VA Anbieter k nnen in ESM integriert werden VA Anbieter Version Digital Defense Frontline 5 1 1 4 eEye REM REM Events Server 3 7 9 1721 78 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten VA Anbieter Version eEye Retina 5 13 0 Audits 2400 Die VA Quelle von eEye Retina ist mit der Nessus Datenquelle vergleichbar Sie k nnen ausw hlen ob die RTD Dateien ber SCP FTP NFS oder CIFS 67 abgerufen werden sollen Sie m ssen die RTD Dateien manuell in eine SCP FTP oder NFS Freigabe kopieren um sie abzurufen Die RTD Datei befinden sich normalerweise im Verzeichnis Retina Scans McAfee Vulnerability Manager 6 8 7 0 Critical Watch FusionVM 4 2011 6 1 48 LanGuard 10 2 Lumension Unterst tzung f r PatchLink Security Management Console 6 4 5 und h her nCircle 6 8 1 6 Nessus Unterst tzung f r Tenable Nessus Versionen 3 2 1 1 und 4 2 sowie die Dateiformate NBE nessus XMLv2 und nessus XMLv1 au erdem f r das XML Format von OpenNessus 3 2 1 NGS OpenVAS 3 0 4 0 Qualys Rapid7 Nexpose Rapid7 Metasploit Pro 4 1 4 Update 1 Dateiformat XML Sie k nnen den Schweregrad eines Metasploit Exploit
125. die zu bearbeitende Komponente 4 Klicken Sie im Bereich Eigenschaften auf Abfrage bearbeiten Die zweite Seite des Abfragen Assistenten wird ge ffnet Entwerfen des Layouts f r einen neuen Bericht 1 Klicken Sie in Systemeigenschaften auf Berichte Klicken Sie auf Hinzuf gen Klicken Sie in Abschnitt 5 der Seite Bericht hinzuf gen auf Hinzuf gen PB OO N Ziehen Sie eine Komponente in den Abschnitt f r das Berichtslayout und legen Sie sie dort ab Der Abfragen Assistent wird ge ffnet Bearbeiten des Layouts eines vorhandenen Berichts 1 Klicken Sie in Systemeigenschaften auf Berichte 2 W hlen Sie den zu bearbeitenden Bericht aus und klicken Sie dann auf Bearbeiten 3 W hlen Sie in Abschnitt 5 der Seite Bericht bearbeiten ein vorhandenes Layout aus und klicken Sie dann auf Bearbeiten 4 Klicken Sie im Abschnitt mit dem Berichtslayout auf die Komponente und dann im Abschnitt Eigenschaften auf Abfrage bearbeiten Die zweite Seite des Abfragen Assistenten wird ge ffnet McAfee Enterprise Security Manager 9 5 0 2 F hren Sie im Abfragen Assistenten einen der folgenden Schritte aus Produkthandbuch 291 7 Arbeiten mit Ereignissen Arbeiten mit ESM Ansichten Aufgabe Vorgehensweise Hinzuf gen einer neuen 41 W hlen Sie die Abfrage aus die Sie als Vorlage verwenden m chten Abfrage und klicken Sie dann auf Kopieren 2 Geben Sie den Namen f r die neue Abfrage ein und klicken
126. die zum System hinzugef gt wurden Sie k nnen Funktionen f r ein oder mehrere Ger te ausf hren und die Ger te nach Bedarf anordnen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 33 3 Konfigurieren von ESM Verwalten von Ger ten Dar ber hinaus k nnen Sie wenn Systeme gekennzeichnet sind Berichte zum Integrit tsstatus anzeigen und vorhandene Probleme beheben Tabelle 3 1 Funktionsbeschreibungen Funktion Zweck 1 Aktionssymbolleiste W hlen Sie eine Aktion aus die f r Ger te in der Systemnavigationsstruktur ausgef hrt werden soll Konfigurieren Sie Einstellungen f r das in der Symbol Eigenschaften Systemnavigationsstruktur ausgew hlte System oder Ger t Symbol Ger t hinzuf gen EJ F gen Sie Ger te zur Systemnavigationsstruktur hinzu Kennzeichnungen f r den Zeigen Sie Statuswarnungen f r Ger te an Integrit tsstatus y Verwaltung mehrerer Ger te Hiermit k nnen Sie mehrere Ger te einzeln starten anhalten a neu starten und aktualisieren Ereignisse und Fl sse abrufen Rufen Sie Ereignisse und Fl sse f r ausgew hlte Ger te ab Ger t l schen ie L schen Sie das ausgew hlte Ger t 2 Aktualisieren Sie die Daten f r alle Ger te Aktualisieren 34 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Verwalten von Ger ten Tabelle 3 1 Funktionsbeschreibungen Fortsetzung Funktion Zweck 2 Anzeigetyp W
127. ePolicy Orchestrator 4 0 unterst tzt ePolicy Orchestrator In Version 4 0 werden Ereignisse in einer SQL Server Datenbank gespeichert ber JDBC wird eine Verbindung zwischen der ePolicy Orchestrator Datenquelle und dieser SQL Server Datenbank hergestellt um Ereignisinformationen abzurufen Sie m ssen in der ePolicy Orchestrator Datenbank einen neuen Benutzernamen ID und ein neues Kennwort erstellen die in Verbindung mit der Datenquelle f r ePolicy Orchestrator verwendet werden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Melden Sie sich beim ePolicy Orchestrator Datenbank Server an 2 Starten Sie SQL Server Enterprise Manager indem Sie Folgendes ausw hlen Starten Alle Programme Microsoft SQL Server Enterprise Log Manager 3 Erweitern Sie mehrmals den Knoten Konsolenstamm um die Elemente unter dem Ordner Sicherheit anzuzeigen 4 Klicken Sie mit der rechten Maustaste auf das Symbol Anmeldungen und w hlen Sie dann im Men die Option Neue Anmeldung aus 5 Geben Sie auf der Seite SQL Server Anmeldungseigenschaften Neue Anmeldung auf der Registerkarte Allgemein Folgendes ein a Geben Sie in das Feld Name den Benutzernamen ein den Sie f r die Datenquelle f r ePolicy Orchestrator verwenden m chten um die Verbindung mit der ePolicy Orchestrator Datenbank herzustellen beispielsweise nfepo b W hlen Sie in Authentifizierung die Option Kennwort f r SQL
128. ePolicy Orchestrator Datenquelle hinzuf gen und auf OK klicken um sie zu speichern werden Sie gefragt ob Sie die Datenquelle zum Konfigurieren von McAfee Risk Advisor Daten verwenden m chten Wenn Sie auf Ja klicken werden eine Datenanreicherungsquelle und gegebenenfalls zwei ACE Bewertungsregeln erstellt und ein entsprechender Rollout ausgef hrt Zum Anzeigen dieser Elemente wechseln Sie zu den Seiten Datenanreicherung aktivieren und Risikokorrelations Bewertung Zum Verwenden der Bewertungsregeln m ssen Sie einen Risikokorrelations Manager erstellen siehe Hinzuf gen eines Risikokorrelations Managers IBM Internet Security System SiteProtector Mit dem Empf nger k nnen Ereignisse von einem Internet Security Systems ISS SiteProtector Server abgerufen werden Dabei werden Abrufe an die zum Speichern der SiteProtector Ereignisse verwendete Microsoft SQL Server Datenbank gesendet Im Gegensatz zu anderen vom Empf nger unterst tzten Datenquellentypen wird beim Abrufen von Ereignissen von einem SiteProtector Server ein Pull Modell anstelle eines Push Modells verwendet Dies bedeutet dass regelm ig eine Verbindung zwischen dem Empf nger und der SiteProtector Datenbank hergestellt wird Dabei werden alle neuen Ereignisse seit dem letzten abgerufenen Ereignis angefragt Die vom SiteProtector Server abgerufenen Ereignisse werden jeweils in der Ereignisdatenbank des Empf ngers verarbeitet und gespeichert und k nnen vom ESM Ger t abge
129. ePolicy Orchestrator Tags zu IP Adressen Auf der Registerkarte ePO Kennzeichnung werden die verf gbaren Tags aufgef hrt Sie k nnen Tags durch einen Alarm generierten Ereignissen zuweisen und anzeigen ob f r einen Alarm ePolicy Orchestrator Tags vorhanden sind Au erdem k nnen Sie auf dieser Seite ein oder mehrere Tags ausw hlen und auf eine IP Adresse anwenden F r den Zugriff auf die Kennzeichnungsfunktion ben tigen Sie die Berechtigungen zum Anwenden Ausschlie en und L schen von Tags sowie f r Agentenreaktivierung und Anzeigen des Agenten Aktivit tsprotokolls in ePolicy Orchestrator Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ePO Eigenschaften aus und klicken Sie dann auf Kennzeichnung 2 Geben Sie die erforderlichen Informationen ein und klicken Sie dann auf Zuweisen Die ausgew hlten Tags werden auf die IP Adresse angewendet McAfee Risk Advisor Datenerfassung Sie k nnen mehrere ePolicy Orchestrator Server festlegen von denen die McAfee Risk Advisor Daten erfasst werden sollen Die Daten werden ber eine Datenbankabfrage aus der SQL Server Datenbank von ePolicy Orchestrator erfasst Aus der Datenbankabfrage ergibt sich eine Liste mit einer Gegen berstellung von IP und Reputationsfaktor Au erdem werden Konstantenwerte f r die hohen und niedrigen Reputationswerte bereitgestellt Alle List
130. eine Verwaltungsschnittstelle verwendet werden e Vollst ndige Kontrolle ber Umgehungs Netzwerkkarten e Verwenden der Zeitsynchronisierung ber NTP e Vom Ger ten generiertes Syslog e SNMP Benachrichtigungen Ger te sind mit mindestens einer Verwaltungsschnittstelle ausgestattet ber die das Ger t eine IP Adresse erh lt Mit einer IP Adresse ist der direkte Zugriff auf das Ger t durch ESM m glich ohne dass die Kommunikation an eine andere Ziel IP Adresse oder einen anderen Hostnamen geleitet werden muss D Verbinden Sie die Verwaltungsschnittstelle des Netzwerks nicht mit einem ffentlichen Netzwerk da sie dann f r das ffentliche Netzwerk sichtbar ist und ihre Sicherheit kompromittiert werden kann Bei einem Ger t im Nitro IPS Modus ben tigen Sie f r jeden Pfad des Netzwerkverkehrs zwei Schnittstellen F r den IDS Modus sind mindestens zwei Netzwerkschnittstellen im Ger t erforderlich Sie k nnen im Ger t mehrere Verwaltungsschnittstellen f r das Netzwerk konfigurieren Umgehungs Netzwerkkarte F r ein Ger t im Umgehungsmodus wird s mtlicher Verkehr zugelassen auch b sartiger Datenverkehr Unter normalen Umst nden kann es ein bis drei Sekunden lang zu einem Verbindungsverlust kommen wenn das Ger t in den Umgehungsmodus wechselt Beim Verlassen des Umgehungsmodus kann die Verbindung f r 18 Sekunden getrennt werden Bei Verbindungen mit bestimmten Switches beispielsweise einigen Modellen von Cisco Catalyst sind
131. eines Speicherger ts f r die Verkn pfung mit einem Speicherpoo 6 Klicken Sie auf die Registerkarte Standby und f gen Sie dann Speicherger te hinzu auf denen insgesamt genauso viel Speicherplatz wie auf dem aktiven ELM Ger t vorhanden ist 7 F gen Sie zu jedem ELM Ger t mindestens einen Speicherpool hinzu siehe Hinzuf gen oder Bearbeiten eines Speicherpools Nun werden die Konfigurationen der beiden ELM Ger te synchronisiert und die Daten der beiden Ger te werden durch das ELM Standby Ger t kontinuierlich synchronisiert McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 131 132 Konfigurieren von ESM Konfigurieren von Ger ten Verwalten der ELM Komprimierung Komprimieren Sie die auf dem ELM Ger t eingehenden Daten um Speicherplatz zu sparen oder mehr Protokolle pro Sekunde zu verarbeiten Die drei Optionen lauten Niedrig Standard Mittel und Hoch In dieser Tabelle werden Details zu den einzelnen Stufen angezeigt Stufe Komprimierungsrate Prozentsatz der maximalen Prozentsatz der maximal pro Komprimierung Sekunde verarbeiteten Protokolle Niedrig 14 1 72 100 Mittel 17 1 87 75 Hoch 20 1 100 50 7 Die tats chlichen Komprimierungsraten fallen je nach Inhalt der Protokolle unterschiedlich aus e Wenn es Ihnen wichtiger ist Speicherplatz zu sparen w hrend die Anzahl der pro Sekunde verarbeiteten Protokolle von geringerer Bedeutung ist w hlen Sie hohe Komprimierung aus e
132. enth lt ADM protokollspezifische Eigenschaften die f r ADM Regeln verwendet werden k nnen Alle protokollspezifischen Eigenschaften stehen auch beim Hinzuf gen einer ADM Regel auf der Seite Ausdruckskomponente zur Verf gung Beispiele f r protokollspezifische Eigenschaften Diese Eigenschaften gelten f r die folgenden Tabellen Nur Entdeckung Keine Entschl sselung zeichnet X 509 Zertifikate und verschl sselte Daten auf ber RFC822 Modul Tabelle 3 31 Module von Datei bertragungsprotokollen FTP HTTP SMB SSL Anzeigename Anzeigename Anzeigename Anzeigename Dateiname Dateiname Dateiname Dateiname Hostname Hostname Hostname Hostname URL Referenz URL Alle HTTP Header McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 153 154 Konfigurieren von ESM Konfigurieren von Ger ten Tabelle 3 32 Module von E Mail Protokollen Anzeigename Anzeigename DeltaSync MAPI NNTP POP3 SMTP Bcec Bcc Bcec Bcec Bcc Cc Cc Cc Cc Cc Anzeigename Anzeigename Anzeigename Anzeigename Anzeigename Von Von Von Von Von Hostname Hostname Hostname Hostname Hostname Betreff Betreff Betreff Betreff An An An An An Betreff Benutzername Benutzername Tabelle 3 33 Module von Web Mail Protokollen AOL Gmail Hotmail Yahoo Anhangsname Anhangsname Anhangsname Anhangsname Bco x Bcc x Bcc x Bcc Cc Cc Cc Cc Anzeigename Anzeig
133. exportierten Regelsatz importieren und auf Ihrem ESM Ger t speichern Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie im Richtlinien Editor im Bereich Regeltypen auf den Typ der zu importierenden Richtlinien oder Regeln Klicken Sie auf Datei Importieren und w hlen Sie dann die Option Regeln aus 7 Diese nderungen werden nicht verfolgt und k nnen daher nicht r ckg ngig gemacht werden Klicken Sie auf Regeln importieren navigieren Sie dann zu der zu importierenden Datei und w hlen Sie die Option Hochladen aus Die Datei wird in das ESM Ger t hochgeladen W hlen Sie auf der Seite Regeln importieren die Aktion aus die ausgef hrt werden soll wenn importierte Regeln die gleiche ID haben wie vorhandene Regeln Klicken Sie auf OK um die Regeln zu importieren und beheben Sie die Konflikte gem den Hinweisen Der Inhalt der Datei wird berpr ft und abh ngig vom Inhalt der ausgew hlten Datei werden die entsprechenden Optionen aktiviert bzw deaktiviert Konflikte beim Importieren von Korrelationsregeln Beim Exportieren von Korrelationsregeln wird eine Datei erstellt die die Regeldaten enth lt Die Datei enth lt jedoch keine referenzierten Elemente wie beispielsweise Variablen Zonen 364 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von Richtlinien und Regeln 10 Regelvorg nge berwachungslisten benutz
134. f r Verteilungsabfragen vom Typ Erfassungsrate oder Durchschnitt beispielsweise Durchschnitt f r Schweregrad pro Warnung oder Durchschnitt f r Dauer pro Fluss nicht verf gbar 2 Klicken Sie auf der zweiten Seite des Abfragen Assistenten auf Stapeln und w hlen Sie dann die Optionen aus 3 Klicken Sie auf der Seite Stapeloptionen auf OK und im Abfragen Assistenten auf Fertig stellen Die Ansicht wird hinzugef gt Sie k nnen die Einstellungen ndern und Zeitintervall und Diagrammtyp festlegen indem Sie auf das Symbol Diagrammoptionen Klicken Ansichten verwalten Das Verwalten von Ansichten ist eine M glichkeit schnell mehrere Ansichten gleichzeitig zu kopieren importieren oder exportieren Au erdem k nnen Sie die Ansichten ausw hlen die in der Liste der Ansichten enthalten sein sollen und bestimmten Benutzern oder Gruppen Zugriffsberechtigungen f r einzelne Ansichten zuweisen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie in der ESM Konsole auf das Symbol Ansichten verwalten al 2 F hren Sie eine oder mehrere der verf gbaren Optionen aus und klicken Sie dann auf OK Untersuchen der umliegenden Ereignisse eines Ereignisses In der Ansicht Ereignisanalyse k nnen Sie nach Ereignissen suchen die innerhalb des ausgew hlten Zeitraums vor und nach dem Ereignis mit mindestens einem der Felder im Ereignis bereinstimmen Vorgehensweise Besc
135. f r die Datenquelle sowie die IP Adresse des Empf ngers auf dem die Datenquelle hinzugef gt wird ein Diese Informationen geben Sie auf dem Bildschirm der Datenquelle ein Einrichten von ePolicy Orchestrator Sie k nnen mehrere ePolicy Orchestrator Datenquellen einrichten die alle auf die gleiche IP Adresse verweisen und f r die im Feld f r den Datenbanknamen unterschiedliche Namen angegeben sind Auf diese Weise k nnen Sie beliebig viele ePolicy Orchestrator Datenquellen einrichten und alle auf verschiedene Datenbanken auf dem zentralen Server zeigen lassen Geben Sie in die Felder Benutzer ID und Kennwort die Informationen f r den Zugriff auf die ePolicy Orchestrator Datenbank und in das Feld Version die Version des ePolicy Orchestrator Ger ts ein Der Standard Port lautet 1433 Das Feld Datenbankname ist erforderlich Wenn der Datenbankname einen Bindestrich enth lt m ssen Sie den Namen in eckige Klammern einschlie en beispielsweise ePO4_WIN 123456 Mit der Option ePO Abfrage k nnen Sie eine Abfrage an das ePolicy Orchestrator Ger t senden und Client Datenquellen erstellen Wenn im Feld Client Datenquellen verwenden die Standardeinstellung Vergleich nach Typ ausgew hlt ist und Sie auf ePO Abfrage klicken wird eine Abfrage an das ePolicy Orchestrator Ger t gesendet und alle unterst tzten ePolicy Orchestrator Produkte werden als Client Datenquellen hinzugef gt McAfee Enterprise Security Manager 9 5 0 Produkthandbuc
136. gen 323 Hinzuf gen einer Teilzone 324 Importieren von Zoneneinstellungen 323 Verwalten 322 Zonenverwaltung 322 Zugreifen Remote Ger t 217 Zugriff Gew hren f r Ger te 46 Zugriffssteuerungsliste Einrichten 202 Zuordnung Definieren von Datenlimits 198 Produkthandbuch 389 intel Security Y qua
137. gesendet werden maskiert werden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf ESM Verwaltung ESM Hierarchie 2 W hlen Sie Verschleiern f r die ESM Ger te aus auf denen Sie die Daten maskieren m chten Die Seite Auswahl der zu verbergenden Felder wird ge ffnet 3 W hlen Sie die Felder aus die Sie maskieren m chten 4 Klicken Sie auf OK McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 213 3 Konfigurieren von ESM Verwalten des ESM Ger ts Wenn Sie die Funktion eingerichtet haben und von einem bergeordneten ESM Ger t ein Paket von einem untergeordneten ESM Ger t angefragt wird sind die ausgew hlten Daten maskiert Einrichten der ESM Protokollierung Wenn im System ein ELM Ger t vorhanden ist k nnen Sie das ESM Ger t so einrichten dass die von ihm generierten internen Ereignisdaten an das ELM Ger t gesendet werden Dazu m ssen Sie den standardm igen Protokollierungspool konfigurieren Bevor Sie beginnen F gen Sie ein ELM Ger t zum System hinzu Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf ESM Verwaltung 2 Klicken Sie auf der Registerkart
138. hlen Sie dann Active Directory Authentifizierung aktivieren aus 3 Klicken Sie auf Hinzuf gen und f gen Sie dann die erforderlichen Informationen zum Einrichten der Verbindung hinzu 4 Klicken Sie auf der Seite Active Directory Verbindung auf OK Einrichten von Benutzeranmeldeinformationen f r McAfee ePO Sie k nnen den Zugriff auf ein McAfee ePO Ger t begrenzen indem Sie Benutzeranmeldeinformationen festlegen Bevor Sie beginnen Das McAfee ePO Ger t darf nicht so eingerichtet werden dass globale Benutzerauthentifizierung erforderlich ist siehe Einrichten der globalen Benutzerauthentifizierung 204 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Arbeiten mit Benutzern und Gruppen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie auf der Systemnavigationsleiste der ESM Konsole auf Optionen und w hlen Sie dann ePO Anmeldeinformationen aus 2 Klicken Sie auf das Ger t und dann auf Bearbeiten Wenn in der Statusspalte f r das Ger t Nicht erforderlich angezeigt wird ist das Ger t f r globale Benutzerauthentifizierung eingerichtet Sie k nnen den Status auf der Seite Verbindung f r das Ger t ndern siehe Andern der Verbindung mit ESM 3 Geben Sie den Benutzernamen und das Kennwort ein testen Sie die Verbindung und klicken Sie dann auf OK F r den Zugriff auf dieses Ger t ben tigen Benu
139. hlen Sie die H ufigkeit aus und geben Sie die ELM Einstellungen Informationen ein Sofortiges Wiederherstellen der Klicken Sie auf Sicherung jetzt wiederherstellen Die ELM Datenbank Sicherung wird mit den Einstellungen aus einer vorherigen Sicherung wiederhergestellt Wiederherstellen der ELM Verwaltungsdatenbank und der Protokolldaten Zum Ersetzen eines ELM Ger ts stellen Sie die Verwaltungsdatenbank und die Protokolldaten auf dem neuen ELM Ger t wieder her Dazu m ssen Sie die Datenbank und die Protokolldaten spiegeln O Erstellen Sie beim Wiederherstellen der Daten von einem alten ELM Ger t auf einem neuen ELM Ger t nicht mit dem Assistenten Ger t hinzuf gen ein neues ELM Ger t Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ELM Eigenschaften f r das zu ersetzende ELM Ger t aus Auf einer Warnungsseite werden Sie informiert dass das ELM Ger t vom System nicht gefunden wurde 2 Schlie en Sie die Warnungsseite und klicken Sie dann auf Verbindung 3 Geben Sie die IP Adresse f r das neue ELM Ger t ein und klicken Sie dann auf Schl sselverwaltung Authentifizierungsschl ssel f r Ger t festlegen Sie werden informiert wenn der Schl ssel f r das neue Ger t erfolgreich festgelegt wurde McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 133 134 Konfigurieren von ESM
140. hren Sie w hrend der Suche oder nach Abschluss der Suche einen oder mehrere der folgenden Schritte aus Option Beschreibung f H Mit dieser Option werden die Ergebnisse der Suche gespeichert Suche speichern auch wenn Sie die Ansicht verlassen Gespeicherte Suchvorg nge k nnen Sie auf der Seite ELM Eigenschaften Daten den Umgehungsmodus f r das Ger t zu deaktivieren Datei mit Suchergebnissen Laden Sie die Ergebnisse an den von Ihnen festgelegten 5 Speicherort herunter herunterladen Ausgew hlte Elemente in die Kopieren Sie die ausgew hlten Elemente in die Zwischenablage O damit Sie sie in ein anderes Dokument einf gen k nnen Zwischenablage kopieren Zeigen Sie Details f r Protokolle an die Sie in der Tabelle Datendetails anzeigen Suchergebnisse ausw hlen Anzeigen und Verwalten von ausgel sten Alarmen In dieser Ansicht werden ausgel ste und nicht gel schte Alarme aufgef hrt Sie k nnen verschiedene Aktionen ausf hren um die Alarme zu verwalten McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 275 7 Arbeiten mit Ereignissen Arbeiten mit ESM Ansichten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der ESM Konsole das Schnellstartsymbol f r Alarme al aus um die Ansicht Ausgel ste Alarme zu ffnen 2 F hren Sie eine der folgenden Aktionen aus Aufgabe Vorgehensweise Best tigen e
141. ihre Eigenschaften Name Beschreibung Datenbanktypen SQL Code Bei jeder Ausf hrung einer SQL Anweisung empf ngt der Client einen SQL Code SQLCODE Dabei handelt es sich um einen R ckgabe Code der zus tzliche DB2 spezifische Informationen zu einem SQL Fehler oder einer SQL Warnung enth lt e SQLCODE EQ 0 bedeutet dass die Anweisung erfolgreich ausgef hrt wurde e SQLCODE GT 0 bedeutet dass die Anweisung mit einer Warnung erfolgreich ausgef hrt wurde e SQLCODE LT 0 bedeutet dass die Anweisung nicht erfolgreich ausgef hrt wurde e SQLCODE EQ 100 bedeutet dass keine Daten gefunden wurden Die Bedeutung von SQL Codes au er O und 100 h ngt vom jeweiligen Produkt mit SQL Implementierung ab SQL Befehl Typ des SQL Befehls SQL Status DB2 SQLSTATE ist ein zus tzlicher DB2 R ckgabe Code durch den Anwendungsprogramme allgemeine R ckgabe Codes f r allgemeine Fehlerbedingungen erhalten die in den relationalen Datenbanksystemen von IBM auftreten Benutzername Anmeldename des Datenbankbenutzers MSSQL Oracle DB2 Sybase MySQL Informix PostgreSQL Teradata PIServer InterSystems Cach Korrelationsregeln Der Hauptzweck des Korrelationsmoduls besteht darin vom ESM Ger t flie ende Daten zu analysieren relevante Muster innerhalb des Datenflusses zu entdecken Warnungen zu generieren die diese Muster darstellen und die Warnungen in die Warnungsdatenbank des Empf ngers einzuf gen
142. im Paket indem Sie das Stichwort in das Feld Textsuchen eingeben und auf klicken Verwenden Sie im Feld Textsuchen keine Sonderzeichen wie beispielsweise eckige oder runde Klammern Quellereignisse Wenn ein Korrelations oder Schwachstellenereignis ausgew hlt ist werden die McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 285 Arbeiten mit Ereignissen Arbeiten mit ESM Ansichten Option Beschreibung Ereignisse angezeigt durch die das zu generierende Ereignis verursacht wurde e ELM Archiv Wenn Sie in das Feld Text suchen Text eingeben werden auf dem ELM Ger t archivierte Daten abgerufen Wenn das Ereignis aggregiert ist werden auf einem Empf nger oder ACE Ger t bis zu 100 aggregierte Ereignisse angezeigt e Benutzerdefinierte Typen Wenn Sie benutzerdefinierte Typen definiert haben siehe Benutzerdefinierte Typfilter werden die Felder f r benutzerdefinierte Typen und die Daten aus dem Ereignis angezeigt die in diese Felder geh ren e Informationen Zeigt Informationen wie beispielsweise Ger tename IP Adresse Betriebssystem und Ger teversion Systembeschreibung Kontaktperson f r das System und physischer Standort des Systems an e Schnittstellen Zeigt Port Name Port Geschwindigkeit VLAN Verwaltungsstatus und Betriebsstatus an e Nachbarn Zeigt spezifische Informationen zu den Nachbarger ten an beispielsweise lokale Schnittstelle Nachbarger t und Nachbarschnittstelle
143. in ESM auf Seite 208 Wiederherstellen der ESM Einstellungen Nach einem Systemfehler oder Datenverlust k nnen Sie den vorherigen Zustand des Systems wiederherstellen indem Sie eine Sicherungsdatei ausw hlen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 207 3 Konfigurieren von ESM Sichern und Wiederherstellen von Systemeinstellungen Vorgehensweise Wenn die Datenbank die maximal zul ssige Anzahl von Datens tzen enth lt und die wiederherzustellen Datens tze sich au erhalb des Bereichs der aktuellen Daten auf dem ESM Ger t befinden werden die 7 Datens tze nicht wiederhergestellt Damit Sie die Daten auBerhalb dieses Bereichs speichern und auf sie zugreifen k nnen muss die Archivierung inaktiver Partitionen eingerichtet sein siehe Einrichten von Datenbeibehaltungs Limits Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Systeminformationen Sichern und wiederherstellen Sicherung wiederherstellen 2 W hlen Sie den Typ der Wiederherstellung aus die Sie ausf hren m chten 3 W hlen Sie die wiederherzustellende Datei aus oder geben Sie die Informationen f r den Remote Speicherort ein Klicken Sie dann auf OK Die Wiederherstellung einer Sicherung kann abh ngig von der Gr e der Wiederherstellungsdatei viel Zeit beanspruchen Das ESM Ger t bleibt offlin
144. in einem Bericht Sie k nnen konfigurieren dass in Berichten DNS Aufl sung f r Quell und Ziel IP Adressen verwendet wird Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das System aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Berichte und dann auf Hinzuf gen Geben Sie in den Abschnitten 1 bis 4 die erforderlichen Informationen ein 3 Klicken Sie in Abschnitt 5 auf Hinzuf gen ziehen Sie eine Komponente Tabelle Balkendiagramm oder Kreisdiagramm legen Sie sie an der gew nschten Stelle ab und schlie en Sie den Abfragen Assistenten ab 4 W hlen Sie im Abschnitt Abfrage des Bereichs Eigenschaften im Berichtslayout Editor die Option IPs in Host Namen aufl sen aus Die Ergebnisse der DNS Suche werden nicht nur im Bericht angezeigt sondern Sie k nnen sie auch in der Tabelle Hosts anzeigen Systemeigenschaften Hosts Beschreibung der contains Filter und Filter f r regul re Ausdr cke 266 Bei den contains Filtern und Filtern f r regul re Ausdr cke k nnen Sie sowohl in Daten f r Indexzeichenfolgen als auch in Daten f r nicht indizierte Zeichenfolgen Platzhalter verwenden F r die Syntax dieser Filter gelten bestimmte Anforderungen Diese Befehle k nnen Sie in jedem Feld verwenden in dem Text oder Zeichenfolgendaten zul ssig sind Die meisten Textfelder sind mit dem Sy
145. intel Security Y Produkthandbuch McAfee Enterprise Security Manager 9 5 0 COPYRIGHT Copyright 2015 McAfee Inc 2821 Mission College Boulevard Santa Clara CA 95054 1 888 847 8766 www intelsecurity com MARKEN Intel und das Intel Logo sind eingetragene Marken der Intel Corporation in den USA und oder anderen L ndern McAfee und das McAfee Logo McAfee Active Protection McAfee DeepSAFE ePolicy Orchestrator McAfee ePO McAfee EMM McAfee Evader Foundscore Foundstone Global Threat Intelligence McAfee LiveSafe Policy Lab McAfee QuickClean Safe Eyes McAfee SECURE McAfee Shredder SiteAdvisor McAfee Stinger McAfee TechMaster McAfee Total Protection TrustedSource und VirusScan sind eingetragene Marken oder Marken von McAfee Inc oder seinen Tochterunternehmen in den USA und anderen L ndern Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer LIZENZINFORMATIONEN LIZENZVEREINBARUNG HINWEIS F R ALLE BENUTZER LESEN SIE DEN LIZENZVERTRAG F R DIE VON IHNEN ERWORBENE SOFTWARE SORGF LTIG DURCH ER ENTH LT DIE ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN F R DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE WENN SIE NICHT WISSEN WELCHEN SOFTWARE LIZENZTYP SIE ERWORBEN HABEN SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZ GLICH DER LIZENZGEW HRUNG ODER DEN BESTELLUNTERLAGEN NACH DIE SIE ZUSAMMEN MIT DEM SOFTWARE PAKET ODER SEPARAT ALS BROSCH RE DATEI AUF DER PRODUKT CD ODER ALS DATEI DIE AUF DER
146. ist k nnen Sie ein Ger t so einrichten dass die von diesem Ger t empfangenen Ereignisdaten an das ELM Ger t gesendet werden Dazu m ssen Sie den standardm igen Protokollierungspool konfigurieren O Ereignisse werden erst an das ELM Ger t gesendet wenn der Zeitraum f r die Aggregation abgelaufen ist Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Konfiguration Protokollierung 3 W hlen Sie auf den daraufhin ge ffneten Seiten die entsprechenden Optionen aus Wenn die Protokollierung der Daten von diesem Ger t auf dem ELM Ger t aktiviert ist werden Sie informiert McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Verwalten von Ger ten Allgemeine Ger teinformationen und einstellungen F r jedes Ger t gibt es eine Seite mit allgemeinen Informationen zum Ger t beispielsweise Seriennummer und Softwareversion Au erdem k nnen Sie Einstellungen f r das Ger t definieren Beispielsweise k nnen Sie die Zone ausw hlen und die Uhr synchronisieren Anzeigen von Nachrichtenprotokollen und Ger testatistiken Sie k nnen vom System generierte Nachrichten oder Statistiken zur Leistung des Ger ts anzeigen oder eine TGZ Datei mit Informationen zum Ger testatus herunterladen Vorgehensweise B
147. ist optional 3 Klicken Sie auf OK oder auf Anwenden Wenn der Server aktiviert ist werden alle Benutzer mit Ausnahme des Systemadministrators ber den RADIUS Server authentifiziert Wenn die Authentifizierung deaktiviert ist k nnen Benutzer die f r die RADIUS Authentifizierung eingerichtet sind nicht auf ESM zugreifen Einrichten der Zugriffssteuerungsliste ACL Access Control List Richten Sie eine Liste mit IP Adressen ein deren Zugriff auf das ESM Ger t Sie zulassen oder blockieren m chten 202 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Arbeiten mit Benutzern und Gruppen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Anmeldesicherheit 2 Klicken Sie auf ACL Einstellungen und f gen Sie dann IP Adressen zur Liste hinzu 3 Klicken Sie auf OK um die Einstellungen zu speichern und schlie en Sie die Zugriffssteuerungsliste Sie k nnen IP Adressen in der Zugriffssteuerungsliste bearbeiten oder entfernen CAC Einstellungen Sie k nnen sich gegen ber dem ESM Ger t authentifizieren indem Sie ber den Browser CAC Anmeldeinformationen bereitstellen anstatt einen Benutzernamen und ein Kennwort einzugeben CACs enthalten ein Client Zertifikat durch das der Benutzer identifiziert wird Dies ist mit der Identifizie
148. k nnen Sie ausw hlen wie die Ger te angezeigt werden sollen Wenn mehr Ger te zum System hinzukommen ist eine logische Anordnung sinnvoll damit Sie die jeweils ben tigten Ger te leichter finden k nnen Wenn Sie beispielsweise B ros an verschiedenen Standorten haben bietet es sich m glicherweise an die jeweilige Zone anzuzeigen Sie k nnen drei vordefinierte Anzeigen verwenden und benutzerdefinierte Anzeigen entwerfen Innerhalb jeder benutzerdefinierten Anzeige k nnen Sie Gruppen hinzuf gen um die Anordnung der Ger te weiter zu untergliedern McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 39 40 Konfigurieren von ESM Verwalten von Ger ten Einrichten der Steuerung des Netzwerkverkehrs auf einem Ger t Definieren Sie einen H chstwert f r die Datenausgabe f r Empf ngerger te sowie f r ACE ELM Nitro IPS ADM und DEM Ger te Diese Funktion ist hilfreich wenn Einschr nkungen f r die Bandbreite gelten und Sie die Menge der Daten steuern m chten die von den einzelnen Ger ten gesendet werden k nnen Dabei k nnen Sie zwischen Kilobit KBit Megabit MBit und Gigabit GBit pro Sekunde w hlen O Seien Sie vorsichtig wenn Sie diese Funktion konfigurieren da es durch Begrenzen des Datenverkehrs zu Datenverlusten kommen kann Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das Ger t au
149. nger hinzuf gen indem Sie Syslog als Anbieter ausw hlen siehe Hinzuf gen einer Datenquelle Folgen Sie anschlie end den Anweisungen des Ger teherstellers um das Syslog Ger t so zu konfigurieren dass Syslog Daten an die IP Adresse des Empf ngers gesendet werden 104 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Wenn Sie eine ASP Quelle hinzuf gen m ssen Sie eine Richtlinie anwenden damit Ereignisdaten erfasst werden Wenn Sie Unterst tzung f r generisches Syslog aktivieren k nnen Sie eine Richtlinie ohne Regeln anwenden und Ereignisdaten generisch erfassen Bei manchen Datenquellen wie beispielsweise Linux und UNIX Servern k nnen gro e Mengen nicht einheitlicher Daten erzeugt werden Dies f hrt dazu dass die Ergebnisse auf dem Empf nger nicht O richtig mit aufgetretenen hnlichen Ereignissen gruppiert werden Daher wird ein gro er Bereich verschiedener Ereignisse angezeigt obwohl sich in Wirklichkeit einfach das gleiche Ereignis wiederholt Dennoch werden unterschiedliche Syslog Daten an den Empf nger gesendet Durch Hinzuf gen von Regeln zu ASP k nnen Sie den gr ten Nutzen aus den Ereignisdaten ziehen Das in ASP verwendete Format hat gro e hnlichkeit mit dem Snort Format ACTION Protocol Src ip Src port gt Dst ip Dst_port keyword option keyword option Schlie en Sie beim Verketten eines Literalwerts mit einer PCRE Teilaufzeichnu
150. nicht entdeckt werden k nnen beispielsweise e Verlust vertraulicher Informationen und Dokumente oder Verletzungen von Kommunikationsrichtlinien e Nicht autorisierter Datenverkehr durch Anwendungen Beispiel Wer verwendet Gnutella e Anwendungen die auf unerwartete Weise verwendet werden beispielsweise HTTPS an einem Nicht Standard Port e Potenziell b swillige Dokumente beispielsweise ein Dokument das nicht mit seiner Erweiterung bereinstimmt e Neue Generation von Exploits beispielsweise ein PDF Dokument mit einer eingebetteten ausf hrbaren Datei Dar ber hinaus werden mit ADM b swillige Verkehrsmuster entdeckt indem Anomalien in Anwendungs und Transportprotokollen entdeckt werden beispielsweise eine falsch formatierte RPC Verbindung oder der TCP Ziel Port 0 Unterst tzte Anwendungen und Protokolle Mit ADM k nnen Anomalien in mehr als 500 unterst tzten Anwendungen und Protokollen berwacht decodiert und erkannt werden Die folgende Liste enth lt einige Beispiele e Low Level Netzwerkprotokolle TCP IP UDP RTP RPC SOCKS DNS und andere e E Mail MAPI NNTP POP3 SMTP Microsoft Exchange e Chat MSN AIM Oscar Yahoo Jabber IRC e Web Mail AOL Webmail Hotmail Yahoo Mail Gmail Facebook und MySpace E Mail e P2P Gnutella BitTorrent e Shell SSH nur Entdeckung Telnet McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von Richtlinien und Regeln 10 Regeltypen und ihre Eigen
151. oben auf der Seite auf das Textfeld benutzerdefiniertem Text 2 Geben Sie den Text ein den Sie zur Seite Anmeldung hinzuf gen m chten 3 W hlen Sie Text in Anmeldebildschirm einschlieRen aus Hinzuf gen eines 1 Klicken Sie auf Bild ausw hlen benutzerdefinierten Bilds 2 Laden Sie das Bild hoch das Sie verwenden m chten 3 W hlen Sie Bild in Anmeldebildschirm einschlie en aus Wenn nach dem Hochladen eines neuen benutzerdefinierten Logos auf der Seite Anmeldung noch das alte Logo angezeigt wird l schen Sie den Cache des Browsers L schen eines Klicken Sie auf Bild l schen Das Standardlogo wird angezeigt benutzerdefinierten Bilds Aktualisieren der ESM Software Greifen Sie auf Software Aktualisierungen vom Aktualisierungs Server oder von einem Sicherheitsmitarbeiter zu und laden Sie diese dann in das ESM Ger t hoch 6 Informationen zum Aktualisieren eines prim ren oder redundanten ESM Ger ts finden Sie unter Aktualisieren eines prim ren oder redundanten ESM Ger ts Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf ESM Verwaltung 2 Klicken Sie auf der Registerkarte Wartung auf ESM aktualisieren 3 W hlen Sie die Datei aus die Sie zum Aktualisieren des ESM Ger ts verwenden m chten und klicken Sie dann auf OK Das
152. r Korrelation ie Daraufhin wird der Richtlinien Editor ge ffnet in dem der Regeltyp Korrelation ausgew hlt ist b Klicken Sie in die Spalte Details f r die Regel und w hlen Sie die Option An aus Sie k nnen mehrere Regeln gleichzeitig ausw hlen 2 Zeigen Sie die Details an a Klicken Sie in der Systemnavigationsstruktur unter dem ACE Ger t auf Regelkorrelation b W hlen Sie in der Liste der Ansichten die Optionen Ereignisansichten Ereignisanalyseaus und klicken Sie dann auf das anzuzeigende Ereignis c Klicken Sie auf die Registerkarte Korrelationsdetails um die Details anzuzeigen Hinzuf gen benutzerdefinierter ADM Regeln Datenbankregeln oder Korrelationsregeln Sie k nnen nicht nur die vordefinierten ADM Regeln Datenbankregeln oder Korrelationsregeln verwenden sondern auch komplexe Regeln mit logischen und regul ren Ausdr cken erstellen Die Editoren die Sie zum Hinzuf gen dieser verschiedenen Regeltypen verwenden sind sich sehr hnlich und werden daher in den gleichen Abschnitten beschrieben Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie im Richtlinien Editor im Bereich Regeltypen die Option ADM DEM Databaseoder Korrelation aus 2 Klicken Sie auf Neu und w hlen Sie dann den Regeltyp aus den Sie hinzuf gen m chten McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 353 10 Verwalten von Richtlinien und Regeln Regeltype
153. siehe Einrichten von Umgehungs Netzwerkkarten Die verf gbaren Umgehungsoptionen h ngen vom Typ der Umgehungs Netzwerkkarte im Ger t ab Typ 2 oder Typ 3 Hinzuf gen von statischen Routen Bei einer statischen Route handelt es sich um einen Satz von Anweisungen aus denen hervorgeht wie Hosts oder Netzwerke erreicht werden k nnen die nicht ber das Standard Gateway verf gbar sind McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 41 42 Konfigurieren von ESM Verwalten von Ger ten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Konfiguration Schnittstellen 3 Klicken Sie neben der Tabelle Statische Routen auf Hinzuf gen 4 Geben Sie die Informationen ein und klicken Sie dann auf OK Umgehungs Netzwerkkarte Unter normalen Umst nden kann es ein bis drei Sekunden lang zu einem Verbindungsverlust kommen wenn das Ger t in den Umgehungsmodus wechselt Beim Verlassen des Umgehungsmodus kann die Verbindung f r 18 Sekunden getrennt werden Bei Verbindungen mit bestimmten Switches beispielsweise einigen Modellen von Cisco Catalyst sind andere Zahlen m glich In diesem Fall kann die Verbindung 33 Sekunden lang getrennt werden wenn das Ger t in den Umgehungsmodus wechselt oder diesen verl sst In dem Szenario in
154. ten Maximale Anzahl der Ger te Modell 8 NTP 2250 NTP 4245 NTP 5400 0 APM VM NTP VM Verwendung von Auswahlregeln Auswahlregeln werden als Filter verwendet mit denen Sie festlegen k nnen welche Pakete von einem virtuellen Ger t verarbeitet werden Damit ein Paket mit einer Auswahlregel bereinstimmt m ssen alle in der Regel definierten Filterkriterien erf llt sein Wenn die Informationen des Pakets mit allen Filterkriterien f r eine einzige Auswahlregel bereinstimmen wird das Paket von dem virtuellen Ger t verarbeitet das die bereinstimmende Auswahlregel enth lt Anderenfalls wird das Paket an das n chste virtuelle Ger t in der Reihenfolge weitergegeben dann standardm ig vom ADM oder Nitro IPS Ger t selbst verarbeitet wenn auf keinem virtuellen Ger t bereinstimmende Auswahlregeln vorhanden sind Beachten Sie bei virtuellen IPv4 Ger ten Folgendes e Alle Pakete f r eine einzige Verbindung werden ausschlie lich basierend auf dem ersten Paket in der Verbindung sortiert Wenn das erste Paket in einer Verbindung mit einer Auswahlregel f r das dritte virtuelle Ger t in der Liste bereinstimmt werden alle nachfolgenden Pakete in dieser Verbindung an das dritte virtuelle Ger t weitergeleitet Dies ist auch dann der Fall wenn die Pakete mit einem virtuellen Ger t bereinstimmen das sich in der Liste an einer h heren Position befindet e Ung ltige Pakete Pakete durch die nicht eine Verb
155. uft Software Monitor ESM Mittel ab bald ab Der Fall wurde ge ndert 306 70 Der Fall wurde ge ndert Software Monitor ESM Niedrig 240 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Alarmen Erstellen eines Alarms Regelname Signatur ID Beschreibung Typ Ger t Schweregra Der Fallstatus wurde 306 73 Der Fallstatus wurde ge ndert Software Monitor ESM Niedrig hinzugef gt ge ndert oder gel scht Warnung zur Status nderung 306 50013 Der Steuerungskanal wurde Software Monitor Alle Mittel des Kommunikationskanals angehalten oder gestartet Die Aufzeichnung der 146 4 Ger tefehler bei der Software Monitor ESM Niedrig Konfiguration ist fehlgeschlagen Netzwerkerkennung Ger tefehler Die Aufzeichnung der 146 3 Das Ger t war bei der Software Monitor ESM Niedrig Konfiguration ist fehlgeschlagen Netzwerkerkennung nicht Ger t nicht erreichbar erreichbar Die Konfiguration wurde 146 5 Die Konfiguration der Software Monitor ESM Niedrig aufgezeichnet Netzwerkerkennung wurde erfolgreich berpr ft Fehler bei einer 146 8 Wird im System nicht Software Monitor ESM Niedrig Konfigurationsrichtlinie verwendet Konfigurationsrichtlinie 146 9 Wird im System nicht Software Monitor ESM Niedrig zulassen verwendet Konfigurations nderung f r die 306 7 Die Einstellungen f r die Software Monitor ESM Hoch Datenzuordnung Datenzuordnung in ESM wurden ge ndert Warnung z
156. und BugTraq IDs in dieser Version enthalten McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Definieren eines VA Systemprofils Beim Hinzuf gen einer eEye REM Quelle haben Sie auf der Seite Vulnerability Assessment Quelle hinzuf gen die M glichkeit ein bereits definiertes Systemprofil hinzuzuf gen Um diese Funktion zu verwenden m ssen Sie zuerst das Profil definieren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein DEM Ger t oder ein Empf ngerger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Vulnerability Assessment Hinzuf gen 3 W hlen Sie im Feld Typ der VA Quelle die Option eEye REM aus 4 Klicken Sie auf Systemprofil verwenden 5 Klicken Sie auf Hinzuf gen und w hlen Sie dann im Feld Profiltyp die Option Vulnerability Assessment aus 6 W hlen Sie im Feld Profil Agent die SNMP Version f r das Profil aus Die Felder auf der Seite werden abh ngig von der ausgew hlten Version aktiviert 7 Geben Sie die erforderlichen Informationen ein und klicken Sie dann auf OK Hinzuf gen einer VA Quelle F r die Kommunikation mit VA Quellen m ssen Sie die Quelle zum System hinzuf gen Kommunikationsparameter f r den VA Anbieter konfigurieren Parameter planen mit denen Sie die H ufigkeit des Datenabrufs vorschreiben
157. und Berechnungen des Ereignisschweregrads ndern Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein DEM Ger t oder ein Empf ngerger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Vulnerability Assessment 3 Sie k nnen VA Quellen hinzuf gen bearbeiten entfernen oder abrufen und nderungen in das Ger t schreiben 4 Klicken Sie auf Anwenden oder OK Abrufen von VA Daten Wenn Sie eine Quelle hinzugef gt haben k nnen Sie die VA Daten abrufen Sie haben zwei M glichkeiten VA Daten aus einer Quelle abzurufen geplant oder sofort Beide Abrufarten sind f r alle VA Quellen mit Ausnahme von eEye REM m glich bei eEye REM muss der Abruf geplant werden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option DEM oder Empf ngereigenschaften aus und klicken Sie dann auf Vulnerability Assessment 2 W hlen Sie die VA Quelle und dann eine der folgenden Optionen aus McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 77 3 Konfigurieren von ESM Konfigurieren von Ger ten Aufgabe Vorgehensweise Sofortiges Abrufen e Klicken Sie auf Abrufen Der Auftrag wird im Hintergrund ausgef hrt Wenn der Abruf erfolgreich war werden Sie informiert anderenfalls finden
158. und Pakete dar die vom Ziel des Flusses bermittelt wurden Fl sse haben eine Richtung Ein eingehender Fluss ist definiert als ein Fluss dessen Ursprung sich au erhalb des Heimnetzwerks HOME_NET befindet Ein ausgehender Fluss hat seinen Ursprung innerhalb des Heimnetzwerks HOME_NET Diese Variable wird in einer Richtlinie f r ein Nitro IPS Ger t definiert Zum Anzeigen von Flussdaten m ssen Sie die Protokollierung von Flussdaten im System aktivieren Dann k nnen Sie Fl sse in der Ansicht Flussanalyse anzeigen Aktivieren der Flussprotokollierung Zum Anzeigen von Flussanalysedaten f r ein Nitro IPS Ger t m ssen Sie zwei Firewall Variablen aktivieren McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 273 274 Arbeiten mit Ereignissen Arbeiten mit ESM Ansichten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus 2 m m Klicken Sie auf das Symbol Richtlinien Editor mM und w hlen Sie dann im Bereich Regeltypen die Option Variable aus 3 Erweitern Sie im Regelanzeigebereich die Kategorie Firewall 4 Heben Sie in der Zeile INBOUND_CONNECTION_STATISTICS die Auswahl von Vererben auf um die Vererbung des Werts zu unterbrechen Geben Sie dann Ja ein und klicken Sie auf OK 5 Heben Sie f r OUTBOUND_CONNECTION_STATISTICS die Auswahl von Vererben auf um die Vererbung des Werts zu unterbrechen G
159. und SET haben Standardeinstellungen Diese k nnen Sie auf der Seite Logisches Element bearbeiten ndern Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Ziehen Sie im Regel Editor ein logisches Element in den Bereich Ausdruckslogik oder Korrelationslogik und legen Sie es dort ab Klicken Sie auf das Symbol Men f r das zu bearbeitende Element und dann auf Bearbeiten 3 ndern Sie die Einstellungen und klicken Sie dann auf OK Hinzuf gen von Parametern zu einer Korrelationsregel oder komponente Durch die Parameter einer Korrelationsregel oder komponente wird das Verhalten der Regel oder Komponente bei der Ausf hrung gesteuert Parameter sind nicht erforderlich Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie auf der Seite Korrelationsregel oder Korrelationskomponente auf Parameter 2 Klicken Sie auf Hinzuf gen und geben Sie dann einen Namen f r den Parameter ein 3 W hlen Sie den Typ des gew nschten Parameters aus und w hlen Sie dann die Werte aus oder heben Sie die Auswahl von Werten auf Sie k nnen nicht gleichzeitig Werte f r Liste und Bereich verwenden Ein Listenwert kann keinen Bereich enthalten 1 6 8 10 13 Die richtige Schreibweise hierf r lautet 1 2 3 4 5 6 8 10 13 4 Zum Ausw hlen des Standardwerts f r den Parameter klicken Sie auf das Symbol Sta
160. wird McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 87 3 Konfigurieren von ESM Konfigurieren von Ger ten Spalte Beschreibung Details mcafee_formated_file_ipsid Die urspr ngliche Nitro IPS ID Erforderlich bei Verwendung der Rohdatendatei zonelD Name der Zone Standardwert leer policy_name ID oder Name der Richtlinie Standardwert leer Wird nur beim Hinzuf gen neuer Datenquellen verwendet Beim Bearbeiten wird dieser Wert nicht aktualisiert F r festgelegte Protokolle berpr fte Felder Das Protokoll wird durch Anbieter und Modell bestimmt Ausnahme Wenn das Format auf Default oder CEF festgelegt ist und Retrieval nicht Default oder MEF entspricht Dann entspricht das Protokoll dem Wert von Retrieval Wenn kein Profil festgelegt ist werden diese Felder f r das festgelegte Protokoll berpr ft Tabelle 3 2 Netflow Felder ab Spalte AF Spalte Beschreibung Details netflow_port Standardwert 9993 netflow_repeat_enabled Weiterleitung aktiviert Standardwert F netflow_repeat_ip IP Adresse f r Weiterleitung Erforderlich wenn repeat_enabled T Standardwert leer netflow_repeat_port Weiterleitungs Port Standardwert 9996 Tabelle 3 3 rdep Felder ab Spalte AJ Spalte Beschreibung Details rdep_sdee_username Erforderlich rdep_sdee_password Erforderlich rdep_sdee_interval Standardwert 60 Sekunden Tabelle 3 4 ops
161. wird empfohlen die doppelten Ger teknoten zu l schen um Verwirrung zu vermeiden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie im Systemnavigationsbereich auf die Dropdown Liste f r den Anzeigetyp 2 W hlen Sie das Symbol Bearbeiten EA neben der Anzeige mit den doppelten Ger ten aus 3 Heben Sie die Auswahl der doppelten Ger te auf und klicken Sie dann auf OK Die Ger te f r die Duplikate vorhanden waren werden jetzt nur in den zugewiesenen Gruppen aufgef hrt McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Erste Schritte 2 Konsoleneinstellungen Konsoleneinstellungen Sie k nnen verschiedene Funktionen der ESM Konsole anpassen indem Sie das Farbdesign das Format f r Datum und Uhrzeit den Zeit berschreitungswert und verschiedene Standardeinstellungen ndern Au erdem k nnen Sie Anmeldeinformationen f r McAfee ePolicy Orchestrator McAfee ePO einrichten ESM Konsole In der ESM Konsole erhalten Sie nahezu in Echtzeit Einblicke in Ihre Ger te und k nnen schnell auf Alarmbenachrichtigungen und zugewiesene F lle zugreifen 3100 IE TRITT lo a misss me Y 1 Systemnavigationsleiste f r allgemeine Setup Funktionen 2 Symbole f r den Zugriff auf h ufig verwendete Seiten 3 Aktionssymbolleiste zum Ausw hlen der notwendigen Funktionen zum Konfigurieren der einzelnen Ger te 4 System
162. wird generiert Sie k nnen die vertikale und die horizontale Skala vergr ern oder verkleinern indem Sie gegebenenfalls auf die runden Symbole an den Diagrammachsen klicken und diese an die gew nschte Stelle ziehen Zugreifen auf Firewall Regeln und Standardregeln Regeln werden im Richtlinien Editor hinzugef gt und verwaltet Sie k nnen jedoch Firewall Regeln und Standardregeln von den IPS Ger ten oder virtuellen IPS Ger ten lesen schreiben anzeigen exportieren und importieren Die Regeln sollten nicht regelm ig ber diese Seite verwaltet werden Wenn Sie die Regeln auf diese Weise ndern werden die Richtlinieneinstellungen des Ger ts nicht mit den Einstellungen im Richtlinien Editor synchronisiert 172 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option IPS Eigenschaften aus und klicken Sie dann auf Firewall Regeln oder Standardregeln 2 W hlen Sie eine der Optionen aus und klicken Sie dann auf OK Blacklist f r IPS oder virtuelles Ger t Mit der Blacklist blockieren Sie durch das Ger t flie enden Datenverkehr vor der Analyse durch das Modul f r die gr ndliche Paketpr fung Mit dem Blacklist Editor k nnen Sie blockierte Quellen blockierte Ziele und Ausschlusseinstellungen f r das Ge
163. x a nn nn 270 Verwenden von ESM Ansichten 2 2 2 nn nn on nn 270 Anzeigen von Sitzungsdetails 2 2 a a a 271 Ansichtssymbolleiste 2 s s nn non 271 Vordefinierte Ansichten A A2 Hinzuf gen einer bankzerdefinlereen Aneiche ku dei a o de aaa A R Ansichtskomponenten s 2 a cor m wow 2 mo poa w eoa a a poa 278 Arbeiten mit dem Abfragen Assistenten 2 2 2 a a a nn nn 290 Ansichten verwalten Er a E A A ae 29A Untersuchen der umliegenden Eretgnisse eines Ereignisses ee a 294 Anzeigen der Details zur IP Adresse eines Ereignisses 2 2 nn nn nn nn 295 ndern der Standardansicht a 2 2 m m m nennen 295 Filtern von Ansichten u a 1 4 mo a a ee 296 berwachungslisten 2 2 22 2 u nn nenn 299 Zeichenfolgennormalisierung 2 2 2 nn nn nenn 302 Benutzerdefinierte Typfilter o a A A a e a 308 Erstellen benutzerdefinierter Typen Ba a Sa re a ee a ie Zr DOS Tabelle der vordefinierten benutzerdefinierten pen a ao A a O Hinzuf gen benutzerdefinierter Typen f r die Uhrzeit 2 2 nn nn nn nn 309 Benutzerdefinierte Typen f r Name Wert 30 Hinzuf gen eines benutzerdefinierten Typs f r eine Name Wert Suppe ee a a 309 Verwalten von F llen 311 Hinzuf gen eines Falls s s 22 m nn soo en 311 Erstellen eines Falls aus einem Ereignis A a ee AA ee EZ Hinzuf gen von Ereignissen zu einem vorhandenen Fall a E RA AZ Bearbeiten oder Schlie en eines Falls 2
164. ziehen Sie sie an die gew nschte Stelle Nehmen Sie im Abfragen Assistenten eine Auswahl vor sodass in der Ansicht die anzuzeigenden Daten generiert werden Klicken Sie dann auf Fertig stellen Speichern der Ansicht 1 2 Klicken Sie auf Speichern oder Speichern unter und geben Sie einen Namen f r die Ansicht ein Zum Speichern der Ansicht in einem vorhandenen Ordner w hlen Sie den Ordner aus Klicken Sie auf OK Kopieren und Einf gen 1 einer Komponente 2 Klicken Sie auf die zu kopierende Komponente Klicken Sie auf Kopieren und dann auf Einf gen L schen einer Komponente W hlen Sie die Komponente aus und klicken Sie dann auf L schen Speichern einer Ansicht Beenden des L schen Sie alle Komponenten und schlie en Sie dann die Symbolleiste Ansichts Editors ohne zum Bearbeiten von Ansichten Ansichtskomponenten Erstellen Sie benutzerdefinierte Ansichten um Daten f r Ereignisse Fl sse Ressourcen und Schwachstellen auf die f r Sie sinnvollste Weise anzuzeigen Jede Ansicht besteht aus Komponenten die Sie auf der Symbolleiste zum Bearbeiten von Ansichten ausw hlen und einrichten um die Daten anzuzeigen Wenn Sie eine Komponente ausw hlen wird der Abfragen Assistent ge ffnet Hier k nnen Sie Details zu den in der Komponente angezeigten Daten definieren McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Arbeiten mit ESM Ansichten Bes
165. 014 05 09T20 43 30Z writetime 2014 05 09T20 44 01Z src_guid dst_guid total_severity 25 severity 25 eventcount 1 flow 0 vlan 0 sequence O trusted 2 session_id O compression_level 10 reviewed 0 a1_ran_string_CF1 This is data for custom field 1 packet PDEOPjA5MDUyMDEOIDIWOjE40OjQOfDIxfDY1Ljl1NC400C4yMDAtMzgxMjl8MXwxMDJ8U3 BhbSBNZXNZYWAIIHRSCGU6IFRydXNOZWRTb3VyY2UgU2InbmFOdXJIIENvbmZpZGVuY2 UgPSBISUdILIBDb25uZWNO0aW9u0i A2NS4yNTQUuNDguMjAwLTM4MTI5KEIQLVBvcenQpfF RoaXMgaXMgZGFOYSBm b3IgY3VzdG9tIGZpZWxkIDF8W10A Aktivieren oder Deaktivieren der Ereignisweiterleitung Aktivieren oder deaktivieren Sie die Ereignisweiterleitung auf dem ESM Ger t Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Ereignisweiterleitung 2 Klicken Sie auf Einstellungen und w hlen Sie dann Ereignisweiterleitung aktiviert aus oder heben Sie die Auswahl dieser Option auf 3 Klicken Sie auf OK ndern von Einstellungen f r alle Ereignisweiterleitungsziele ndern Sie Einstellungen f r alle vorhandenen Ereignisweiterleitungsziele gleichzeitig Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaf
166. 1 4 1 23128 1 3 1 4 MB 1468006 Gesamter partitionierter Festplatten Speicherplatz f r die ESM Datenbank 1 3 6 1 4 1 23128 1 3 1 5 MB 1363148 Freier verf gbarer Festplatten Speicherplatz f r die ESM Datenbank 1 3 6 1 4 1 23128 1 3 1 6 an seit 1283888714 Aktuelle Systemzeit des ESM Ger ts em 01 01 1970 00 00 0 0 GMT 1 3 6 1 4 1 23128 1 3 1 7 8 4 2 Version und Build Stempel von ESM 1 3 6 1 4 1 23128 1 3 1 8 4EEE 6669 Computer ID des ESM Ger ts 1 3 6 1 4 1 23128 1 3 1 9 ESM Modellnummer des ESM Ger ts Tabelle 3 38 Integrit t des Empf ngers Anfrage und Antwort OID Einheiten Antwortwert Bedeutung 1 3 6 1 4 1 23128 1 3 3 1 Empf nger Name des Empf ngers 1 3 6 1 4 1 23128 1 3 3 2 2689599744 Eindeutige ESM ID des Empf ngers 1 3 6 1 4 1 23128 1 3 3 3 1 Weist darauf hin dass die Kommunikation mit dem Empf nger verf gbar 1 oder nicht verf gbar 0 ist 1 3 6 1 4 1 23128 1 3 3 4 OK Gibt den Status des Empf ngers an 1 3 6 1 4 1 23128 1 3 3 5 Prozent 2 Prozentsatz f r die kombinierte unmittelbare CPU Auslastung 1 3 6 1 4 1 23128 1 3 3 6 MB 7155 RAM insgesamt 1 3 6 1 4 1 23128 1 3 3 7 MB 5619 Verf gbares RAM 1 3 6 1 4 1 23128 1 3 3 8 MB 498688 Gesamter partitionierter Festplatten Speicherplatz f r die Empf ngerdatenbank 1 3 6 1 4 1 23128 1 3 3 9 MB 472064 Freier verf gbarer Festplatten Speicherplatz f r die Empf ngerdatenbank McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 193 Konfigurieren von ESM Kon
167. 10 01 23 45 AB CD EF Ziel MAC 1 3 6 1 4 1 23128 1 1 11 17 Protokoll 1 3 6 1 4 1 23128 1 1 12 0 VLAN 1 3 6 1 4 1 23128 1 1 13 1 Richtung 1 3 6 1 4 1 23128 1 1 14 20 Ereignisanzahl 1 3 6 1 4 1 23128 1 1 15 1201791100 Erstes Mal 1 3 6 1 4 1 23128 1 1 16 1201794638 Letztes Mal 1 3 6 1 4 1 23128 1 1 17 288448 Letztes Mal Mikrosekunden 1 3 6 1 4 1 23128 1 1 18 2000002 Signatur ID 194 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Verwalten der Datenbank OID Wert Bedeutung 1 3 6 1 4 1 23128 1 1 19 ANOMALY Inbound High to High Signaturbeschreibung 1 3 6 1 4 1 23128 1 1 20 5 Ausgef hrte Aktion 1 3 6 1 4 1 23128 1 1 21 1 Schweregrad 1 3 6 1 4 1 23128 1 1 22 201 Datenquellentyp oder Ergebnis 1 3 6 1 4 1 23128 1 1 23 0 Normalisierte Signatur ID 1 3 6 1 4 1 23128 1 1 24 0 0 0 0 0 0 0 0 IPv6 Quell IP 1 3 6 1 4 1 23128 1 1 25 0 0 0 0 0 0 0 0 IPv6 Ziel IP 1 3 6 1 4 1 23128 1 1 26 Application 1 3 6 1 4 1 23128 1 1 27 Dom ne 1 3 6 1 4 1 23128 1 1 28 Host 1 3 6 1 4 1 23128 1 1 29 Benutzer Quelle 1 3 6 1 4 1 23128 1 1 30 Benutzer Ziel 1 3 6 1 4 1 23128 1 1 31 Befehl 1 3 6 1 4 1 23128 1 1 32 Objekt 1 3 6 1 4 1 23128 1 1 33 Sequenznummer 1 3 6 1 4 1 23128 1 1 34 Gibt an ob das Ereignis in einer vertrauensw rdigen oder nicht vertrauensw rdigen Umgebung generiert wurde 1 3 6 1 4 1 23128 1 1 35 Die ID der Sitzung in der die Warnung generiert wurde
168. 15 2 Nitro IPS Modellnummer des Nitro IPS Ger ts 1 3 6 1 4 1 23128 1 3 2 16 2 Warnungen 140 Warnungsrate pro Minute f r pro Minute mindestens zehn Minuten 1 3 6 1 4 1 23128 1 3 2 17 2 Fl sse pro 165 Flussrate pro Minute f r Minute mindestens zehn Minuten Im oben genannten Beispiel wird vom SNMP Manager eine Anfrage an den SNMP Agenten das ESM Ger t gesendet Die Zahlen haben folgende Bedeutung e 1 3 6 1 4 1 23128 ist die Unternehmensnummer die McAfee von der IANA Internet Assigned Numbers Authority zugewiesen wurde e 1 3 2 ist eine Nitro IPS Integrit tsanfrage e Die vorletzte Zahl oben 1 17 wird zum Anfragen der verschiedenen Aspekte der Nitro IPS Integrit t verwendet e Die letzte Zahl 2 gibt die konkrete Instanz der OID an die Nitro IPS ID Als Antwort vom ESM Ger t werden die OID Bindungen mit den Ergebnissen der Integrit tsanfrage ausgef llt In den folgenden Tabellen finden Sie die Bedeutung der ESM und Empf nger OIDs McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Tabelle 3 37 ESM Integrit t Konfigurieren von ESM Konfigurieren von zus tzlichen Diensten Anfrage und Antwort OID Einheiten Antwortwert Bedeutung 1 3 6 1 4 1 23128 1 3 1 1 Prozent 4 Prozentsatz f r die kombinierte unmittelbare CPU Auslastung 1 3 6 1 4 1 23128 1 3 1 2 MB 3518 RAM insgesamt 1 3 6 1 4 1 23128 1 3 1 3 MB 25 Verf gbares RAM 1 3 6
169. 18 Entfernen e 38 Entfernen und Fehlschlag e 19 Starten 39 Abgelehnt In diesem Beispiel wird Failed aus der Syslog Nachricht der Zahl 9 zugeordnet die vom System als Fehlgeschlagen gemeldet wird Die Struktur einer Regel ist wie folgt aufgebaut Alert any any any gt any any msqg Login Attempt content sshd action map oder severity map bei Bedarf pcre Ihr regul rer Ausdruck raw setparm Daten Tag adsid 190 rev l Erweiterter Syslog Parser Mithilfe des erweiterten Syslog Parsers ASP k nnen Sie Daten aus Syslog Nachrichten auf der Basis benutzerdefinierter Regeln analysieren Mit den Regeln weisen Sie ASP an wie eine bestimmte Nachricht erkannt werden soll und wo in diesem nachrichtenspezifischen Ereignis sich Daten wie beispielsweise Signatur IDs IP Adressen Ports Benutzernamen und Aktionen befinden Sie k nnen ASP f r Syslog Ger te verwenden die auf der Seite Datenquelle hinzuf gen nicht ausdr cklich identifiziert sind wenn Nachrichten vom quellspezifischen Parser nicht richtig interpretiert werden oder Datenpunkte im Zusammenhang mit empfangenen Ereignissen vollst ndig interpretiert werden Au erdem k nnen Sie so optimal komplexe Protokollquellen wie Linux und UNIX Server sortieren F r diese Funktionalit t m ssen Sie an die Linux oder UNIX Umgebung angepasste Regeln schreiben siehe Hinzuf gen von Regeln zum erweiterten Syslog Parser Sie k nnen eine ASP Datenquelle zum Empf
170. 3 Geben Sie die erforderlichen Informationen ein und klicken Sie anschlie end auf OK um den Fall zu speichern Der neue Fall enth lt die Ereignisdaten in der Tabelle Nachricht Hinzuf gen von Ereignissen zu einem vorhandenen Fall Sie k nnen zu einem vorhandenen Fall mindestens ein Ereignis hinzuf gen um Aktionen nachzuverfolgen die als Reaktion auf diese Ereignisse ausgef hrt wurden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie im Ansichtsbereich in der Dropdown Liste mit den Ansichten die Option Ereignisansichten aus und klicken Sie dann auf Ereignisanalyse 2 W hlen Sie die Ereignisse aus und f hren Sie dann einen der folgenden Schritte aus e Klicken Sie auf das Symbol Ereignisse zu einem Fall oder zu Remedy zuweisen A und w hlen Sie Ereignisse zu einem Fall hinzufiigen aus Klicken Sie auf das Symbol Men ETA heben Sie Aktionen hervor und klicken Sie dann auf Ereignisse zu einem Fall hinzuf gen 3 W hlen Sie den Fall aus und klicken Sie auf Hinzuf gen Auf der Seite Falldetails wird in der Tabelle Nachrichten die Ereignis ID angezeigt 4 Klicken Sie auf OK und dann auf Schlie en Bearbeiten oder Schlie en eines Falls 312 Wenn Sie ber Berechtigungen als Fallverwaltungsadministrator verf gen k nnen Sie alle F lle im System ndern Wenn Sie ber Berechtigungen als Fallverwaltungsbenutzer verf gen k nnen Sie nur F
171. 3 Verschieben Sie Ger te oder bewegen Sie den Mauszeiger auf ein Ger t um die Eigenschaften anzuzeigen ndern des Verhaltens der Netzwerkerkennung Sie k nnen die Standardeinstellungen f r den Ping Befehl die Anzahl der Endger te und die gleichzeitigen Ger te f r die Netzwerkerkennung ndern Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken Klicken Sie auf in der ESM Konsole auf das Schnellstartsymbol f r den Asset Manager m 2 Klicken Sie auf die Registerkarte Netzwerkerkennung auf Einstellungen und dann auf Erweitert 3 ndern Sie die Einstellungen nach Bedarf und klicken Sie dann auf OK Ressourcenquellen Sie k nnen gegebenenfalls Daten aus Active Directory oder von einem Altiris Server mit Ressourcenquellen abrufen Mit Active Directory k nnen Sie Ereignisdaten filtern indem Sie die abgerufenen Benutzer oder Gruppen in den Abfragefilterfeldern Quellbenutzer oder Zielbenutzer f r Ansichten ausw hlen Auf diese Weise k nnen Sie leichter Compliance Daten f r Anforderungen wie beispielsweise PCI bereitstellen Ressourcen wie beispielsweise Computer mit IP Adressen werden von Altiris und Active Directory abgerufen und zur Ressourcentabelle hinzugef gt Zum Abrufen von Ressourcen aus Altiris ben tigen Sie Asset Manager Berechtigungen in der Altiris Verwaltungskonsole In Active Directory werden in der Regel keine Informationen zu IP Adressen gespeich
172. 30 200 Einrichten von Downloads f r Ereignisse Fl sse und Protokolle 48 254 Exportieren eines Schl ssels 38 Geolocation Definieren von Einstellungen 48 256 Ger testatistik 45 Gew hren des Zugriffs 46 Gruppenknoten L schen 28 60 Hinzuf gen eines URL Links 47 56 Hinzuf gen zur Konsole 25 36 Importieren eines Schl ssels 38 IPMI Port Einrichten 183 McAfee Enterprise Security Manager 9 5 0 Index Ger te Fortsetzung Linux Befehle 46 L schen 33 L schen von Knoten 28 60 model 47 Nachrichtenprotokoll 45 Neu starten 47 NTP Server 43 179 Schl ssel 37 Seriennummer 47 Software Aktualisieren 39 45 Starten 47 Statusdaten Herunterladen 45 Steuern des Netzwerkverkehrs 40 Synchronisieren der Uhren 187 Synchronisieren mit ESM 43 berwachen des Datenverkehrs 46 Verbindung mit ESM ndern 48 Version 47 Verwalten mehrerer 56 Verwalten von Schl sseln 37 Verwalten von SSH Kommunikationsschl sseln 38 Zusammenfassungsberichte 56 Ger tegruppe Verwalten 27 55 Ger teknoten L schen von Duplikaten 28 55 Ger tesymbol Hinzuf gen 33 Gespiegelte Verwaltungsdatenbank Ersetzen ELM 135 Gespiegelter Datenspeicher Hinzuf gen ELM 126 Gespiegelter Speicherpool erneutes Erstellen 127 Gewichtungen Einrichten Schweregrad 374 Gleichzeitige Ger te f r Netzwerkerkennung 321 Global Threat Intelligence berwachungsliste 300 Globale Blacklist 218 Einrichten 219 Gruppen Benutzer 199
173. 50204 Intern 0 3 000 000 3 999 999 50205 Schwachstelle und Exploit 2 Nicht zutreffend 50206 Nicht jugendfreie Inhalte 5 Nicht zutreffend 50207 Chat 8 Nicht zutreffend 50208 Richtlinie 11 Nicht zutreffend 50209 Peer to Peer 14 Nicht zutreffend 50210 Multimedia 17 Nicht zutreffend 50211 Alpha 25 Nicht zutreffend 50212 Virus 28 Nicht zutreffend 50213 Perimeter Secure Application 31 Nicht zutreffend 50214 Gateway 33 Nicht zutreffend 50215 Malware 35 Nicht zutreffend 50216 SCADA 40 Nicht zutreffend 50217 MCAFEESYSLOG 41 Nicht zutreffend Empf ngerressourcenquellen Eine Ressource ist ein beliebiges Ger t im Netzwerk das ber eine IP Adresse verf gt Auf der Registerkarte Ressource in Asset Manager k nnen Sie Ressourcen erstellen ihre Tags ndern Ressourcengruppen erstellen Ressourcenquellen hinzuf gen und eine Ressource zu einer Ressourcengruppe hinzuf gen Au erdem k nnen Sie die Ressourcen ndern die von einem der VA Anbieter erlernt wurden Mit der Funktion Ressourcenquellen unter Empf ngereigenschaften k nnen Sie gegebenenfalls Daten aus Active Directory abrufen Nach Abschluss des Prozesses k nnen Sie Ereignisdaten filtern indem Sie die abgerufenen Benutzer oder Gruppen in den Abfragefilterfeldern Quellbenutzer und Zielbenutzer f r Ansichten ausw hlen Auf diese Weise k nnen Sie leichter Compliance Daten f r Anforderungen wie beispielsweise PCI bereitstellen F r ein ESM Ger t kann nur eine Ressourcenquelle festg
174. 61 Einrichten des berbelegungsmodus poneo k t a a a w 902 Anzeigen des Richtlinienaktualisierungsstatus f r Ger te aoe aoao a 30 Regelvorg nge e 363 Verwalten von Regeln 2 aos a oaoa nn 363 Importieren von Regeln 2 2 a aa a a 364 Importieren von Variablen a a a a a nn nn 365 Exportieren von Regeln ee a a O Festlegen der automatischen Aufnahme in idie Blacklist durch Regel caca 306 Filtern vorhandener Regeln 2 2 2 nn nn nn 367 Anzeigen der Signatur einer Regel 2 2 nn nn 368 Abrufen von Regelaktualisierungen 2 2 nn nn 369 L schen des aktualisierten Regelstatus 0 369 Vergleichen von Regeldateien 2 2 nn m non a 370 Anzeigen des Verlaufs der Regel nderungen 2 2 2 m m nn nn nn nn 370 Erstellen einer neuen berwachungsliste mit Regeln 2 2 2 2 2 2 nn nn nn 370 Hinzuf gen von Regeln zu einer berwachungsliste 2 2 2 2 a nn nn nn 371 Zuweisen von Tags zu Regeln oder Ressourcen 2 2 2 nn m m 372 Aggregationseinstellungen ndern De da A a LS berschreibungsaktion f r heruntergeladene Regel Ba inp i a a o yu op ee Sa Gewichtungen der Schweregrade 2 a a a a nn nn 374 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Inhaltsverzeichnis Festlegen der Gewichtungen der Schweregrade 2 2 2 nn m m nn 3 4 Anz
175. Alarmen Erstellen eines Alarms Regelname Signatur ID Beschreibung Typ Ger t Schweregra ndern einer Regel 306 21 Eine Regel wurde im System Software Monitor ESM Niedrig ge ndert Fehler bei der 306 9 Die Regelaktualisierung f r ESM Software Monitor ESM Mittel Regelaktualisierung ist fehlgeschlagen Warnung zur Status nderung 306 50033 Die SDEE Erfassung wurde Software Monitor Empf nger Mittel des SDEE Abrufs angehalten oder gestartet Warnung zur Status nderung 306 50025 Die sFlow Erfassung Fluss Software Monitor Empf nger Mittel der sFlow Erfassung wurde angehalten oder gestartet Warnung zur Status nderung 306 50023 Die SNMP Erfassung wurde Software Monitor Empf nger Mittel der SNMP Erfassung angehalten oder gestartet Warnung zur Status nderung 306 50038 Die SQL Erfassung alt NFX Software Monitor Empf nger Mittel der SQL Erfassung wurde angehalten oder gestartet Warnung zur Status nderung 306 50056 Die Symantec AV Erfassung Software Monitor Empf nger Mittel der Symantec AV Erfassung wurde angehalten oder gestartet Warnung zur Status nderung 306 50037 Die Syslog Erfassung wurde Software Monitor Empf nger Mittel der Syslog Erfassung angehalten oder gestartet Benutzeranmeldung des 306 40 Der Systemadministrator hat Software Monitor ESM Niedrig Systemadministrators sich beim System angemeldet Fehler bei der berpr fung der 306 50085 Ein auf dem System Sof
176. Anzahl der Bedingungen ausw hlen die wahr sein m ssen damit die Regel ausgel st wird Wenn der Satz beispielsweise drei Bedingungen enth lt die erf llt sein m ssen damit die Regel ausgel st wird lautet der Satz 2 von 3 Jedes dieser Elemente hat ein Men mit mindestens zwei der folgenden Optionen 354 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von Richtlinien und Regeln 10 Regeltypen und ihre Eigenschaften e bearbeiten Sie k nnen die Standardeinstellungen bearbeiten siehe Bearbeiten der Standardeinstellungen f r logische Elemente e logisches Element entfernen Sie k nnen das ausgew hlte logische Element l schen Wenn untergeordnete Elemente vorhanden sind werden diese nicht gel scht und in der Hierarchie nach oben verschoben Dies gilt nicht f r das Stammelement das erste Element in der Hierarchie Wenn Sie das Stammelement entfernen werden alle untergeordneten Elemente ebenfalls entfernt e logisches Element und alle untergeordneten Elemente entfernen Sie k nnen das ausgew hlte Element und alle untergeordneten Elemente aus der Hierarchie l schen Beim Einrichten der Logik f r die Regel m ssen Sie Komponenten hinzuf gen um die Bedingungen f r die Regel zu definieren F r Korrelationsregeln k nnen Sie au erdem Parameter hinzuf gen um das Verhalten der Regel oder Komponente bei der Ausf hrung zu steuern Bearbeiten logischer Elemente Die logischen Elemente AND OR
177. Bedrohungsverwaltung um die Liste mit bekannten Bedrohungen anzuzeigen 3 W hlen Sie eine bekannte Bedrohung aus und f hren Sie dann eine der folgenden Aktionen aus e Klicken Sie auf Bedrohungsdetails um die Details zu der Bedrohung anzuzeigen e Wenn die Spalte Risiko berechnen den Eintrag Ja enth lt und die Bedrohung bei Risikoberechnungen nicht verwendet werden soll klicken Sie auf Deaktivieren e Wenn die Spalte Risiko berechnen den Eintrag Nein enth lt und die Bedrohung bei Risikoberechnungen verwendet werden soll klicken Sie auf Aktivieren 4 Klicken Sie auf OK McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von Richtlinien und Regeln Sie k nnen Richtlinienvorlagen erstellen anwenden und anzeigen Inhalt Grundlegendes zum Richtlinien Editor Richtlinienstruktur Regeltypen und ihre Eigenschaften Einstellungen f r Standardrichtlinien Regelvorg nge gt Zuweisen von Tags zu Regeln oder Ressourcen gt Aggregationseinstellungen ndern Uberschreibungsaktion f r heruntergeladene Regeln gt Gewichtungen der Schweregrade Anzeigen des Verlaufs der Richtlinien nderungen Anwenden von Richtlinien nderungen Verwalten von Datenverkehr mit Priorit t Grundlegendes zum Richtlinien Editor Mit dem Richtlinien Editor k nnen Sie Richtlinienvorlagen erstellen und einzelne Richtlinien anpassen Richtlinienvorlagen k nnen ebenso wie Richtlinieneinstellungen
178. Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Konfiguration Schnittstellen 3 Klicken Sie neben der Tabelle Statische Routen auf Hinzuf gen 4 Geben Sie die Informationen ein und klicken Sie dann auf OK Umgehungs Netzwerkkarte Unter normalen Umst nden kann es ein bis drei Sekunden lang zu einem Verbindungsverlust kommen wenn das Ger t in den Umgehungsmodus wechselt Beim Verlassen des Umgehungsmodus kann die Verbindung f r 18 Sekunden getrennt werden Bei Verbindungen mit bestimmten Switches McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von zus tzlichen Diensten beispielsweise einigen Modellen von Cisco Catalyst sind andere Zahlen m glich In diesem Fall kann die Verbindung 33 Sekunden lang getrennt werden wenn das Ger t in den Umgehungsmodus wechselt oder diesen verl sst In dem Szenario in dem es 33 Sekunden dauert die Kommunikation wieder herzustellen k nnen Sie Portfast f r den Switch Port aktivieren und die Geschwindigkeit sowie den Duplex Modus manuell festlegen um wieder normale Zeiten zu erzielen Achten Sie darauf f r alle vier Ports Switch beide Ports von Nitro IPS und den Port des anderen Ger ts die gleiche Einstellung festzulegen Anderenfalls tritt m glicherweise im Umgeh
179. CL Access Control List 202 Ansichten Abfragen von ePO Ger ten 169 ndern der Standardansicht 295 Bereich 29 Daten in einer Ansicht 296 Datendetails 283 Erweiterte ELM Suche 274 Filter 296 Filtern 296 Fluss 273 Hinzuf gen benutzerdefiniert 277 Hostnamen Anzeigen anstelle der IP Adresse 277 378 McAfee Enterprise Security Manager 9 5 0 Ansichten Fortsetzung Komponenten 278 Komponenten Symbolleiste 283 Komponenten Anpassen 280 Komponenten Beschreibung 279 Symbolleiste 29 271 Verwalten 294 Vordefiniert 272 Ansichtsbereich Einstellungen 30 Anwenden von Konfigurationseinstellungen auf DEM 157 Anzeigen Verwalten von Abfragen 215 216 Anzeigetyp Ausw hlen 26 54 Archiv Einrichten inaktiver Partitionen 197 Einstellungen Definieren f r Empf nger 73 ArcSight Hinzuf gen einer Datenquelle 111 ASN Definieren von Einstellungen f r Ger t 48 256 Suche Ausf hren 289 Suchen aus Ansicht 287 ASP Regeln Festlegen der Reihenfolge 341 Zeitformate Hinzuf gen 341 Asset Manager 325 Audiodateien Verwalten von Alarmen 249 Aufgliedern der Ansicht 287 Ausf hrungsverlauf f r TIE 287 Ausgel ste Alarme Anzeigen von Details 275 Bearbeiten 275 Best tigen 275 Erstellen eines Falls 275 Filtern 275 L schen 275 Ausnahmen f r Aggregationseinstellungen Hinzuf gen 50 258 Ausnahmen Hinzuf gen Firewall Regel 338 Auswahlregel f r virtuelle Ger te Verwalten 53 Authentifizierung f r ePO 165 Au
180. Datenquellen und Client Datenquellen hinzuf gen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Empf ngereigenschaften aus und klicken Sie dann auf Datenquellen 2 Zeigen Sie eine Liste der Datenquellen auf dem Empf nger an und f hren Sie eine oder mehrere der verf gbaren Optionen zum Verwalten der Datenquellen aus 3 Klicken Sie auf Anwenden oder OK SIEM Collector Von SIEM Collector werden Windows Ereignisprotokolle ber eine verschl sselte Verbindung an einen Empf nger gesendet Ohne SIEM Collector k nnen Windows Ereignisse nur mithilfe des WMI Protokolls oder eines Agenten eines Drittanbieters erfasst werden In vielen Umgebungen ist der Zugriff auf das System durch Sicherheitsrichtlinien gesperrt sodass Sie WMI nicht verwenden k nnen Der WMI Datenverkehr besteht aus Klartext und erm glicht nur den Zugriff auf Protokolle die in das Windows Ereignisprotokoll geschrieben wurden Sie k nnen nicht auf Protokolldateien zugreifen die von anderen Diensten wie beispielsweise DNS DHCP und IIS oder mithilfe eines anderen Agenten eines Drittanbieters erstellt wurden McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 75 76 Konfigurieren von ESM Konfigurieren von Ger ten Indem Sie SIEM Collector als eigenst ndige Anwendung oder als Teil einer vorhandenen McAfee ePolicy Orchestrator Implementie
181. Datum 1 31 H entspricht den Stunden 1 24 M entspricht den Minuten 0 60 S entspricht den Sekunden 0 60 b entspricht der Abk rzung f r den Monat Jan Feb Dies ist ein Beispiel f r eine Regel bei der ein Kennwort aus einer OpenSSH Anmeldung identifiziert wird Au erdem werden die Quell IP Adresse der Quell Port und der Benutzername abgerufen alert any any any gt any any msg OpenSSH Accepted Password content Accepted password for pcre Accepted stpassword s tfor s S st from s d d d d s port s Ad setparm username 1 setparm src_ip 2 setparm src _port 3 sid 31 rev 1 Online finden Sie PCRE Ressourcen unter http perldoc perl org perlre html Hinzuf gen einer ASP Datenquelle mit abweichender Codierung In ESM werden mit UTF 8 codierte Daten gelesen Wenn Sie eine ASP Datenquelle haben von der Daten mit abweichender Codierung generiert werden m ssen Sie dies beim Hinzuf gen der Datenquelle angeben McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 109 3 Konfigurieren von ESM Konfigurieren von Ger ten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie in der Systemnavigationsstruktur auf einen Empf nger und klicken Sie dann auf das Symbol Datenquelle hinzuf gen Er 2 W hlen Sie im Feld Datenquellenanbieter die Option Generisch und dann im Feld Datenquellenmodell die Optio
182. E MALWARE PERIMETER VIRUS e Richtlinienregeln CHAT MULTIMEDIA PEERTOPEER RICHTLINIE SECURE APPLICATION GATEWAY Normalerweise reichen die Standardregeln aus um das Netzwerk zu sch tzen Es kann jedoch F lle geben in denen spezielle Regeln f r ein gesch tztes System oder eine gesch tzte Umgebung erforderlich sind Sie k nnen benutzerdefinierte Deep Packet Inspection Regeln zum ESM Ger t hinzuf gen siehe Hinzuf gen von Deep Packet Inspection Regeln Hinzuf gen von Deep Packet Inspection Regeln F gen Sie eine benutzerdefinierte Deep Packet Inspection Regel hinzu wenn Sie diese f r ein gesch tztes System oder eine gesch tzte Umgebung ben tigen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von Richtlinien und Regeln 10 Regeltypen und ihre Eigenschaften Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie im Richtlinien Editor Folgendes aus Nitro IPS Deep Packet Inspection 2 Klicken Sie auf Neu und w hlen Sie dann Deep Packet Inspection Regel aus 3 Definieren Sie die Einstellungen und klicken Sie dann auf OK Die Filter in der neuen Regel werden angewendet und die neue Regel wird im Regelanzeigebereich angezeigt Wenn Sie auf das Filtersymbol klicken werden die Filter gel scht und alle Deep Packet Inspection Regeln werden angezeigt Hinzuf gen eines Deep Packet Inspection Attributs Wenn Sie eine Deep Packet In
183. ELM Ger t hinzu um festzulegen wo ELM Protokolle gespeichert werden und wie lange sie beibehalten werden m ssen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ELM Eigenschaften aus und klicken Sie dann auf Speicherpool 2 Klicken Sie neben der unteren Tabelle auf Hinzuf gen oder Bearbeiten und geben Sie dann die erforderlichen Informationen ein oder ndern Sie sie 3 Klicken Sie auf OK Sie k nnen die gespeicherten Parameter bearbeiten und Sie k nnen einen Speicherpool l schen solange in diesem und auf den zugeordneten Ger ten keine Daten gespeichert werden Verschieben eines Speicherpools Sie k nnen einen Speicherpool von einem Ger t auf ein anderes verschieben Bevor Sie beginnen Richten Sie das Speicherger t auf das Sie den Speicherpool verschieben m chten als Spiegelung des Ger ts ein auf dem sich der Pool zurzeit befindet siehe Hinzuf gen eines gespiegelten ELM Datenspeichers Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das ELM Ger t aus auf dem sich der Speicherpool befindet und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Speicherpools 3 Klicken Sie in der Tabelle Speicherpools auf die gespiegelten Ger te die unter dem zu verschiebe
184. ESM Konfigurieren von Ger ten Mit dieser Stichprobe stellen Sie sicher dass das System funktionsf hig ist und dass keine doppelten IP Adressen vorhanden sind Dies bedeutet dass Sie das Upgrade durchf hren k nnen Ersetzen eines Empf ngers mit Fehlern Wenn auf einem sekund ren Empf nger ein Integrit tsproblem besteht das nicht behoben werden kann m ssen Sie m glicherweise den Empf nger ersetzen Wenn Sie den neuen Empf nger erhalten haben installieren Sie ihn gem den Verfahren in McAfee ESM Einrichtungs und Installationshandbuch Wenn die IP Adressen festgelegt und die Kabel angeschlossen sind k nnen Sie den Empf nger wieder in den HA Cluster aufnehmen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Empf ngereigenschaften f r den HA Empf nger aus und klicken Sie dann auf Empf ngerkonfiguration Schnittstelle 2 Klicken Sie auf die Registerkarte HA Empf nger und vergewissern Sie sich dann dass Hochverf gbarkeit einrichten ausgew hlt ist 3 berpr fen Sie die IP Adressen und klicken Sie dann auf Sekund ren Empf nger erneut initialisieren Der neue Empf nger wird in den Cluster aufgenommen und der HA Modus wird aktiviert Fehlerbehebung f r Empf nger mit Fehlern Wenn ein Empf nger in einer HA Konfiguration aus irgendeinem Grund ausf llt schl gt das Schreiben von Datenquelle
185. Eigenschaften aus und klicken Sie dann auf Blacklist Editor 2 W hlen Sie die Registerkarte Blockierte Quellen Blockierte Ziele oder Ausschl sse aus 3 F hren Sie die gew nschten Aktionen aus und klicken Sie dann auf Schlie en Konfigurieren der automatischen Aufnahme in die Blacklist Auf der Seite Einstellungen f r die automatische Aufnahme in die Blacklist k nnen Sie die Konfigurationseinstellungen f r die automatische Aufnahme in die Blacklist f r das Ger t verwalten Die automatische Aufnahme in die Blacklist wird pro Ger t konfiguriert Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option IPS Eigenschaften aus und klicken Sie dann auf Blacklist Einstellungen 2 Definieren Sie die Einstellungen nach Bedarf und klicken Sie dann auf OK McAfee Vulnerability Manager Einstellungen McAfee Vulnerability Manager kann als Ger t zu ESM hinzugef gt werden sodass Sie einen Scan in McAfee Vulnerability Manager ber das ESM Ger t starten k nnen Dies ist hilfreich wenn Sie ein McAfee Vulnerability Manager Ger t erworben haben das Sie ber das ESM Ger t ausf hren m chten McAfee Vulnerability Manager muss einem Empf nger zugeordnet sein da die Ereignisse nicht von McAfee Vulnerability Manager sondern vom Empf nger abgerufen werden McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Kon
186. Einrichten von Benutzern 206 GTI berwachungsliste 300 H Hadoop Pig 222 Handbuch Informationen 9 Hardware 177 Heimnetzgruppe Dateifreigabe Deaktivieren 124 Heruntergeladene Regeln berschreibungsaktion 373 Herunterladen Ereignisse Fl sse und Protokolle 48 254 Hierarchische ESM Ger te Maskieren von Daten 213 Hinzuf gen einer Teilzone 324 Historische Korrelation ACE 138 Historische Korrelation Ereignisse herunterladen 139 Historische Korrelation Hinzuf gen eines Filters 139 Host Namen Anzeigen in Bericht 266 Hostnamen Verwalten 185 Produkthandbuch 383 Index I IBM ISS SiteProtector Datenquelle 116 Importieren Datenquellenliste 83 Ger teschl ssel 38 Regeln 364 Variable 333 Zeichenfolgennormalisierungs Datei 302 Importieren von Datenquellen Tabelle 85 Importieren von Zoneneinstellungen 323 In ESM verf gbare VA Anbieter 78 Inaktive Partitionen Archiv Einrichten 197 Indexeinstellungen Datenbank 198 Indizes Erh hen der verf gbaren Akkumulator 196 Indizierung Akkumulator 198 Information Kennzeichnungen 57 Integrit tspr fung Anzeigen der Ergebnisse 132 Integrit tspr fungsauftrag 135 Erstellen 136 Integrit tsstatus Kennzeichnungen 33 57 Integrit ts berwachung Signatur IDs 239 Interne Regeln 339 Verwalten 339 Internetquellen Erstellen einer Watchlist 300 IP Adresse Zuweisen von ePolicy Orchestrator Tags 166 IP Ausschlussliste Verwalten 320 IP Protokollanomalien f r ADM Regeln 154 IP
187. Empf nger abgerufen werden Diese konkurrierenden Prozesse m ssen sorgf ltig in Einklang miteinander gebracht werden um die Verf gbarkeit der Daten zu optimieren McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Wenn der prim re Empf nger vollst ndig ausf llt Stromausfall CPU Fehler findet keine Heartbeat Kommunikation mit dem prim ren Empf nger statt Der Kommunikationsverlust wird von Corosync erkannt und der prim re Empf nger wird als fehlgeschlagen markiert Von Pacemaker auf dem sekund ren Empf nger wird das Herunterfahren des prim ren Empf ngers durch dessen IPMI Karte angefragt Die freigegebene IP Adresse und MAC Adresse werden vom sekund ren Empf nger bernommen und alle Erfassungen werden gestartet Fehler auf dem sekund ren Empf nger Das Verfahren f r Fehler auf dem sekund ren Empf nger wird angewendet wenn der sekund re Empf nger nicht mehr auf die Heartbeat Kommunikation reagiert Dies bedeutet dass eine bestimmte Zeit lang keine Kommunikation zwischen dem System und den sekund ren Empf nger ber die Verwaltungsschnittstelle und die Heartbeat Schnittstelle m glich war Wenn der prim re Empf nger keine Heartbeat Signale und Integrit tssignale empf ngt wird der sekund re Empf nger von Corosync als fehlgeschlagen markiert und von Pacemaker ber seine IPMI Karte heruntergefahren Integrit tsproblem auf dem prim ren Empf nger
188. Ereignisfeld Flussfeld Num_Copies Nicht signierte Benutzerdefiniertes Keines Ganzzahl Feld 6 Objekt Zeichenfolge Benutzerdefiniertes Keines Feld 5 Object_Type Zeichenfolge Benutzerdefiniertes Keines Feld 2 Priorit t Nicht signierte Benutzerdefiniertes Keines Ganzzahl Feld 8 Query_Response Zeichenfolge Benutzerdefiniertes Keines Feld 9 Referenz Zeichenfolge Benutzerdefiniertes Keines Feld 10 Antwortzeit Benutzerdefiniert Benutzerdefiniertes Keines Feld 10 e Sekunden e Nicht signierte e Millisekunden Ganzzall e Nicht signierte Ganzzahl RTMP_Application Zeichenfolge Benutzerdefiniertes Keines Session_Layer Zeichenfolge Keines Benutzerdefiniertes Feld 3 Feld 6 SNMP_Error_Code Zeichenfolge Benutzerdefiniertes Keines Feld 10 SNMP_Item Zeichenfolge Benutzerdefiniertes Keines Feld 6 SNMP_Item_Type Zeichenfolge Benutzerdefiniertes Keines Feld 8 SNMP_Operation Zeichenfolge Benutzerdefiniertes Keines Feld 5 SNMP_Version Zeichenfolge Benutzerdefiniertes Keines Feld 9 Source User Quellbenutzer Zeichenfolge Benutzerdefiniertes Feld 7 Start_Page Nicht signierte Benutzerdefiniertes Keines Ganzzahl Feld 8 Betreff Zeichenfolge Benutzerdefiniertes Keines Feld 10 SWF_URL Zeichenfolge Benutzerdefiniertes Keines Feld 5 TC_URL Zeichenfolge Benutzerdefiniertes Keines Feld 6 An Zeichenfolge Benutzerdefiniertes Keines Transport_Layer Signatur ID Keines Benutzerdefiniertes Feld 2
189. Informationen hierzu finden Sie unter Verschieben von Datenquellen auf ein anderes System e Sie m chten die Datenquellen auf einem Empf nger bearbeiten indem Sie Datenquellen zur vorhandenen Liste hinzuf gen vorhandene Datenquellen bearbeiten oder vorhandene Datenquellen entfernen F hren Sie in diesem Fall die folgenden Schritte aus Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Exportieren Sie eine Liste der zurzeit auf dem Empf nger vorhandenen Datenquellen a W hlen Sie in der Systemnavigationsstruktur die Option Empf ngereigenschaften aus und klicken Sie dann auf Datenquellen b Klicken Sie auf Exportieren und dann auf Ja um den Download zu best tigen c W hlen Sie den Speicherort f r den Download aus ndern Sie gegebenenfalls den Dateinamen und klicken Sie dann auf Speichern Die Liste der vorhandenen Datenquellen wird gespeichert d Greifen Sie auf die Datei zu und ffnen Sie sie Daraufhin wird eine Tabelle mit den Daten f r die zurzeit auf dem Empf nger vorhandenen Datenquellen ge ffnet siehe Tabellenfelder f r das Importieren von Datenquellen 2 Sie k nnen Datenquellen in der Liste hinzuf gen bearbeiten oder entfernen a Legen Sie in Spalte A die Aktion fest die f r die Datenquelle ausgef hrt werden soll Hinzuf gen Bearbeiten oder Entfernen b Wenn Sie Datenquellen hinzuf gen oder bearbeiten geben Sie die Informationen in die
190. KVM zu e Legen Sie nach dem Upgrade auf ESM 9 4 0 das IPMI Kennwort f r den Standardbenutzer fest e Greifen Sie auf IPMI Befehle zu beispielsweise zum Einschalten und zum Abfragen des Energiestatus e Setzen Sie die IPMI Karte zur ck e F hren Sie warme und kalte Zur cksetzungen aus Einrichten des IPMI Ports in ESM oder auf Ger ten Konfigurieren Sie das Netzwerk f r den IPMI Port um IPMI in ESM oder auf den zugeh rigen Ger ten einzurichten McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 183 184 Konfigurieren von ESM Konfigurieren von zus tzlichen Diensten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das System oder eines der Ger te aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Greifen Sie auf die Registerkarte Netzwerkeinstellungen Erweitert zu e Klicken Sie in ESM auf Netzwerkeinstellungen Erweitert e Klicken Sie auf einem Ger t auf die Option Konfiguration f r das Ger t und dann auf Schnittstellen Erweitert 3 W hlen Sie IPMI Einstellungen aktivieren aus und geben Sie dann VLAN IP Adresse Netzmaske und Gateway f r die IPMI Karte ein Wenn IPMI Einstellungen aktivieren im Ger te BIOS abgeblendet ist m ssen Sie das System BIOS aktualisieren Stellen Sie eine SSH Verbindung mit dem Ger t her und ffnen Sie die Datei etc areca system bios update Contents
191. Klicken Sie auf Erweitert und treffen Sie dann im Feld Datumsreihenfolge eine Auswahl e Standard Verwendet die standardm ige Datumsreihenfolge Monat vor Tag Bei der Verwendung von Client Datenquellen erben Clients die diese Einstellung verwenden die Datumsreihenfolge der bergeordneten Datenquelle e Monat vor Tag Der Monat ist vor dem Tag angegeben 04 23 2014 e Tag vor Monat Der Tag ist vor dem Monat angegeben 23 04 2014 3 Klicken Sie auf OK Nicht synchronisierte Datenquellen Aufgrund verschiedener m glicher Einstellungen kann es dazu kommen dass die Uhrzeit einer Datenquelle nicht mehr mit ESM synchronisiert ist Wenn durch eine nicht synchronisierte Datenquelle McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten ein Ereignis generiert wird wird in der Systemnavigationsstruktur neben dem Empf nger eine rote Kennzeichnung angezeigt Sie k nnen einen Alarm einrichten damit Sie in diesem Fall benachrichtigt werden Dann k nnen Sie die nicht synchronisierten Datenquellen verwalten indem Sie auf die Seite Zeitdelta zugreifen siehe Verwalten nicht synchronisierter Datenquellen 7 Bei nicht synchronisierten Ereignissen kann es sich um alte oder um zuk nftige Ereignisse handeln Es gibt verschiedene Gr nde aus denen Datenquellen nicht mit ESM synchronisiert sind 1 Die Zeitzoneneinstellung in ESM ist falsch siehe Ausw hlen von Benutzereinstellunge
192. Klicken Sie auf die Ger teoption Verwaltung 3 F hren Sie auf dieser Seite im Abschnitt TCP Abbild sichern die Schritte zum Herunterladen der Instanz aus McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Verwalten von Ger ten Anzeigen von Ger teinformationen Zeigen Sie allgemeine Informationen zu einem Ger t an ffnen Sie die Seite Informationen f r das Ger t um unter anderem System ID Seriennummer Modell Version und Build anzuzeigen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Zeigen Sie die verf gbaren Informationen an und klicken Sie dann auf OK Starten Anhalten Neustarten oder Aktualisieren eines Ger ts Auf der Seite Informationen k nnen Sie ein Ger t starten anhalten neu starten oder aktualisieren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Vergewissern Sie sich dass Ger teinformationen ausgew hlt ist und klicken Sie dann auf Starten Anhalten Neu starten oder Aktualisieren ndern des Ger tenamens Beim Hinzuf gen eines Ger ts zur Systemstruktur geben Sie dem Ger t einen Namen der in der St
193. Kommunikation mit einem der aufgef hrten Systeme anzuhalten 4 Best tigen Sie den L schvorgang und klicken Sie dann auf OK Aktualisieren der Software eines Ger ts Wenn die Software auf einem Ger t veraltet ist laden Sie aus einer Datei auf dem ESM Ger t oder vom lokalen Computer eine neue Version der Software hoch Bevor Sie beginnen Wenn Sie das System seit mehr als 30 Tagen besitzen m ssen Sie sich f r den Zugriff auf die Aktualisierungen Ihre dauerhaften Anmeldeinformationen besorgen und installieren siehe Anfordern und Hinzuf gen von Anmeldeinformationen f r Regelaktualisierungen Wenn Sie Common Criteria und FIPS Vorschriften einhalten m ssen sollten Sie ESM nicht auf diese Weise aktualisieren Zertifizierte Aktualisierungen erhalten Sie vom McAfee Support Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf die Ger teoption Verwaltung Ger t aktualisieren 3 W hlen Sie in der Tabelle eine Aktualisierung aus oder klicken Sie auf Durchsuchen um die Aktualisierung auf dem lokalen System zu suchen Das Ger t wird mit der aktualisierten Softwareversion neu gestartet Anordnen der Ger te In der Systemnavigationsstruktur werden die im System vorhandenen Ger te aufgef hrt Mit der Funktion Anzeigetyp
194. Konfigurieren von ESM 3 Konfigurieren von Ger ten Ausf hren von McAfee Real Time for McAfee ePO Aktionen Sie k nnen McAfee Real Time for McAfee ePO Aktionen f r die Ergebnisse einer Frage aus ESM und der Komponente ausf hren f r die in der Ansicht eine IP Adresse angezeigt wird Bevor Sie beginnen Erstellen Sie eine McAfee Real Time for McAfee ePO Frage und f hren Sie sie aus siehe Abfragen von McAfee ePO f r McAfee Real Time for McAfee ePO Dashboard Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 HA Klicken Sie in der ESM Konsole auf das Men symbol k einer Ansichtskomponente in der die Ergebnisse einer McAfee Real Time for McAfee ePO Frage angezeigt werden 2 Heben Sie Aktionen hervor und klicken Sie dann auf Aktionen f r Real Time for ePO 3 W hlen Sie auf der Registerkarte Ger te das McAfee ePO Ger t aus f r das Sie die Aktion ausf hren m chten 4 Klicken Sie auf der Registerkarte Aktionen auf eine Aktion in der Liste der f r die ausgew hlten Ger te verf gbaren Aktionen 5 Legen Sie auf der Registerkarte Filter einen Satz von Filtern fest die Sie auf die Frage anwenden m chten Klicken Sie dann auf Fertig stellen Im Dashboard oder den Komponenten von McAfee ePO stehen keine Filter zur Verf gung Threat Intelligence Exchange Integration Mit Threat Intelligence Exchange wird die Reputation ausf hrbarer Programme auf
195. Konfigurieren von ESM 3 Konfigurieren von Ger ten Authentifizierung von McAfee ePO Ger ten Vor der Verwendung von Kennzeichnung oder Aktionen in McAfee ePO oder vor der Verwendung von McAfee Real Time for McAfee ePO ist eine Authentifizierung erforderlich Es gibt zwei Arten der Authentifizierung e Einzelnes globales Konto Wenn Sie zu einer Gruppe geh ren die Zugriff auf ein McAfee ePO Ger t hat k nnen Sie diese Funktionen nach der Eingabe globaler Anmeldeinformationen verwenden e Separates Konto f r jedes Ger t pro Benutzer Sie ben tigen Berechtigungen zum Anzeigen des Ger ts in der Ger testruktur Wenn Sie Aktionen Tags oder McAfee Real Time for McAfee ePO verwenden m ssen Sie die ausgew hlte Authentifizierungsmethode verwenden Wenn die Anmeldeinformationen nicht gefunden werden oder ung ltig sind werden Sie aufgefordert g ltige Anmeldeinformationen einzugeben Diese m ssen Sie f r die zuk nftige Kommunikation mit dem Ger t speichern Wenn Sie Berichte Datenanreicherungen und dynamische Watchlists im Hintergrund ber McAfee Real Time for McAfee ePO ausf hren werden die urspr nglich angegebenen McAfee ePO Anmeldeinformationen verwendet Einrichten der Authentifizierung ber ein separates Konto Die Authentifizierung ber ein globales Konto ist die Standardeinstellung Beim Einrichten der Authentifizierung ber ein separates Konto m ssen Sie zwei Schritte ausf hren 1 Stellen Sie sicher dass Benutz
196. Kopieren und Einf gen einer Regel 1 W hlen Sie eine vordefinierte oder benutzerdefinierte Regel aus W hlen Sie Folgendes aus Bearbeiten Kopierenaus und w hlen Sie dann Folgendes aus Bearbeiten Einf gen Die kopierte Regel wird zur Liste der vorhandenen Regeln unter dem gleichen Namen hinzugef gt Zum ndern des Namens w hlen Sie Folgendes aus Bearbeiten ndern McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 363 10 Verwalten von Richtlinien und Regeln Regelvorg nge Aufgabe Vorgehensweise ndern einer Regel 1 Heben Sie die Regel hervor die Sie anzeigen m chten und w hlen Sie dann Folgendes aus Bearbeiten ndern 2 ndern Sie die Einstellungen und klicken Sie dann auf OK Wenn es sich um eine benutzerdefinierte Regel handelt wird diese mit den nderungen gespeichert Bei einer Standardregel werden Sie aufgefordert die nderungen als neue benutzerdefinierte Regel zu speichern Klicken Sie auf Ja Wenn Sie den Namen der Regel nicht ge ndert haben wird sie unter dem gleichen Namen und mit einer anderen Signatur ID gespeichert Sie k nnen den Namen ndern indem Sie die Regel ausw hlen und dann Folgendes ausw hlen Bearbeiten ndern L schen einer e W hlen Sie die benutzerdefinierte Regel aus benutzerdefinierten Regel e W hlen Sie Folgendes aus Bearbeiten L schen Importieren von Regeln Sie k nnen einen von einem anderen ESM Ger t
197. Korrelationsdatenquelle konfiguriert haben k nnen Sie den Satz von Basiskorrelationsregeln bearbeiten um den bereitgestellten Korrelationsregelsatz mit dem Editor f r Korrelationsregeln zu erstellen Sie k nnen die einzelnen Korrelationsregeln aktivieren oder deaktivieren und die Werte der vom Benutzer definierbaren Parameter f r die einzelnen Regeln festlegen Neben dem Aktivieren oder Deaktivieren der Korrelationsregeln k nnen Sie mit dem Editor f r Korrelationsregeln benutzerdefinierte Regeln und Korrelationskomponenten erstellen die zu benutzerdefinierten Korrelationsregeln hinzugef gt werden k nnen Anzeigen von Details zu Korrelationsregeln F r Korrelationsregeln werden jetzt Details zu der Ursache angezeigt durch die die Regel ausgel st wurde Anhand dieser Informationen k nnen Sie die Anzahl der False Positives verringern Details werden immer zum Zeitpunkt der Anfrage auf der Benutzeroberfl che gesammelt F r Regeln bei denen dynamische Watchlists oder andere h ufig ge nderte Werte verwendet werden k nnen Sie festlegen dass die Details unmittelbar nach der Ausl sung abgerufen werden Dadurch verringert sich die Wahrscheinlichkeit dass Details nicht mehr verf gbar sind Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Legen Sie f r jede Regel fest dass die Details sofort angezeigt werden a Klicken Sie in der ESM Konsole auf das Schnellstartsymbol f
198. Korrelationsverwaltung 2 W hlen Sie den Typ des zu erstellenden Managers aus und klicken Sie dann auf OK 3 Wenn Sie Regelkorrelation ausgew hlt haben f llen Sie die Registerkarten Hauptbildschirm und Filter aus Wenn Sie Risikokorrelation ausgew hlt haben f llen Sie die Registerkarten Hauptbildschirm Felder Schwellenwerte und Filter aus 4 Klicken Sie auf Fertig stellen Hinzuf gen eines Risikokorrelations Managers Sie m ssen f r die Berechnung der Risikostufen f r die festgelegten Felder Manager hinzuf gen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ACE Eigenschaften aus und klicken Sie dann auf Risikokorrelations Verwaltung 2 Klicken Sie auf Hinzuf gen und geben Sie dann auf den einzelnen Registerkarten die erforderlichen Informationen ein 3 Klicken Sie auf Fertig stellen und dann auf Schreiben um die Manager in das Ger t zu schreiben Hinzuf gen des Faktors f r Risikokorrelation Sie m ssen Bedingungsanweisungen hinzuf gen mit denen ein Faktor f r ein Zielfeld zugewiesen wird Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ACE Eigenschaften aus und klicken Sie dann auf Risikokorrelations Bewertung 2 Klicken Sie auf Hinzuf gen und geben Sie dann die erfor
199. M Ger t an Bevor Sie beginnen F gen Sie zu ESM oder den Ger ten NTP Server hinzu siehe Systemzeitsynchronisierung oder Einrichten von NTP auf einem Ger t Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 F hren Sie in der Systemnavigationsstruktur einen der folgenden Schritte aus e W hlen Sie Folgendes aus Systemeigenschaften Systeminformationenaus und klicken Sie dann auf Systemuhr e W hlen Sie in der Systemnavigationsstruktur ein Ger t aus klicken Sie auf das Symbol Eigenschaften und w hlen Sie dann Folgendes aus Konfiguration NTP 2 Klicken Sie auf Status zeigen Sie die Daten f r den NTP Server an und klicken Sie dann auf Schlie en Siehe auch Systemzeitsynchronisierung auf Seite 186 Einrichten von NTP auf einem Ger t auf Seite 43 Konfigurieren von Netzwerkeinstellungen Konfigurieren Sie wie die Verbindung zwischen ESM und dem Netzwerk hergestellt wird indem Sie IP Adressen f r das ESM Server Gateway und DNS Server hinzuf gen Proxyserver Einstellungen definieren SSH einrichten und statische Routen hinzuf gen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Netzwerkeinstellungen 2 Geben Sie die Informationen zum Konfigurieren der Verbindung mit dem Ne
200. MEF und Fl sse definiert sind siehe Einrichten von Netzwerkschnittstellen Die Firewall auf dem Empf nger wird f r den festgelegten Zeitraum ge ffnet damit unbekannte IP Adressen vom System erlernt werden k nnen Anschlie end k nnen Sie diese als Datenquellen zum System hinzuf gen Bei einem Upgrade werden die automatisch erlernten Ergebnisse von der Seite Automatisch lernen gel scht E Wenn automatisch erlernte Ergebnisse vorhanden sind f r die Sie vor dem Upgrade keine Aktion ausgef hrt haben m ssen Sie nach dem Upgrade das automatische Lernen ausf hren um diese Ergebnisse erneut zu erfassen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Empf ngereigenschaften aus und klicken Sie dann auf Datenquellen Automatisch lernen 2 Definieren Sie die Einstellungen nach Bedarf und klicken Sie dann auf Schlie en Anzeigen der von Datenquellen generierten Dateien Zum Anzeigen der von Datenquellen generierten Dateien m ssen Sie auf die Seite Dateien anzeigen zugreifen In ESM Ansichten werden die Dateien nicht angezeigt Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die McAfee Datenquelle aus 2 Klicken Sie auf der Aktionssymbolleiste auf das Symbol Dateien anzeigen T 3 F hren Sie e
201. MI Port Einrichten in ESM oder auf Ger ten 183 IPMI Port Konfigurieren des Netzwerks 183 IPS Analysebericht Generieren 172 Assistent zur Entdeckung von Anomalien 171 Automatische Aufnahme in die Blacklist Konfigurieren 174 Blacklist 173 Blacklist Verwalten 174 Datenverkehr mit Priorit t Variable 375 Entdeckung von Anomalien Variablen Bearbeiten 172 Interne Regeln 339 Konfigurieren von Einstellungen 170 Reiner Warnungsmodus 361 ISCSI Ger t Hinzuf gen als ELM Speicher 128 K Kategorie Bearbeiten 372 Hinzuf gen einer neuen Variablen 333 Hinzuf gen neuer Tags 372 Kennw rter ndern 30 200 Standard 21 Kennw rter in der Sitzungsanzeige Anzeigen 142 384 McAfee Enterprise Security Manager 9 5 0 Kennzeichnung ePO 165 Kennzeichnungen Ger t oder System 57 Kommunikationsschl ssel Exportieren und Wiederherstellen 214 Komponenten Anpassen 280 Ansichten 279 Anzeigen 278 Beispiel f r Regel 356 Binden 292 Exportieren 289 Hinzuf gen von Parametern 355 Men optionen 287 Symbolleiste 283 Komprimierung Festlegen ELM 132 Komprimierung Verwalten ELM 132 Konfigurationsdateien Synchronisieren von DEM 157 Konfigurationseinstellungen Anwenden auf DEM 157 Konfigurationsverwaltung 318 Konsole ndern der Darstellung 30 200 Diagramm 29 Farbdesign 30 Hinzuf gen eines Ger ts 25 36 Zeit berschreitung 30 Konsoleneinstellungen 29 Konventionen und Symbole in diesem Handbuch 9 Kopieren und Einf gen v
202. Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten e F r sie gelten die gleichen Richtlinien und Rechte wie f r die bergeordnete Datenquelle e Sie m ssen sich in der gleichen Zeitzone befinden da f r sie die Konfiguration der bergeordneten Datenquelle verwendet wird D F r Client WMI Datenquellen k nnen unabh ngige Zeitzonen festgelegt sein da die Zeitzone durch die an den WMI Server gesendete Abfrage bestimmt wird Hinzuf gen einer Client Datenquelle F gen Sie einen Client zu einer vorhandenen Datenquelle hinzu um die Anzahl der auf dem Empf nger zul ssigen Datenquellen zu erh hen Bevor Sie beginnen F gen Sie die Datenquelle zum Empf nger hinzu siehe Hinzuf gen einer Datenquelle Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Empf ngereigenschaften aus und klicken Sie dann auf Datenquellen 2 W hlen Sie die Datenquelle aus zu der Sie den Client hinzuf gen m chten und klicken Sie dann auf Clients Auf der Seite Datenquellen Clients werden die Clients aufgef hrt die zurzeit Bestandteil der ausgew hlten Datenquelle sind 3 Klicken Sie auf Hinzuf gen geben Sie die erforderlichen Informationen ein und klicken Sie dann auf OK Ereignisse werden an die spezifischere Datenquelle bergeordnete Datenquelle oder Client geleitet Beispiel
203. McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Verwenden einer globalen Blacklist Die Seite Editor f r globale Blacklist enth lt drei Registerkarten Blockierte Quellen Ermittelt bereinstimmungen mit der Quell IP Adresse des durch das Ger t geleiteten Datenverkehrs e Blockierte Ziele Ermittelt bereinstimmungen mit der Ziel IP Adresse des durch das Ger t geleiteten Datenverkehrs e Ausschl sse Verhindert dass Datenverkehr automatisch zu einer der Blacklists hinzugef gt wird Kritische IP Adressen z B DNS Server und andere Server oder die Arbeitsstationen von Systemadministratoren k nnen zu den Ausschl ssen hinzugef gt werden Dann ist sichergestellt dass diese ungeachtet der von ihnen generierten Ereignisse nie automatisch in die Blacklist aufgenommen werden 6 Sie k nnen Eintr ge sowohl in Blockierte Quellen als auch in Blockierte Ziele konfigurieren um die Auswirkungen der Blacklist auf einen bestimmten Ziel Port einzuschr nken Beim Hinzuf gen von Eintr gen gilt Folgendes e Hinzuf gen ist aktiviert wenn Sie die IP Adresse oder den Port ndern e Eintr ge in den Listen Blockierte Quellen und Blockierte Ziele k nnen so konfiguriert werden dass Quellen oder Ziele f r alle Ports oder f r einen bestimmten Port in die Blacklist aufgenommen werden e Beim Konfigurieren von Eintr gen mit einem maskierten IP Adressbereich m ssen Sie den Port auf Alle 0 und die Dau
204. McAfee GTI Watchlist McAfee GTI Watchlists enthalten mehr als 130 Millionen verd chtiger und b sartiger IP Adressen und deren Schweregrade die von McAfee gesammelt werden Mithilfe dieser Watchlists k nnen Sie Alarme ausl sen und Daten in Berichten und Ansichten filtern Sie k nnen als Filter bei der Regelkorrelation und als Bewertungsquelle f r einen Risikokorrelations Manager auf einem ACE Ger t verwendet werden Um die Daten aus den Listen zu Ihrem System hinzuzuf gen m ssen Sie eine McAfee GTI Lizenz von McAfee erwerben Die Listen werden dann beim n chsten Herunterladen von Regeln zum System hinzugef gt Aufgrund der Gr e der Datenbank kann dieser Vorgang mehrere Stunden dauern Zum Herunterladen der Listen ben tigen Sie eine Internetverbindung Die Listen k nnen nicht offline heruntergeladen werden Diese Listen k nnen nicht angezeigt oder bearbeitet werden Aus der Tabelle berwachungslisten Systemeigenschaften berwachungslisten geht jedoch hervor ob die Liste aktiv ist Werte enth lt oder inaktiv ist keine Werte enth lt Wenn Sie eine McAfee GTI Lizenz erwerben m chten wenden Sie sich an einen McAfee Vertriebsingenieur oder an den McAfee Support Erstellen einer Watchlist f r Bedrohungen oder IOC Feeds aus dem Internet Sie k nnen eine Watchlist erstellen die regelm ig aktualisiert werden kann um automatisch Feeds f r Bedrohungen oder Kompromittierungsindikatoren Indicators of Compromise IOC
205. Monitor ESM Niedrig getrennt 242 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Alarmen Erstellen eines Alarms Regelname Signatur ID Beschreibung Typ Ger t Schweregra Remote Befehl ausf hren 306 62 Der Alarm Remote Befehl Software Monitor ESM Niedrig wurde ausgef hrt Die Anmeldung ist 306 37 Die Anmeldung des Benutzers Software Monitor ESM Hoch fehlgeschlagen da die ist fehlgeschlagen da die maximale Anzahl von maximale Anzahl von gleichzeitigen Sitzungen gleichzeitigen Sitzungen erreicht war erreicht war Das Formatieren des 306 50057 Das Formatieren des Hardware Monitor ESM Hoch SAN Ger ts ist fehlgeschlagen SAN Ger ts in ELM ist fehlgeschlagen Der Benutzer muss den Vorgang erneut versuchen Die Benutzeranmeldung ist 306 31 Die Anmeldung des Benutzers Software Monitor ESM Mittel fehlgeschlagen ist fehlgeschlagen Warnung zur Status nderung 306 50049 Das Programm Mountcollector Software Monitor Empf nger Mittel der Dateierfassung wurde angehalten oder gestartet Die Datei wurde gel scht 306 50 Dies ist eine beliebige Datei die Software Monitor ESM Niedrig hinzugef gt oder entfernt werden kann Beispielsweise wurde eine Protokoll oder Audiodatei von ESM entfernt Warnung zur Status nderung 306 50050 Das Filterprogramm auf dem Software Monitor Empf nger Mittel der Filterverarbeitung Ger t wurde angehalten oder gestartet Filterregeln Wa
206. P Traps der beim Starten oder werden gestartet oder Herunterfahren der Audit Funktionen beispielsweise database cpservice heruntergefahren IPSDBServer gesendet wird greifen Sie auf SNMP Traps oder SNMP Einstellungen zu siehe vorheriges Element und w hlen Sie Traps f r Datenbank aktiv inaktiv aus Konfigurieren Sie mindestens ein Profil an das die Traps gesendet werden sollen und klicken Sie auf Anwenden Sitzung f r jede Zum Ausl sen eines Alarms bei Vorhandensein einer administrativen administrative Rolle Sitzung f r jede der definierten administrativen Rollen erstellen Sie einen vorhanden Alarm vom Typ Interne Ereignis bereinstimmung mit Vergleich der Signatur ID und geben Sie die Werte 306 38 f r Audit Administrator 306 39 f r Kryptografie Administrator und 306 40 f r Power User ein Sie k nnen auch separate Alarme einrichten Siehe auch Erstellen eines Alarms auf Seite 232 Einrichten eines Korrelationsalarms der Quellereignisse enthalten soll Wenn Sie Tags zu einem Alarm vom Typ Interne Ereignis bereinstimmung hinzuf gen bei dem ein Korrelationsereignis als bereinstimmung verwendet wird enthalten die Ergebnisse Informationen zu den Quellereignissen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das System aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Al
207. Protokolle Begrenzen der Erfassungszeit 254 Ereignisweiterleitung Agenten 260 Aktivieren oder Deaktivieren 261 ndern von Einstellungen 261 Bearbeiten von Filtereinstellungen 262 Einrichten 259 Hinzuf gen von Filtern 262 Hinzuf gen von Zielen 259 Konfigurieren 259 Produkthandbuch 381 Index Ereigniszeitpunkt Bericht 177 Erfassung SIEM Collector 75 Erneutes Erstellen eines gespiegelten Speicherpools 127 Erneutes Initialisieren des sekund ren Empf nger HA Ger ts 68 Ersetzen eines Empf nger HA mit Fehlern 72 Erweiterte DEM Einstellungen Konfigurieren 157 Erweiterter Syslog Parser Datenquellen 104 Hinzuf gen einer benutzerdefinierten Regel 341 Regeln 340 Erweiterter Syslog Parser Datenquelle Codierung andere als UTF 8 109 ESM Aktualisieren der Software 23 Anzeigen von Systeminformationen 177 Datenspeicher Einrichten 196 Ersetzen eines redundanten ESM Ger ts 210 IPMI Port Einrichten 183 Nicht mit Datenquelle synchronisiert 80 Protokollierung Einrichten 214 Redundant Funktionsweise 209 Redundantes ESM Ger t 207 Regeln 360 Sicherheitsfunktionen 201 Sichern der Einstellungen 207 Sicherungsdateien 208 Steuern des Netzwerkverkehrs 184 Synchronisieren mit Ger t 43 Uhrzeit nicht mit Datenquelle synchronisiert 81 Upgrade prim r und redundant 216 Verwalten 211 Wiederherstellen der Einstellungen 207 Zusammenfassung 12 62 Event Receiver Zusammenfassung 12 62 Exportieren Anzeigen 287 Kommunikationsschl ss
208. Quellport SrcPort Zielport DstPort Quell MAC SrcMac Ziel MAC DstMac Protokoll VLAN Fluss gibt an ob das Ereignis vom Initiator oder Empf nger der Verbindung generiert wird Ereignisanzahl EventCount Erstes Mal FirstTime im UNIX Zeitformat Letztes Mal LastTime im UNIX Zeitformat Letztes Mal_Mikrosekunden LastTime_usec Ergebnisuntertyp Schweregrad Interne ID InternalID Ereignis ID auf dem ESM Ger t Ereignis ID EventID IPS ID IPSID IPS Name IPSName Datenquellen ID DSID Paket Paketinhalt ist mit Base 64 codiert Syslog ArcSight McAfee MachinelD ArcSite Notification Line 1 Gruppenname IPS Name Letztes Mal LastTime mm dd yyy HH nn ss zzz Letztes Mal Mikrosekunden LastTime usec Erstes Mal FirstTime mm dd yyy HH nn ss zzz Signatur ID SigID Klassenname Class Name Ereignisanzahl Event Count Quell IP Src IP Quellport Src Port Ziel IP Dst IP Zielport Dst Port Protokoll Ereignisuntertyp Ereignis ID des Ger ts interne ID f r das Ereignis vom Ger t Ereignis ID f r ESM interne ID f r das Ereignis vom ESM Ger t Regelnachricht Fluss gibt an ob das Ereignis vom Initiator oder Empf nger der Verbindung generiert wird VLAN Quell MAC Ziel MAC Paket Paketinhalt ist mit Base 64 codiert 260 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Ereignisse Fl sse und Protokolle Agent Inhalt Sys
209. README txt 4 Klicken Sie auf Anwenden oder OK Wenn Sie ein Upgrade f r das Ger t durchf hren werden Sie m glicherweise in einer Meldung informiert dass Sie das Kennwort ndern oder den Authentifizierungsschl ssel f r das Ger t erneut festlegen m ssen Wenn diese Meldung angezeigt wird ndern Sie das Systemkennwort oder legen Sie den Authentifizierungsschl ssel f r das Ger t erneut fest um ein neues Kennwort zum Konfigurieren von IPMI festzulegen Einrichten der Steuerung des Netzwerkverkehrs in ESM Definieren Sie einen H chstwert f r die Datenausgabe f r ESM Diese Funktion ist hilfreich wenn Einschr nkungen f r die Bandbreite gelten und Sie die Menge der Daten steuern m chten die von den einzelnen ESM Ger ten gesendet werden k nnen Dabei k nnen Sie zwischen Kilobit KBit Megabit MBit und Gigabit GBit pro Sekunde w hlen D Seien Sie vorsichtig wenn Sie diese Funktion konfigurieren da es durch Begrenzen des Datenverkehrs zu Datenverlusten kommen kann Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das System aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Netzwerkeinstellungen und dann auf die Registerkarte Datenverkehr Die vorhandenen Steuerungen werden in der Tabelle aufgef hrt 3 Zum Hinzuf gen von Steuerungen f r ein Ger t klicken Sie auf Hinzuf
210. Richtlinie 1 W hlen Sie die zu kopierende Richtlinie aus und klicken Sie dann auf das Symbol Men elemente der Richtlinienstruktur 2 Klicken Sie auf Kopieren geben Sie einen Namen f r die neue Richtlinie ein und klicken Sie dann auf OK Verschieben von Ger ten in eine Richtlinie 1 W hlen Sie die zu verschiebenden Ger te aus und klicken Sie dann auf das Symbol Men elemente der Richtlinienstruktur gt 2 Heben Sie Verschieben hervor und w hlen Sie dann die Richtlinie aus in die Sie die Ger te verschieben m chten Kopieren und Ersetzen einer Richtlinie 1 W hlen Sie die zu kopierende Richtlinie aus klicken Sie auf das Symbol Men elemente der Richtlinienstruktur und w hlen Sie dann Kopieren und ersetzen aus 2 W hlen Sie in Richtlinie ausw hlen die Richtlinie aus die Sie ersetzen m chten 3 Klicken Sie auf OK und dann auf Ja Die Einstellungen der kopierten Richtlinie werden auf die ersetzte Richtlinie angewendet Der Name bleibt jedoch gleich McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von Richtlinien und Regeln 10 Regeltypen und ihre Eigenschaften Aufgabe Vorgehensweise Importieren einer Der Import wird f r das zurzeit ausgew hlte Ger t und die darunter Richtlinie angeordneten Ger te ausgef hrt 1 W hlen Sie in der Struktur die Ebene aus auf der Sie die neue Richtlinie importieren m chten klicken Sie auf das Symbol Men elemente der Richt
211. Richtlinien und Regeln 10 Richtlinienstruktur e Navigieren um die Details einer bestimmten Richtlinie oder eines bestimmten Ger ts anzuzeigen e Hinzuf gen einer Richtlinie zum System ndern der Reihenfolge der Richtlinien oder Ger te e Suchen einer Richtlinie oder eines Ger ts anhand des Namens e Umbenennen L schen Kopieren bzw Kopieren und Ersetzen Importieren oder Exportieren einer Richtlinie Beschreibung Richtlinie Das Ger t ist nicht synchronisiert Das Ger t ist bereitgestellt Das Ger t ist aktuell Das virtuelle Ger t ist nicht synchronisiert Das virtuelle Ger t ist bereitgestellt Das virtuelle Ger t ist aktuell Die Datenquelle ist nicht synchronisiert Die Datenquelle ist bereitgestellt Die Datenquelle ist aktuell Das ADM Ger t ist nicht synchronisiert Das DEM Ger t ist nicht synchronisiert BIETTTTTTTPIER Oo 2 Verwalten von Richtlinien in der Richtlinienstruktur Verwalten Sie die Richtlinien im System indem Sie in der Richtlinienstruktur Aktionen ausf hren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 m m Klicken Sie in der ESM Konsole auf das Symbol Richtlinien Editor i und dann auf das Symbol Richtlinienstruktur al 2 F hren Sie eine oder mehrere der folgenden Aktionen aus Aufgabe Vorgehensweise Anzeigen der Regeln e Doppelklicken Sie a
212. SCHALTTASTE wahlweise Ort Bundesland Land und Weltregion markieren die Anzeige vergr ern und verkleinern und Standorte ausw hlen A Filterliste Y pe Zeigt eine Liste der Benutzer und Gruppen in Active Directory an Wenn die Komponente Filterliste hinzugef gt wurde k nnen Sie andere Komponenten an sie binden indem Sie in Abfragen Assistent in den Filterfeldern Quellbenutzer oder Zielbenutzer auf den Pfeil nach unten klicken und Binden an Active Directory Liste ausw hlen Au erdem k nnen Sie zu Active Directory zugeordnete Ereignis und Flussdaten anzeigen indem Sie auf das Symbol Men klicken Anpassen von Komponenten Beim Hinzuf gen oder Bearbeiten einer Komponente stehen im Bereich Eigenschaften verschiedene Optionen zur Verf gung mit denen Sie die Komponente anpassen k nnen Die verf gbaren Optionen h ngen von der ausgew hlten Komponente ab Option Beschreibung Titel ndern Sie den Titel einer Komponente Breite und H he Legen Sie die Abmessungen der Komponente fest Sie k nnen auch auf die Begrenzungslinie klicken und sie an die gew nschte Stelle ziehen X und Y Legen Sie die Position der Komponente in der Ansicht fest Sie k nnen auch auf die Titelleiste der Komponente klicken und sie dann an die gew nschte Stelle ziehen und ablegen Abfrage bearbeiten Nehmen Sie nderungen an der aktuellen Abfrage vor Wenn Sie auf diese Schaltfl che klicken wird der Abfragen Assistent ge ffne
213. SM ID des Nitro IPS Ger ts 1 3 6 1 4 1 23128 1 3 2 3 2 1 Weist darauf hin dass die Kommunikation mit dem Nitro IPS Ger t verf gbar 1 oder nicht verf gbar 0 ist 1 3 6 1 4 1 23128 1 3 2 4 2 OK Status des Nitro IPS Ger ts 1 3 6 1 4 1 23128 1 3 2 5 2 aus Status der Umgehungs Netzwerkkarten des Nitro IPS Ger ts McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 191 192 Konfigurieren von ESM Konfigurieren von zus tzlichen Diensten Anfrage und Antwort OID Einheiten Antwortwert Bedeutung 1 3 6 1 4 1 23128 1 3 2 6 2 Nitro IPS Modus des Nitro IPS Ger ts Nitro IPS oder IDS 1 3 6 1 4 1 23128 1 3 2 7 2 Prozent 2 Prozentsatz f r die kombinierte unmittelbare CPU Auslastung 1 3 6 1 4 1 23128 1 3 2 8 2 MB 1010 RAM des Nitro IPS Ger ts insgesamt 1 3 6 1 4 1 23128 1 3 2 9 2 MB 62 Verf gbares RAM 1 3 6 1 4 1 23128 1 3 2 10 2 MB 27648 Gesamter partitionierter Festplatten Speicherplatz f r die Nitro IPS Datenbank 1 3 6 1 4 1 23128 1 3 2 11 2 MB 17408 Freier verf gbarer Festplatten Speicherplatz f r die Nitro IPS Datenbank 1 3 6 1 4 1 23128 1 3 2 12 2 Sekunden 120793661 Aktuelle Systemzeit des seit dem Nitro IPS Ger ts 01 01 1970 00 00 00 0 GMT 1 3 6 1 4 1 23128 1 3 2 13 2 7 1 3 Versionsinformationen und 20070518091421a Build Stempel des Nitro IPS Ger ts 1 3 6 1 4 1 23128 1 3 2 14 2 ABCD 1234 Computer ID des Nitro IPS Ger ts 1 3 6 1 4 1 23128 1 3 2
214. Security Manager 9 5 0 Produkthandbuch 319 320 Arbeiten mit Asset Manager Netzwerkerkennung Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken El Klicken Sie auf das Schnellstartsymbol f r Asset Manager und w hlen Sie dann die Registerkarte Netzwerkerkennung aus 2 Klicken Sie auf Einstellungen und dann auf der Seite Netzwerkeinstellungen konfigurieren auf Hinzuf gen um die Parameter f r diese Erkennung hinzuzuf gen 3 F llen Sie die Einstellungen unter Parameter f r die Netzwerkerkennung aus 4 Klicken Sie auf OK Die definierten Parameter werden zur Liste Netzwerkeinstellungen konfigurieren hinzugef gt 5 F hren Sie nach Bedarf weitere Aktionen aus 6 Klicken Sie auf Netzwerk entdecken um den Scan zu initiieren Wenn Sie die Erkennung anhalten m ssen klicken Sie auf Erkennung anhalten Der Abschnitt Netzwerkger t der Seite wird mit den Daten des Scans ausgef llt 7 Klicken Sie auf OK Verwalten der IP Ausschlussliste Wenn Sie IP Adressen von der Suche bei der Netzwerkerkennung ausschlie en m chten k nnen Sie diese Adressen zur IP Ausschlussliste hinzuf gen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie auf das Schnellstartsymbol f r Asset Manager und w hlen Sie dann die Registerkarte Netzwerkerkennung aus 2 Klicken Sie auf IP Ausschlussliste 3 F gen Sie ei
215. Security Manager 9 5 0 Produkthandbuch 57 58 Konfigurieren von ESM Verwalten von Ger ten Kritisch Wenn Sie auf die Kennzeichnung klicken werden auf der Seite Statuswarnungen f r Ger te Optionen zum Anzeigen der Informationen und zum Beheben von Problemen angezeigt Kennzeichnung des Knotentyps Ge ffnetes Element System oder Gruppe Die Seite Statuswarnungen f r Ger te Zusammenfassung stellt eine Zusammenfassung der Statuswarnungen f r die Ger te dar die dem System oder der Gruppe zugeordnet sind Die folgenden Statuswarnungen k nnen angezeigt werden e Partition wurde gel scht Die maximale Gr e einer Datenbanktabelle mit Ereignis Fluss oder Protokolldaten wurde erreicht und es wurde eine Partition gel scht um Speicherplatz f r neue Datens tze hinzuzuf gen Sie k nnen Ereignis Fluss und Protokolldaten exportieren um zu verhindern dass diese dauerhaft verloren sind e Speicherplatz Eine Festplatte ist voll oder fast voll Dies kann beispielsweise die Festplatte des ESM Ger ts des redundanten ESM Ger ts oder eines Remote Bereitstellungspunkts sein Kritisch Das Ger t funktioniert nicht richtig und der Fehler muss behoben werden e Warnung Ein Teil des Ger ts funktioniert nicht ordnungsgem e Information Das Ger t funktioniert ordnungsgem aber die Ebene des Ger testatus hat sich ge ndert e Nicht synchronisiert Die Einstellungen des ESM Ger ts f r virtuelle Ger te
216. Server Authentifizierung aus und geben Sie dann das Kennwort ein c W hlen Sie in Standardwerte die ePolicy Orchestrator Datenbank ePO4_ lt Hostname gt aus der Dropdown Liste Datenbank aus Wenn Sie den Standardwert Datenbank als Master beibehalten werden von der Datenquelle f r ePolicy Orchestrator keine Ereignisse abgerufen 6 W hlen Sie auf der Registerkarte Datenbankzugriff die Option Zulassen aus die der ePolicy Orchestrator Datenbank zugeordnet ist 7 W hlen Sie f r Zulassen in Datenbankrolle die Option db_datareader aus und klicken Sie dann auf OK 8 Best tigen Sie das neue Kennwort und klicken Sie dann auf OK Hinzuf gen einer ArcSight Datenquelle F gen Sie Datenquellen f r ein ArcSight Ger t hinzu McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 111 3 Konfigurieren von ESM Konfigurieren von Ger ten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur den Knoten des Empf ngers aus A Klicken Sie auf der Aktionssymbolleiste auf das Symbol Datenquelle hinzuf gen Er 3 W hlen Sie im Feld Datenquellenanbieter die Option ArcSight und dann im Feld Datenquellenmodell die Option Einheitliches Ereignisformat aus 4 Geben Sie einen Namen f r die Datenquelle und dann die ArcSight IP Adresse ein 5 F llen Sie die verbleibenden Felder aus siehe Hinzuf gen einer Datenquelle 6 Klicken Sie auf OK
217. Sie dann An berwachungsliste anf gen aus W hlen Sie die berwachungsliste aus an die Sie die Regeln einf gen m chten und klicken Sie auf OK McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 371 10 Verwalten von Richtlinien und Regeln Zuweisen von Tags zu Regeln oder Ressourcen Zuweisen von Tags zu Regeln oder Ressourcen Sie k nnen Regeln Tags zuweisen aus denen ihre Attribute hervorgehen und dann die Regeln nach den Tags filtern Auf dem ESM Ger t befindet sich ein Satz vordefinierter Tags Sie k nnen jedoch auch neue Tags und Tag Kategorien hinzuf gen 372 Die Registerkarte Tags ist f r die Regeltypen Variable Pr prozessor oder Normalisierung nicht verf gbar Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie im Richtlinien Editor im Bereich Regeltypen den Regeltyp aus den Sie kennzeichnen m chten Klicken Sie im Bereich Filter Kennzeichnung auf die Registerkarte Tags F hren Sie einen oder mehrere der folgenden Schritte aus Aufgabe Vorgehensweise Hinzuf gen einer neuen Tag Kategorie Klicken Sie auf das Symbol Neues Kategorie Tag pe 2 Geben Sie den Namen f r die Kategorie ein 3 Wenn das Tag f r Berechnung des Ereignisschweregrads verwendet werden soll w hlen Sie Tag f r Berechnung des Ereignisschweregrads verwenden aus und klicken Sie dann auf OK Die Kategorie wird mit einem Basis
218. Sie dann ein Upgrade der ESM Software durchf hren Es wird empfohlen die doppelten Ger teknoten zu l schen um Verwirrung zu vermeiden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie im Systemnavigationsbereich auf die Dropdown Liste f r den Anzeigetyp 2 W hlen Sie das Symbol Bearbeiten A neben der Anzeige mit den doppelten Ger ten aus 3 Heben Sie die Auswahl der doppelten Ger te auf und klicken Sie dann auf OK McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 55 Konfigurieren von ESM Verwalten von Ger ten Die Ger te f r die Duplikate vorhanden waren werden jetzt nur in den zugewiesenen Gruppen aufgef hrt Verwalten mehrerer Ger te Mit die Option Verwaltung mehrerer Ger te k nnen Sie mehrere Ger te gleichzeitig starten anhalten und neu starten oder die Software auf den Ger ten aktualisieren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die zu verwaltenden Ger te aus Klicken Sie auf der Aktionssymbolleiste auf das Symbol Verwaltung mehrerer Ger te a 3 W hlen Sie den auszuf hrenden Vorgang aus sowie die Ger te auf denen Sie den Vorgang ausf hren m chten und klicken Sie dann auf Starten Verwalten von URL Links f r alle Ger te Sie k nnen f r jedes Ger t einen Link einrichten damit Ger teinformatione
219. Sie die Datei und schlie en Sie sie i Schlie en Sie Nachrichtenprotokoll und Datenquellen importieren klicken Sie dann auf Importieren und w hlen Sie die gespeicherte Datei aus Unter Datenquellen importieren werden die korrigierten Datenquellen aufgef hrt j Klicken Sie auf OK Tabellenfelder f r das Importieren von Datenquellen Die Tabelle die Sie zum Importieren von Datenquellen verwenden enth lt mehrere Spalten Einige sind erforderlich und andere werden nur f r bestimmte Datenquellentypen verwendet F r alle Datenquellen erforderliche Felder Spalte Beschreibung Details op F r die Datenquelle Geben Sie in die Spalte op eine dieser Funktionen ein auszuf hrender Vorgang E e add Datenquelle hinzuf gen e edit Vorhandene Datenquelle ndern e remove Ohne Neuzuweisung entfernen Wenn diese Spalte leer bleibt wird keine Aktion f r die Datenquelle ausgef hrt rec_id Empf nger ID Diese Ger te ID finden Sie auf der Seite Name und Beschreibung des Empf ngers dsname Name f r die Datenquelle Muss auf dem Empf nger eindeutig sein McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 85 86 Konfigurieren von ESM Konfigurieren von Ger ten Von allen Datenquellen verwendete Felder Spalte Beschreibung Details ip G ltige IP Adresse f r die Datenquelle e Erforderlich Ausnahme Protokoll corr e Die berpr fung wird nur f r aktivierte Datenquellen au
220. Sie die erforderlichen Daten ein und klicken Sie dann auf Anwenden Alle nderungen werden mithilfe von Push an das Ger t bertragen und werden sofort wirksam Beim Anwenden der nderungen wird das Ger t erneut initialisiert wodurch alle aktuellen Sitzungen getrennt werden Hinzuf gen von VLANs und Aliassen F gen Sie virtuelle lokale Netzwerke Virtual Local Area Networks VLANs und Aliasse zugewiesene Paare aus IP Adresse und Netzmaske die Sie hinzuf gen wenn Sie ein Netzwerkger t mit mehreren IP Adressen haben zu einer ACE oder ELM Schnittstelle hinzu Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf die Ger teoption Konfiguration auf Schnittstellen und dann auf Erweitert 3 Klicken Sie auf VLAN hinzuf gen geben Sie die erforderlichen Informationen ein und klicken Sie dann auf OK 4 W hlen Sie das VLAN aus zu dem Sie den Alias hinzuf gen m chten und klicken Sie dann auf Alias hinzuf gen 5 Geben Sie die erforderlichen Informationen ein und klicken Sie dann auf OK Hinzuf gen von statischen Routen Bei einer statischen Route handelt es sich um einen Satz von Anweisungen aus denen hervorgeht wie Hosts oder Netzwerke erreicht werden k nnen die nicht ber das Standard Gateway verf gbar sind Vorgehensweise
221. Speicherger t f r die Verwaltungsdatenbank aus auf dem das Problem auftritt Klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf ELM Konfiguration und w hlen Sie dann Datenbank migrieren aus 3 W hlen Sie im Feld Datenspeicherger te das in der Dropdown Liste Gespiegeltes Datenspeicherger t aufgef hrte Ger t aus 4 W hlen Sie im Feld Gespiegeltes Datenspeicherger t ein neues Ger t aus oder w hlen Sie Keines aus um die Spiegelung anzuhalten Wenn das gew nschte Ger t in der Dropdown Liste nicht aufgef hrt wird f gen Sie das Ger t zuerst zur Tabelle Speicherger t hinzu Abrufen von ELM Daten Zum Abrufen von Daten vom ELM Ger t m ssen Sie auf der Seite Daten Such und Integrit tspr fungsauftr ge erstellen Bei einem Integrit tspr fungsauftrag wird berpr ft ob die von Ihnen angegebenen Dateien seit der urspr nglichen Speicherung ge ndert wurden Dies kann eine Warnung vor nicht autorisierten nderungen an kritischen System oder Inhaltsdateien sein Aus den Ergebnissen der berpr fung geht hervor welche Dateien ge ndert wurden Wenn keine der Dateien ge ndert wurde werden Sie benachrichtigt dass die berpr fung erfolgreich ausgef hrt wurde Sie k nnen insgesamt 50 Suchvorg nge und Integrit tspr fungsauftr ge gleichzeitig ausf hren Bei mehr als 50 dieser Auftr ge im System werden Sie informiert dass die Suche nicht ausgef hrt werden kann Sie k nnen im System vorhandene S
222. Tag hinzugef gt Sie k nnen unter dieser Kategorie neue Tags hinzuf gen Hinzuf gen eines neuen Tags 1 Klicken Sie auf die Kategorie zu der Sie das Tag hinzuf gen m chten und dann auf das Symbol Neues Tag Fe Geben Sie den Namen f r das Tag ein Wenn das Tag f r Berechnung des Ereignisschweregrads verwendet werden soll w hlen Sie Tag f r Berechnung des Ereignisschweregrads verwenden aus und klicken Sie dann auf OK Bearbeiten einer vorhandenen Kategorie oder eines vorhandenen Tags Klicken Sie auf die zu bearbeitende Kategorie oder das zu bearbeitende Tag und dann auf das Symbol Tag bearbeiten E ndern Sie den Namen oder die Einstellung und klicken Sie dann auf OK L schen eines benutzerdefinierten Tags Heben Sie das zu l schende Tag hervor und klicken Sie dann auf das Symbol Tag entfernen A Klicken Sie zur Best tigung auf Ja McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von Richtlinien und Regeln 10 Aggregationseinstellungen ndern Aggregationseinstellungen ndern Aggregierte Ereignisse sind Ereignisse mit bereinstimmenden Feldern Die Aggregation ist standardm ig ausgew hlt Sie k nnen auf der Seite Ereignisaggregation f r jedes Ger t den Aggregationstyp ausw hlen der f r alle in einem Ger t generierten Ereignisse verwendet werden soll Sie k nnen die Aggregationseinstellungen f r einzelne Regeln ndern Vorgehensweise Beschreibung
223. Verlaufs werden forensische Funktionen Compliance Regeln und Regeloptimierung unterst tzt 136 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Sie k nnen f r ACE den Echtzeitmodus oder den historischen Modus konfigurieren e Echtzeitmodus Ereignisse werden bei der Erfassung zur unmittelbaren Erkennung von Bedrohungen und Risiken analysiert e Historischer Modus Die verf gbaren Daten werden ber eines oder beide Korrelationsmodule wiedergegeben um historische Bedrohungen und Risiken zu erkennen Wenn von ACE neue Zero Day Angriffe erkannt werden wird ermittelt ob das Unternehmen dem jeweiligen Angriff in der Vergangenheit ausgesetzt war So k nnen Sub Zero Day Bedrohungen erkannt werden Mit den zwei bereitgestellten dedizierten Korrelationsmodulen stellen ACE Ger te eine Erg nzung zu den vorhandenen Ereigniskorrelationsfunktionen f r ESM dar Konfigurieren Sie die einzelnen ACE Ger te mit eigenen Einstellungen f r Richtlinien Verbindungen Ereignisse und Protokollabruf und eigenen Risiko Managern e Risikokorrelation Hierbei wird mithilfe einer regellosen Korrelation ein Risikofaktor generiert Bei der regelbasierten Korrelation werden nur bekannte Bedrohungsmuster erkannt Die Signaturen m ssen st ndig optimiert und aktualisiert werden damit die Korrelation effektiv ist Bei der regellosen Korrelation werden Erkennungssignaturen durch eine einmalige Konfiguratio
224. Verwaltung Erm glicht Benutzern das Einrichten eines Cyber Threat Feeds e Cyber Threat Benutzer Erm glicht Benutzern das Anzeigen der durch den Feed generierten Daten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie in der Systemnavigationsstruktur auf Systemeigenschaften 2 Klicken Sie auf Cyber Threat Feeds und dann auf Hinzuf gen 3 Geben Sie auf der Registerkarte Hauptbildschirm den Feed Namen ein 4 W hlen Sie auf der Registerkarte Quelle den Quelldatentyp und die Anmeldeinformationen f r die Verbindung aus Klicken Sie auf Verbinden um die Verbindung zu testen 67 Als Quellen werden unter anderem McAfee Advanced Threat Defense und MITRE Threat Information Exchange TAXII unterst tzt McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 225 Verwalten von Cyber Bedrohungen Anzeigen von Ergebnissen eines Cyber Threat Feeds 9 Legen Sie auf der Registerkarte H ufigkeit fest wie oft die IOC Dateien f r den Feed abgerufen werden sollen Abrufh ufigkeit F r die Abrufh ufigkeit sind folgende Einstellungen m glich alle x Minuten t glich st ndlich w chentlich oder monatlich Legen Sie die t gliche Ausl sungszeit fest W hlen Sie auf der Registerkarte Watchlist aus welche Eigenschaft bzw welches Feld einer IOC Datei an eine vorhandene Watchlist angef gt werden soll Sie k nnen Watchlists f r alle unterst tzten Eigen
225. Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf E Mail Einstellungen 2 Klicken Sie auf Empf nger konfigurieren und w hlen Sie dann die Registerkarte aus zu der Sie die Empf nger hinzuf gen m chten 3 Klicken Sie auf Hinzuf gen und f gen Sie dann die erforderlichen Informationen hinzu 4 Klicken Sie auf OK Der Empf nger wird zum ESM Ger t hinzugef gt und Sie k nnen ihn berall dort auf dem ESM Ger t ausw hlen wo Empf nger verwendet werden Einrichten von NTP auf einem Ger t Synchronisieren Sie die Ger tezeit ber einen NTP Server Network Time Protocol mit ESM Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Konfiguration NTP 3 Geben Sie die erforderlichen Informationen ein und klicken Sie dann auf OK Aufgaben e Anzeigen des Status von NTP Servern auf Seite 180 Zeigen Sie den Status aller NTP Server auf dem ESM Ger t an McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 179 180 Konfigurieren von ESM Konfigurieren von zus tzlichen Diensten Anzeigen des Status von NTP Servern Zeigen Sie den Status aller NTP Server auf dem ES
226. WEBSEITE VERF GBAR IST VON DER SIE AUCH DAS SOFTWAREPAKET HERUNTERGELADEN HABEN ERHALTEN HABEN WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEF HRTEN BESTIMMUNGEN NICHT EINVERSTANDEN SIND UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE SOFERN M GLICH GEBEN SIE DAS PRODUKT AN McAFEE ODER IHREN H NDLER BEI VOLLER R CKERSTATTUNG DES KAUFPREISES ZUR CK 2 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Inhaltsverzeichnis Einleitung 9 Informationen zu diesem Handbuch 9 Zielgruppe 9 Konventionen 9 Quellen f r Produktinformatiohen en ne een LO 1 Einleitung 11 Funktionsweise von McAfee Enterprise Security Manager 2 2 nn ne ll Ger te und ihre Funktion s e s e sow soa od ros soa w a s soa moroa o aa 12 2 Erste Schritte 13 Informationen zum FIPS Modus 2 2 2 nn nn 3 Informationen zum FIPS Modus 2 2 2 2 nn m nn 14 Ausw hlen des FIPS Modus i a 2 s w mos 14 berpr fen der FIPS Integrit t pd a ES Hinzuf gen eines Ger ts mit festgelegtem Schl ssel im FIPS Modus ee LO Fehlerbehebung f r den FIPS Modus a 2 2 u nn nn nn 20 Zertifizierte Common Criteria Konfiguration 2 2 2 2 nn nn 20 An und Abmelden 2 a Ari A o e O e e ea 2 Anpassen der Anmeldeseite 2 2 2m nn e 22 Aktualisieren der ESM Software La aa Za Anfordern und Hinzuf gen von Anmeldefohnabionen f r B gelaktu lisierungen E IZ berpr fen auf Regelaktualisier
227. Zeichenfolge Benutzerdefiniertes Keines Feld 9 Richtung Zeichenfolge Benutzerdefiniertes Keines Feld 10 DNS_Class Zeichenfolge Benutzerdefiniertes Keines Feld 8 DNS_Name Zeichenfolge Benutzerdefiniertes Keines Feld 5 DNS_Type Zeichenfolge Benutzerdefiniertes Keines Feld 6 Dom ne Zeichenfolge Benutzerdefiniertes Keines Feld 3 End_Page Nicht signierte Benutzerdefiniertes Keines Ganzzahl Feld 9 File_Operation Zeichenfolge Benutzerdefiniertes Keines Feld 5 File_Operation_Succeeded Zeichenfolge Benutzerdefiniertes Keines Feld 6 Dateiname Zeichenfolge Benutzerdefiniertes Keines Feld 3 Flow_Flags Nicht signierte Keines Benutzerdefiniertes Ganzzahl Feld 1 Von Zeichenfolge Benutzerdefiniertes Keines Feld 5 Hops Nicht signierte Benutzerdefiniertes Keines Ganzzahl Feld 8 Host Zeichenfolge Benutzerdefiniertes Keines Feld 4 HTTP_Layer Signatur ID Keines Benutzerdefiniertes Feld 5 HTTP_Req_Cookie Zeichenfolge Keines Benutzerdefiniertes Feld 3 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Benutzerdefinierte Typfilter Name Datentyp Ereignisfeld Flussfeld HTTP_Req_Host Zeichenfolge Keines Benutzerdefiniertes Feld 5 HTTP_Req_Method Zeichenfolge Keines Benutzerdefiniertes Feld 6 HTTP_Req_Reference Zeichenfolge Keines Benutzerdefiniertes Feld 4 HTTP_Req_URL Zeichenfolge Keines Benutzerdefiniertes Feld 2 HTTP_Resp_Length Nicht signierte Keines Benutzerdefiniertes Ganz
228. Zuweisen zum Speichern von ELM Daten 129 Dateierweiterungen f r Exportdateien 16 Dateifreigabe Deaktivieren Heimnetzgruppe 124 Datei bertragungsprotokoll Module f r ADM Regeln 153 Dateiwartung Verwalten 209 Datenanreicherung 220 Abfragen von ePO Ger ten 169 Hinzuf gen von Quellen 220 Datenbank Audit Listen 359 Audit Listen Einrichten Regel und Bericht 359 Server Hinzuf gen 162 Speicherverwendung 199 Status 177 Verwalten 195 Verwalten von Indexeinstellungen 198 Datenbankregeln Hinzuf gen neu 353 Logische Elemente 354 Logische Elemente Bearbeiten 355 Datenbeibehaltungs Limits Einrichten 197 Produkthandbuch 379 Index Datenerfassung Aktivieren McAfee Risk Advisor 166 McAfee Risk Advisor 166 Datenquelle Nicht mit ESM synchronisiert 80 Datenquellen 74 Adiscon Setup 113 Anzeigen der generierten Dateien 99 Anzeigen Deaktiviert 30 200 ASP Codierung 109 Automatisches Erstellen 79 Automatisches Lernen Einrichten 99 Benutzerdefinierte Typen 99 Check Point Einrichten 117 Client 82 Client Hinzuf gen 83 Client Suchen 83 Codierung f r ASP 109 Common Event Format 112 Erweiterter Syslog Parser 104 Hinzuf gen 74 Hinzuf gen von ArcSight 111 Hinzuf gen untergeordnet 82 IBM ISS SiteProtector 116 Importieren einer Liste 83 Importieren Tabelle 85 Konfigurieren von ePolicy Orchestrator 4 0 111 Korrelation 102 McAfee ePO 115 Migrieren zu einem anderen Empf nger 97 Regeln f
229. acker Informationen sind nicht erforderlich Wenn das Feld f r die JobTracker Informationen leer ist werden NodeName Host und Port als Standardeinstellungen verwendet 4 W hlen Sie auf der Registerkarte Abfrage den Modus Einfach aus und geben Sie die folgenden Informationen ein a W hlen Sie in Typ die Option Textdatei aus und geben Sie in das Feld Quelle den Dateipfad ein beispielsweise user default Datei csv W hlen Sie alternativ Hive Datenbank aus und geben Sie eine HCatalog Tabelle ein beispielsweise Probe 07 b Geben Sie in Spalten an wie die Spaltendaten angereichert werden sollen Wenn die Textdatei beispielsweise Mitarbeiterinformationen mit Spalten f r Sozialversicherungsnummer Name Geschlecht Adresse und Telefonnummer enth lt geben Sie in das Feld Spalten den folgenden Text ein emp Name 2 emp phone 5 Verwenden Sie f r Hive Datenbank die Spaltennamen in der HCatalog Tabelle c In Filter k nnen Sie einen beliebigen in Apache Pig integrierten Ausdruck zum Filtern der Daten verwenden Weitere Informationen finden Sie in der Apache Pig Dokumentation d Wenn Sie oben Spaltenwerte definiert haben k nnen Sie diese Spaltendaten gruppieren und aggregieren Hierzu sind Informationen f r Quelle und Spalte erforderlich Die anderen Felder k nnen leer sein Zum Verwenden von Aggregationsfunktionen m ssen Sie Gruppen angeben 5 W hlen Sie auf der Registerkarte Abfrage den Modus Erweitert aus und geben Sie ein Apache
230. ager 9 5 0 Produkthandbuch 73 74 Konfigurieren von ESM Konfigurieren von Ger ten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur einen Empf nger aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Empf ngerverwaltung Statistik anzeigen Durchsatz 3 Zeigen Sie die Empf ngerstatistik an Wenn die eingehenden Raten die Ausgaberate um 15 Prozent berschreiten wird die entsprechende Zeile vom System als kritisch in den letzten 24 Stunden oder als Warnung in der letzten Stunde gekennzeichnet 4 Filtern Sie die Datenquelle indem Sie die Option Alle Kritisch oder Warnung ausw hlen 5 W hlen Sie die Ma einheit zum Anzeigen der Messgr en aus nach der Anzahl der Kilobytes KBs oder nach der Anzahl der Datens tze 6 Wenn die Daten automatisch alle zehn Sekunden aktualisiert werden sollen aktivieren Sie das Kontrollk stchen Automatisch aktualisieren 7 Sortieren Sie die Daten indem Sie auf den entsprechenden Spaltentitel klicken Empf ngerdatenquellen Mit McAfee Event Receiver k nnen Sie Sicherheitsereignisse und Netzwerk Flussdaten aus Quellen mehrerer Anbietern erfassen Dazu geh ren unter anderem Firewalls virtuelle private Netzwerke VPNs Router Nitro IPS IDS NetFlow und sFlow Mithilfe von Datenquellen steuern Sie auf welche Weise die Protokoll und Ereignisdaten vom Emp
231. ags Bearbeiten vorhanden 372 Benutzerdefiniert L schen 372 Hinzuf gen neu 372 Kategorie Hinzuf gen neu 372 L schen benutzerdefiniert 372 Schweregrad 374 Zuweisen zu Regeln oder Ressourcen 372 Zuweisen ePolicy Orchestrator zu IP Adresse 166 Task Manager 215 216 TCP Protokollanomalien 334 bernahme der Kontrolle ber Sitzungen 334 TCP Abbild sichern 46 TCP Protokollanomalien f r ADM Regeln 154 Technischer Support Produktdokumentation finden 10 Teilzonen Hinzuf gen 324 Terminal Verwenden von Linux Befehlen 217 Threat Intelligence Exchange Integration in ESM Ausf hrungsverlauf 167 Transaktions berwachungsregel Hinzuf gen oder Bearbeiten 358 Typen von Regeln 331 U berbelegungsmodus Einrichten 362 bernehmen der Kontrolle ber Sitzungen TCP 334 berschreibungsaktion f r heruntergeladene Regeln 373 bersicht des Netzwerks 321 berwachen des Datenverkehrs von Ger ten 46 berwachung von TCP und UDP Sitzungen 335 Uberwachungsliste Anf gen von Ereignissen 287 Erstellen in Ansicht 287 Erstellen neu 370 GTI 300 Hinzuf gen 299 388 McAfee Enterprise Security Manager 9 5 0 berwachungsliste Fortsetzung Hinzuf gen von Regeln 371 bersicht 299 UCF Filter 299 Uhr Synchronisieren Ger t 187 Uhrzeit zwischen ESM und Datenquelle nicht synchronisiert 80 81 Uhrzeit Synchronisieren der Uhrzeit 186 Umgehungs Netzwerkkarte Einrichten 42 183 bersicht 42 182 Untergeo
232. ahrungsdauer zugeordnet und die Daten werden w hrend dieses Zeitraums im Pool beibehalten Protokolle m ssen aufgrund von Vorschriften von Beh rden Branchen und Unternehmen unterschiedlich lange gespeichert werden Sie k nnen f r das ELM Ger t Suchauftr ge und Integrit tspr fungsauftr ge einrichten Bei jedem dieser Auftr ge wird auf die gespeicherten Protokolle zugegriffen und die im Auftrag definierten Daten werden abgerufen oder berpr ft Anschlie end k nnen Sie die Ergebnisse anzeigen und wahlweise die Informationen exportieren Die bereitgestellten Informationen gelten f r alle folgenden ELM Ger temodelle e ENMELM 5205 Kombination aus ESM und Log Manager e ENMELM 5510 Kombination aus ESM und Log Manager e ENMELM 4245 Kombination aus ESM und Log Manager e ELM 5205 e ELM 5510 e ELM 5750 e ELMERC 4245 Kombination aus Empf nger und Log Manager e ELMERC 2250 Kombination aus Empf nger und Log Manager e ELMERC 2230 Kombination aus Empf nger und Log Manager Zum Konfigurieren eines ELM Ger ts ben tigen Sie die folgenden Informationen e Die Quellen deren Protokolle auf dem ELM Ger t gespeichert werden e Die erforderlichen Speicherpools und die jeweilige Datenbeibehaltungsdauer e Die zum Speichern der Daten erforderlichen Speicherger te Im Allgemeinen kennen Sie die Quellen deren Protokolle auf dem ELM Ger t gespeichert werden und die erforderlichen Speicherpools Sie wissen jedoch nicht welche Spei
233. akete wird jede Zeile des Berichts in einem separaten Trap gesendet Vom ESM Ger t generierte CSV Abfrageberichte k nnen auch ber Syslog gesendet werden Die CSV Abfrageberichte werden in einer Zeile pro Syslog Nachricht gesendet Die Daten der einzelnen Zeilen der Abfrageergebnisse sind in durch Kommas getrennten Feldern angeordnet Verbinden mit dem E Mail Server Konfigurieren Sie die Einstellungen f r die Verbindung mit Ihrem E Mail Server damit Sie Nachrichten im Zusammenhang mit Alarmen und Berichten senden k nnen 178 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von zus tzlichen Diensten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus klicken Sie auf E Mail Einstellungen und geben Sie den Host und den Port f r den E Mail Server ein 2 Geben Sie die erforderlichen Informationen f r die Verbindung mit dem E Mail Server ein 3 Klicken Sie auf Anwenden oder OK um die Einstellungen zu speichern Siehe auch Verwalten von Empf ngern auf Seite 179 Verwalten von Empf ngern Alarm oder Berichtnachrichten k nnen in verschiedenen Formaten gesendet werden f r die Sie jeweils eine Empf ngerliste verwalten k nnen Sie k nnen die E Mail Adressen gruppieren damit Sie Nachrichten an mehrere Empf nger gleichzeitig senden k nnen
234. al Default anderenfalls optional Standardwert leer McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 89 90 Konfigurieren von ESM Konfigurieren von Ger ten Tabelle 3 5 wmi Felder ab Spalte AY Fortsetzung Spalte Beschreibung Details wmi_interval Standardwert 600 wmi_version Standardwert 0 Tabelle 3 6 gsyslog Felder ab Spalte BF Spalte Beschreibung Details Syslogs unterst tzen gsyslog_autolearn Kennzeichnung f r Generische G ltige Werte T F COUNT Standardwert F gsyslog_type Zuweisung generischer Regeln Erforderlich wenn autolearn T anderenfalls optional Standardwert 49190 gsyslog_mask Wird verwendet wenn Retrieval auf Default festgelegt ist Standardwert 0 Tabelle 3 7 corr Feld Spalte BI Spalte Beschreibung Details corr_local Kennzeichnung f r Lokale Daten verwenden Standardwert F Bei den Empf ngermodellen ERC VM 25 und ERC VM 500 wird die Datenquelle nicht hinzugef gt Anderenfalls kann das Protokoll nicht von anderen Datenquellen verwendet werden Tabelle 3 8 sdee Felder ab Spalte BJ Spalte Beschreibung Details sdee_username Erforderlich sdee_password Erforderlich sdee_uri Standardwert cgi bin sdee server sdee_interval Standardwert 600 Sekunden sdee_port Standardwert 443 sdee_proxy_port Standardwert 8080 sdee_use_ssl Standardwert T
235. alisiert neu aus um den Typ der anzuzeigenden Regeln anzugeben c par Klicken Sie auf das Symbol Abfrage ausf hren ME Die aktualisierten Regeln werden mit einem Sternenregensymbol e aufgef hrt wenn sie hinzugef gt wurden bzw mit einem Ausrufezeichen d wenn sie ge ndert wurden L schen des aktualisierten Regelstatus Wenn Regeln ge ndert oder zum System hinzugef gt werden und Sie Gelegenheit hatten die Aktualisierungen zu berpr fen k nnen Sie diese Markierungen l schen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie im Richtlinien Editor im Bereich Regeltypen den Typ der zu l schenden Regel aus 2 F hren Sie einen der folgenden Schritte aus McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 369 10 370 Verwalten von Richtlinien und Regeln Regelvorg nge Aufgabe Vorgehensweise L schen aller 1 Klicken Sie auf Vorg nge und w hlen Sie dann Aktualisierten Regelstatus l schen Markierungen f r aus den Regelstatus 2 Klicken Sie auf Alle L schen 1 Klicken Sie im Bereich Filter Kennzeichnung auf die Leiste Erweitert ausgew hlter Regeln 2 W hlen Sie im Feld Regelstatus die Option aktualisiert neu oder aktualisiert neu aus um den Typ der zu l schenden Markierung anzugeben z Klicken Sie auf das Symbol Abfrage ausf hren ME Die Regeln mit den ausgew hlten Markierungen werden im Regelanz
236. als drei Zeichen zu verwenden e Dieser Filter kann nicht in Korrelationsregeln oder Alarmen verwendet werden Als einzige Ausnahme kann der Filter in Korrelationsregeln mit benutzerdefinierten Typen f r Name Wert verwendet werden e Wenn Sie contains oder einen regul ren Ausdruck zusammen mit NICHT verwenden kann dies zu einem h heren Overhead und einer langsameren Abfrageleistung f hren Beschreibung f r Bloom Filter Informationen zu Bloom Filtern finden Sie unter http en wikipedia org wiki Bloom_filter Felder mit Unterst tzung der contains Funktion und der Funktion f r regul re Ausdr cke Access_Resource Anwendung Application_Protocol Bereich Authoritative_Answer Bcc Caller_Process Catalog_Name Kategorie Cc Client_Version Befehl File_Operation_Succeeded File_Path File_Type Dateiname Forwarding_Status Von From_Address FTP_Command Host HTTP_Req_Cookie HTTP_Req_Host HTTP_Req_Method McAfee Enterprise Security Manager 9 5 0 Referenz Registry_Key Registry_Value Request_Type Response_Code Return_Code RTMP_Application Sensor_Name Sensor_Type Sensor_UUID Session_Status Signatur ID Produkthandbuch Contact_Name Contact_Nickname Cookie Creator_Name Database_ID Database_Name Datacenter_ID Datacenter_Name DB2_Plan_Name Delivery_ID Beschreibung Zielbenutzer Destination_Directory Destination_Filename Destination_Hostname Destination_Logo_ID Destination_Network Destination_Us
237. altungsberichten 4 W hlen Sie in Abschnitt 5 den Fallverwaltungsbericht aus den Sie ausf hren m chten Zusammenfassung f r die Fallverwaltung Enth lt die Fall IDs die den F llen zugewiesenen Schweregrade ihren Status die Benutzer denen die F lle zugewiesen sind gegebenenfalls die Unternehmen in denen sie zugewiesen sind Datum und Uhrzeit des Zeitpunkts zu dem die F lle hinzugef gt wurden gegebenenfalls Datum und Uhrzeit des Zeitpunkts zu dem die F lle aktualisiert wurden und die Fallzusammenfassungen Details f r die Fallverwaltung Enth lt alle Informationen des Berichts Zusammenfassung f r die Fallverwaltung sowie die IDs der mit den F llen verkn pften Ereignisse und die im Hinweisabschnitt der F lle enthaltenen Informationen Zeitbedarf f r die Aufl sung des Falls Zeigt an wie viel Zeit zwischen Status nderungen verstrichen ist beispielsweise den Abstand zwischen den Zeitstempeln f r Offen und Abgeschlossen Standardm ig werden die F lle mit dem Status Abgeschlossen nach Fall ID sowie nach Schweregrad Unternehmen Zeitpunkt f r Erstellt letzte Aktualisierung Zusammenfassung und Zeitunterschied aufgef hrt F lle nach Beauftragtem Enth lt die Anzahl der F lle die einem Benutzer oder einer Gruppe zugewiesen sind F lle nach Unternehmen Enth lt die Anzahl der F lle nach Unternehmen F lle nach Status Enth lt die Anzahl der F lle nach Statustyp 5 F llen Sie Abschnitt 6 aus siehe Bes
238. anager 9 5 0 Index Empf nger HA 63 Fortsetzung Wechsel von Rollen 69 Endger te Einstellung f r Netzwerkerkennung 321 Endpunkterkennung 320 Entdecken des Netzwerks 319 Entdecken von Endpunkten 320 Entdeckung von Anomalien Assistent 171 Variablen Bearbeiten 172 Entdeckung von Port Scans 335 Entfernter Blacklist Eintrag McAfee Network Security Manager Hinzuf gen oder L schen 176 ePO Hinzuf gen von Anmeldeinformationen f r die Authentifizierung 165 Streaming Ereignisse Anzeigen 63 ePO Ger te Abfrage f r Berichte oder Ansichten 169 Abfrage f r Real Time for McAfee ePO Dashboard 170 Abfragen nach einer Datenanreicherung 169 ePolicy Orchestrator Einstellungen 164 Konfigurieren von Version 4 0 111 McAfee Risk Advisor Datenerfassung Aktivieren 166 Starten ber ESM 164 Tags Zuweisen zu IP Adresse 166 Ereignisse Abrufen 255 256 Beschreibung 253 Blacklist aus 287 Einrichten von Downloads 48 254 Erstellen eines Falls zum Verfolgen 312 Festlegen des Schwellenwerts f r Inaktivit t 255 Hinzuf gen zu einem Fall 312 L schen 287 Markieren als berpr ft 287 Protokoll Verwalten von Ereignistypen 212 Protokolle Festlegen der Sprache 25 214 Schweregrad Gewichtungen Einrichten 374 Sitzungsdetails Anzeigen 271 berpr fen auf 255 Untersuchen umliegender Ereignisse auf bereinstimmende Felder 294 Verwalten von Aggregationsausnahmen 50 258 Ereignisse und Fl sse abrufen Symbol 33 Ereignisse Fl sse und
239. andere Werte angezeigt werden wenn ein korrelierter Wert berechnet wird Im Balkendiagramm wird f r jeden Balken ein Pfeil am Basislinienpunkt angezeigt Wenn der aktuelle Wert gr er als der Basislinienwert ist wird der Balken ber der Basislinienmarkierung in Rot dargestellt Wenn im Balkendiagramm der Schweregrad von Regeln angezeigt wird ndert sich die Balkenfarbe f r den Basislinienwert nicht Mit einer weiteren Option k nnen Sie einen Differenzwert festlegen der zusammen mit den Basisliniendaten angezeigt werden soll Der Differenzwert wird anhand des Basislinienwerts berechnet Wenn beispielsweise der Basislinienwert 100 entspricht und die Differenz nach oben 20 betr gt wird der Randwert 120 berechnet Wenn Sie diese Funktion aktivieren wird der Differenzbereich f r jeden Balken eines Balkendiagramms angezeigt In einem Verteilungsdiagramm wird der Durchschnittswert der Basislinie berechnet und der Differenzbereich ber und unter der Basislinie als schattierter Bereich angezeigt Ger teliste Ziehen Sie Ger te in die Komponente Netzwerktopologie oder die Struktur Logische Ger tegruppierungen und legen Sie sie dort ab Logische Erstellen Sie Ordner um die Ger te f r die Komponente Netzwerktopologie zu Ger tegruppierungen gruppieren Hintergrund W hlen Sie die Farbe f r den Hintergrund der Ansicht aus Mit URL f r Hintergrundbild k nnen Sie ein Bild importieren um es als Hintergrund zu verwenden
240. ann auf Benutzerdefinierte Einstellungen Remedy 2 Geben Sie auf der Seite Remedy Konfiguration die Informationen f r das Remedy System ein und klicken Sie dann auf OK Wenn Sie in der Ansicht Ereignisanalyse m die Option Ereignis an Remedy senden ausw hlen wird die E Mail mit den auf dieser Seite eingegebenen Informationen ausgef llt Definieren von Nachrichteneinstellungen Wenn Sie die Aktionseinstellungen f r einen Alarm definieren oder die Zustellungsmethode f r einen Bericht einrichten k nnen Sie ausw hlen dass eine Nachricht gesendet werden soll Dazu m ssen Sie das ESM Ger t mit dem E Mail Server verbinden und die Empf nger konfigurieren an die Sie E Mail SMS SNMP oder Syslog Nachrichten senden m chten Alarmbenachrichtigungen k nnen ber das Protokoll SNMP vi gesendet werden Bei SNMP wird UDP User Datagram Protocol als Transportprotokoll f r die bergabe von Daten zwischen Managern und Agenten verwendet In einer typischen SNMP Konfiguration k nnen von einem Agenten wie dem ESM Ger t Ereignisse an einen normalerweise als Netzwerkverwaltungsstation Network Management Station NMS bezeichneten SNMP Server weitergeleitet werden Dabei werden Datenpakete verwendet die als Traps bezeichnet werden Dies kann hilfreich sein wenn Sie Ereignisberichte vom ESM Ger t auf die gleiche Weise wie Benachrichtigungen von anderen Agenten im Netzwerk erhalten m chten Aufgrund der Gr enbeschr nkungen der SNMP Trap P
241. ann kann der Datenstrom vom Empf nger in die urspr nglichen Datenquellen aufgeteilt werden Sylog ng und Splunk werden unterst tzt Im folgenden Diagramm wird das Szenario beschrieben 1 Cisco ASA Ger t 5 Datenquelle 1 Syslog Relay 2 SourceFire Snort Ger t 6 Datenquelle 2 Cisco ASA 3 TippingPoint Ger t 7 Datenquelle 3 SourceFire Snort 4 Syslog Relay 8 Datenquelle 4 TippingPoint In diesem Beispielszenario m ssen Sie die Syslog Relay Datenquelle 5 f r den Empfang des Datenstroms vom Syslog Relay 4 einrichten Dazu w hlen Sie im Feld Syslog Relay die Option Syslog aus Wenn die Syslog Relay Datenquelle eingerichtet ist f gen Sie die Datenquellen f r die einzelnen Ger te 6 7 und 8 hinzu Dazu w hlen Sie im Feld Syslog Relay die Option Keine aus da es sich bei diesem Ger t nicht um einen Syslog RelayServer handelt Die Funktion Syslog Nachrichten hochladen kann in einer Syslog Relay Konfiguration nicht verwendet werden Der Syslog Header muss so konfiguriert sein dass er wie im folgenden Beispiel aussieht 1 lt 123 gt 345 Oct 7 12 12 12 2012 mcafee com httpd 123 Dabei gilt Folgendes 1 Syslog Version optional 345 Syslog L nge optional lt 123 gt Einrichtung optional Oct 7 12 12 12 2012 Datum Hier werden Hunderte von Formaten unterst tzt erforderlich mcafee com Hostname oder IP Adresse IPv4 oder IPv6 erforderlich httpd Anwendungsname optional 114 McAfee Enterprise Security Mana
242. arbeiten A 2 Nehmen Sie nderungen an den Einstellungen vor und klicken Sie dann auf OK L schen eines benutzerdefinierten Anzeigetyps Klicken Sie neben dem zu l schenden Anzeigetyp auf das Symbol L schen K Verwalten einer Gruppe in einem benutzerdefinierten Anzeigetyp Sie k nnen Gruppen in einem benutzerdefinierten Anzeigetyp verwenden um Ger te in logischen Gruppierungen anzuordnen Bevor Sie beginnen Anzeigetypen F gen Sie einen benutzerdefinierten Anzeigetyp hinzu siehe Verwalten benutzerdefinierter Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie im Systemnavigationsbereich auf die Dropdown Liste f r den Anzeigetyp 2 W hlen Sie die benutzerdefinierte Anzeige aus und f hren Sie dann einen der folgenden Schritte aus McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 27 28 Erste Schritte Verbinden von Ger ten Aufgabe Vorgehensweise Hinzuf gen 1 Klicken Sie auf einen System oder Gruppenknoten und dann auf der einer neuen Gruppe Aktionssymbolleiste auf das Symbol Gruppe hinzuf gen E 2 F llen Sie die Felder aus und klicken Sie dann auf OK 3 Ziehen Sie Ger te in der Anzeige an die gew nschte Stelle und legen Sie sie ab um sie zur Gruppe hinzuzuf gen Wenn das Ger t Teil einer Struktur in der Anzeige ist wird ein doppelter Ger teknoten erstellt Das Dup
243. arme auf die Registerkarte Einstellungen und dann auf Vorlagen 3 Klicken Sie auf der Seite Vorlagenverwaltung auf Hinzuf gen und geben Sie dann die erforderlichen Informationen ein 4 Platzieren Sie im Abschnitt Nachrichtentext den Cursor an der Stelle an der Sie die Tags einf gen m chten Klicken Sie dann auf das Symbol Feld einf gen a und w hlen Sie Quellereignisblock aus 5 Platzieren Sie den Cursor zwischen den Tags und klicken Sie erneut auf das Symbol Feld einf gen W hlen Sie dann die Informationen aus die Sie beim Ausl sen des Korrelationsalarms einschlie en m chten McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 235 6 Arbeiten mit Alarmen Erstellen eines Alarms Das Feld Nachrichtentext sieht wie im folgenden Beispiel aus wenn Sie Quell IP Ziel IP und Schweregrad des Ereignisses in die Nachricht einschlie en Alarm Alarm Name Beauftragter Alarm Assignee Ausl sungsdatum Trigger Date Zusammenfassung Alarm Summary SOURCE_EVENTS_START Quell IP Source IP Ziel IP Destination IP Schweregrad Average Severity SOURCE_EVENTS_END Wenn der Alarm nicht von einem korrelierten Ereignis ausgel st wird enth lt die Nachricht die Daten nicht Hinzuf gen eines Alarms vom Typ Feld bereinstimmung Bei einem Alarm vom Typ Feld bereinstimmung liegt eine bereinstimmung mit mehreren Feldern eines Ereignisses vor Der Alarm wird ausgel st sobald das Ereignis vom Ger t em
244. arstellt Der Ereignisname sollte keine Informationen enthalten die ausdr cklich in anderen Feldern vorkommen Beispiel Port scan from 10 0 0 1 targeting 20 1 1 1 ist kein guter Name f r ein Ereignis Richtig w re Port scan Die anderen Informationen sind redundant und k nnen aus den anderen Feldern bernommen werden e Schweregrad ist eine Ganzzahl die die Wichtigkeit des Ereignisses angibt Zul ssig sind nur Zahlen von O bis 10 Dabei steht 10 f r das wichtigste Ereignis e Erweiterung ist eine Sammlung von Schl ssel Wert Paaren Die Schl ssel sind Bestandteil eines vordefinierten Satzes Gem dem Standard k nnen wie weiter unten beschrieben zus tzliche Schl ssel einbezogen werden Ein Ereignis kann beliebig viele durch Leerzeichen getrennte Paare aus Schl ssel und Wert in beliebiger Reihenfolge enthalten Wenn ein Feld ein Leerzeichen enth lt beispielsweise in einem Dateinamen ist dies zul ssig und kann genau so protokolliert werden Beispiel fileName c Program Files ArcSight ist ein g ltiges Token Hier ist eine Beispielnachricht um die Darstellung zu veranschaulichen Sep 19 08 26 10 zurich CEF O security threatmanager 1 0 100 worm successfully stoppedl 10 src 10 0 0 1 dst 2 1 2 2 spt 1232 Wenn Sie NetWitness verwenden muss das Ger t richtig konfiguriert sein damit die CEF Nachricht an den Empf nger gesendet wird Standardm ig sieht das CEF Format bei Verwendung von NetWitness so aus CEF O Net
245. as ausgew hlte Ereignis generiert wurde Remedy Fall ID festlegen F gen Sie zum Ereignisdatensatz zu Referenzzwecken die Remedy Fall ID hinzu die Sie beim Senden einer Ereignis E Mail an das Remedy System erhalten haben siehe Hinzuf gen einer Remedy Fall ID zu einem Ereignisdatensatz Blacklist F gen Sie die IP Adresse aus dem ausgew hlten Ereignis zur Blacklist hinzu Wenn Sie diese Option ausw hlen wird der Blacklist Editor ge ffnet in dem das Feld f r die IP Adresse mit den Daten aus dem ausgew hlten Ereignis ausgef llt ist siehe I Blacklist f r IPS oder virtuelles Ger t ELM durchsuchen F hren Sie auf dem ELM Ger t eine Suche nach Informationen zum ausgew hlten Ereignis aus Daraufhin wird die Seite Erweiterte ELM Suche ge ffnet die mit den ausgew hlten Daten ausgef llt ist siehe Ausf hren einer erweiterten ELM Suche VLAN ndern ndern Sie das VLAN f r ausgew hlte Ger te Sie k nnen 1 bis 12 Ger te ausw hlen Ports deaktivieren oder Ports aktivieren W hlen Sie eine Schnittstelle bzw einen Endpunkt oder mehrere Schnittstellen bzw Endpunkte aus Abh ngig von der Auswahl wird die Option zum Deaktivieren oder zum Aktivieren angezeigt Wenn Sie beispielsweise f nf Schnittstellen ausw hlen wobei eine aktiviert ist und die anderen vier deaktiviert sind k nnen Sie den Port nur deaktivieren Wenn Sie jedoch einen deaktivierten Port ausw hlen ist die Option Ports aktivie
246. auf Konfiguration Ger t synchronisieren 3 Klicken Sie nach Abschluss der Synchronisierung auf OK Einrichten der Kommunikation mit ELM Wenn Sie die Daten von diesem Ger t an das ELM Ger t senden werden auf der Seite Konfiguration des Ger ts die Optionen ELM IP und ELM synchronisieren angezeigt Mit diesen Optionen k nnen Sie die IP Adresse aktualisieren und das ELM Ger t mit dem Ger t synchronisieren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Konfiguration und f hren Sie dann einen der folgenden Schritte aus Option Aufgabe ELM IP Aktualisieren Sie die IP Adresse f r das ELM Ger t mit dem dieses Ger t verkn pft ist So m ssen Sie vorgehen wenn Sie die IP Adresse f r das ELM Ger t ndern oder die ELM Verwaltungsschnittstelle ndern ber die dieses Ger t mit dem ELM Ger t kommuniziert ELM Synchronisieren Sie das ELM Ger t mit dem Ger t wenn eines der beiden synchronisieren Ger te ersetzt wurde Wenn Sie diese Funktion verwenden wird die SSH Kommunikation zwischen den beiden Ger ten wieder hergestellt Dabei wird der Schl ssel f r das neue Ger t mit den vorherigen Einstellungen verwendet Festlegen des standardm igen Protokollierungspools Wenn im System ein ELM Ger t vorhanden
247. auf Konfiguration SNMP 3 Definieren Sie die Einstellungen und klicken Sie dann auf OK Einrichten von NTP auf einem Ger t Synchronisieren Sie die Ger tezeit ber einen NTP Server Network Time Protocol mit ESM Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Konfiguration NTP 3 Geben Sie die erforderlichen Informationen ein und klicken Sie dann auf OK Aufgaben e Anzeigen des Status von NTP Servern auf Seite 180 Zeigen Sie den Status aller NTP Server auf dem ESM Ger t an Synchronisieren des Ger ts mit ESM Wenn Sie das ESM Ger t ersetzen m ssen importieren Sie die Schl ssel der einzelnen Ger te damit Sie die Einstellungen wiederherstellen k nnen Wenn keine aktuelle Datenbanksicherung vorhanden ist m ssen Sie au erdem die Einstellungen f r Datenquellen virtuelle Ger te und Datenbank Server mit ESM synchronisieren damit der Abruf von Ereignissen fortgesetzt wird McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 43 44 Konfigurieren von ESM Verwalten von Ger ten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie
248. auf OK Verwalten der Akkumulator Indizierung Wenn Sie benutzerdefinierte Felder haben mit denen numerische Daten aus einer Quelle abgerufen werden k nnen Sie mit der Akkumulator Indizierung Durchschnitte im Zeitverlauf f r diese Daten McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Arbeiten mit Benutzern und Gruppen ermitteln Sie k nnen mehrere Ereignisse akkumulieren und den Durchschnitt ihrer Werte ermitteln oder einen Trendwert generieren Bevor Sie beginnen Richten Sie einen benutzerdefinierten Typ f r die Akkumulator Indizierung ein siehe Erstellen benutzerdefinierter Typen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Datenbank 2 Klicken Sie auf Einstellungen und dann auf die Registerkarte Akkumulator Indizierung 3 W hlen Sie die Indizes aus und klicken Sie dann auf OK Nun k nnen Sie eine Akkumulator Abfrage einrichten um die Ergebnisse anzuzeigen Siehe auch Verwalten von Abfragen auf Seite 290 Erstellen benutzerdefinierter Typen auf Seite 305 Anzeigen der Speicherverwendung der Datenbank Sie k nnen Tabellen anzeigen und drucken aus denen hervorgeht wie der Datenbankspeicher verwendet wird Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl ch
249. auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ELM Eigenschaften aus und klicken Sie dann auf Speicherpool 2 Zeigen Sie auf die gespiegelten Ger te f r die ein Warnsymbol angezeigt wird Sie werden ber eine QuickInfo informiert dass die ELM Zuordnung erneut erstellt wird oder dass das gespiegelte Ger t erneut erstellt werden muss 3 Zum erneuten Erstellen der gespiegelten Ger te klicken Sie auf die Ger te und dann auf Erneut erstellen Nach Abschluss des Vorgangs werden Sie benachrichtigt dass die Zuordnung erfolgreich erneut erstellt wurde Deaktivieren eines Spiegelger ts Wenn Sie ein Ger t nicht mehr als Spiegelger t f r einen Speicherpool verwenden m chten m ssen Sie ein anderes Ger t als Ersatz ausw hlen oder Keines ausw hlen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das ELM Ger t aus auf dem sich der Spiegelspeicherpool zurzeit befindet und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Speicherpools w hlen Sie dann die gespiegelten Ger te in der Tabelle Speicherpool aus und klicken Sie auf Bearbeiten McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 127 3 Konfigurieren von ESM Konfigurieren von Ger ten 3 F hren Sie einen der folgenden Schritte aus e Wenn Sie das im Feld Gespiegeltes Datenspeicher
250. auf f r TIE die Systeme an auf denen die Threat Intelligence Exchange Datei ausgef hrt wurde 5 Zum Hinzuf gen dieser Daten zu Ihrem Workflow klicken Sie auf ein System und auf das Dropdown Men Aktionen W hlen Sie dann eine Option aus um die zugeh rige ESM Seite zu ffnen 6 Richten Sie die ausgew hlte Aktion ein Anweisungen finden Sie in der Online Hilfe Abfragen von McAfee ePO Ger ten nach Berichten oder Ansichten Sie k nnen mehrere McAfee ePO Ger te nach Berichten oder Ansichten abfragen wenn diese in McAfee Real Time for McAfee ePO integriert sind Bevor Sie beginnen Vergewissern Sie sich dass die abzufragenden McAfee ePO Ger te in McAfee Real Time for McAfee ePO integriert sind Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken Klicken Sie in der Systemnavigationsstruktur auf das System auf das Symbol Eigenschaften und dann auf Berichte 2 Klicken Sie auf Hinzuf gen f llen Sie die Abschnitte 1 bis 4 aus und klicken Sie dann in Abschnitt 5 auf Hinzuf gen 3 Ziehen Sie im Berichtslayout Editor eine Komponente Tabelle Balkendiagramm oder Kreisdiagramm und legen Sie sie an der gew nschten Stelle ab 4 W hlen Sie im Abfragen Assistenten in der Dropdown Liste die Option Real Time for McAfee EPO aus und w hlen Sie dann das Element oder die Frage f r die Abfrage aus 5 Klicken Sie auf Weiter auf Ger te und w hlen Sie dann di
251. auf nas festgelegt ist aggregate Syslog Relay G ltige Werte leer und syslogng Standardwert leer Wird auch verwendet wenn Format auf Default Retrieval auf Default und Protocol auf gsyslog festgelegt ist tz_id ID der Zeitzone Standardwert leer Wird auch verwendet wenn Format auf Default festgelegt ist und eine der folgenden Bedingungen zutrifft e Protocol ist syslog und Model ist nicht Adiscon Windows Events e Protocol ist nfxsql e Protocol ist nfxhttp e Protocol ist email e Protocol ist estream Wird auch in gewissem Umfang f r die Unterst tzung von Flatfiles verwendet Sonstige Felder Spalte Beschreibung Details profile _id Der Profilname oder die ID Standardwert leer Wenn der Profildatensatz nicht anhand des Profilnamens gefunden wurde wird ein Fehler protokolliert exportMcAfeerFile Kennzeichnung f r Transport der Datenquelle Standardwert no Wenn yes festgelegt ist wird diese Datenquelle in den Transport der Datenquelle eingeschlossen exportProfileID Der Name des Remote Freigabeprofils Standardwert leer mcafee_formated_file Kennzeichnung f r Rohdatendatei analysieren Standardwert no Wenn yes festgelegt ist wird die Rohdatendatei von der Analysemethode verwendet mcafee_formated_file_xsum Kennzeichnung f r Pr fsumme verwenden Standardwert no Wenn yes festgelegt ist wird die Pr fsumme verwendet bevor die Rohdatendatei analysiert
252. ausw hlen e Neuen Fall erstellen e Ereignisse zu einem Fall hinzuf gen e Ereignis an Remedy senden siehe Senden einer E Mail an Remedy URL zum Starten des Ger ts ffnen Sie die dem ausgew hlten Ereignis zugeordnete URL wenn Sie f r das Ger t eine URL hinzugef gt haben siehe Hinzuf gen einer URL Wenn Sie keine URL definiert haben werden Sie aufgefordert sie hinzuzuf gen En Host Namen anzeigen oder Host Namen ausblenden Sie k nnen die Host Namen die den IP Adressen in der Ansicht zugeordnet sind anzeigen oder ausblenden siehe Verwalten von Host Namen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 283 284 Arbeiten mit Ereignissen Arbeiten mit ESM Ansichten Option Beschreibung Symbole f r den Diagrammtyp Diagrammtyp ndern ndern Sie den Typ des Diagramms in dem die Daten angezeigt werden Das Symbol f r diese Funktion entspricht dem Komponentensymbol f r den aktuellen Diagrammtyp McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Arbeiten mit ESM Ansichten Option Beschreibung Datendetails anzeigen oder Datendetails ausblenden Sie k nnen Details zum ausgew hlten Ereignis anzeigen oder ausblenden Dieser Abschnitt enth lt mehrere Registerkarten Details Zeigt die verf gbaren Informationen zum ausgew hlten Fluss oder Ereignis an Erweiterte Details Zeigt Informationen zum Quell
253. b die Kennw rter in der Sitzungsanzeige angezeigt werden sollen Standardm ig werden Kennw rter nicht angezeigt Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ADM Eigenschaften aus und klicken Sie dann auf ADM Konfiguration F r die Option Kennw rter ist der Protokollierungsstatus Aus angegeben 2 Klicken Sie auf Kennw rter w hlen Sie Kennwortprotokollierung aktivieren aus und klicken Sie dann auf OK Der Befehl wird ausgef hrt und Sie werden informiert wenn er abgeschlossen ist F r die Option Kennw rter ist jetzt der Protokollierungsstatus An angegeben W rterb cher f r Application Data Monitor ADM Verwenden Sie beim Schreiben von ADM Regeln W rterb cher mit denen im Netzwerk aufgezeichnete Schl ssel in einen definierten Wert bersetzt werden Sie k nnen auch Schl ssel ohne Wert auflisten f r die standardm ig der boolesche Wert wahr verwendet wird wenn die Schl ssel vorhanden sind Mithilfe von ADM W rterb chern k nnen Sie schnell die Schl ssel einer Datei angeben und m ssen nicht f r jedes Wort eine eigene Regel schreiben Richten Sie beispielsweise eine Regel ein um E Mails auszuw hlen die bestimmte W rter enthalten stellen Sie ein W rterbuch mit unanst ndigen W rtern zusammen und importieren Sie das W rterbuch Sie k nnen eine Regel wie die folgende erstellen um auf E
254. beispielsweise die Auswahl von Quellport oder Zielport aufheben wird http 80 als 80 angezeigt Wenn Sie Protokolle ausw hlen wird die reine Zahl 17 als udp angezeigt Schl sselverwaltung Zertifikat Installieren Sie ein neues SSL Zertifikat Secure Socket Layer SSH erneut generieren Generieren Sie das private oder ffentliche SSH Schl sselpaar erneut um mit allen Ger ten zu kommunizieren Alle Schl ssel Exportieren Sie die Kommunikationsschl ssel f r alle Ger te im exportieren System anstatt die Schl ssel einzeln zu exportieren Alle Schl ssel Stellen Sie f r alle oder f r ausgew hlte Ger te die wiederherstellen Kommunikationsschl ssel wieder her die mit der Funktion Alle Schl ssel exportieren exportiert wurden Wartung ESM aktualisieren Aktualisieren Sie die ESM Software ber den Regel und Aktualisierungs Server von McAfee oder mithilfe eines Sicherheitsmitarbeiters von McAfee ESM Daten Laden Sie eine TGZ Datei mit Informationen zum Status des ESM Ger ts herunter Diesen Status kann der McAfee Support bei der Fehlerbehebung und beim L sen von Problemen verwenden Task Manager Zeigen Sie die auf dem ESM Ger t ausgef hrten Abfragen an und halten Sie sie bei Bedarf an Herunterfahren Fahren Sie das ESM Ger t herunter Sie werden gewarnt dass durch diese Aktion die Kommunikation aller Benutzer mit dem ESM Ger t beendet wird Neu starten Mit dieser Optio
255. belegungsmodus definieren Sie wie Pakete bei berschreitung der Ger tekapazit t behandelt werden Das Paket wird jeweils als Ereignis aufgezeichnet Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 la Klicken Sie im Richtlinien Editor auf das Symbol Einstellungen to 2 Klicken Sie im Feld berbelegungsmodus auf Aktualisieren 3 Geben Sie in das Feld Wert die Funktionalit t ein a Mit Zulassen pass oder 1 lassen Sie zu dass Pakete die sonst verworfen w rden ohne Scannen weitergeleitet werden b Mit Verwerfen drop oder 0 werden Pakete durch die die Ger tekapazit t berschritten wird verworfen c Um ein Paket ohne Generieren eines Ereignisses zuzulassen oder zu verwerfen geben Sie spass oder sdrop ein 4 Klicken Sie auf OK Ab Version 8 1 0 wirken sich nderungen am berbelegungsmodus auf das Ger t und seine 67 untergeordneten Ger te virtuelle Ger te aus Damit die Anderung wirksam wird m ssen Sie den Modus auf dem bergeordneten Ger t ndern Anzeigen des Richtlinienaktualisierungsstatus f r Ger te Zeigen Sie eine Zusammenfassung des Status von Richtlinienaktualisierungen f r alle Ger te in ESM an So k nnen Sie ermitteln wann Sie einen Rollout f r Aktualisierungen auf dem System ausf hren m ssen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Vorgehensweise Verwalten von Richtlinien und Regeln 10 Regelvorg nge
256. belle ein 4 F llen Sie auf der Registerkarte Abfrage die Suchspalte und die Informationen f r die Abfrage aus a Verwenden Sie in der Suchspalte das Format spaltenFamilie spaltenName b F llen Sie die Abfrage mit einem Scanner Filter aus Die Werte m ssen dabei Base64 codiert sein Beispiel lt Scanner batch 1024 gt lt filter gt type SingleColumnValueFilter Hojat Moa family ZW1wbG95ZWVJbmZv qualifier dXN1cm5hbWwu latestVersion true comparator pei Bioy O omp ara value c2NhcGVnb2F0 lt a lps lt Scanner gt 5 Geben Sie die Informationen auf den Registerkarten Bewertung und Ziel ein McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 221 3 Konfigurieren von ESM Was ist Datenanreicherung Hinzuf gen einer Hadoop Pig Datenanreicherungsquelle Sie k nnen Apache Pig Abfrageergebnisse nutzen um Hadoop Pig Ereignisse anzureichern Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus 2 Klicken Sie auf Datenanreicherung und dann auf Hinzuf gen 3 F llen Sie die Felder der Registerkarte Hauptbildschirm aus und klicken Sie dann auf die Registerkarte Quelle W hlen Sie im Feld Typ die Option Hadoop Pig aus und geben Sie die folgenden Informationen ein NameNode Host NameNode Port JobTracker Host und JobTracker Port Die JobTr
257. ben Die einzige Ausnahme davon ist der Vorgang Verwerfen Hinzuf gen einer DEM Aktion Wenn Sie in der DEM Aktionsverwaltung eine Aktion hinzuf gen wird diese in der Liste der verf gbaren Aktionen f r eine DEM Regel im Richtlinien Editor angezeigt Sie k nnen die Aktion dann als Aktion f r eine Regel ausw hlen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 m m Klicken Sie in der Systemnavigationsstruktur auf das Symbol Richtlinien Editor und dann auf Extras DEM Aktions Manager Auf der Seite DEM Aktionsverwaltung werden die vorhandenen Aktionen in der Reihenfolge ihrer Priorit t aufgef hrt Die Priorit t der Standardaktionen k nnen Sie nicht ndern 2 Klicken Sie auf Hinzuf gen und geben Sie dann einen Namen und eine Beschreibung f r die Aktion ein Eine hinzugef gte benutzerdefinierte Aktion k nnen Sie nicht l schen 3 Klicken Sie auf OK Die neue Aktion wird zur Liste DEM Aktionsverwaltung hinzugef gt McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Der Standardvorgang f r eine benutzerdefinierte Aktion lautet Keine Informationen zum ndern des Standardvorgangs finden Sie unter Festlegen des Vorgangs f r eine DEM Aktion Bearbeiten einer benutzerdefinierten DEM Aktion M glicherweise m ssen Sie den Namen einer zur Liste DEM Aktionsverwaltung hinzugef gten Aktion b
258. bene Host Name aufgel st das Feld IP Adresse wird mit diesen Informationen ausgef llt und der Host Name wird in das Feld Beschreibung verschoben Wenn Sie Suche ausw hlen wird eine Suche nach der IP Adresse ausgef hrt und das Feld Beschreibung wird mit den Ergebnissen der Suche ausgef llt Manche Websites haben mehrere oder wechselnde IP Adressen Daher k nnen Sie sich bei einigen Websites nicht darauf verlassen dass sie mit diesem Tool zuverl ssig blockiert werden Sie k nnen IP Adressen in der Liste ausw hlen und von ihnen generierte Ereignisse in einem Zusammenfassungsbericht anzeigen Auf diese Weise k nnen Sie die Ereignisse sehen die von den Angreifern ausgel st wurden Ereignisse die zur Blacklist hinzugef gt wurden oder andere Angriffe die m glicherweise vor der Aufnahme in die Blacklist eingeleitet wurden Im Blacklist Editor k nnen Sie au erdem Ereignisse anwenden erneut laden und entfernen Verwalten der IPS Blacklist Sie k nnen die IPS Blacklist im Blacklist Editor verwalten Sie k nnen Elemente hinzuf gen ndern oder l schen nderungen in die Blacklist schreiben neue und aktualisierte Informationen vom Ger t lesen von den angreifenden IP Adressen generierte Ereignisse anzeigen und Hostnamen oder IP Adressen suchen oder aufl sen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option IPS
259. bol Abfrage ausf hren Es Alle automatisch erlernten Datenquellenregeln werden im Anzeigebereich aufgef hrt 4 W hlen Sie die zu bearbeitende oder zu l schende Regel aus klicken Sie auf Bearbeiten und w hlen Sie dann ndern oder Automatisch erlernte Regeln l schen aus e Wenn Sie ndern ausgew hlt haben ndern Sie den Namen die Beschreibung oder die normalisierte ID und klicken Sie dann auf OK e Wenn Sie Automatisch erlernte Regeln l schen ausgew hlt haben w hlen Sie die richtige Option aus und klicken Sie dann auf OK Windows Ereignisregeln Windows Ereignisregeln werden verwendet um Ereignisse im Zusammenhang mit Windows zu generieren Hierbei handelt es sich um Datenquellenregeln f r Windows Ereignisse die vom Typ der Datenquellenregel getrennt sind da sie allgemein verwendet werden Alle Regeln dieses Typs werden von McAfee definiert Sie k nnen die Regeln nicht hinzuf gen ndern oder l schen Sie k nnen jedoch ihre Eigenschaftseinstellungen ndern McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 343 10 344 Verwalten von Richtlinien und Regeln Regeltypen und ihre Eigenschaften ADM Regeln McAfee ADM besteht aus einer Reihe von Netzwerk Appliances die auf dem DPI Modul Deep Packet Inspection von ICE beruhen Beim ICE Modul handelt es sich um eine Software Bibliothek und Sammlung von Plug In Modulen f r Protokolle und Inhalte mit denen Inhalte aus unbearbeitetem Netzwerkverkehr in Ec
260. buch 37 Konfigurieren von ESM Verwalten von Ger ten Exportieren eines Schl ssels Nach dem Festlegen des Schl ssels f r ein Ger t exportieren Sie den Schl ssel in eine Datei Wenn Sie das System im FIPS Modus betreiben verwenden Sie dieses Verfahren nicht Das richtige Verfahren finden Sie unter Hinzuf gen eines Ger ts mit festgelegtem Schl ssel im FIPS Modus Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Schl sselverwaltung Schl ssel exportieren 3 Definieren Sie die Einstellungen auf der Seite Schl ssel exportieren und klicken Sie dann auf OK Die Datei mit dem Exportschl ssel wird vom ESM Ger t erstellt und Sie werden gefragt ob Sie den Schl ssel exportieren m chten 4 Klicken Sie auf Ja und w hlen Sie dann aus wo die Datei gespeichert werden soll Es wird empfohlen eine pers nliche Sicherungskopie des Ger teschl ssels zu exportieren die auf Kein Ablauf festgelegt ist und alle Berechtigungen enth lt Importieren eines Schl ssels Importieren Sie einen Schl ssel um die vorherigen ESM Einstellungen wiederherzustellen oder den Schl ssel auf einem anderen ESM Ger t oder in einer lteren Konsole zu verwenden Auf einem Ger t der Version 9 0 oder h her k nnen Sie nur einen Schl ssel von einem ESM Ge
261. ch viagra pharmazeutisch nicht jugendfreie Website nicht jugendfrei Nicht jugendfreie Website nicht jugendfrei Jetzt zugreifen Chance nicht verpassen scam W rterbuch f r regul re kennwort kennwrt kennw a z0 9 1 3 admin anmelden Ausdr cke mit kennwort benutzer i anmeldeinformationen Schl sselw rtern und Kategorien im kundelbenutzer a 20 9 1 33 konto a z0 9 1 3 nummer i Zusammenhang mit pil Autorisierung fond a z0 9 1 3 transaktion i sox fond a z0 9 1 3 berweisung a z0 9 1 3 0 9 i sox W rterbuch f r Zeichenfolgen fec72ceae15b6f60cbf269f9969888e9 Trojaner nn fed472c13c1db095c4cb0fc54ed28485 Malware und Kategorien feddedb607468465f9428a59eb5ee22a Virus ff3cb87742f9b56dfdb9a49b31c1743c Malware ff45e471aa68c9e2b6d62a82bbb6a82a Adware ff669082faf0b5b976cec8027833791c Trojaner ff7025e261bd09250346bc9efdfc6c7c Virus IP Adressen wichtiger 192 168 1 12 Wichtige Ressourcen Ressourcen und Gruppen 192 168 2 0 24 LAN 192 168 3 0 255 255 255 0 LAN 192 168 4 32 27 DMZ 192 168 5 144 255 255 255 240 Wichtige Ressourcen Verwalten von ADM W rterb chern Wenn Sie ein neues W rterbuch eingerichtet und gespeichert haben m ssen Sie es in ESM importieren Sie k nnen das W rterbuch auch exportieren bearbeiten und l schen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf
262. ch die Zustellung der Daten an ESM und ELM verz gert wird m ssen Sie entscheiden ob diese Verz gerung in der jeweiligen Umgebung akzeptabel ist Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken D Seien Sie vorsichtig wenn Sie diese Funktion konfigurieren da das Planen der Erfassung von Ereignissen Fl ssen und Protokollen zu Datenverlusten f hren kann 1 W hlen Sie in der Systemnavigationsstruktur das Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 W hlen Sie eine der folgenden Optionen aus e Ereignisse Fl sse und Protokolle e Ereignisse und Protokolle e Protokolle 3 W hlen Sie Definieren Sie einen Zeitbereich f r den t glichen Datenabruf aus und legen Sie dann Start und Endzeit des Zeitbereichs fest Die Daten des Ger ts werden auf dem ESM Ger t erfasst und an das ELM Ger t gesendet damit sie dort im definierten Zeitbereich protokolliert werden Wenn Sie dies auf einem ELM Ger t einrichten McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Ereignisse Fl sse und Protokolle definieren Sie damit wann Daten vom ELM Ger t auf dem ESM Ger t erfasst werden und wann Daten vom ESM Ger t zur Protokollierung an das ELM Ger t gesendet werden Definieren der Einstellungen f r den Schwellenwert f r Inaktivit t Wenn Sie einen Schwellenwert f r Inaktivit t f r ein Ger t festlegen und im angeg
263. ch drucken Nur der auf dem Bildschirm sichtbare Teil der Ansicht wird gedruckt e In PDF Datei exportieren Die Ansicht wird als PDF Datei gespeichert 8 Aktuelle Ansicht bearbeiten ndern Sie die zurzeit angezeigte Ansicht wenn es sich um eine benutzerdefinierte Ansicht handelt Wenn Sie auf diese Option klicken wird die Symbolleiste zum Bearbeiten von Ansichten ge ffnet siehe Erstellen einer benutzerdefinierten Ansicht 9 Neue Ansicht erstellen Erstellen Sie eine neue benutzerdefinierte Ansicht siehe Erstellen einer benutzerdefinierten Ansicht 10 Zeitraum Legen Sie den Zeitraum f r die Informationen fest die in der Ansicht angezeigt werden sollen 11 Filter ausblenden Klicken Sie auf diese Option um die aktuelle Ansicht zu erweitern indem Sie den Filterbereich ausblenden Vordefinierte Ansichten ber die Dropdown Liste auf der Ansichtssymbolleiste k nnen Sie auf die im Umfang des Systems enthaltenen Ansichten sowie auf selbst hinzugef gte benutzerdefinierte Ansichten zugreifen Die folgenden vordefinierten Ansichten stehen zur Verf gung e In den Ansichten Ressource Bedrohung und Risiko werden Daten zu Ressourcen Bedrohungen und Risiken sowie deren m gliche Auswirkungen auf das System zusammengefasst und angezeigt e Compliance Ansichten Werden bei der Optimierung von Aktivit ten im Zusammenhang mit der Vorschriften Compliance verwendet e Dashboard Ansichten Hier erhalte
264. ch einer IP Adresse Hinzuf gen einer Hadoop HBase Watchlist F gen Sie eine Watchlist mit Hadoop HBase als Quelle hinzu Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das System aus Klicken Sie auf das Symbol Eigenschaften und dann auf Watchlists 2 W hlen Sie auf der Registerkarte Hauptbildschirm des Assistenten Watchlist hinzuf gen die Option Dynamisch aus Geben Sie die erforderlichen Informationen ein und klicken Sie dann auf die Registerkarte Quelle 3 W hlen Sie im Feld Typen die Option Hadoop HBase REST aus Geben Sie dann den Host Namen den Port und den Namen der Tabelle ein McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 301 302 Arbeiten mit Ereignissen Arbeiten mit ESM Ansichten 4 F llen Sie auf der Registerkarte Abfrage die Suchspalte und die Informationen f r die Abfrage aus a Verwenden Sie in der Suchspalte das Format spaltenFamilie spaltenName b F llen Sie die Abfrage mit einem Scanner Filter aus Die Werte m ssen dabei Base64 codiert sein Beispiel lt Scanner batch 1024 gt lt filter gt type SingleColumnValueFilter Hoas NOIR Family ZWlwbG95ZWWJbmZv qualifier dXN1cm5hbWwu latestVersion true Deonpareteor type BinaryComparator value c2NhcGVnb2F0 lt filter gt lt Scanner gt 5 Klicken Sie auf die Registerkarte
265. chaften auf Alarme und dann auf Hinzuf gen b Geben Sie auf den Registerkarten Zusammenfassung Bedingung und Ger te die erforderlichen Informationen ein W hlen Sie den Bedingungstyp Interne Ereignis bereinstimmung aus und klicken Sie dann auf die Registerkarte Aktionen c W hlen Sie Nachricht senden aus und klicken Sie dann auf Konfigurieren um eine Vorlage f r SNMP Nachrichten auszuw hlen oder zu erstellen d W hlen Sie im Feld SNMP die Option Standard SNMP Trap aus oder klicken Sie auf Vorlagen und dann auf Hinzuf gen e W hlen Sie eine vorhandene Vorlage aus oder klicken Sie auf Hinzuf gen um eine neue Vorlage zu definieren f Kehren Sie zur Seite Alarmeinstellungen zur ck und fahren Sie mit dem Einrichten des Alarms fort Hinzuf gen eines Alarms zur Benachrichtigung bei Stromausf llen F gen Sie einen Alarm hinzu damit Sie bei Ausfall einer der ESM Stromversorgungen benachrichtigt werden Bevor Sie beginnen Richten Sie einen SNMP Trap f r allgemeine Hardware Fehler ein siehe Einrichten eines SNMP Traps f r Benachrichtigung bei Stromausf llen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das System aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Alarme klicken Sie auf Hinzuf gen f gen Sie auf der Registerkarte bersicht die erforderlichen Daten
266. cherger te zum Speichern der Daten ben tigt werden Diese Ungewissheit r umen Sie am besten wie folgt aus 1 Erstellen Sie eine vorsichtige Sch tzung des Speicherbedarfs Ab Version 9 0 0 sind in ELM Speicherpools 10 des zugeordneten Speicherplatzes als Overhead f r die Spiegelung erforderlich Achten Sie darauf diese 10 bei der Berechnung des erforderlichen Speicherplatzes zu ber cksichtigen 120 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten 2 Konfigurieren Sie ELM Speicherger te gem den gesch tzten Anforderungen 3 Erfassen Sie ber einen kurzen Zeitraum Protokolle auf dem ELM Ger t 4 ndern Sie die Konfigurationen der Speicherger te anhand der ELM Speicherplatzstatistik so dass sie im Einklang mit den tats chlichen Anforderungen an den Datenspeicher stehen Vorbereiten der Speicherung von Daten auf dem ELM Ger t Sie m ssen verschiedene Schritte ausf hren um ein ELM Ger t f r die Speicherung von Daten zu konfigurieren Schritt Aktion Beschreibung 1 Definieren der Datenbeibehaltungsdauer Definieren Sie abh ngig von den ELM Installationsanforderungen die Anzahl der verschiedenen ben tigten Angaben f r die Datenbeibehaltungsdauer G ngige Angaben f r die Datenbeibehaltungsdauer e SOX 7 Jahre e Basel II 7 Jahre e PCI 1 Jahr e HIPAA 6 oder 7 Jahre e GLBA 6 Jahre e NERC 3 Jahre e EU Direktive f r die e FISMA 3 Jahre
267. chreibung der Ansichtskomponenten Sie k nnen zu einer benutzerdefinierten Ansicht 13 verschiedene Komponenten hinzuf gen Mit diesen k nnen Sie die Ansicht so einrichten dass die Daten im besten Format angezeigt werden Komponente Beschreibung Messuhr us Zeigt die Daten auf einen Blick an Diese Ansicht ist dynamisch und kann mit anderen Komponenten in der Konsole verkn pft werden Bei Interaktionen mit der ESM Konsole wird die Ansicht aktualisiert Jede Skala enth lt eine Basislinienanzeige Ay Die Farbverl ufe entlang des u eren Rands der Skala wechseln oberhalb der Basislinienanzeige zu Rot Optional kann sich die Farbe der gesamten Skala ndern um anomales Verhalten darzustellen Die Farbe wechselt zu Gelb wenn das Verhalten innerhalb eines bestimmten Schwellenwerts einer Basislinie liegt oder zu Rot wenn der Schwellenwert berschritten wird Mit der Option Rate k nnen Sie die Rate der angezeigten Daten anpassen Wenn Sie beispielsweise Aktueller Tag und Ereignisse insgesamt anzeigen und die Rate in Stunde ndern sehen Sie die Anzahl der Ereignisse pro Stunde f r den jeweiligen Tag Diese Option ist deaktiviert wenn die angezeigte Abfrage bereits einen Durchschnitt darstellt beispielsweise Durchschnitt f r Schweregrad oder Durchschnitt f r Bytes Quell und Zieldiagramm Zeigt eine bersicht ber die Aktivit ten f r IP Adressen von Ereignissen oder Fl ssen an Mit der Option Ereignis k
268. chreibung der contains Filter und Filter f r regul re Ausdr cke und klicken Sie dann auf Speichern Der Bericht wird gespeichert und zur Liste Berichte hinzugef gt McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Asset Manager Mit Asset Manager k nnen Sie Ressourcen zentral entdecken manuell erstellen und importieren Auf der Registerkarte Ressource k nnen Sie eine Gruppe erstellen die eine oder mehrere Ressourcen enthalten soll Sie k nnen die folgenden Vorg nge f r die gesamte Gruppe ausf hren ndern der Attribute f r alle Ressourcen in der Gruppe Diese nderung ist nicht dauerhaft Wenn Sie eine Ressource zu einer ge nderten Gruppe hinzuf gen erbt die Ressource nicht automatisch die vorherigen Einstellungen e Verschieben ber Drag and drop e Umbenennen einer Gruppe bei Bedarf Mithilfe von Ressourcengruppen haben Sie mehr M glichkeiten zum Kategorisieren von Ressourcen als mit der Kennzeichnung von Ressourcen Beispiel Sie m chten f r jedes Geb ude auf Ihrem Firmengel nde eine Ressourcengruppe erstellen Die Ressource besteht aus einer IP Adresse und einer Sammlung von Tags Mit den Tags beschreiben Sie das auf der Ressource ausgef hrte Betriebssystem und eine Sammlung der Dienste f r die die Ressource zust ndig ist Es gibt zwei M glichkeiten die Tags einer Ressource zu definieren Durch das System wenn eine Ressource abgerufen wird oder durch den Benutzer wenn eine Ress
269. chung kann kein g ltiger Status aus einem Subsystem abgerufen werden Wiederherstellung des Subsystems nach dem Status Warnung oder Kritisch Beim Starten und Anhalten der Integrit ts berwachung wird ein Informationshinweis generiert Wenn bei der Kommunikation zwischen der Integrit ts berwachung und anderen Subsystemen auf den Ger ten Probleme auftreten wird ebenfalls eine Warnung generiert Zeigen Sie das Ereignisprotokoll an Dort finden Sie m glicherweise Details zu den Ursachen der Warnungen vom Typ Warnung und Kritisch L schen einer Gruppe oder eines Ger ts Wenn ein Ger t nicht mehr Bestandteil des Systems ist oder Sie eine Gruppe nicht mehr verwenden l schen Sie das Ger t bzw die Gruppe aus der Systemnavigationsstruktur Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Heben Sie in der Systemnavigationsstruktur das zu l schende Ger t bzw die zu l schende Gruppe hervor und klicken Sie dann auf der Aktionssymbolleiste auf das Symbol L schen 2 Wenn Sie zur Best tigung aufgefordert werden klicken Sie auf OK Aktualisieren der Ger te Sie k nnen die Ger te im System manuell aktualisieren damit ihre Informationen mit denen in ESM bereinstimmen Klicken Sie auf der Aktionssymbolleiste auf das Symbol Ger te aktualisieren Es McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM Konfigurieren von
270. cken Sie im Bereich Regeltypen auf den Typ der Regel auf die Sie zugreifen m chten Suchen Sie dann die Regel im Regelanzeigebereich 3 Klicken Sie in der Spalte Paket kopieren auf die aktuelle Einstellung standardm ig aus und klicken Sie dann auf an Einstellungen f r Standardrichtlinien Sie k nnen die Standardrichtlinie so einrichten dass sie im reinen Warnungsmodus oder im berbelegungsmodus verwendet wird Au erdem k nnen Sie den Status der Regelaktualisierungen anzeigen und eine Aktualisierung initiieren Reiner Warnungsmodus Richtlinien k nnen auf Nitro IPS und auf virtuelle Ger te angewendet werden f r die Reiner Warnungsmodus aktiviert ist Wenn Reiner Warnungsmodus aktiviert ist werden alle aktivierten Regeln an die Ger te mit Warnungen gesendet Dies gilt auch wenn die Regel auf eine Blockierungsaktion wie Verwerfen festgelegt ist Beim Anzeigen der generierten Ereignisse wird in der Spalte Ereignisuntertyp die Aktion Warnung aufgef hrt gefolgt von der ausgef hrten Aktion wenn Reiner Warnungsmodus nicht aktiv war beispielsweise Warnung und verwerfen Dies ist hilfreich f r Systemadministratoren die noch dabei sind sich mit den Verkehrsmustern im Netzwerk vertraut zu machen Sie k nnen generierte Ereignisse analysieren ohne aktiv Ereignisse zu blockieren und sehen dennoch die Aktion die ausgef hrt wird wenn Reiner Warnungsmodus aktiviert ist Durch Aktivieren von Reiner Warnungsmodus werden keine
271. d k nnen vom ESM Ger t abgerufen werden Sie k nnen einen SDEE Anbieter zu einem Empf nger hinzuf gen indem Sie Cisco als Anbieter und IOS IPS SDEE als Datenquellenmodell ausw hlen siehe Hinzuf gen einer Datenquelle Die folgenden Informationen k nnen vom Empf nger aus einem SDEE CIDEE Ereignis extrahiert werden e Quell und Ziel IP Adressen e Quell und Ziel Ports e Protokoll e Ereigniszeitpunkt e Ereignisanzahl CIDEE bietet eine Art von Ereignisaggregation die vom Empf nger unterst tzt wird e Signatur ID und Sub ID e Die ESM Ereignis ID wird mit der folgenden Formel aus der SDEE Signatur ID und der CIDEE Sub Signatur ID berechnet ESMI ID SDEE ID 1000 CIDEE Sub ID Wenn also die SDEE Signatur ID 2000 lautet und die CIDEE Sub Signatur ID 123 entspricht ergibt sich die ESMI Ereignis ID 2000123 110 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten e VLAN e Schweregrad e Ereignisbeschreibung e Paketinhalt falls verf gbar Bei der ersten Verbindung zwischen Empf nger und SDEE Anbieter werden das aktuelle Datum und die aktuelle Uhrzeit als Ausgangspunkt f r die Ereignisanfragen verwendet Bei zuk nftigen Verbindungen werden alle Ereignisse angefragt die seit dem letzten erfolgreichen Abruf aufgetreten sind Konfigurieren von ePolicy Orchestrator 4 0 Von der McAfee Event Receiver Datenquelle f r ePolicy Orchestrator wird jetzt
272. d oder auf einem SMTP Server unerwartet ber FTP kommuniziert wird Regelausl seereignisse m ssen selten sein und werden in der Ereignistabelle abgelegt Die Ereignistabelle enth lt einen Datensatz f r jedes erkannte Protokollanomalie oder Regelausl seereignis Die Ereignisdatens tze sind ber die Sitzungs ID mit der Sitzungstabelle und der Abfragetabelle verkn pft Dort finden Sie weitere Details zu den Netzwerk bertragungen Metadatenereignissen durch die das Ereignis ausgel st wurde Jedes Ereignis ist au erdem mit der Pakettabelle verkn pft in der die unformatierten Paketdaten f r das Paket durch das das Ereignis ausgel st wurde zur Verf gung stehen Die Sitzungstabelle enth lt einen Datensatz f r jede Gruppe zusammengeh render bertragungen im Netzwerk z B eine Gruppe von FTP Datei bertragungen in der gleichen Sitzung Die Sitzungsdatens tze sind ber die Sitzungs ID mit der Abfragetabelle verkn pft in der Sie weitere Details zu den einzelnen Netzwerk bertragungen Metadatenereignissen finden Dar ber hinaus ist f r bertragungen innerhalb der Sitzung die eine Protokollanomalie verursachen oder eine Regel ausl sen eine Verkn pfung mit der Ereignistabelle vorhanden Die Abfragetabelle enth lt einen Datensatz f r jedes Metadatenereignis Inhalts bertragungen im Netzwerk Die Abfragedatens tze sind ber die Sitzungs ID mit der Sitzungstabelle verkn pft Wenn durch die mit dem Datensatz verbundene Netzw
273. dass Schreibvorg nge m glich sind Wenn Sie kennwortgesch tzte Freigaben aktiviert haben m ssen Sie die Einstellungen hier anpassen um sicherzustellen dass der Ubuntu Benutzer in den Berechtigungen enthalten ist Hinzuf gen eines Speicherger ts f r die Verkn pfung mit einem Speicherpool Zum Hinzuf gen eines Speicherger ts zur Liste der Speicherorte m ssen Sie die Parameter definieren D Beim Bearbeiten eines Speicherger ts k nnen Sie die Gr e erh hen aber nicht verringern Ein Ger t auf dem Daten gespeichert werden kann nicht gel scht werden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ELM Eigenschaften aus und klicken Sie dann auf Speicherpools 2 Klicken Sie neben der oberen Tabelle auf Hinzuf gen 3 Geben Sie auf der Seite Speicherger t hinzuf gen die erforderlichen Informationen ein 4 Klicken Sie auf OK um die Einstellungen zu speichern Das Ger t wird zur Liste der verf gbaren ELM Speicherger te hinzugef gt McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten In der Tabelle auf der Seite Speicherpools k nnen Sie Speicherger te bearbeiten oder l schen Hinzuf gen oder Bearbeiten eines Speicherpools Ein Speicherpool enth lt mindestens eine Speicherzuordnung und eine Datenbeibehaltungsdauer F gen Sie diese zum
274. definierten Anzeigetyps Symbol Bearbeiten A 2 Nehmen Sie nderungen an den Einstellungen vor und klicken Sie dann auf OK L schen eines Klicken Sie neben dem zu l schenden Anzeigetyp auf das Symbol benutzerdefinierten 3 Anzeigetyps L schen K Ausw hlen eines Anzeigetyps W hlen Sie aus wie die Ger te in der Systemnavigationsstruktur angezeigt werden sollen Bevor Sie beginnen Zum Ausw hlen einer benutzerdefinierten Anzeige m ssen Sie diese zuerst zum System hinzuf gen siehe Verwalten benutzerdefinierter Anzeigetypen Vorgehensweise 1 Klicken Sie im Systemnavigationsbereich auf den Dropdown Pfeil im Feld f r den Anzeigetyp 2 W hlen Sie einen der Anzeigetypen aus Die Anordnung der Ger te in der Navigationsstruktur wird ge ndert und entspricht nun dem Typ den Sie f r die aktuelle Arbeitssitzung ausgew hlt haben McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Verwalten von Ger ten Verwalten einer Gruppe in einem benutzerdefinierten Anzeigetyp Sie k nnen Gruppen in einem benutzerdefinierten Anzeigetyp verwenden um Ger te in logischen Gruppierungen anzuordnen Bevor Sie beginnen F gen Sie einen benutzerdefinierten Anzeigetyp hinzu siehe Verwalten benutzerdefinierter Anzeigetypen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie im Systemnavigationsbere
275. dem jeweils anderen im Paar enthaltenen Empf nger bergeben e Von allen Datenquellen wird die Datenquellen Netzwerkkarte verwendet e Auf jedem Empf nger wird die eigene Integrit t berwacht und es werden entsprechende Berichte erstellt Dazu geh ren interne Integrit tselemente wie Datentr gerfehler Einfrieren der Datenbank und getrennte Verbindungen an Netzwerkkarten e Status und Integrit t der Empf nger werden regelm ig durch Kommunikation zwischen ESM und den Empf ngern ermittelt e Neue Konfigurationsinformationen werden sowohl an den prim ren als auch an den sekund ren Empf nger gesendet e Richtlinien werden von ESM sowohl an den prim ren als auch an den sekund ren Empf nger gesendet e Die Befehle Anhalten Neu starten Terminal und Call Home Verbindung werden auf jeden Empf nger einzeln angewendet In den folgenden Abschnitten wird beschrieben was bei Problemen auf dem Empf nger HA geschieht Fehler auf dem prim ren Empf nger Ob auf dem prim ren Empf nger ein Fehler vorliegt wird vom sekund ren Empf nger ermittelt Der Fehler muss schnell und genau ermittelt werden um den Datenverlust auf ein Minimum zu reduzieren Beim Failover gehen alle Daten verloren die hinzugekommen sind seit letztmals Daten vom prim ren Empf nger an ESM und das ELM Ger t gesendet wurden Der Umfang der verlorenen Daten h ngt vom Durchsatz des Empf ngers ab sowie von der Rate mit der ber das ESM Ger t Daten vom
276. den mit diesen Dateien verbundenen Endpunkten berpr ft Beim Hinzuf gen eines McAfee ePO Ger ts zu ESM wird automatisch erkannt ob ein Threat Intelligence Exchange Server mit dem Ger t verbunden ist In diesem Fall wird DXL von ESM berwacht und es werden Ereignisse protokolliert Wenn der Threat Intelligence Exchange Server erkannt wird werden Threat Intelligence Exchange Watchlists Datenanreicherung und Korrelationsregeln automatisch hinzugef gt und Threat Intelligence Exchange Alarme werden aktiviert Sie erhalten eine visuelle Benachrichtigung die einen Link zur bersicht ber die vorgenommenen nderungen enth lt Au erdem werden Sie benachrichtigt wenn der Threat Intelligence Exchange Server zum McAfee ePO Server hinzugef gt wird nachdem das Ger t zu ESM hinzugef gt wurde Wenn Threat Intelligence Exchange Ereignisse generiert wurden k nnen Sie den Ausf hrungsverlauf anzeigen siehe Anzeigen des Threat Intelligence Exchange Ausf hrungsverlaufs und Einrichten von Aktionen und die Aktionen ausw hlen die f r die b sartigen Daten ausgef hrt werden sollen Korrelationsregeln Sechs Korrelationsregeln sind f r Threat Intelligence Exchange Daten optimiert Mit diesen Regeln werden Ereignisse generiert die Sie durchsuchen und sortieren k nnen e TIE Die GTI Reputation wurde von Sauber in Infiziert ge ndert e TIE Eine b sartige Datei SHA 1 wurde auf einer steigenden Anzahl von Hosts gefunden e TIE Der Na
277. der Ansichtssymbolleiste auf das Symbol Aktuelle y Ansicht aktualisieren ME Aggregieren von Ereignissen oder Fl ssen Ein Ereignis oder Fluss kann theoretisch tausendfach generiert werden Sie m ssen nicht Tausende identischer Ereignisse durchgehen sondern k nnen mithilfe der Aggregation diese Ereignisse als ein McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Ereignisse Fl sse und Protokolle einziges Ereignis bzw einen einzigen Fluss anzeigen Dabei gibt ein Z hler an wie oft ein Ereignis aufgetreten ist Bei der Aggregation wird der Speicherplatz sowohl auf dem Ger t als auch in ESM effizienter genutzt da nicht jedes einzelne Paket gespeichert werden muss Diese Funktion gilt nur f r Regeln f r die im Richtlinien Editor die Aggregation aktiviert ist Quell IP Adresse und Ziel IP Adresse Die nicht festgelegten Werte oder aggregierten Werte f r Quell IP Adresse und Ziel IP Adresse werden in allen Ergebniss tzen als anstelle von 0 0 0 0 angezeigt Beispiel e ffff 10 0 12 7 wird als 0 0 0 0 0 FFFF A00 C07 eingef gt A00 C07 entspricht 10 0 12 7 e 0000 10 0 12 7 entspricht 10 0 12 7 Aggregierte Ereignisse und Fl sse In aggregierten Ereignissen und Fl ssen wird mit den Feldern Erstes Mal Letztes Mal und Insgesamt die Dauer und Menge der Aggregation angegeben Beispiel Ein Ereignis ist in den ersten zehn Minuten nach 12 00 Uhr 30 Mal aufgetreten Das Feld Ers
278. der Ger te a a a nn nenn 39 Verwalten mehrerer Ger te g a Re a ee ee are er Verwalten von URL Links f r alle Ger te Be a er ee A 96 Anzeigen von Zusammenfassungsberichten f r Ger te red mr ee ee am En ge gt DO Anzeigen eines System oder Ger teprotokolls 2 2 2 nn m nn nn 57 Berichte zum Integrit tsstatus von Ger ten 2 2 nn nn nn 57 L schen einer Gruppe oder eines Ger ts 2 2 2 nn m nn 60 Aktualisieren der Ger te 2 22mm nn 60 Konfigurieren von Ger ten 2 2 2 nn nn nn 61 Ger te und ihre Funktion w 2 2200 m een 62 Event Receiver Einstellungen En ER a a AE Einstellungen f r Enterprise Log Manager ELM EA ee ee er a ee 120 Einstellungen f r Advanced Correlation Engine ACE a 2 2 2 2 2 nn nn nn 136 Einstellungen f r Application Data Monitor ADM 2 2 2 2 nn nn nn nn 140 Einstellungen f r Database Event Monitor DEM 2 2 2 2 nn nn nn nn 155 Einstellungen f r verteilte ESM Ger te DESM a 2 2 2 2 nn nn nn nn 163 ePolicy Orchestrator Einstellungen jem gon ee 04 Einstellungen f r Nitro Intrusion Prevention Syste Nitro IPS A ee at 170 McAfee Vulnerability Manager Einstellungen 2 nn nn nn 174 McAfee Network Security Manager Einstellungen 2 2 2 2 nn nenn nn 176 Konfigurieren von zus tzlichen Diensten 2 2 2 nn m m nn 177 Allgemeine Systeminformationen boek ee E L7 Konfigurieren von Remedy Server
279. der abgeschlossenen F lle im System verwalten Mit Fallverwaltungsadministrator Berechtigungen k nnen Sie Status und Unternehmen erstellen sowie die Funktion f r automatische E Mails festlegen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie im Bereich F lle auf das Symbol Fallverwaltung ffnen E Die Ansicht Fallverwaltung wird ge ffnet McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von F llen 8 Generieren von Fallverwaltungsberichten 2 F hren Sie einen oder mehrere der folgenden Schritte aus Aufgabe Vorgehensweise Hinzuf gen eines Falls Klicken Sie auf der Symbolleiste unten in der Ansicht auf das Symbol Fall hinzuf gen all Anzeigen oder Bearbeiten Klicken Sie auf der Symbolleiste unten in der Ansicht auf das Symbol des ausgew hlten Falls Fall bearbeiten E Senden des ausgew hlten Klicken Sie auf der Symbolleiste unten in der Ansicht auf das Symbol Falls per E Mail Fall per E Mail senden L7 Einrichten eines Falls f r Klicken Sie auf der Symbolleiste unten in der Ansicht auf das Symbol den beim Hinzuf gen oder ndern eine E Mail Fallverwaltungseinstellungen E gesendet wird Hinzuf gen oder Bearbeiten der f r F lle verf gbaren Klicken Sie auf das Symbol Fallverwaltungseinstellungen 8 und dann auf Hinzuf gen Bearbeiten oder L schen Status Anzeigen der Hinwei
280. der auf eine Gruppe Klicken Sie auf der Aktionssymbolleiste auf das Symbol Ger t hinzuf gen El W hlen Sie den Typ des hinzuzuf genden Ger ts aus und klicken Sie dann auf Weiter Gegeben Sie im Feld Ger tename einen in der Gruppe eindeutigen Namen ein und klicken Sie dann auf Weiter Geben Sie die erforderlichen Informationen ein e F r McAfee ePO Ger te W hlen Sie einen Empf nger aus geben Sie die erforderlichen Anmeldeinformationen f r die Anmeldung bei der Web Oberfl che ein und klicken Sie dann auf Weiter Geben Sie die Einstellungen ein die f r die Kommunikation mit der Datenbank verwendet werden sollen W hlen Sie Benutzerauthentifizierung erforderlich aus um den Zugriff auf die Benutzer zu begrenzen die ber den Benutzernamen und das Kennwort f r das Ger t verf gen e F ralle anderen Ger te Geben Sie die Ziel IP Adresse oder URL f r das Ger t ein Geben Sie dann eine Nummer eines Ziel SSH Ports ein die f r die Verwendung mit der IP Adresse g ltig ist W hlen Sie aus ob die NTP Einstellungen Network Time Protocol auf dem Ger t verwendet werden sollen und klicken Sie dann auf Weiter Wenn Sie einen Schl ssel haben den Sie importieren m chten w hlen Sie Schl ssel importieren aus nicht verf gbar f r ELM oder Kombination aus Empf nger und Log Manager Anderenfalls klicken Sie auf Authentifizierungsschl ssel f r Ger t festlegen Ger teschl ssel die urspr nglich von einem ESM Ger
281. derlichen Informationen ein 3 Klicken Sie auf OK Verwenden der historischen Korrelation Mit der Option Historische Korrelation k nnen Sie vergangene Ereignisse korrelieren Wenn eine neue Schwachstelle entdeckt wird ist es wichtig dass Sie die historischen Ereignisse berpr fen um herauszufinden ob die Schwachstelle in der Vergangenheit ausgenutzt wurde Mithilfe der einfachen ACE Funktion f r Netzwerkwiederholungen k nnen historische Ereignisse durch das McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten regellose Korrelationsmodul Risikokorrelation wiedergegeben werden Dabei k nnen Sie anhand des auf Standardregeln basierenden Ereigniskorrelationsmoduls historische Ereignisse im Hinblick auf gegenw rtige Bedrohungen untersuchen Dies kann in den folgenden Situationen hilfreich sein e Bei der Ausl sung bestimmter Ereignisse war die Korrelation nicht eingerichtet und Sie stellen fest dass Sie durch die Korrelation wertvolle Informationen erhalten h tten e Sie richten eine neue Korrelation ein die auf in der Vergangenheit ausgel sten Ereignissen basiert Dabei m chten Sie die neue Korrelation testen um sicherzustellen dass Sie die gew nschten Ergebnisse erhalten Beachten Sie beim Einsatz der historischen Korrelation Folgendes e Die Echtzeitkorrelation wird angehalten bis Sie die historische Korrelation deaktivieren e Die Risikoverteilung wird durch die E
282. des Benutzers hervor und klicken Sie dann auf Bearbeiten c Ersetzen Sie den Namen im Feld Benutzername durch die zehnstellige EDI PI d Optional Geben Sie den Benutzernamen in das Feld Benutzer Alias ein und klicken Sie dann auf OK Konfigurieren von Authentifizierungseinstellungen f r Active Directory Sie k nnen ESM so konfigurieren dass Benutzer f r Active Directory authentifiziert werden Wenn die Funktion aktiviert ist werden alle Benutzer mit Ausnahme des Systemadministrators ber Active Directory authentifiziert Wenn die Authentifizierung deaktiviert ist k nnen Benutzer die f r die Active Directory Authentifizierung eingerichtet sind nicht auf das System zugreifen Bevor Sie beginnen e Richten Sie eine Active Directory Instanz ein auf die ber ESM zugegriffen werden kann e Erstellen Sie eine Gruppe siehe Einrichten von Benutzergruppen unter dem Namen der Active Directory Gruppe die ber Zugriff auf ESM verf gt Wenn Sie beispielsweise der Gruppe den Namen McAfee Benutzer geben m ssen Sie zu Systemeigenschaften Benutzer und Gruppen navigieren und eine Gruppe mit dem Namen McAfee Benutzer hinzuf gen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Anmeldesicherheit 2 Klicken Sie auf die Registerkarte Active Directory und w
283. die Schwellenwerteinstellung f r alle Ger te angezeigt Diese Kennzeichnung gibt an dass im angegebenen Zeitintervall auf dem Ger t kein Ereignis generiert wurde Wenn ein Subsystem nach dem Status Warnung oder Kritisch wiederhergestellt wurde wird die Kennzeichnung Information angezeigt Nachfolgend werden die einzelnen Typen der Kennzeichnung Information beschrieben McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Verwalten von Ger ten Status Beschreibung und Anweisungen Umgehungsmodus Der Netzwerkschnittstellen Controller Network Interface Controller NIC befindet sich im Umgehungsmodus Dies ist m glicherweise darauf zur ckzuf hren dass ein kritischer Systemprozess fehlgeschlagen ist das Ger t manuell in den Umgehungsmodus versetzt wurde oder ein anderer Fehler aufgetreten ist Verwenden Sie die folgenden Optionen um den Umgehungsmodus f r das Ger t zu deaktivieren Eigenschaften Konfiguration Schnittstellen Deep Packet Inspector wird nicht ausgef hrt In Deep Packet Inspector DPI ist eine Fehlfunktion aufgetreten M glicherweise erfolgt die Wiederherstellung ohne Eingriff Starten Sie anderenfalls das Ger t neu Das Firewall Warnungsprogramm ngulogd wird nicht ausgef hrt In Firewall Alert Aggregator FAA ist eine Fehlfunktion aufgetreten M glicherweise erfolgt die Wiederherstellung ohne Eingriff Starten Sie anderenfalls das Ger t neu
284. die einzelne Ziffer 1 angezeigt wird ist das Kommunikationsproblem nicht auf einen FIPS Fehler zur ckzuf hren Wenden Sie sich an den Support und erkundigen Sie sich nach weiteren Schritten zur Fehlerbehebung Keine Kommunikation mit dem Ger t e Wenn neben dem Ger t in der Systemnavigationsstruktur eine Statuskennzeichnung angezeigt wird platzieren Sie den Cursor auf der Kennzeichnung Wenn dort FIPS Fehler angezeigt wird wenden Sie sich ber das Support Portal an den McAfee Support e Folgen Sie der Beschreibung f r das Problem Keine Kommunikation mit dem ESM Ger t Fehlermeldung Die Sie k nnen nicht einen von einem Nicht FIPS Ger t exportierten Schl ssel auf Datei ist ung ltig beim einem im FIPS Modus betriebenen Ger t importieren Ebenso ist es nicht Hinzuf gen eines m glich einen von einem FIPS Ger t exportierten Schl ssel auf einem Ger ts Nicht FIPS Ger t zu importieren In beiden Szenarien wird diese Fehlermeldung angezeigt Zertifizierte Common Criteria Konfiguration Sie m ssen die McAfee Appliance auf eine bestimmte Weise installieren konfigurieren und verwenden um Compliance mit der zertifizierten Common Criteria Konfiguration zu erzielen Ber cksichtigen Sie diese Anforderungen beim Einrichten des Systems Typ Anforderungen Physisch Auf die McAfee Appliance muss Folgendes zutreffen e Sie muss vor nicht autorisierten physischen nderungen gesch tzt sein e Sie muss s
285. druckte Berichte das auf dem Bildschirm Anmeldung angezeigte Bild enthalten Bevor Sie beginnen F gen Sie das Bild zur Seite Benutzerdefinierte Einstellungen hinzu siehe Anpassen der Anmeldeseite Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Benutzerdefinierte Einstellungen 2 W hlen Sie Bild in aus Ansichten oder gedruckten Berichten exportierte PDF Dateien einschlie en aus 3 Klicken Sie auf OK Siehe auch Anpassen der Anmeldeseite auf Seite 22 Hinzuf gen einer Berichtsbedingung F gen Sie Bedingungen hinzu damit diese beim Einrichten eines Berichts verf gbar sind Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Berichte 2 Klicken Sie auf Bedingungen und geben Sie dann die erforderlichen Informationen ein 3 Klicken Sie auf OK um die Einstellungen zu speichern McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 265 Arbeiten mit Ereignissen Beschreibung der contains Filter und Filter f r regul re Ausdr cke Diese Option wird in der Liste der verf gbaren Bedingungen angezeigt wenn Sie die Bedingung f r einen Bericht ausw hlen Anzeigen von Host Namen
286. dwo com Listen Listenliterale bestehen aus mindestens einem in eckige Klammern eingeschlossenen Literal und werden durch Kommas getrennt 1 2 3 4 5 Listen k nnten alle Arten von Literalen enthalten auch andere Listen 192 168 1 1 10 0 0 0 8 172 16 128 0 24 Listen d rfen nur eine Art von Literal enthalten Kombinationen aus Zeichenfolgen und Zahlen Zeichenfolgen und regul ren Ausdr cken oder IP Adressen und MAC Adressen sind nicht g ltig Wenn eine Liste mit einem relationalen Operator au er dem Operator f r nicht gleich verwendet wird ist der Ausdruck wahr wenn der Begriff mit einem beliebigen Literal in der Liste bereinstimmt Die folgende Regel wird ausgel st wenn die Quell IP Adresse mit einer der IP Adressen in der Liste bereinstimmt srcip 192 168 1 1 192 168 1 2 192 168 1 3 Dies entspricht srcip 192 168 1 1 srcip 192 168 1 2 srcip 192 168 1 3 Bei Verwendung mit dem Operator f r nicht gleich ist der Ausdruck wahr wenn der Begriff nicht mit allen Literalen in der Liste bereinstimmt Die folgende Regel wird ausgel st wenn die Quell IP Adresse nicht 192 168 1 1 oder 192 168 1 2 entspricht srcip 192 168 1 1 192 168 1 2 Dies entspricht srcip 192 168 1 1 amp amp srcip 192 168 1 2 Listen k nnen auch mit den anderen relationalen Operatoren verwendet werden obwohl dies nicht sehr sinnvoll ist Die folgende Regel wird ausgel st wenn die Objektg
287. e 249 Verwalten von Alarmempf ngern 249 Verwalten von Alarmen f 249 Anzeigen der Warteschlange f r Alarmberichte 250 Verwalten von Alarmberichtsdateien 251 Arbeiten mit Ereignissen 253 Ereignisse Fl sse und Protokolle 253 Einrichten von Downloads f r Ereioni se Fl sse und Protokolle y 254 Begrenzen der Erfassungszeit f r Daten 254 Definieren der Einstellungen f r den Schwellenwert f r Inaktivit t 255 Abrufen von Ereignissen und Fl ssen 255 berpr fen auf Ereignisse Fl sse und Protokolle 255 Produkthandbuch Inhaltsverzeichnis Definieren von Geolocation und ASN Einstellungen 2 2 2 2 nn nn nn nn 256 Abrufen von Ereignissen und Fl ssen 2 2 2 nn on nn 256 Aggregieren von Ereignissen oder Fl ssen 22 2 nn m 256 Einrichten der Ereignisweiterleitung a a 22 nn non nn 259 Verwalten von Berichten Bu A Eee ea e ee 263 Festlegen des Startmonats f r Quartalsberichte di gei a le ee ee 204 Hinzuf gen eines Berichts 2 2 2 nn m nn nn 264 Hinzuf gen eines Berichtslayouts A 2 N Einschlie en eines Bilds in PDF Dateien und Berlehte To h ee es 208 Hinzuf gen einer Berichtsbedingung 2 2 2 nn m m nn 265 Anzeigen von Host Namen in einem Bericht O 206 Beschreibung der contains Filter und Filter f r regul re Ausdr cke La Aa a ana 206 Arbeiten mit ESM Ansichten s 2
288. e nderungen auf das Empf ngerger t anzuwenden klicken Sie auf OK Anzeigen von Quellereignissen f r Korrelationsereignisse In der Ansicht Ereignisanalyse k nnen Sie die Quellereignisse f r ein Korrelationsereignis anzeigen Bevor Sie beginnen Auf dem ESM Ger t muss bereits eine Korrelationsdatenquelle vorhanden sein siehe Korrelationsdatenquelle und Hinzuf gen einer Datenquelle Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Erweitern Sie in der Systemnavigationsstruktur den Empf nger und klicken Sie dann auf Korrelationsmodul 2 Klicken Sie in der Liste der Ansichten auf Ereignisansichten und w hlen Sie dann Ereignisanalyse aus 3 Klicken Sie in der Ansicht Ereignisanalyse auf das Pluszeichen in der ersten Spalte neben dem Korrelationsereignis Ein Pluszeichen wird nur angezeigt wenn das Korrelationsereignis ber Quellereignisse verf gt Die Quellereignisse werden unter dem Korrelationsereignis aufgef hrt Anzeigen der Durchsatzstatistik f r Empf nger Zeigen Sie eine Verwendungsstatistik f r Empf nger an Diese enth lt unter anderem die eingehenden Erfassung und ausgehenden Analyse Datenquellenraten der letzten zehn Minuten der letzten Stunde und der letzten 24 Stunden Bevor Sie beginnen Vergewissern Sie sich dass Sie ber die Berechtigung zur Ger teverwaltung verf gen McAfee Enterprise Security Man
289. e Benutzername und Kennwort ein Klicken Sie auf Weiter oder auf die Registerkarte Abfrage a Geben Sie in das Feld Suchattribut die Zeichenfolge sAMAccountName ein b Geben Sie in das Feld Anreicherungsattribut die Zeichenfolge displayName ein c Geben Sie in das Feld Abfrage die Zeichenfolge objectClass person ein um eine Liste aller als Person klassifizierten Objekte in Active Directory zur ckzugeben d Testen Sie die Abfrage Dabei werden ungeachtet der Anzahl der tats chlichen Eintr ge maximal f nf Werte zur ckgegeben Klicken Sie auf Weiter oder auf die Registerkarte Ziel a Klicken Sie auf Hinzuf gen b W hlen Sie die Microsoft Windows Datenquelle aus c W hlen Sie im Suchfeld das Feld Quellbenutzer aus Dieses Feld entspricht dem Wert aus dem Ereignis das als Index f r die Suche verwendet wird d W hlen Sie das Anreicherungsfeld aus Dort wird der Anreicherungswert im Format Benutzerspitzname Oder Kontaktname angegeben Klicken Sie auf Fertig stellen um die Eingaben zu speichern Klicken Sie nach dem Schreiben der Anreicherungseinstellungen in die Ger te auf Jetzt ausf hren um die Anreicherungswerte aus der Datenquelle abzurufen bis der Wert T gliche Ausl sungszeit gefunden wird Der vollst ndige Name wird in das Feld Contact_name geschrieben McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 223 3 Konfigurieren von ESM Was ist Datenanreicherung 224 McAfee Enterprise Security Manager 9 5 0
290. e Kommunikation mit den gew nschten VA Quellen m ssen Sie die jeweilige Quelle zum System hinzuf gen Wenn Sie eine Quelle zum System hinzugef gt haben k nnen Sie die VA Daten abrufen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie auf das Schnellstartsymbol f r Asset Manager E und dann auf die Registerkarte Vulnerability Assessment 2 Sie k nnen VA Quellen hinzuf gen bearbeiten entfernen oder abrufen und sie dann in das Ger t schreiben 3 Klicken Sie auf OK Zonenverwaltung 322 Mithilfe von Zonen k nnen Sie Ger te und Datenquellen im Netzwerk kategorisieren Auf diese Weise k nnen Sie Ger te und die von den Ger ten generierten Ereignisse nach dem geographischen Standort und der IP Adresse in verwandten Gruppen anordnen Beispiel Sie haben B ros in verschiedenen Landesteilen und m chten dass die von den einzelnen B ros generierten Ereignisse gruppiert werden Sie f gen zwei Zonen hinzu und weisen die Ger te deren Ereignisse gruppiert werden m ssen den einzelnen Zonen zu Zum Gruppieren der Ereignisse aus den einzelnen B ros nach bestimmten IP Adressen f gen Sie Teilzonen zu den einzelnen Zonen hinzu Verwalten von Zonen Mithilfe von Zonen k nnen Sie Ger te und Datenquellen nach Standort Geolocation oder ASN kategorisieren F gen Sie Zonen hinzu einzeln oder durch Importieren einer von einem anderen Computer exportierten
291. e bis die vollst ndige Wiederherstellung abgeschlossen ist In diesem Zeitraum wird alle f nf Minuten versucht die Verbindung erneut herzustellen Nach Abschluss des Vorgangs wird die Seite Anmeldung angezeigt Siehe auch Einrichten von Datenbeibehaltungs Limits auf Seite 197 Wiederherstellen gesicherter Konfigurationsdateien Sie k nnen SSH Netzwerk SNMP und andere Konfigurationsdateien wiederherstellen die f r die einzelnen Ger te in ESM gesichert wurden Bevor Sie beginnen Sichern Sie Konfigurationsdateien in ESM siehe Sichern von ESM Einstellungen und Systemdaten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf die Option Konfiguration f r das Ger t auf Konfiguration wiederherstellen und dann auf der Best tigungsseite auf Ja Arbeiten mit Sicherungsdateien in ESM Die auf dem ESM Ger t gespeicherten Sicherungsdateien k nnen heruntergeladen gel scht oder angezeigt werden Au erdem k nnen Sie Dateien hochladen um sie zur Liste der Sicherungsdateien hinzuzuf gen 208 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Sichern und Wiederherstellen von Systemeinstellungen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf
292. e dann f r das ffentliche Netzwerk sichtbar ist und ihre Sicherheit kompromittiert werden kann Bei einem Ger t im Nitro IPS Modus ben tigen Sie f r jeden Pfad des Netzwerkverkehrs zwei Schnittstellen F r den IDS Modus sind mindestens zwei Netzwerkschnittstellen im Ger t erforderlich Sie k nnen im Ger t mehrere Verwaltungsschnittstellen f r das Netzwerk konfigurieren Umgehungs Netzwerkkarte F r ein Ger t im Umgehungsmodus wird s mtlicher Verkehr zugelassen auch b sartiger Datenverkehr Unter normalen Umst nden kann es ein bis drei Sekunden lang zu einem Verbindungsverlust kommen wenn das Ger t in den Umgehungsmodus wechselt Beim Verlassen des Umgehungsmodus kann die Verbindung f r 18 Sekunden getrennt werden Bei Verbindungen mit bestimmten Switches beispielsweise einigen Modellen von Cisco Catalyst sind andere Zahlen m glich In diesem Fall kann die Verbindung 33 Sekunden lang getrennt werden wenn das Ger t in den Umgehungsmodus wechselt oder diesen verl sst In dem Szenario in dem es 33 Sekunden dauert die Kommunikation wieder herzustellen k nnen Sie Portfast f r den Switch Port aktivieren und die Geschwindigkeit sowie den Duplex Modus manuell festlegen um wieder normale Zeiten zu erzielen Achten Sie darauf f r alle vier Ports Switch beide Ports von Nitro IPS und den Port des anderen Ger ts die gleiche Einstellung festzulegen Anderenfalls tritt m glicherweise im Umgehungsmodus ein Aushandlungsproblem auf
293. e wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Nitro IPS Ger t oder ein virtuelles Ger t aus 2 W hlen Sie im Richtlinien Editor im Bereich Regeltypen Folgendes aus IPS Intern 3 Klicken Sie in der Spalte Aktivieren auf Alles ausw hlen oder auf Nichts ausw hlen oder w hlen Sie einzelne Regeln aus bzw heben Sie die Auswahl einzelner Regeln auf McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 339 10 340 Verwalten von Richtlinien und Regeln Regeltypen und ihre Eigenschaften Filterregeln Mit Filterregeln k nnen Sie festlegen welche Aktion ausgef hrt werden soll wenn von Ihnen definierte Daten beim Empf nger eingehen Datenreihenfolge Filterregeln werden in der folgenden Datenreihenfolge in den Empf nger geschrieben 1 Alle Regeln au er Erfassungsregeln a Anhalten falsch und Protokollieren falsch b Anhalten c Anhalten wahr und Analysieren wahr und Protokollieren falsch d Anhalten wahr und Analysieren wahr und Analysieren wahr und Protokollieren wahr wahr und Analysieren falsch und Protokollieren wahr 2 Alle Erfassungsregeln Regelreihenfolge Wenn Sie ber Rechte als Richtlinienadministrator verf gen k nnen Sie die Reihenfolge definieren in der die Filterregeln ausgef hrt werden sollen Diese Regeln werden dann in der Reihenfolge ausgef hrt mit der Sie die ben tigten Daten auf die effizienteste Weise erhalt
294. e Authority CA ab Bei einer Kompromittierung der Zertifizierungsstelle werden auch CAC f hige Anmeldungen kompromittiert Konfigurieren der CAC Anmeldung Zum Einrichten der CAC Anmeldung m ssen Sie die Funktion f r die CAC Anmeldung aktivieren die Kette der CA Stammzertifikate hochladen und einen CAC Benutzer aktivieren indem Sie den Benutzernamen auf die zehnstellige EDI PI des Karteninhabers festlegen Anschlie end k nnen Karteninhaber in einem CAC f higen Browser auf das ESM Ger t zugreifen und werden nicht aufgefordert einen Benutzernamen oder ein Kennwort einzugeben ESM umfasst Unterst tzung f r den Gemalto Kartenleser Wenn Sie Hilfe im Zusammenhang mit einem Kartenleser ben tigen wenden Sie sich an den McAfee Support Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus klicken Sie auf Anmeldesicherheit und w hlen Sie dann die Registerkarte CAC aus 2 Geben Sie die Informationen ein und w hlen Sie die erforderlichen Optionen aus Klicken Sie dann auf OK McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 203 3 Konfigurieren von ESM Arbeiten mit Benutzern und Gruppen 3 Aktivieren Sie die einzelnen CAC Benutzer a Klicken Sie in Systemeigenschaften auf Benutzer und Gruppen und geben Sie dann das Systemkennwort ein b Heben Sie in der Tabelle Benutzer den Namen
295. e Ger te adressiert werden F r die Kommunikation mit Nitro IPS Ger ten wird die SEM Technologie Secure Encrypted Management von McAfee verwendet SEM ist ein mit AES Advanced Encryption Standard verschl sselter In Band Kanal durch den das Risiko von Playback oder Man in the Middle Angriffen gemindert wird Die Kommunikation mit einem Nitro IPS Ger t ist nur m glich wenn das Ger t von einem autorisierten ESM Ger t ber den SEM Kanal adressiert wird Vom Ger t selbst wird keine Kommunikation initiiert Die Kommunikation zwischen einem ESM Ger t und der ESM Konsole wird ebenfalls mithilfe von AES gesendet Auf dem ESM Ger t werden ber einen verschl sselten Kommunikationsmechanismus authentifizierte und verschl sselte Signatur und Software Aktualisierungen vom zentralen McAfee Server abgerufen Durch Hardware und Software basierte Mechanismen wird sichergestellt dass die Ger te nur ber ein ordnungsgem autorisiertes ESM Ger t verwaltet werden Definieren von Standardanmeldeeinstellungen Passen Sie die Einstellungen f r die Standardanmeldeverfahren an indem Sie festlegen wie viele Anmeldeversuche in einem bestimmten Zeitraum m glich sind wie lange das System inaktiv sein kann wie die Kennworteinstellungen lauten und ob bei der Anmeldung die letzte Benutzer ID angezeigt werden soll McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 201 3 Konfigurieren von ESM Arbeiten mit Benutzern und Gruppen Vo
296. e Klicken Sie auf das orangefarbige Filtersymbol auf der Titelleiste des Regelanzeigebereichs Y Die Filter werden gel scht und alle Regeln werden wieder im Regelanzeigebereich angezeigt L schen der Filter Tags Klicken Sie auf der Symbolleiste auf das Symbol Alle l schen 4 Tags werden gel scht die Liste der Regel bleibt jedoch gefiltert McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 367 10 368 Verwalten von Richtlinien und Regeln Regelvorg nge Aufgabe Vorgehensweise Filtern nach Signatur ID 1 2 Klicken Sie unten im Bereich Filter auf die Leiste Erweitert Geben Sie die Signatur ID ein und klicken Sie dann auf das Symbol Abfrage ausf hren Filtern nach Name oder Beschreibung Geben Sie im Bereich Erweitert den Namen oder die Beschreibung ein Wenn die Ergebnisse ungeachtet der Gro Kleinschreibung angezeigt werden sollen klicken Sie auf das Symbol Gro Kleinschreibung ignorieren Aa Filtern nach Ger tetyp normalisierter ID oder Aktion Klicken Sie im Bereich Erweitert auf das Symbol Filter F W hlen Sie auf der Seite Filtervariablen die Variable aus Vergleichen Sie die Unterschiede in den richtlinienbasierten Einstellungen f r einen Regeltyp und dessen unmittelbar bergeordneten Regeltyp W hlen Sie im Bereich Erweitert die Option Ausnahmen anzeigen aus und klicken Sie dann auf das Symbol Abfrage ausf hren Filtern nach Schw
297. e Konfiguration auf Protokollierung 3 W hlen Sie die erforderlichen Optionen aus und klicken Sie dann auf OK ndern der Sprache f r Ereignisprotokolle Bei der ersten Anmeldung beim ESM Ger t haben Sie die Sprache f r Ereignisprotokolle wie beispielsweise das Protokoll der Integrit ts berwachung und das Ger teprotokoll ausgew hlt Sie k nnen diese Spracheinstellung ndern Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur Folgendes aus Systemeigenschaften ESM Verwaltung 2 Klicken Sie auf Gebietsschema des Systems w hlen Sie in der Dropdown Liste eine Sprache aus und klicken Sie dann auf OK Exportieren und Wiederherstellen von Kommunikationsschl sseln Exportieren Sie die Kommunikationsschl ssel f r alle Ger te im System in eine einzelne Datei Die exportierten Kommunikationsschl ssel k nnen Sie bei Bedarf wiederherstellen e W hlen Sie in der Systemnavigationsstruktur die Optionen Systemeigenschaften ESM Verwaltungaus und klicken Sie dann auf die Registerkarte Schl sselverwaltung 214 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Verwalten des ESM Ger ts Aufgabe Vorgehensweise Exportieren aller 1 Klicken Sie auf Alle Schl ssel exportieren Kommunikationsschl ssel 2 Legen Sie das Kennwort f r die Schl sseldatei fest und klicken Sie dann auf OK
298. e abzufragenden McAfee ePO Ger te aus 6 Optional Klicken Sie auf Filter f gen Sie die Filterwerte f r die Abfrage hinzu und klicken Sie dann auf OK 7 Wenn Sie in der Dropdown Liste die Option Benutzerdefinierte ePO Frage ausgew hlt haben klicken Sie auf Felder w hlen Sie die Elemente aus die in der Frage enthalten sein sollen und klicken Sie dann auf OK 8 Klicken Sie auf Fertig stellen um den Abfragen Assistenten zu schlie en definieren Sie im Bereich Eigenschaften die Eigenschaften und speichern Sie den Bericht Abfragen von McAfee ePO Ger ten nach einer Datenanreicherung Sie k nnen mehrere McAfee ePO Ger te nach einer Datenanreicherung abfragen wenn diese in Real Time for McAfee ePO integriert sind Bevor Sie beginnen Vergewissern Sie sich dass die abzufragenden McAfee ePO Ger te in McAfee Real Time for McAfee ePO integriert sind McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 169 3 Konfigurieren von ESM Konfigurieren von Ger ten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das System aus Klicken Sie auf das Symbol Eigenschaften und dann auf Datenanreicherung 2 Klicken Sie auf Hinzuf gen geben Sie einen Namen ein und treffen Sie dann auf der Registerkarte Hauptbildschirm eine Auswahl 3 W hlen Sie auf der Registerkarte Quelle die Option McAfee Real Time for McAfe
299. e auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Database Speicherverwendung In den Tabellen Ereignisse und Fl sse wird die Speicherverwendung der Datenbank aufgef hrt 2 Zum Drucken der Berichte klicken Sie auf das Symbol Drucken 3 Arbeiten mit Benutzern und Gruppen Benutzer und Gruppen m ssen zum System hinzugef gt werden damit sie auf das ESM Ger t seine Ger te und Richtlinien sowie die zugeordneten Berechtigungen zugreifen k nnen Im FIPS Modus verf gt ESM ber vier m gliche Benutzerrollen Benutzer Power User Administrator f r Schl ssel und Zertifikate und Audit Administrator Wenn das Ger t nicht im FIPS Modus betrieben wird sind zwei Arten von Benutzerkonten m glich Systemadministrator und allgemeiner Benutzer Die Seite Benutzer und Gruppen enth lt zwei Abschnitte e Benutzer Enth lt Namen von Benutzern die Anzahl der zurzeit ge ffneten Sitzungen der einzelnen Benutzer und die Gruppen denen die Benutzer angeh ren e Gruppen Enth lt Namen von Gruppen und eine Beschreibung der Berechtigungen die den einzelnen Gruppen zugewiesen sind 7 Sie k nnen die Tabellen sortieren indem Sie auf Benutzername Sitzungen oder Gruppenname klicken McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 199 200 Konfigurieren von ESM Arbeiten mit Benutzern und Gruppen Gruppenberechtigungen Beim Einrichten einer Gruppe leg
300. e auf die Registerkarte Einstellungen und dann auf Audio 3 Sie k nnen Audiodateien herunterladen hochladen entfernen oder wiedergeben Klicken Sie dann auf Schlie en Verwalten von Alarmempf ngern Wenn Sie die Aktionseinstellungen f r einen Alarm festlegen k nnen Sie eine Nachricht an Empf nger senden Die Liste der Empf nger k nnen Sie auf der Seite Alarme verwalten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Alarme 2 Klicken Sie auf die Registerkarte Einstellungen und dann auf Empf nger 3 W hlen Sie den Typ der zu verwaltenden Empf ngerliste aus F gen Sie dann Empf nger hinzu bearbeiten Sie sie oder entfernen Sie sie Verwalten von Alarmen Wenn ein Alarm ausgel st wird k nnen Sie ihn best tigen l schen oder die Details anzeigen Au erdem k nnen Sie die Best tigung eines Alarms aufheben den Beauftragten ndern und aus einem Alarm einen Fall erstellen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 249 6 Arbeiten mit Alarmen Verwalten von Alarmen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Greifen Sie auf eines der folgenden Elemente zu e Protokollbereich Alarm Befindet sich unter der Systemnavigationsstruktur e Visuelle Pop Up Warnung Wi
301. e benachrichtigt 2 Klicken Sie auf OK um DEM Eigenschaften zu schlie en 3 Zum Anzeigen der Benachrichtigungen klicken Sie in der Systemnavigationsstruktur auf das DEM Ger t und w hlen Sie dann Folgendes aus Ereignisansichten Ereignisanalyse 4 Zum Hinzuf gen des Servers zum System w hlen Sie die Ansicht Ereignisanalyse aus klicken Sie dann auf das Symbol Men und w hlen Sie Server hinzuf gen aus Einstellungen f r verteilte ESM Ger te DESM Das verteilte ESM Ger t DESM verf gt ber eine verteilte Architektur ber die Verbindungen zwischen dem bergeordneten ESM Ger t und bis zu 100 Ger ten m glich sind von denen Daten gesammelt werden k nnen Die Daten werden durch das bergeordnete Ger t basierend auf den von Ihnen definierten Filtern vom Ger t abgerufen Au erdem k nnen Sie die vom Ger t stammenden Daten nahtlos aufgliedern wobei die Daten auf dem ESM Ger t bleiben Das bergeordnete ESM Ger t muss vom DESM Ger t genehmigt werden damit Ereignisse abgerufen werden k nnen Durch das bergeordnete Ger t k nnen Filter festgelegt Datenquellen synchronisiert und benutzerdefinierte Typen mithilfe von Push bertragen werden Erst nach der Genehmigung k nnen Regeln oder Ereignisse vom DESM Ger t abgerufen werden Wenn Sie sich mit Administratorrechten beim DESM Ger t anmelden wird die folgende Benachrichtigung angezeigt Dieses ESM Ger t wurde als verteiltes ESM Ger t auf einem anderen Serv
302. e dann auf Anwenden Alle nderungen werden mithilfe von Push an das Ger t bertragen und werden sofort wirksam Beim Anwenden der nderungen wird das Ger t erneut initialisiert wodurch alle aktuellen Sitzungen getrennt werden McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Verwalten von Ger ten Verwalten von Netzwerkschnittstellen Die Kommunikation mit einem Ger t kann ber die ffentlichen und privaten Schnittstellen der Datenverkehrspfade erfolgen Dies bedeutet dass das Ger t im Netzwerk nicht sichtbar ist da es keine IP Adresse ben tigt Verwaltungsschnittstelle Netzwerkadministratoren k nnen alternativ eine Verwaltungsschnittstelle mit einer IP Adresse f r die Kommunikation zwischen ESM und dem Ger t konfigurieren F r die folgenden Funktionen eines Ger ts muss eine Verwaltungsschnittstelle verwendet werden e Vollst ndige Kontrolle ber Umgehungs Netzwerkkarten e Verwenden der Zeitsynchronisierung ber NTP e Vom Ger ten generiertes Syslog e SNMP Benachrichtigungen Ger te sind mit mindestens einer Verwaltungsschnittstelle ausgestattet ber die das Ger t eine IP Adresse erh lt Mit einer IP Adresse ist der direkte Zugriff auf das Ger t durch ESM m glich ohne dass die Kommunikation an eine andere Ziel IP Adresse oder einen anderen Hostnamen geleitet werden muss D Verbinden Sie die Verwaltungsschnittstelle des Netzwerks nicht mit einem ffentlichen Netzwerk da si
303. e ePO im Feld Typ aus und w hlen Sie dann im Feld Ger t die Ger te aus 4 Legen Sie die verbleibenden Einstellungen auf den Registerkarten Abfrage Bewertung und Ziel fest und klicken Sie dann auf Fertig stellen Abfragen von McAfee ePO Ger ten f r das McAfee Real Time for McAfee ePO Dashboard Sie k nnen in der Dashboard Ansicht von McAfee ePO eine Abfrage f r mehrere McAfee Real Time for McAfee ePO Ger te ausf hren Bevor Sie beginnen Vergewissern Sie sich dass die abzufragenden McAfee ePO Ger te in McAfee Real Time for McAfee ePO integriert sind Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie in der Systemnavigationsstruktur auf die abzufragenden McAfee ePO Ger te 2 Klicken Sie in der ESM Konsole auf die Liste der Ansichten und w hlen Sie dann McAfee Real Time for McAfee ePO aus 3 W hlen Sie im Bereich Filter die Filter aus a Klicken Sie im Abschnitt Elemente auf das offene Feld und w hlen Sie die Elemente f r die Abfrage aus b W hlen Sie im Abschnitt Filter den Typ des Filters aus und geben Sie dann den Filter in das offene Feld ein c W hlen Sie die Filteraktion aus und geben Sie dann den Wert ein i Klicken Sie auf das Symbol Abfrage ausf hren i Einstellungen f r Nitro Intrusion Prevention System Nitro IPS Mit dem McAfee Nitro Intrusion Prevention System Ger t Nitro IPS k nnen ausgekl gelte Netzw
304. e eingeben oder importieren Eine dynamische Watchlist besteht aus Werten die sich aus von Ihnen definierten regul ren Ausdr cken oder Suchkriterien f r Zeichenfolgen ergeben Eine Watchlist kann maximal 1 000 000 Werte enthalten In der Liste der Werte auf den Seiten Watchlist hinzuf gen oder Watchlist bearbeiten k nnen maximal 25 000 Werte angezeigt werden Wenn mehr Werte vorhanden sind werden Sie informiert dass mehr Werte vorhanden sind als angezeigt werden k nnen Wenn Sie eine Watchlist bearbeiten m chten indem Sie Werte hinzuf gen durch die die Gesamtanzahl 25 000 bersteigt m ssen Sie die vorhandene Liste in eine lokale Datei exportieren die neuen Werte hinzuf gen und dann die neue Liste importieren Sie k nnen die Werte in einer Watchlist so einrichten dass sie ablaufen Der Wert wird mit einem Zeitstempel versehen und l uft ab wenn die festgelegte Dauer erreicht ist und der Wert nicht aktualisiert wird Werte werden aktualisiert wenn ein Alarm ausgel st wird und die Werte zur Watchlist hinzugef gt werden Sie k nnen die Werte f r die Ablaufen festgelegt ist aktualisieren indem Sie sie mit der Option An Watchlist anf gen im Men einer Ansichtskomponente an die Liste anf gen siehe Men optionen f r Komponenten ESM enth lt einen Konnektor f r die relationale Datenquelle in Hadoop HBase von dem die Paare aus Schl ssel und Wert aus der Quelle verwendet werden Diese Daten k nnen in einer Watchlist verwende
305. e fortgesetzt Dabei wird jedoch ein Fehlerstatus zur ckgegeben aus dem hervorgeht dass mindestens ein Pool ber eine abweichende Konfiguration verf gt Diese Pools m ssen Sie manuell korrigieren Wenn Sie das ELM Standby Ger t ersetzen oder erneut konfigurieren wird dies vom System erkannt und Sie werden aufgefordert den Authentifizierungsschl ssel f r das Ger t erneut festzulegen Alle Konfigurationsdateien werden dann vom aktiven ELM Ger t mit dem ELM Standby Ger t synchronisiert und die Redundanz wird wie zuvor fortgesetzt McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Anhalten Sie k nnen die Kommunikation mit dem ELM Standby Ger t anhalten wenn das Ger t inaktiv ist oder wird Die gesamte Kommunikation wird angehalten und Fehlerbenachrichtigungen f r die Redundanz werden maskiert Wenn das ELM Standby Ger t wieder aktiviert wird f hren Sie das Verfahren f r die Wiederinbetriebnahme aus Deaktivieren der Redundanz auf dem ELM Ger t Sie k nnen die ELM Redundanz deaktivieren indem Sie die Option Entfernen ausw hlen Auf dem aktiven ELM Ger t wird eine Kopie der Redundanzkonfigurationsdateien gespeichert Wenn diese Sicherungsdatei beim Aktivieren der ELM Redundanz gefunden wird werden Sie gefragt ob Sie die gespeicherten Konfigurationsdateien wiederherstellen m chten Anzeigen des Status Sie k nnen Details zum Status der Datensynchronisieru
306. e werden unter den Optionen Systemprotokoll oder Ger teprotokoll aufgef hrt auf die Sie ber die Seite Eigenschaften f r das System oder das jeweilige Ger t zugreifen Einrichten von Downloads f r Ereignisse Fl sse und Protokolle berpr fen Sie manuell ob Ereignisse Fl sse und Protokolle vorhanden sind oder legen Sie fest dass diese berpr fung automatisch vom Ger t ausgef hrt wird Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Ereignisse Fl sse und Protokolle Ereignisse und Protokolle oder Protokolle 3 Richten Sie die Downloads ein und klicken Sie dann auf Anwenden Begrenzen der Erfassungszeit f r Daten Sie k nnen durch Planen eines t glichen Zeitbereichs begrenzen wann vom ESM Ger t die Daten von den einzelnen Ger ten abgerufen werden und wann die Daten von den einzelnen Ger ten an das ELM Ger t gesendet werden Bevor Sie beginnen Deaktivieren Sie die Dynamische Aggregation und legen Sie Aggregationsebene 1 auf einen Wert zwischen 240 und 360 Minuten fest siehe ndern von Einstellungen f r die Ereignis oder Flussaggregation Mit dieser Funktion k nnen Sie vermeiden dass das Netzwerk zu Spitzenzeiten verwendet wird sodass die Bandbreite anderen Anwendungen zur Verf gung steht Da dadur
307. eaktivierten Indexes nicht verarbeitet werden k nnen Sie erfahren nicht welcher Index den Vorgang beeintr chtigt Aufgrund dieser Einschr nkung sollten Sie Standard Indizes nur deaktivieren wenn dies wirklich erforderlich ist 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Datenbank 2 Klicken Sie auf Einstellungen und dann auf die Registerkarte Akkumulator Indizierung 3 Klicken Sie in der Dropdown Liste auf Standard Indizes und w hlen Sie dann Standard Indizes anzeigen aus Die Standard Indizes werden im Bereich Aktiviert aufgef hrt 4 Klicken Sie auf die Standard Indizes die deaktiviert werden sollen und klicken Sie dann auf den Pfeil um sie in den Bereich Verf gbar zu verschieben Die Zahl in der Angabe verbleibend in der rechten oberen Ecke der Seite wird mit jedem deaktivierten Standard Index erh ht Jetzt k nnen Sie mehr als f nf Akkumulator Indizes f r das ausgew hlte Akkumulator Feld aktivieren siehe Verwalten der Akkumulator Indizierung Einrichten des Archivs f r inaktive Partitionen Die Daten von ESM sind in Partitionen unterteilt Wenn die maximale Gr e einer Partition erreicht ist wird die Partition inaktiv und wird gel scht Sie k nnen einen Speicherort f r inaktive Partitionen konfigurieren damit diese nicht gel scht werden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken
308. earbeiten oder die Priorit t der Aktion ndern Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 m m Klicken Sie in der Systemnavigationsstruktur auf das Symbol Richtlinien Editor i und dann auf Extras DEM Aktions Manager 2 Klicken Sie auf die benutzerdefinierte Aktion die Sie ndern m chten und f hren Sie einen der folgenden Schritte aus e Zum ndern der Priorit t klicken Sie auf den Pfeil nach oben oder nach unten bis sich die Aktion an der richtigen Position befindet Zum ndern des Namens oder der Beschreibung klicken Sie auf Bearbeiten 3 Klicken Sie auf OK um die Einstellungen zu speichern Festlegen des Vorgangs f r eine DEM Aktion F r alle Regelaktionen gibt es einen Standardvorgang Wenn Sie eine benutzerdefinierte DEM Aktion hinzuf gen lautet der Standardvorgang Keine Sie k nnen den Vorgang f r eine Aktion in Ignorieren Verwerfen Skript oder Zur cksetzen ndern Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option DEM Eigenschaften aus und klicken Sie dann auf Aktionsverwaltung 2 Heben Sie die zu bearbeitende Aktion hervor und klicken Sie dann auf Bearbeiten 3 W hlen Sie einen Vorgang aus und klicken Sie dann auf OK Arbeiten mit Masken f r vertrauliche Daten Mit Masken f r vertrauliche Daten verhindern Sie das n
309. eben Sie dann Ja ein und klicken Sie auf OK Ansicht Erweiterte ELM Suche Die Ansicht Erweiterte ELM Suche ist verf gbar wenn im System mindestens ein ELM Ger t vorhanden ist Mit dieser Ansicht k nnen Sie detailliertere Suchvorg nge ausf hren und beim Durchsuchen von Protokollen auf einem oder mehreren ELM Ger ten den Suchfortschritt und die Ergebnisse in Echtzeit verfolgen In dieser Ansicht werden die Funktionen des Archivs auf dem ELM Ger t f r die Erstellung von Statistikberichten genutzt Sie erhalten Echtzeitinformationen zur Menge der zu durchsuchenden Daten und k nnen die Abfrage eingrenzen um die Anzahl der durchsuchten Dateien zu minimieren Um die Geschwindigkeit der Suche bei Verwendung von Erweiterte ELM Suche zu erh hen m ssen Sie das Scan Modul f r die Volltextindizierung aktivieren Dadurch wird die Geschwindigkeit erh ht da weniger Dateien durchsucht werden m ssen Damit diese Steigerung wirksam wird m ssen alle vorhandenen ELM Protokolle indiziert werden Nach der Aktivierung der Indizierung kann dieser Vorgang mehrere Wochen dauern Ausschlaggebend sind dabei die Geschwindigkeit des Systems und die Anzahl der erfassten Protokolle Die Suchleistung wird in dieser Zeit nicht verringert vielmehr wird sie durch die Indizierung der ELM Protokolle verbessert Informationen zum Aktivieren der Volltextindizierung finden Sie unter Erm glichen schnellerer ELM Suchvorg nge W hrend des Suchvorgangs werden in den Dia
310. ebenen Zeitraum keine Ereignisse oder Fl sse generiert werden werden Sie benachrichtigt Wenn der Schwellenwert erreicht ist wird in der Systemnavigationsstruktur neben dem Ger teknoten eine gelbe Kennzeichnung f r den Integrit tsstatus angezeigt Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus stellen Sie sicher dass Systeminformationen ausgew hlt ist und klicken Sie dann auf Ereignisse Fl sse und Protokolle 2 Klicken Sie auf Einstellungen f r Inaktivit t 3 Geben Sie das Ger t hervor und klicken Sie dann auf Bearbeiten 4 Nehmen Sie nderungen an den Einstellungen vor und klicken Sie dann auf OK Abrufen von Ereignissen und Fl ssen Rufen Sie Ereignisse und Fl sse f r die in der Systemnavigationsstruktur ausgew hlten Ger te ab Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das System eine Gruppe oder ein Ger t aus D Klicken Sie auf der Aktionssymbolleiste auf das Symbol Ereignisse und Fl sse abrufen und f hren Sie dann die erforderlichen Schritte aus 3 W hlen Sie nach Abschluss des Downloads eine Ansicht aus in der die Ereignisse und Fl sse angezeigt werden sollen Klicken Sie dann auf der Ansichtssymbolleiste auf das Symbol Aktuelle ar Ansicht akt
311. ec Felder ab Spalte AM Spalte Beschreibung Details opsec_parent Kennzeichnung f r Erforderlich T F T Datenquelle ist bergeordnete Elemente bergeordnet F Datenquelle ist Ger tetyp nicht bergeordnet opsec_authentication Kennzeichnung f r Wird verwendet wenn bergeordnetes Authentifizierung verwenden Element T Standardwert F opsec_appname Anwendungsname Erforderlich wenn authentication T optional wenn F Standardwert leer opsec_actkey Aktivierungsschl ssel Erforderlich wenn authentication T optional wenn F Standardwert leer opsec_parent_id Name der bergeordneten Name des bergeordneten Elements Datenquelle Erforderlich wenn bergeordnetes Element F Wenn die bergeordnete Datenquelle nicht anhand des Namens der bergeordneten Datenquelle gefunden wurde wird ein Fehler protokolliert opsec_port Wird verwendet wenn bergeordnetes Element T Standardwert 18184 88 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Tabelle 3 4 opsec Felder ab Spalte AM Fortsetzung Konfigurieren von ESM 3 Konfigurieren von Ger ten Spalte Beschreibung Details opsec_encryption Kennzeichnung f r Verschl sselung verwenden Wird verwendet wenn bergeordnetes Element T Standardwert F opsec_comm_method Kommunikationsmethode Wird verwendet wenn bergeordnetes Element T Standardwert leer Muss ein g ltiger Wert sein e le
312. ecurity Manager 9 5 0 Produkthandbuch 317 Arbeiten mit Asset Manager Verwalten von Ressourcen Verwalten von Vulnerability Assessment Quellen Zonenverwaltung Bewertung von Ressourcen Bedrohungen und Risiken Verwalten bekannter Bedrohungen Verwalten von Ressourcen Eine Ressource ist ein beliebiges Ger t im Netzwerk das ber eine IP Adresse verf gt Auf der Registerkarte Ressource in Asset Manager k nnen Sie Ressourcen erstellen ihre Tags ndern Ressourcengruppen erstellen Ressourcenquellen hinzuf gen und eine Ressource zu einer Ressourcengruppe hinzuf gen Au erdem k nnen Sie die Ressourcen ndern die von einem der Vulnerability Assessment Anbieter erlernt wurden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken Klicken Sie auf das Schnellstartsymbol f r Asset Manager mi 2 Vergewissern Sie sich dass die Registerkarte Ressource ausgew hlt ist 3 Verwalten Sie die Ressourcen nach Bedarf und klicken Sie dann auf OK Aufgaben e Definieren alter Ressourcen auf Seite 318 In der Gruppe Alte Ressourcen in Asset Manager k nnen Sie Ressourcen speichern die im definierten Zeitraum nicht entdeckt wurden Definieren alter Ressourcen In der Gruppe Alte Ressourcen in Asset Manager k nnen Sie Ressourcen speichern die im definierten Zeitraum nicht entdeckt wurden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutz
313. ecurity Manager 9 5 0 Produkthandbuch 63 64 Konfigurieren von ESM Konfigurieren von Ger ten Die folgenden Empf ngermodelle sind mit der Funktionalit t f r Hochverf gbarkeit erh ltlich e ERC 1225 HA e ERC 1250 HA e ERC 2230 HA e ERC 1260 HA e ERC 2250 HA e ERC 2600 HA e ERC 4245 HA e ERC 4600 HA e ERC 4500 HA Diese Modelle verf gen ber einen IPMI Port Intelligent Platform Management Interface sowie mindestens vier Netzwerkkarten die f r die HA Funktionalit t ben tigt werden siehe Netzwerk Ports an Empf nger HAs Aufgrund der IPMI Karten ist es nicht m glich durch Herunterfahren des Empf ngers mit dem Fehler beide DS Netzwerkkarten mit der freigegebenen IP und MAC Adresse gleichzeitig zu verwenden Die IPMI Karten sind ber ein gekreuztes oder nicht gekreuztes Kabel mit dem jeweils anderen Empf nger verbunden Die Empf nger sind ber ein gekreuztes oder nicht gekreuztes Kabel an der Heartbeat Netzwerkkarte verbunden Es gibt eine Verwaltungs Netzwerkkarte f r die Kommunikation mit ESM und eine Datenquellen Netzwerkkarte f r die Erfassung von Daten Wenn der prim re Empf nger ordnungsgem ausgef hrt wird und der sekund re Empf nger sich im sekund ren Modus befindet geschieht Folgendes e Zwischen den Empf ngern findet st ndig Kommunikation ber die dedizierte Heartbeat Netzwerkkarte und die Verwaltungs Netzwerkkarte statt e Empfangene Zertifikate beispielsweise f r OPSEC oder eStreamer werden
314. ed 4 IPMI Netzwerkkarte 9 Verwaltung 1 IP 5 Heartbeat HB ERC 2600 HA und ERC 4600 HA 1 IPMI Netzwerkkarte 6 Daten 2 HB 7 IPMI 3 Verwaltung 2 8 Verwaltung 1 4 Verwaltung 3 9 Daten Feed 5 Verwaltung Einrichten von Empf nger HA Ger ten Definieren Sie die Einstellungen f r die Empf nger HA Ger te Bevor Sie beginnen F gen Sie den als prim res Ger t verwendeten Empf nger hinzu siehe Hinzuf gen von Ger ten zur ESM Konsole Der Empf nger muss ber mindestens drei Netzwerkkarten verf gen Die Funktion f r Empf nger mit Hochverf gbarkeit ist nicht FIPS konform Verwenden Sie diese Funktion nicht wenn Sie FIPS Vorschriften einhalten m ssen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 67 68 Konfigurieren von ESM Konfigurieren von Ger ten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur den Empf nger aus der als prim res HA Ger t verwendet werden soll Klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Empf ngerkonfiguration und dann auf Schnittstelle 3 Klicken Sie auf die Registerkarte HA Empf nger und w hlen Sie dann Hochverf gbarkeit einrichten aus 4 Geben Sie die erforderlichen Informationen ein und klicken Sie dann auf OK Damit initiieren Sie den Prozess bei dem der Schl ssel f r den zweiten Empf nger festgelegt wird aktualisieren d
315. efragten Informationen keine Quellbenutzerdaten enthalten werden von der Abfrage keine Ergebnisse zur ckgegeben Wenn Sie jedoch das Benutzerfeld 7 ausw hlen das als Benutzerfeld f r Quellbenutzer vorgesehen ist fungiert das Feld nicht als Filter und wird in der Ergebnistabelle als Spalte angezeigt Vorhandene Quellbenutzerdaten werden in dieser Spalte angezeigt Wenn f r das Feld keine Daten vorhanden sind ist die Spalte Benutzerfeld 7 leer w hrend die anderen Spalten ausgef llt sind Benutzerdefinierter Datentyp Wenn Sie im Feld Datentyp die Option Benutzerdefiniert ausw hlen k nnen Sie die Bedeutung der einzelnen Felder in einem Protokoll mit mehreren Feldern definieren McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 303 304 Arbeiten mit Ereignissen Benutzerdefinierte Typfilter Ein Protokoll 100300 351 enth lt beispielsweise drei Felder 100 300 35 1 Mit dem benutzerdefinierten Untertyp k nnen Sie festlegen worum es sich bei den einzelnen Feldern handelt Ganzzahl Dezimalzahl boolescher Wert Beispiel e Anf ngliches Protokoll 100300 351 e Drei Untertypen Ganzzahl Dezimalformat Boolescher Wert e Benutzerdefinierter Untertyp 100 300 35 1 Die Untertypen k nnen maximal 8 Bytes 64 Bits an Daten enthalten In Speicherplatzverwendung wird die 67 Anzahl der verwendeten Bytes und Bits angezeigt Wenn das Maximum berschritten ist wird in diesem Feld in Rot darauf hingewiesen dass der Speicher
316. egenden Ablaufdatum exportiert wird Wenn Sie Kein Ablauf ausw hlen und der Schl ssel auf einem anderen ESM Ger t importiert wird l uft der Schl ssel nie ab Klicken Sie auf OK w hlen Sie den Speicherort f r die vom ESM Ger t erstellte PRK Datei aus und melden Sie sich dann beim prim ren ESM Ger t ab Hinzuf gen 1 eines Ger ts zum sekund ren ESM Ger t und 2 Importieren der PRK Datei 3 W hlen Sie in der Systemnavigationsstruktur des sekund ren Ger ts das System oder den Knoten auf Gruppenebene aus zu dem Sie das Ger t hinzuf gen m chten Klicken Sie auf der Aktionssymbolleiste auf Ger t hinzuf gen W hlen Sie den Typ des hinzuzuf genden Ger ts aus und klicken Sie dann auf Weiter Geben Sie einen in dieser Gruppe eindeutigen Namen f r das Ger t ein und klicken Sie dann auf Weiter Geben Sie die Ziel IP Adresse des Ger ts ein geben Sie den FIPS Kommunikationsport ein und klicken Sie dann auf Weiter Klicken Sie auf Schl ssel importieren navigieren Sie zu der zuvor exportierten PRK Datei und klicken Sie dann auf Hochladen Geben Sie das Kennwort ein das Sie beim anf nglichen Export des Schl ssels festgelegt haben Melden Sie sich beim sekund ren ESM Ger t ab Aktivieren der Kommunikation mit mehreren ESM Ger ten im FIPS Modus Sie k nnen die Kommunikation zwischen mehreren ESM Ger ten und dem gleichen Ger t zulassen indem Sie PUK und EXK Dateien exportieren und import
317. eicherplatz jeweils zugeordnet werden soll und wie viele Datens tze durchsucht werden um Abfragen zu optimieren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Database Datenzuordnung 2 Klicken Sie auf die Markierungen der Zahlenzeilen und ziehen Sie sie auf die gew nschten Zahlen Alternativ k nnen Sie auf die Pfeile in den Feldern Ereignisse und Fl sse klicken 3 Klicken Sie auf OK Verwalten von Indexeinstellungen f r die Datenbank Konfigurieren Sie Optionen f r die Indizierung bestimmter Datenfelder in der Datenbank Nicht indizierte Daten werden zwar gespeichert aber in den meisten Abfrageergebnissen nicht angezeigt Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Database Einstellungen 2 Zum ndern der aktuellen Einstellungen in den Spalten Ereignisse und Fl sse klicken Sie auf das zu ndernde Element und w hlen Sie in der Dropdown Liste eine neue Einstellung aus 3 Wenn Sie in den Spalten mit der Bezeichnung Port die Option Benutzerdefiniert ausw hlen wird der Bildschirm Port Werte ge ffnet Hier k nnen Sie einen neuen Port Wert ausw hlen oder hinzuf gen 4 Klicken Sie
318. eigebereich aufgef hrt 4 W hlen Sie die zu l schenden Regeln aus 5 Klicken Sie auf Vorgang Aktualisierten Regelstatus l schen Ausgew hlt Vergleichen von Regeldateien Sie k nnen den Richtlinienstatus angewendet aktuell Rollback oder bereitgestellt von Regeldateien f r Nitro IPS Empf nger ADM und DEM vergleichen Dies ist hilfreich wenn Sie sehen m chten was sich durch die Anwendung der aktuellen Richtlinie auf ein Ger t ndern w rde In diesen Fall w rden Sie die aktuellen Regeln und die angewendeten Regeln vergleichen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie in der Systemnavigationsstruktur auf ein Nitro IPS Ger t Empf ngerger t ADM oder DEM Ger t 2 m Im Klicken Sie auf der Aktionssymbolleiste auf das Symbol Richtlinien Editor i und dann auf Extras Regeldateien vergleichen 3 W hlen Sie die entsprechenden Optionen aus zeigen Sie die Ergebnisse an und klicken Sie dann auf Schlie en Anzeigen des Verlaufs der Regel nderungen Sie k nnen die ge nderten aktualisierten oder zum System hinzugef gten Regeln sowie die neueste Version der jeweiligen Regel anzeigen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie im Richtlinien Editor auf Extras Verlauf der Regel nderungen 2 Zeigen Sie auf der Seite Regelverlauf die an Re
319. eigen des Verlaufs der Richtlinien nderungen 2 2 En nn m nn 375 Anwenden von Richtlinien nderungen 2 2 22 nn nn nn nn 375 Verwalten von Datenverkehr mit Priorit t 222 nn nn nn 375 Index 377 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Einleitung In diesem Handbuch finden Sie die erforderlichen Informationen f r die Arbeit mit Ihrem McAfee Produkt Inhalt Informationen zu diesem Handbuch Quellen f r Produktinformationen Informationen zu diesem Handbuch In diesem Abschnitt werden die Zielgruppe des Handbuchs die verwendeten typografischen Konventionen und Symbole sowie die Gliederung des Handbuchs beschrieben Zielgruppe Die Dokumentation wurde von McAfee nach eingehender Recherche mit Blick auf die Zielgruppe verfasst Die Informationen in diesem Handbuch richten sich in erster Linie an e Administratoren Personen die f r die Implementierung und Durchsetzung des Sicherheitsprogramms eines Unternehmens verantwortlich sind e Benutzer Personen die den Computer nutzen auf dem die Software ausgef hrt wird und die auf einige oder alle Funktionen zugreifen k nnen Konventionen In diesem Handbuch werden folgende typografische Konventionen und Symbole verwendet Buchtitel Begriff Hervorhebung Fett Benutzereingabe Code Meldung Benutzeroberfl chentext Hypertext Blau McAfee Enterprise Security Manager 9 5 0 Titel eines Buchs Kapitels oder Themas
320. einzelnen Verwendungseinstellungen f r einzelne Regeln im Richtlinien Editor ge ndert Beispiel Wenn der Modus aktiviert ist kann eine Regel mit Warnungen an das Nitro IPS Ger t oder das virtuelle Ger t gesendet werden obwohl die Verwendung im Richtlinien Editor auf Verwerfen festgelegt ist Ausnahme Eine auf Zulassen festgelegte Regel bleibt in diesem Modus Auf diese Weise k nnen Sie problemlos Reiner Warnungsmodus aktivieren und McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 361 10 362 Verwalten von Richtlinien und Regeln Einstellungen f r Standardrichtlinien deaktivieren ohne dass sich dies anderweitig auf die Richtlinieneinstellungen auswirkt Reiner Warnungsmodus hat keine Auswirkungen auf deaktivierte Regeln Wenn Deaktivieren festgelegt ist werden Regeln nie an ein Ger t gesendet Aktivieren von Reiner Warnungsmodus Wenn Sie m chten dass alle aktivierten Regeln mit Warnungen an die Ger te gesendet werden m ssen Sie die Funktion Reiner Warnungsmodus aktivieren Da f r diese Einstellung die Vererbung gilt wird mit der Einstellung dieser Richtlinie der Wert berschrieben den sie anderenfalls erben w rde Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 ken Klicken Sie im Richtlinien Editor auf das Symbol Einstellungen w 2 W hlen Sie im Feld Reiner Warnungsmodus die Option An aus Einrichten des berbelegungsmodus Mit dem ber
321. el 214 Komponente 289 Regeln 365 Schl ssel 38 Exportieren und Importieren EXK Datei 17 PUK Datei 17 Exportieren von Zonen 323 Externe API Verwalten von Abfragen 215 216 Externer ELM Datenspeicher 128 F F lle Anpassen der bersicht 248 Anzeigen von Details 313 Anzeigen alle 314 382 McAfee Enterprise Security Manager 9 5 0 F lle Fortsetzung Bearbeiten 312 Berichte Generieren 315 E Mail Benachrichtigung 314 E Mail ausgew hlter Fall 314 Erstellen aus Alarm 249 Erstellen aus ausgel stem Alarm 275 Filtern 314 Hinzuf gen 311 Hinzuf gen von Ereignissen zu einem vorhandenen Fall 312 Quellereignisse Anzeigen 314 Schlie en 312 Senden einer E Mail beim Hinzuf gen oder ndern 314 Status Hinzuf gen 313 Status Hinzuf gen oder Bearbeiten 314 F lle Bereich 29 Fallverwaltung Bereich Anzeigen 30 200 Berichte Generieren 315 Farbdesign Konsole 30 Fehlerbehebung Empf nger HA Fehler 72 Fehlerbehebung FIPS Modus 20 Filter Ansichten 296 Ausgel ster Alarm 275 Benutzerdefinierter Typ 303 Bereich 29 F r Benutzer sichtbar und alle Wechseln 297 Hinzuf gen von Regeln 340 Hinzuf gen zu verteiltem ESM Ger t 163 Optionen Hinzuf gen und Entfernen 297 Speichern aktueller Werte als Standard 297 Standard verwenden 297 Symbolleiste 297 UCF 299 Vorhandene Regeln 367 Windows Ereignis ID 299 Filter contains 266 Filter Ereignisweiterleitung 262 Filtereinstellungen Bearbeiten Ereignisweiterleitung 262 Filterregel
322. eladen werden sollen 3 Klicken Sie auf Schlie en McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 251 6 Arbeiten mit Alarmen Verwalten von Alarmen 252 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen Sie k nnen mit ESM Milliarden von Ereignissen und Fl ssen identifizieren erfassen verarbeiten korrelieren und speichern Dabei stehen alle Informationen f r Abfragen forensische Funktionen berpr fung von Regeln und Compliance zur Verf gung Inhalt Ereignisse Fl sse und Protokolle Verwalten von Berichten Beschreibung der contains Filter und Filter f r regul re Ausdr cke Arbeiten mit ESM Ansichten Benutzerdefinierte Typfilter Ereignisse Fl sse und Protokolle In Ereignissen Fl ssen und Protokollen werden unterschiedliche Arten von Aktivit ten aufgezeichnet die auf einem Ger t auftreten Ein Ereignis ist eine Aktivit t die als Ergebnis einer im System vorhandenen Regel von einem Ger t aufgezeichnet wurde Ein Fluss ist ein Datensatz f r eine zwischen IP Adressen hergestellte Verbindung bei denen sich mindestens eine der IP Adressen in Ihrem Heimnetzwerk HOME_NET befindet Ein Protokoll ist ein Datensatz f r ein Ereignis das auf einem Ger t im System aufgetreten ist Ereignisse und Fl sse haben Quell und Ziel IP Adressen Quell und Ziel Ports Quell und Ziel MAC Adressen Media Access Control ein Protokoll sowie eine Angabe f r Erstes
323. elegt obwohl die Verbindung nicht hergestellt wurde tcp unexpected syn Die TCP Markierung SYN ist festgelegt obwohl die Verbindung hergestellt wurde tcp duplicate ack F r das TCP Paket wird eine ACK Nachricht f r Daten gesendet f r die bereits eine ACK Nachricht gesendet wurde tcp segment outsidewindow Das TCP Paket befindet sich auBerhalb des Fensters das kleine Fenster des TCP Moduls nicht das tats chliche Fenster tcp urgent nonzero withouturg flag Das TCP Feld urgent entspricht nicht null aber die URG Markierung ist nicht festgelegt Tabelle 3 36 DNS Begriff Beschreibung dns too small Das DNS Paket ist zu klein um einen g ltigen Header zu enthalten dns question name past end Der Name der DNS Frage geht ber das Ende des Pakets hinaus dns answer name past end Der Name der DNS Antwort geht ber das Ende des Pakets hinaus dns ipv4 address length wrong Die IPv4 Adresse in der DNS Antwort ist nicht vier Byte lang dns answer circular reference Die DNS Antwort enth lt einen Zirkelverweis Einstellungen f r Database Event Monitor DEM Mit McAfee Database Event Monitor DEM werden Datenbankaktivit ten in einem zentralen Audit Repository konsolidiert und die einzelnen Aktivit ten werden normalisiert korreliert analysiert und in Berichten erfasst Wenn Aktivit ten im Netzwerk oder auf einem Datenbank Server mit bekannten Mustern bereinstimmen die auf b sartigen Datenzug
324. elegt sein F r Empf nger k nnen mehrere Ressourcenquellen verwendet werden Wenn von zwei Ressourcenerkennungsquellen beispielsweise Vulnerability Assessment und Netzwerkerkennung die gleiche Ressource gefunden wird wird die entdeckte Ressource von der Erkennungsmethode mit der h chsten Priorit t zur Tabelle hinzugef gt Wenn zwei Erkennungsquellen die gleiche Priorit t haben hat diejenige Vorrang von der die Ressource zuletzt gefunden wurde Hinzuf gen einer Ressourcenquelle Zum Abrufen von Daten aus Active Directory m ssen Sie einen Empf nger konfigurieren McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 119 3 Konfigurieren von ESM Konfigurieren von Ger ten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Empf ngereigenschaften aus und klicken Sie dann auf Ressourcenquellen 2 Klicken Sie auf Hinzuf gen und geben Sie dann die erforderlichen Informationen ein 3 Klicken Sie auf OK und dann auf der Seite Ressourcenquellen auf Schreiben Einstellungen f r Enterprise Log Manager ELM In ELM wird das Speichern und Verwalten von Protokolldaten der Zugriff auf Protokolldaten und die Berichterstellung f r Protokolldaten unterst tzt Die von ELM empfangenen Daten werden in Speicherpools organisiert die jeweils aus Speicherger ten bestehen Jedem Speicherpool wird eine Aufbew
325. ellung der Datenbank oder eine erneute Erstellung im Hintergrund Der Status dieser Funktion wird ebenfalls angezeigt Der Status OK bedeutet dass die Datenbank normal funktioniert Unter Systemuhr werden Datum und Uhrzeit des Zeitpunkts angezeigt an dem die Systemeigenschaften letztmals ge ffnet oder aktualisiert wurden Unter Regelaktualisierung Ereignisse Fl sse und Protokolle und Sichern und wiederherstellen wird angezeigt wann letztmals die Regeln aktualisiert wurden Ereignisse Fl sse und Protokolle abgerufen wurden und eine Sicherung und Wiederherstellung ausgef hrt wurde McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 177 3 Konfigurieren von ESM Konfigurieren von zus tzlichen Diensten e Beim Betrieb im FIPS Modus werden unter FIPS Selbsttest und Status Zeitpunkt und Status des letzten FIPS Selbsttests angezeigt e Unter Berichte anzeigen werden die Berichte Anzahl der Ger tetypen und Ereigniszeitpunkt angezeigt Konfigurieren von Remedy Server Einstellungen Wenn ein Remedy System eingerichtet ist m ssen Sie die Remedy Einstellungen so konfigurieren dass die Kommunikation zwischen dem ESM Ger t und dem Remedy System m glich ist Bevor Sie beginnen Richten Sie das Remedy System ein Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie d
326. eln von Informationen f r die auftretenden Ereignistypen McAfee hat eine kontinuierlich aktualisierte Liste mit normalisierten IDs zusammengestellt in der Regeln beschrieben werden sodass Ereignisse in sinnvollen Kategorien gruppiert werden k nnen Wenn Sie im Richtlinien Editor im Bereich Regeltypen auf Normalisierung klicken werden diese IDs Namen und Beschreibungen angezeigt Bei den folgenden Ereignisfunktionen k nnen Sie Ereignisinformationen mithilfe normalisierter IDs organisieren e Felder von Ansichtskomponenten Normalisierte Ereigniszusammenfassung ist eine Option beim Definieren von Feldern f r eine Ereignisabfrage in den Komponenten Kreisdiagramm Balkendiagramm und Liste siehe Verwalten von Abfragen e Filter f r Ansichtskomponenten Beim Erstellen einer neuen Ansicht k nnen Sie ausw hlen dass Ereignisdaten in einer Komponente anhand der normalisierten IDs gefiltert werden sollen siehe Verwalten von Abfragen e Ansichtsfilter Normalisierte ID ist eine Option in der Liste der Ansichtsfilter siehe Filtern von Ansichten e Ansichtsliste Die Ansicht Normalisierte Ereigniszusammenfassung ist in der Liste der Ereignisansichten verf gbar Auf der Registerkarte Details in der Ansicht Ereignisanalyse werden die Normalisierungs IDs f r die in der Liste angezeigten Ereignisse aufgef hrt Beim Hinzuf gen von Filtern f r Normalisierte ID zu einer neuen oder vorhandenen Ansicht haben Sie folgende M glichkeiten
327. eln zum Richtlinien Editor zu Hilfe nehmen k nnen Syntax f r ADM Regeln Die ADM Regeln haben gro e hnlichkeit mit C Ausdr cken Der Hauptunterschied besteht darin dass es mehr Literale gibt Zahlen Zeichenfolgen regul re Ausdr cke IP Adressen MAC Adressen und boolesche Werte Zeichenfolgenbegriffe k nnen mit Zeichenfolgenliteralen und regul ren Ausdrucksliteralen verglichen werden um deren Inhalt zu testen Sie k nnen jedoch auch mit Zahlen verglichen werden um deren L nge zu testen Numerische Begriffe IP Adressbegriffe und MAC Adressbegriffe k nnen nur mit Literalwerten des gleichen Typs verglichen werden Einzige Ausnahme Alle Begriffe k nnen als boolesche Werte behandelt werden um zu testen ob sie vorhanden sind Manche Begriffe k nnen mehrere Werte haben So w rde beispielsweise die folgende Regel f r PDF Dateien in ZIP Dateien ausgel st type application zip amp amp type application pdf Tabelle 3 27 Operatoren Operator Beschreibung Beispiel amp amp Logisches AND protocol http amp amp type image gif Logisches OR time hour lt 8 time hour gt 18 NA Logisches XOR email from a b com email to a b com Un res NOT protocol http protocol ftp Gleich type application pdf I Nicht gleich srcip 192 168 0 0 16 gt Gr er objectsize gt 100M gt Gr er oder gleich time weekday gt 1 McAfee E
328. en 2 Sie k nnen den Bericht Anzahl der Ger tetypen oder Ereigniszeitpunkt anzeigen oder exportieren 3 Klicken Sie auf OK Anzeigen eines System oder Ger teprotokolls System und Ger teprotokolle enthalten Ereignisse die auf den Ger ten aufgetreten sind Sie k nnen die Zusammenfassungsseite anzeigen auf der Sie die Ereignisanzahl und den Zeitpunkt des ersten und letzten Ereignisses in ESM oder auf einem Ger t finden oder auf der Seite Systemprotokoll oder Ger teprotokoll eine detaillierte Liste der Ereignisse anzeigen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Zeigen Sie eine Zusammenfassung der Ereignisdaten an e Systemdaten Klicken Sie in Systemeigenschaften auf Systemprotokoll e Ger tedaten Klicken Sie auf der Seite Eigenschaften f r ein Ger t auf Ger teprotokoll 2 Zum Anzeigen des Ereignisprotokolls geben Sie einen Zeitbereich ein und klicken Sie dann auf Ansicht Auf der Seite Systemprotokoll oder Ger teprotokoll werden alle im angegebenen Zeitbereich generierten Ereignisse angezeigt Berichte zum Integrit tsstatus von Ger ten Neben System Gruppen oder Ger teknoten in der Systemnavigationsstruktur f r die ein Bericht zum Integrit tsstatus verf gbar ist werden Kennzeichnungen y in den folgenden Farben f r den Integrit tsstatus angezeigt wei Information gelb Inaktivit t oder Ger testatus oder rot McAfee Enterprise
329. en siehe Festlegen der Reihenfolge f r ASP Regeln und Filterregeln Hinzuf gen von Filterregeln Sie k nnen Filterregeln zum Richtlinien Editor hinzuf gen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie im Richtlinien Editor Folgendes aus Empf nger Filter 2 W hlen Sie Neu aus und klicken Sie dann auf Filterregel 3 F llen Sie die Felder aus und klicken Sie dann auf OK 4 Zum Aktivieren der Regel w hlen Sie die Regel im Regelanzeigebereich aus klicken Sie in der Spalte Aktion auf die Einstellung und klicken Sie dann auf aktiviert ASP Regeln Mithilfe von ASP k nnen Sie Daten aus Syslog Nachrichten auf der Basis benutzerdefinierter Regeln analysieren Mit den Regeln weisen Sie ASP an wie eine bestimmte Nachricht erkannt werden soll und wo in diesem nachrichtenspezifischen Ereignis sich Daten wie beispielsweise Signatur IDs IP Adressen Ports Benutzernamen und Aktionen befinden Au erdem k nnen Sie so optimal komplexe Protokollquellen wie Linux und UNIX Server sortieren F r diese Funktionalit t m ssen Sie an die Linux oder UNIX Umgebung angepasste Regeln schreiben 67 Au erdem sind Kenntnisse von regul ren Ausdr cken erforderlich Wenn das System ein ASP Protokoll empf ngt muss das Zeitformat mit dem in der ASP Regel angegebenen Format bereinstimmen Anderenfalls wird das Protokoll nicht verarbeitet Sie k nnen mehrere benutz
330. en 53 Blacklist 173 Hinzuf gen zu Ger t 53 Interne Regeln 339 Reiner Warnungsmodus 361 VLAN ndern 287 Hinzuf gen 42 182 VM Einrichten des Datenspeichers 196 Vordefinierte Ansichten 272 Vorgang Festlegen f r DEM 159 Vorlagen Hinzuf gen von Alarmen 248 Vorlagen Verwalten von Alarmen 248 w Watchlist Threat Intelligence Exchange Watchlist 167 Verwalten von Abfragen 215 216 Watchlists Internetquellen 300 Web Mail Protokoll Module f r ADM Regeln 153 Wechseln zwischen Empf nger HA Rollen 69 WHOIS Suche Ausf hren 289 Suchen aus Ansicht 287 Wiederherstellen Kommunikationsschl ssel 214 Systemeinstellungen 206 Wiederherstellen der ESM Einstellungen 207 McAfee Enterprise Security Manager 9 5 0 Index Wiederherstellen gesicherter Konfigurationsdateien 208 Wiederherstellen von ELM aus Sicherung 133 Windows Ereignis ID Filter 299 Ereignisregeln 343 Windows Sicherheitsprotokolle 102 WMI Ereignisprotokoll 101 Workflow berwachung 312 Z Zeichenfolgennormalisierung Erstellen einer Datei zum Importieren 302 Verwalten von Dateien 302 Zeitsynchronisierung 187 Zeit berschreitung Konsole 30 Zeitzone Format ndern 30 200 Zertifikat Installieren neu 187 Passphrase Abrufen McAfee Vulnerability Manager 175 Ziel IP Adressen Anzeigen des Host Namens in Bericht 266 Zielbasierte IP Defragmentierung 335 Zielbasiertes Zusammensetzen von TCP Datenstr men 335 ZipZap 335 Zonen Exporteinstellungen 323 Hinzuf
331. en Sie die Berechtigungen f r die Mitglieder der Gruppe fest Wenn Sie unter Gruppe hinzuf gen auf der Seite Berechtigungen die Option Zugriff dieser Gruppe einschr nken ausw hlen Systemeigenschaften Gruppe hinzuf gen wird der Zugriff auf diese Funktionen eingeschr nkt e Alarme Die Benutzer in der Gruppe haben keinen Zugriff auf Empf nger Dateien oder Vorlagen f r die Alarmverwaltung Sie k nnen keine Alarme erstellen bearbeiten entfernen aktivieren oder deaktivieren e Fallverwaltung Kann auf alle Funktionen mit Ausnahme von Unternehmen zugreifen e ELM Die Benutzer k nnen erweiterte ELM Suchen ausf hren k nnen aber keine ELM Suchen speichern und nicht auf Eigenschaften von ELM Ger ten zugreifen e Berichte Die Benutzer k nnen nur einen Bericht ausf hren bei dem die Ausgabe per E Mail gesendet wird e Watchlists Die Benutzer k nnen keine dynamische Watchlist hinzuf gen e Asset Manager und Richtlinien Editor Die Benutzer k nnen nicht auf diese Funktionen zugreifen e Zonen Die Benutzer k nnen nur Zonen anzeigen auf die sie gem ihrer Zonenliste Zugriff haben e Systemeigenschaften Kann nur auf Berichte und berwachungslisten zugreifen e Filter Die Benutzer k nnen nicht auf die Filterregisterkarten Zeichenfolgennormalisierung Active Directory Ressourcen Ressourcengruppen oder Tags zugreifen e Aktionssymbolleiste Die Benutzer k nnen nicht auf die Ger teverwaltung die Verwaltung mehrerer G
332. en Sie einen McAfee Vulnerability Manager Scan wenn das System ein McAfee Vulnerability Manager Ger t enth lt ePO starten ffnen Sie die ePolicy Orchestrator Benutzeroberfl che siehe Starten von ePolicy Orchestrator McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 287 288 Arbeiten mit Ereignissen Arbeiten mit ESM Ansichten Option Beschreibung Ausf hrungsverlauf f r TIE W hlen Sie ein TIE Ereignis aus und ffnen Sie die Seite Ausf hrungsverlauf f r TIE um die IP Adressen anzuzeigen ber die versucht wurde die ausgew hlte Datei auszuf hren Auf dieser Seite k nnen Sie eine neue Watchlist erstellen eine Datei an eine Watchlist anf gen einen neuen Alarm erstellen eine Datei in die Blacklist aufnehmen eine Datei im CSV Format exportieren oder ePolicy Orchestrator Tags zur Datei hinzuf gen Regel anzeigen Zeigen Sie die Regel an von der das Ereignis generiert wurde Details zur IP Adresse Hiermit suchen Sie Informationen zu einer Quell oder Ziel IP Adresse oder einem Quell oder Zielport Sie k nnen Bedrohungsdetails und die Ergebnisse der WHOIS Suche f r die ausgew hlte IP Adresse anzeigen ASN Suche Rufen Sie mit der ASN ID einen WHOIS Datensatz ab Referenz durchsuchen ffnen Sie den Standard Web Browser und stellen Sie eine Verbindung mit der online verf gbaren McAfee Signaturdatenbank her Diese enth lt Informationen zu der Signatur von der d
333. en Zeitraum ohne Aktivit t erstellen erreicht Sie einen Alarm vom Typ Interne Ereignis bereinstimmung mit Vergleich der Signatur ID und geben Sie den Wert 306 35 ein Anzahl von zul ssigen Zum Ausl sen eines Alarms beim Versuch eines Benutzers sich nach gleichzeitigen Sitzungen Erreichen der Anzahl von zul ssigen gleichzeitigen Sitzungen anzumelden erreicht erstellen Sie einen Alarm vom Typ Interne Ereignis bereinstimmung mit Vergleich der Signatur ID und geben Sie den Wert 306 37 ein Fehlgeschlagene Zum Ausl sen eines Alarms bei einer fehlgeschlagenen Integrit tspr fung Integrit tspr fung f r f r Systemdateien erstellen Sie einen Alarm vom Typ Interne Systemdateien Ereignis bereinstimmung mit Vergleich der Signatur ID und geben Sie den Wert 306 50085 ein McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 233 234 Arbeiten mit Alarmen Erstellen eines Alarms Alarmtyp Beschreibung Zertifikate laufen in K rze ab Zum Ausl sen eines Alarms bei bevorstehendem Ablauf von CAC Zertifikaten Common Access Card oder Web Server Zertifikaten erstellen Sie einen Alarm vom Typ Interne Ereignis bereinstimmung mit Vergleich der Signatur ID und geben Sie den Wert 306 50081 306 50082 306 50083 306 50084 ein Der Alarm wird 60 Tage vor Ablauf und anschlie end w chentlich ausgel st Die Anzahl der Tage kann zurzeit nicht konfiguriert werden SNMP Trap gesendet bei nicht genehmigtem
334. en aus ePolicy Orchestrator und McAfee Risk Advisor werden zusammengef hrt Dabei erhalten doppelte IPs den h chsten Faktor Die zusammengef hrte Liste wird mit den niedrigen und hohen Werten an alle ACE Ger te gesendet die f r die Bewertung von SrcIP und DstIP Feldern verwendet werden Beim Hinzuf gen von ePolicy Orchestrator werden Sie gefragt ob Sie McAfee Risk Advisor Daten konfigurieren m chten Wenn Sie auf Ja klicken werden eine Datenanreicherungsquelle und gegebenenfalls zwei ACE Bewertungsregeln erstellt und ein entsprechender Rollout ausgef hrt Zum Anzeigen dieser Elemente wechseln Sie zu den Seiten Datenanreicherung und Risikokorrelations Bewertung Wenn Sie die Bewertungsregeln verwenden m chten m ssen Sie einen Risikokorrelations Manager erstellen Aktivieren der McAfee Risk Advisor Datenerfassung Wenn Sie die McAfee Risk Advisor Datenerfassung in ePolicy Orchestrator aktivieren wird eine Liste mit Faktoren generiert und an alle ACE Ger te gesendet die f r die Bewertung von SrcIP und DstIP Feldern verwendet werden sollen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur Folgendes aus ePO Eigenschaften Ger teverwaltung aus und klicken Sie dann auf Aktivieren Sie werden informiert wenn die Erfassung aktiviert ist 2 Klicken Sie auf OK McAfee Enterprise Security Manager 9 5 0 Produkthandbuch
335. en der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie im Richtlinien Editor im Bereich Regeltypen den Typ der Regel aus 2 W hlen Sie die Regel aus deren Aggregationseinstellungen Sie ndern m chten 3 Klicken Sie auf der Symbolleiste auf Vorg nge und w hlen Sie Aggregationseinstellungen ndern aus 4 W hlen Sie in den Dropdown Listen Feld 2 und Feld 3 die zu aggregierenden Feldtypen aus 67 Die Felder m ssen unterschiedliche Typen haben da ansonsten ein Fehler auftritt 5 Klicken Sie auf OK um die Einstellungen zu speichern 6 Wenn Sie nderungen vorgenommen haben die sich auf die Aggregation durch die Ger te auswirken werden Sie gefragt ob Sie den Rollout f r die nderungen ausf hren m chten F hren Sie die folgenden Schritte aus a Klicken Sie auf Ja Auf der Seite Rollout der Aggregationsausnahmen wird der Status der von der nderung betroffenen Ger te angezeigt Alle veralteten Ger te sind aktiviert b Deaktivieren Sie gegebenenfalls die Kontrollk stchen der Ger te auf die Sie die nderungen nicht anwenden m chten c Klicken Sie auf OK um den Rollout f r die nderungen auszuf hren In der Spalte Status wird der Status der Aktualisierung beim Rollout der nderungen angezeigt berschreibungsaktion f r heruntergeladene Regeln Wenn Regeln vom zentralen Server bei McAfee heruntergeladen werden ist den Regeln eine Standardaktion zugewiesen Sie k n
336. en der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Nitro IPS Ger t oder ein virtuelles Ger t aus auf dem Flussdaten gesammelt wurden Klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie im Feld Assistent zur Entdeckung von Anomalien auf Bearbeiten 3 F hren Sie eine oder mehrere der verf gbaren Funktionen aus und klicken Sie dann auf OK Generieren eines Analyseberichts Der Analysebericht enth lt eine visuelle Analyse verschiedener Aspekte des Netzwerkverkehrs Dieser Bericht ist hilfreich wenn Sie sich einen visuellen Eindruck von den Verkehrsmustern im Netzwerk verschaffen m chten Die gesammelten Daten k nnen Ihnen Entscheidungen bei der Auswahl von Werten f r die Regelparameter f r ratenbasierte Anomalien erleichtern Damit Sie einen Bericht generieren k nnen m ssen auf dem Ger t mindestens 10 000 generierte Fl sse vorhanden sein Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Nitro IPS Ger t aus auf dem Flussdaten gesammelt wurden Klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie im Feld Assistent zur Entdeckung von Anomalien auf Bearbeiten 3 Klicken Sie auf Analyse Analysebericht und w hlen Sie dann den Zeitbereich und die Variable f r den Bericht aus 4 Klicken Sie auf OK Der Bericht
337. ename Dateiname Dateiname Dateiname Dateiname Hostname Hostname Hostname Hostname Betreff Betreff Betreff Betreff An An An An Protokollanomalien Neben den allgemeinen und protokollspezifischen Eigenschaften k nnen mit ADM auch Hunderte von Anomalien in Low Level Protokollen Transport und Anwendungsprotokollen entdeckt werden Alle Eigenschaften von Protokollanomalien entsprechen dem Typ Boolescher Wert und stehen beim Hinzuf gen einer ADM Regel auf der Seite Ausdruckskomponente zur Verf gung Tabelle 3 34 IP Begriff Beschreibung ip too small Das IP Paket ist zu klein um einen g ltigen Header zu enthalten ip bad offset Der IP Daten Offset geht ber das Ende des Pakets hinaus ip fragmented Das IP Paket ist fragmentiert ip bad checksum Die Pr fsumme des IP Pakets stimmt nicht mit den Daten berein ip bad length Das totlen Feld des IP Pakets geht ber das Ende des Pakets hinaus Tabelle 3 35 TCP Begriff Beschreibung tcp too small Das TCP Paket ist zu klein um einen g ltigen Header zu enthalten tcp bad offset Der Daten Offset des TCP Pakets geht ber das Ende des Pakets hinaus McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Tabelle 3 35 TCP Fortsetzung Begriff Beschreibung tcp unexpected fin Die TCP Markierung FIN ist festg
338. endet Wenn Sie Authentifizierung verwenden und 67 Verschliisselung verwenden ausgew hlt haben wird vom OPSEC Client ssica f r die Kommunikation mit dem Protokoll Server verwendet Wenn Sie keine der beiden Optionen ausgew hlt haben wird die vom OPSEC Client keine f r die Kommunikation mit dem Protokoll Server verwendet 2 Vergewissern Sie sich dass in der OPSEC Anwendung die Sie f r die Kommunikation mit dem Check Point Protokoll Server verwenden im Abschnitt f r Client Entities Client Entit ten die Option LEA ausgew hlt ist 3 Wenn in beiden Schritten die richtigen Optionen ausgew hlt sind suchen Sie in der Installation des Check Point Protokoll Servers die Datei sic_policy conf Auf einem Linux basierten R65 System beispielsweise befindet sich die Datei in var opt CPshrd R65 conf 4 Wenn Sie ermittelt haben mit welcher Kommunikationsmethode Authentifizierungsmethode in der Datei die LEA Kommunikation mit dem Protokoll Server m glich ist w hlen Sie diese Kommunikationsmethode auf der Seite Erweiterte Einstellungen als Kommunikationsmethode aus SIC Fehler f r LEA Vom Peer e Geben Sie in das Textfeld Eindeutiger Name der Server Entit t die wurde ein falscher eindeutiger Zeichenfolge ein die lt erwarteter eindeutiger Name gt in der Name DN gesendet lt erwarteter Fehlermeldung entspricht eindeutiger Name gt Alternativ k nnen Sie den eindeutigen Namen f r den Check Point Protokoll Server ermitteln
339. er berpr fung auf Regelaktualisierungen werden automatisch neue oder aktualisierte Inhaltspakete heruntergeladen a Klicken Sie auf Importieren und navigieren Sie zu der Inhaltspaketdatei die Sie importieren m chten b Klicken Sie auf Hochladen Der Status des Imports wird in einer Meldung angezeigt McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 229 5 Arbeiten mit Inhaltspaketen Importieren von Inhaltspaketen c Klicken Sie auf das Inhaltspaket um die Details zum Inhalt des Pakets anzuzeigen d W hlen Sie das gew nschte Paket aus und w hlen Sie dann die Option zum Installieren des Inhaltspakets aus 5 Zum Aktualisieren oder Deinstallieren eines vorhandenen Inhaltspakets aktivieren Sie das Kontrollk stchen des gew nschten Pakets und klicken Sie auf Aktualisieren oder Deinstallieren Seien Sie vorsichtig wenn Sie vorhandene Inhaltspakete aktualisieren Wenn Sie Elemente von Inhaltspaketen angepasst haben werden diese angepassten Elemente m glicherweise bei der Aktualisierung berschrieben 6 Zum Deinstallieren eines vorhandenen Inhaltspakets aktivieren Sie das Kontrollk stchen des gew nschten Pakets und klicken Sie auf Deinstallieren 230 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Alarmen Inhalt gt Funktionsweise der ESM Alarme Erstellen eines Alarms Aktivieren oder Deaktivieren der Alarm berwachung Anpassen der bersicht f r ausgel ste Alarme und F
340. er e ssica e asym_ssica e ssica_clear e asym_ssica e sslca_comp _comp e asym_ssica e ssica_rc4 _rc4 e asym_ssica e sslca_rc4_c _rc4_comp omp e ssl_clear opsec_server_entity_dn Eindeutiger Name der Server Entit t Standardwert leer Wird verwendet wenn bergeordnetes Element T Erforderlich wenn DeviceType Log Server CLM oder Secondary SMS CMA opsec_collect_audit_events OPSEC Ereigniserfassungstyp f r Audit Ereignisse Wird verwendet wenn bergeordnetes Element T Standardwert yes opsec_collect_log_events Kennzeichnung f r OPSEC Ereigniserfassungstyp f r Protokollereignisse Wird verwendet wenn bergeordnetes Element T Standardwert yes opsec_type Ger tetyp Erforderlich G ltige Werte f r dieses Feld Wert Name in der Dropdown Liste f r Thin Client SMS CMA Security Device Log Server CLM Secondary SMS CMA w N e O Tabelle 3 5 wmi Felder ab Spalte AY Spalte Beschreibung Details wmi_use_rpc verwenden Kennzeichnung f r RPC Standardwert no wmi_logs Ereignisprotokolle Standardwert SYSTEM APPLICATION SECURITY wmi_nbname NetBIOS Name Erforderlich wenn Retrieval Default anderenfalls optional Standardwert leer wmi_username Benutzername Erforderlich wenn Retrieval Default anderenfalls optional Standardwert leer wmi_password Kennwort Erforderlich wenn Retriev
341. er te oder die Streaming Anzeige f r Ereignisse zugreifen Hinzuf gen eines Benutzers Wenn Sie ber Berechtigungen als Systemadministrator verf gen k nnen Sie Benutzer zum System hinzuf gen damit diese auf das ESM Ger t seine Ger te Richtlinien und zugeordneten Berechtigungen zugreifen k nnen Hinzugef gte Benutzereinstellungen k nnen bearbeitet oder entfernt werden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur Folgendes aus Systemeigenschaften Benutzer und Gruppen 2 Geben Sie das Kennwort des Systemadministrators ein und klicken Sie dann auf OK 3 Klicken Sie im Abschnitt Benutzer auf Hinzuf gen und geben Sie dann die erforderlichen Informationen ein 4 Klicken Sie auf OK Benutzer werden mit den Berechtigungen zum System hinzugef gt die den Gruppen zugewiesen sind denen sie angeh ren Benutzernamen werden auf der Seite Benutzer und Gruppen im Abschnitt Benutzer angezeigt Neben jedem Benutzernamen wird ein Symbol angezeigt aus dem hervorgeht ob das Konto aktiviert ist Wenn der Benutzer ber Administratorberechtigungen verf gt wird neben dem Namen ein Symbol mit einem K nig 5 angezeigt Ausw hlen von Benutzereinstellungen Auf der Seite Benutzereinstellungen k nnen Sie verschiedene Standardeinstellungen ndern Sie k nnen die Zeitzone das Datumsformat das Kennwort die Standardanzeige und
342. er Empf nger nach einem Fehler wieder in Betrieb genommen wird beispielsweise Neustart nach einem Stromausfall einer Hardware Reparatur oder einer Netzwerkreparatur geschieht Folgendes e Auf Empf ngern im Hochverf gbarkeitsmodus wird die Erfassung von Daten beim Starten nicht gestartet Diese Empf nger bleiben im sekund ren Modus bis sie als prim rer Empf nger festgelegt werden e Das bevorzugte prim re Ger t bernimmt die Rolle des prim ren Ger ts und es werden ber die freigegebene Datenquellen IP Daten erfasst Wenn kein bevorzugtes prim res Ger t vorhanden ist werden vom aktuellen prim ren Ger t ber die freigegebene Datenquelle Daten erfasst McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 65 66 Konfigurieren von ESM Konfigurieren von Ger ten Details zu diesem Prozess finden Sie unter Ersetzen eines Empf ngers mit Fehlern Durchf hren eines Upgrades auf einem Empf nger HA Beim Upgrade Prozess f r Empf nger HAs wird das Upgrade f r beide Empf nger nacheinander beginnend mit dem sekund ren Empf nger durchgef hrt Dabei geschieht Folgendes 1 Die Datei mit dem Upgrade Tarball wird auf das ESM Ger t hochgeladen und auf den sekund ren Empf nger angewendet 2 Sie wechseln die Rolle des prim ren und sekund ren Empf ngers und verwenden dabei den Prozess zum Wechseln zwischen Empf nger HA Rollen Der Empf nger f r den Sie das Upgrade durchgef hrt haben ist nun der prim re Empf n
343. er Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option DEM Eigenschaften aus und klicken Sie dann auf DEM Konfiguration 2 Klicken Sie auf Erweitert und definieren Sie dann die Einstellungen oder heben Sie die Auswahl von Optionen auf wenn das DEM Ger t stark ausgelastet ist 3 Klicken Sie auf OK Anwenden von DEM Konfigurationseinstellungen nderungen an DEM Konfigurationseinstellungen m ssen auf das DEM Ger t angewendet werden Wenn Sie nicht alle Konfigurationseinstellungen angewendet haben k nnen Sie dies mit der Option Anwenden in DEM Konfiguration f r alle DEM Konfigurationseinstellungen nachholen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option DEM Eigenschaften aus und klicken Sie dann auf DEM Konfiguration 2 Klicken Sie auf Anwenden Beim Schreiben der Konfigurationseinstellungen in das DEM Ger t wird eine Meldung angezeigt Definieren von Aktionen f r DEM Ereignisse Mit den Einstellungen f r Aktionsverwaltung im DEM Ger t definieren Sie Aktionen und Vorg nge f r Ereignisse die in den Filterregeln und Datenzugriffsrichtlinien des DEM Ger ts verwendet werden Sie McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 157 158 Konfigurieren von ESM Konfigurieren von Ger ten k nnen benutzerdefinierte
344. er auf Dauerhaft festlegen e F r diese Listen ist zwar das IP Adressformat erforderlich aber es sind einige Tools enthalten mit denen die Adressen verst ndlicher gestaltet werden k nnen Wenn Sie eine IP Adresse oder einen Hostnamen in das Feld IP Adresse eingegeben haben wird neben diesem Steuerelement abh ngig vom eingegebenen Wert die Schaltfl che Aufl sen oder Suche angezeigt Wenn der Name der Schaltfl che Aufl sen lautet und Sie auf die Schaltfl che klicken wird der eingegebene Hostname aufgel st das Feld IP Adresse wird mit diesen Informationen ausgef llt und der Hostname wird in das Feld Beschreibung verschoben Wenn Sie dagegen auf Suche klicken wird eine Suche nach der IP Adresse ausgef hrt und das Feld Beschreibung wird mit den Ergebnissen der Suche ausgef llt Q Manche Websites haben mehrere oder wechselnde IP Adressen Daher k nnen Sie sich bei einigen Websites nicht darauf verlassen dass sie mit diesem Tool zuverl ssig blockiert werden Einrichten einer globalen Blacklist Richten Sie eine globale Blacklist ein die f r alle ausgew hlten Ger te gilt So m ssen Sie nicht f r mehrere Ger te die gleichen Informationen eingeben Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Globale Blacklist 2 W hlen Sie die Registerkarte Blockierte
345. er hinzugef gt Es wird auf die Verbindung f r die Genehmigung gewartet Wenn Sie auf Hierarchische ESM Ger te genehmigen klicken k nnen Sie den zul ssigen Typ f r die Kommunikation zwischen dem bergeordneten ESM Ger t und dem DESM Ger t ausw hlen Vom bergeordneten ESM Ger t werden keine Ger te verwaltet die zum ESM Ger t geh ren Auf dem bergeordneten ESM Ger t wird die Systemstruktur des Ger ts angezeigt mit dem das Ger t direkt verbunden ist Es werden keine Ereignisse von den untergeordneten ESM Ger ten der Ger te abgerufen oder angezeigt Symbolleisten sind f r alle untergeordneten DESM Ger te deaktiviert Vom bergeordneten Ger t werden keine Daten verwaltet die sich auf dem ESM Ger t befinden Stattdessen wird eine Teilmenge des Ger ts aus den ESM Daten bertragen und auf dem bergeordneten ESM Ger t gespeichert Dieser Vorgang basiert auf den von Ihnen definierten Filtern Hinzuf gen von DESM Filtern Vom ESM Ger t an das bergeordnete DESM Ger t bertragene Daten h ngen von benutzerdefinierten Filtern ab Wenn diese Filter gespeichert werden entspricht dies dem Anwenden des Filters auf das ESM Ger t damit die entsprechenden Hashes oder Bitsets generiert werden k nnen Da die DESM Funktion dazu gedacht ist Ihnen das Sammeln bestimmter Daten nicht aller Daten vom ESM Ger t zu erm glichen m ssen Sie Filter f r die vom ESM Ger t abzurufenden Daten festlegen McAfee Enterprise Security Ma
346. erID Destination_Zone Detection_Method Device_Action Richtung Verzeichnis DNS_Class DNS_Name DNS_Type Dom ne Event_Class External_Application External_DB2_Server External_Hostname External_SessionID Einrichtung File_Operation Arbeiten mit Ereignissen 7 Beschreibung der contains Filter und Filter f r regul re Ausdr cke HTTP_Req_Referer HTTP_Req_URL HTTP_User_Agent Incomtin_ID Schnittstelle Interface_Dest Job_Name Job_Type Sprache Local_User_Name Logical_Unit_Name Logon_Type LPAR_DB2_Subsystem Mail_ID Postfach Mainframe_Job_Name Malware_Insp_Action Malware_Insp_Result Management_Server Message_ID Message_Text Methode NTP_Client_Mode NTP_Opcode NTP_Request NTP_Server_Mode Objekt Object_Type Operating_System Policy_Name Privileged_User Process_Name Query_Response Grund Signature_Name SNMP_Error_Code SNMP_Item SNMP_Item_Type SNMP_Operation SNMP_Version Quellbenutzer Source_Context Source_Logon_ID Source_Network Source_UserID Source_Zone SQL_Command SQL_Statement Step_Count Step_Name Betreff SWF_URL Table_Name Target_Class Target_Context Target_Process_Name TC_URL Threat_Category Threat_Handled Threat_Name An To_Address URL URL_Category User_Agent User_Nickname Version Virtual_Machine_ID Virtual_Machine_Name F r diese benutzerdefinierten Typen k nnen Sie contains und regul re Ausdr cke verwenden McAfee Enterprise Security Manager 9 5 0 Produkthandbuch
347. eral verwenden Verwenden Sie nach M glichkeit Zeichenfolgenliterale da diese effizienter sind Alle Begriffe f r E Mail Adressen und URLs werden vor dem Vergleich normalisiert Daher m ssen beispielsweise Kommentare in E Mail Adressen nicht ber cksichtigt werden Boolesche Werte Die booleschen Literalwerte lauten wahr und falsch McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Typ Formatbeschreibung Regul re Ausdr cke F r regul re Ausdrucksliterale wird die gleiche Schreibweise wie in Sprachen wie JavaScript und Perl verwendet Dabei wird der regul re Ausdruck in Schr gstriche eingeschlossen a z Regul re Ausdr cke k nnen von einer Kennzeichnung durch einen Standardmodifizierer gefolgt sein Zurzeit wird jedoch nur i Gro Kleinschreibung ignorieren erkannt a z i F r regul re Ausdrucksliterale sollten Sie die erweiterte POSIX Syntax verwenden Zurzeit funktionieren zwar Perl Erweiterungen f r alle Begriffe mit Ausnahme des Inhaltsbegriffs dies kann sich jedoch in zuk nftigen Versionen ndern Beim Vergleich eines Begriffs mit einem regul ren Ausdruck werden alle Teilzeichenfolgen im Begriff verglichen sofern nicht innerhalb des regul ren Ausdrucks Anker Operatoren angewendet werden Die folgende Regel wird ausgel st wenn eine E Mail mit der Adresse jemand irgendwo com gefunden wird email from irgen
348. erauthentifizierung erforderlich ausgew hlt ist wenn Sie das McAfee ePO Ger t zu ESM hinzuf gen oder die Verbindungseinstellungen f r das Ger t einrichten siehe Hinzuf gen von Ger ten zur ESM Konsole oder ndern der Verbindung mit ESM 2 Geben Sie auf der Seite Optionen die Anmeldeinformationen ein siehe Hinzuf gen von Anmeldeinformationen f r die McAfee ePO Authentifizierung Hinzuf gen von Anmeldeinformationen f r die McAfee ePO Authentifizierung Vor der Verwendung von Kennzeichnung oder Aktionen in McAfee ePO oder der Verwendung von McAfee Real Time for McAfee ePO m ssen Sie die Anmeldeinformationen f r die Authentifizierung zum ESM Ger t hinzuf gen Bevor Sie beginnen Installieren Sie ein McAfee ePO Ger t in ESM siehe Hinzuf gen von Ger ten zur ESM Konsole Wenden Sie sich an den Systemadministrator wenn Sie den Benutzernamen und das Kennwort f r das Ger t nicht kennen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie auf der Systemnavigationsleiste der ESM Konsole auf Optionen und dann auf ePO Anmeldeinformationen 2 Klicken Sie auf das Ger t und dann auf Bearbeiten 3 Geben Sie den Benutzernamen und das Kennwort ein und klicken Sie dann auf Testverbindung 4 Klicken Sie auf OK McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 165 166 Konfigurieren von ESM Konfigurieren von Ger ten Zuweisen von
349. erdefinierte Typen und Ressourcen die m glicherweise von dieser Regel verwendet werden Wenn Sie die Exportdatei auf einem anderen ESM Ger t importieren f hren alle in der Regel enthaltenen referenzierten Elemente die auf dem importierenden System nicht vorhanden sind zu einem Regelkonflikt Wenn beispielsweise Regel 1 auf die Variable abc verweist und auf dem importierenden System keine Variable mit dem Namen abc definiert ist stellt dies einen Konflikt dar Konflikte werden protokolliert und die Regel wird als in Konflikt stehend gekennzeichnet Konflikte k nnen Sie beheben indem Sie die ben tigten referenzierten Elemente manuell oder gegebenenfalls durch Importieren erstellen oder die Korrelationsregel bearbeiten und die Verweise innerhalb der Regel ndern Wenn Regeln mit Konflikten vorhanden sind wird unmittelbar nach dem Importvorgang eine Seite angezeigt aus der hervorgeht welche Regeln in Konflikt stehen oder fehlgeschlagen sind Sie k nnen auf dieser Seite Regeln bearbeiten um Konflikte zu beheben oder die Seite schlie en Regeln mit Konflikten sind mit einem Ausrufezeichensymbol gekennzeichnet das ihren Status angibt Beim Bearbeiten einer in Konflikt stehenden Regel im Regel Editor wird eine Schaltfl che f r Konflikte angezeigt Wenn Sie auf diese Schaltfl che klicken werden die Konfliktdetails f r die jeweilige Regel angezeigt Importieren von Variablen Sie k nnen eine Datei mit Variablen importieren und d
350. erdefinierte Zeitformate hinzuf gen um die Wahrscheinlichkeit zu erh hen dass das Zeitformat f r das Protokoll bereinstimmt siehe Hinzuf gen von Zeitformaten zu ASP Regeln McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von Richtlinien und Regeln 10 Regeltypen und ihre Eigenschaften Wenn Sie ber Rechte als Richtlinienadministrator verf gen k nnen Sie die Reihenfolge f r die Ausf hrung der ASP Regeln definieren Mit diesen Regeln werden dann die Daten generiert die Sie ben tigen siehe Festlegen der Reihenfolge f r ASP Regeln und Filterregeln Hinzuf gen einer benutzerdefinierten ASP Regel Mit dem Editor f r Regel f r erweiterten Syslog Parser k nnen Sie Regeln zum Analysieren von ASP Protokolldaten erstellen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie im Richtlinien Editor Folgendes aus Empf nger Erweiterter Syslog Parser 2 W hlen Sie Neu aus und klicken Sie dann auf Regel f r erweiterten Syslog Parser 3 Klicken Sie auf die einzelnen Registerkarten und geben Sie die erforderlichen Informationen ein 4 Klicken Sie auf Fertig stellen Festlegen der Reihenfolge f r ASP Regeln und Filterregeln Wenn Sie ber Rechte als Richtlinienadministrator verf gen k nnen Sie jetzt die Ausf hrungsreihenfolge f r Filterregeln oder f r ASP Regeln festlegen Mit dieser Option werden die Regeln in der Reihenfolge sort
351. eregrad Blacklist Aggregation Paket kopieren Herkunft und Regelstatus W hlen Sie den Filter in der Dropdown Liste in jedem dieser Felder aus Anzeigen nur benutzerdefinierter Regeln W hlen Sie im Bereich Erweitert im Feld Herkunft die Option benutzerdefiniert aus und klicken Sie dann auf das Symbol Abfrage ausf hren Anzeigen von Regeln die in einem bestimmten Zeitraum erstellt wurden Klicken Sie im Bereich Erweitert auf das Kalendersymbol neben dem Feld Uhrzeit W hlen Sie auf der Seite Benutzerdefinierter Zeitpunkt die Start und Endzeit aus klicken Sie auf OK und dann auf das Symbol Abfrage ausf hren Anzeigen der Signatur einer Regel Wenn Sie auf die online verf gbare McAfee Signaturdatenbank zugreifen k nnen Sie Informationen zur Signatur einer Regel anzeigen Diese Option ist f r Firewall Regeln Deep Packet Inspection Regeln und Datenquellenregeln verf gbar Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 2 McAfee Enterprise Security Manager 9 5 0 W hlen Sie im Richtlinien Editor im Bereich Regeltypen den Regeltyp aus den Sie anzeigen m chten W hlen Sie im Regelanzeigebereich eine Regel aus Klicken Sie auf Vorg nge und w hlen Sie dann Referenz durchsuchen aus Im Browser wird der Bildschirm NTAC Zusammenfassung f r Schwachstellen ge ffnet Zum Anzeigen der Zusammenfassung einer Signatur klicken Sie
352. ereinstimmung verwenden McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 309 7 Arbeiten mit Ereignissen Benutzerdefinierte Typfilter Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das System aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Benutzerdefinierte Typen und dann auf Hinzuf gen 3 Klicken Sie im Feld Datentyp auf Name Wert Gruppe geben Sie die verbleibenden Informationen ein und klicken Sie dann auf OK 310 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von F llen Mit der Fallverwaltung von ESM k nnen Sie Arbeitselemente und Support Tickets die Netzwerkereignissen zugeordnet sind zuweisen und verfolgen Damit Sie auf diese Funktion zugreifen k nnen m ssen Sie einer Gruppe angeh ren f r die die Berechtigung Fallverwaltungsbenutzer aktiviert ist Sie haben f nf M glichkeiten einen Fall hinzuzuf gen In der Ansicht Fallverwaltung e Im Bereich F lle ohne Verkn pfung mit einem Ereignis In der Ansicht Ereignisanalyse mit Verkn pfung mit einem Ereignis Beim Einrichten eines Alarms In einer Benachrichtigung ber einen ausgel sten Alarm Inhalt Hinzuf gen eines Falls Erstellen eines Falls aus einem Ereignis Hinzuf gen von Ereignissen zu einem vorhandenen Fall Bearbeiten oder Schlie en eines Falls Anzeigen von
353. eren Typ ndern Bei Konflikten wird die neue Variable automatisch umbenannt Bevor Sie beginnen Richten Sie die zu importierende Datei ein Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie im Richtlinien Editor im Bereich Regeltypen auf Variable 2 Klicken Sie auf Datei Importieren Variablen navigieren Sie dann zu der Datei mit den Variablen und klicken Sie auf Hochladen Bei Konflikten oder Fehlern in der Datei wird die Seite Import Fehlerprotokoll ge ffnet auf der Sie ber die einzelnen Probleme informiert werden 3 Klicken Sie auf der Seite Variablen importieren auf Bearbeiten um den Typ f r die ausgew hlten Variablen zu ndern 4 Klicken Sie auf OK Exportieren von Regeln Exportieren Sie benutzerdefinierte Regeln oder alle Regeln in einer Richtlinie und importieren Sie sie dann auf einem anderen ESM Ger t McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 365 10 366 Verwalten von Richtlinien und Regeln Regelvorg nge Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie im Richtlinien Editor im Bereich Regeltypen auf den Typ der zu exportierenden Regeln 2 Greifen Sie auf eine Liste der benutzerdefinierten Regeln des ausgew hlten Typs zu a Stellen Sie im Bereich Filter Kennzeichnung sicher dass die Registerkarte Filter ausgew hlt ist
354. eren von ESM Konfigurieren von Ger ten Typ Syntaxregeln Beispiele bereinstimmender Inhalt Zeichenfolge e Zeichenfolgen m ssen in doppelte Anf hrungszeichen eingeschlossen sein F r Anf hrungszeichen innerhalb einer Zeichenfolge m ssen Sie vor jedem Fragezeichen einen umgekehrten Schr gstrich als Escape Zeichen verwenden Ung ltiger Inhalt Er sagte Ung ltiger Inhalt yo Ung ltiger Inhalt Er sagte Ung ltiger Inhalt Regul rer Regul re Ausdr cke Ausdruck werden in einzelne Schr gstriche eingeschlossen F r Schr gstriche und reservierte Zeichen f r regul re Ausdr cke innerhalb des regul ren Ausdrucks m ssen Sie einen umgekehrten Schr gstrich als Escape Zeichen Aa pple Apple i 0 9 X1 3 0 9 1 3 0 911 0 9 1V2 von allen Apple oder apple Apple oder apple IP Adressen 1 1 1 1 127 0 0 1 1 2 von allen Dotted Quad Notation geschrieben sein Kann in CIDR Schreibweise geschrieben sein Kann im langen Format mit vollst ndigen Masken geschrieben sein 192 168 1 0 24 192 168 1 0 255 255 255 0 verwenden Zahlen e Dezimalwerte 0 9 Dezimalwert 123 e Hexadezimalwerte Hexadezimalwert Ox12ab 0x0 9a f Oktalwert 0127 e Oktalwerte 0 7 Boolesche e Kann wahr oder falsch Boolesche Literalwerte wahr Werte Sen falsch e Kleinschreibung IPv4 e Kann in standardm iger 192 168 1 1 192 168 1 1 192 168 1 0 255 192
355. erfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option DEM Eigenschaften aus und klicken Sie dann auf Masken f r vertrauliche Daten 2 W hlen Sie eine Option aus und geben Sie dann die erforderlichen Informationen ein 3 Klicken Sie auf OK und dann auf Schreiben um die Einstellungen zum DEM Ger t hinzuzuf gen Verwalten der Benutzeridentifizierung Ein gro er Teil der Sicherheit basiert auf einem einfachen Prinzip Benutzer m ssen identifiziert und voneinander unterschieden werden Dennoch werden f r den Zugriff auf die Datenbank h ufig generische Benutzernamen verwendet Mithilfe der ID Verwaltung k nnen Sie den tats chlichen 160 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Benutzernamen aufzeichnen wenn dieser an irgendeiner Stelle in der Abfrage enthalten ist Dazu verwenden Sie Muster f r regul re Ausdr cke Anwendungen k nnen relativ leicht so instrumentiert werden dass diese Sicherheitsfunktion genutzt werden kann Wenn Sie ein DEM Ger t zum System hinzuf gen werden zwei definierte ID Regeln zur ESM Datenbank hinzugef gt e Name der ID Regel Benutzernamen aus SQL Anweisung abrufen Ausdruck select s username w Anwendung Oracle Index der Teilzeichenfolgen 1 e Name der ID Regel Benutzernamen aus gespeicherter Prozedur abrufen Ausdruck sessionStart s appname w username w Anwendung MSSQL Inde
356. ergewissern Sie sich dass Sie ber die Berechtigung Cyber Threat Benutzer verf gen mit der Sie die Ergebnisse der Cyber Threat Feeds des Unternehmens anzeigen k nnen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der ESM Konsole unter Standard bersicht die Optionen Workflow Ansichten f r Ereignisse Cyber Threat Indikatoren aus W hlen Sie den Zeitraum f r die Ansicht aus Filtern Sie nach Feed Namen oder unterst tzten IOC Datentypen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von Cyber Bedrohungen 4 Anzeigen von Ergebnissen eines Cyber Threat Feeds 4 F hren Sie eine der folgenden Standardaktionen f r die Ansicht aus e Watchlist erstellen oder an eine Watchlist anf gen e Alarm erstellen e Remote Befehl ausf hren e Fall erstellen e Umliegende Ereignisse untersuchen oder Letzte Untersuchung der umliegenden Ereignisse e Indikator in eine CSV oder HTML Datei exportieren 5 Aufgliedern der Bedrohungsdetails mithilfe der Registerkarten Beschreibung Details Quellereignisse und Quellfl sse Siehe auch Einrichten der Cyber Threat Verwaltung auf Seite 225 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 227 4 Verwalten von Cyber Bedrohungen Anzeigen von Ergebnissen eines Cyber Threat Feeds 228 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Inhaltspaketen Bei Auft
357. erk bertragung eine Protokollanomalie oder Regel ausgel st wird ist eine Verkn pfung mit der Ereignistabelle vorhanden Au erdem gibt es eine Verkn pfung mit der Pakettabelle Dabei wird das Textfeld verwendet in dem sich eine Textdarstellung des vollst ndigen Protokolls oder Inhalts Stacks befindet Festlegen der ADM Zeitzone Das ADM Ger t ist auf GMT festgelegt w hrend im ADM Code erwartet wird dass das Ger t auf Ihre Zeitzone festgelegt ist Daher werden zeitabh ngige Regeln so ausgel st als bef nden Sie sich in der Zeitzone GMT Dies ist m glicherweise nicht der Zeitpunkt den Sie erwartet haben Sie k nnen das ADM Ger t auf die erwartete Zeitzone festlegen Diese Einstellung wird dann beim Testen der Regeln ber cksichtigt Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ADM Eigenschaften aus und klicken Sie dann auf ADM Konfiguration 2 Klicken Sie auf Zeitzone und w hlen Sie die Zeitzone aus 3 Klicken Sie auf OK McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 141 142 Konfigurieren von ESM Konfigurieren von Ger ten Anzeigen des Kennworts in der Sitzungsanzeige In der Sitzungsanzeige k nnen Sie die Details der letzten 25 000 ADM Abfragen in einer Sitzung anzeigen Die Regeln f r einige der Ereignisse beziehen sich m glicherweise auf Kennw rter Sie k nnen ausw hlen o
358. erk Eindringungsversuche erkannt und aktiv aufgezeichnet und abgewehrt werden Das Nitro IPS Ger t enth lt einen eingebetteten Daten Manager der f r die Verwaltung Datenerfassung 170 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten und Analyse sowie f r erweiterte Eindringungsanalysen verwendet wird und erweiterte Funktionen f r die Analyse von Eindringungsversuchen wie beispielsweise die Erkennung von Anomalien Eingehende Pakete werden basierend auf einem benutzerdefinierten Regelsatz der in einer Regelsprache nach Branchenstandard angegeben ist selektiv weitergegeben verworfen und protokolliert Jedes Nitro IPS Ger t enth lt dar ber hinaus eine voll funktionsf hige Firewall Komponente die durch Firewall Regeln nach Branchenstandard gesteuert wird und Low Level Paketpr fungsfunktionen sowie ein Systemprotokoll nach Branchenstandard bereitstellt Assistent zur Entdeckung von Anomalien Sie k nnen f r alle Nitro IPS Ger te oder virtuellen Ger te auf die Entdeckung von Anomalien zugreifen Sinnvoll ist dies jedoch nur bei Ger ten auf denen Flussdaten gesammelt wurden Im Assistenten zur Entdeckung von ratenbasierten Anomalien finden Sie eine Liste und eine Beschreibung aller auf dem ausgew hlten Ger t verf gbaren Variablen Bestimmte Firewall Regeln basieren auf Raten Eine ratenbasierte Regel l st nur dann eine Warnung aus wenn der Netzwerkverkehr die Schwelle
359. ern von ELM Daten verwenden Bevor Sie beginnen Installieren Sie eine SAN Karte im System siehe Installieren des qLogic 2460 SAN Adapters in McAfee ESM Einrichtungs und Installationshandbuch oder wenden Sie sich an den McAfee Support Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ELM Eigenschaften aus und klicken Sie dann auf Datenspeicher 2 Klicken Sie auf die Registerkarte SAN und berpr fen Sie dann den Status der erkannten SAN Volumes e Formatieren erforderlich Das Volume muss formatiert werden und wird nicht in der Liste der verf gbaren Volumes auf der Seite Speicherger t hinzuf gen angezeigt e Formatierung Das Volume wird gerade formatiert und wird nicht in der Liste der verf gbaren Volumes angezeigt e Bereit Das Volume wurde formatiert und hat ein erkennbares Dateisystem Diese Volumes k nnen zum Speichern von ELM Daten verwendet werden 3 Wenn Sie auf einem nicht formatierten Volume Daten speichern m chten klicken Sie auf das Volume und dann auf Format Beim Formatieren eines Volumes werden alle gespeicherten Daten gel scht 4 Um zu berpr fen ob die Formatierung abgeschlossen ist klicken Sie auf Aktualisieren Wenn die Formatierung abgeschlossen ist wird der Status in Bereit ge ndert 5 Zum Anzeigen der Details eines Volumes unten auf der Seite klicken Sie a
360. eroberfl che auf klicken 1 Klicken Sie auf das Schnellstartsymbol f r Asset Manager E 2 Doppelklicken Sie auf der Registerkarte Ressource in der Liste der Ressourcen auf die Gruppe Alte Ressourcen 3 W hlen Sie aus wie viele Tage seit der letzten Entdeckung einer Ressource vergangen sein m ssen damit sie in den Ordner Alte Ressourcen verschoben werden muss Klicken Sie dann auf OK Einrichten der Konfigurationsverwaltung 318 Bei der Konfigurationsverwaltung werden die Konfigurationsdateien von Ger ten abgerufen die mit dem CLI Profil erfolgreich entdeckt wurden Nach Abschluss der Netzwerkerkennung m ssen Sie die Konfigurationsverwaltung einrichten McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Asset Manager 9 Netzwerkerkennung Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie auf das Schnellstartsymbol f r Asset Manager E und w hlen Sie dann die Registerkarte Konfigurationsverwaltung aus 2 F hren Sie eine oder mehrere der verf gbaren Aktionen aus und klicken Sie dann auf OK Aufgaben e Verwalten abgerufener Konfigurationsdateien auf Seite 319 Sie haben verschiedene M glichkeiten die Dateien zu verwalten die bei der berpr fung der Konfiguration von Routern und Switches abgerufen werden Verwalten abgerufener Konfigurationsdateien Sie haben verschiedene M glichkeiten die Dateien zu verwalten d
361. ert Die Adresse wird vom System ber DNS abgefragt sobald der Name aus Active Directory abgerufen wurde Adressen nicht gefundener Computer werden nicht zur Tabelle Ressourcen hinzugef gt Aus diesem Grund m ssen sich die DNS Informationen f r Active Directory Computer auf dem DNS Server des Systems befinden Sie k nnen IP Adressen zu Active Directory hinzuf gen In diesem Fall ndern Sie das networkAddress Attribut der Computerobjekte so dass diese IP Adressen anstelle einer DNS Abfrage vom System verwendet werden McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 321 Arbeiten mit Asset Manager Verwalten von Vulnerability Assessment Quellen Verwalten von Ressourcenquellen Rufen Sie Daten aus Active Directory oder von einem Altiris Server ab Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie auf das Schnellstartsymbol f r Asset Manager E und dann auf die Registerkarte Ressourcenquellen In der Struktur Ressourcenquellen werden das ESM Ger t und die Empf nger im System sowie deren aktuelle Ressourcenquellen angezeigt Ein ESM Ger t kann eine Ressourcenquelle haben und Empf nger k nnen mehrere Ressourcenquellen haben 2 W hlen Sie ein Ger t und dann eine der verf gbaren Aktionen aus Verwalten von Vulnerability Assessment Quellen Sie k nnen mit Vulnerability Assessment Daten von einer Vielzahl von VA Anbietern abrufen F r di
362. erwendung der SNMP Trap Funktion k nnen von einer Datenquelle standardm ige SNMP Traps von jedem verwaltbaren Netzwerkger t akzeptiert werden von dem SNMP Traps gesendet werden k nnen Es handelt sich um die folgenden Standard Traps e Fehlgeschlagene Authentifizierung e Verbindung inaktiv e Kaltstart e Verbindung aktiv und Warmstart e Verlust des EGP Nachbarn Zum Senden von SNMP Traps ber IPv6 m ssen Sie die IPv6 Adresse als IPv4 Konvertierungsadresse formulieren Die Konvertierung von 10 0 2 84 in IPv6 w rde beispielsweise wie folgt aussehen 2001 470 B 654 0 0 10 0 2 84 oder 2001 470 B 654 A000 0254 Wenn Sie SNMP Trap ausw hlen stehen drei Optionen zur Verf gung e Wenn noch kein Profil ausgew hlt ist wird das Dialogfeld SNMP Datenquellenprofile ge ffnet in dem Sie das gew nschte Profil ausw hlen k nnen e Wenn bereits ein Profil ausgew hlt ist wird das Dialogfeld SNMP Datenquellenprofile ge ffnet Zum Andern des Profils klicken Sie im Feld Systemprofile auf den Pfeil nach unten und w hlen Sie ein neues Profil aus e Wenn bereits ein Profil ausgew hlt ist das Sie ndern m chten und das gew nschte Profil nicht in der Dropdown Liste im Dialogfeld SNMP Datenquellenprofile enthalten ist erstellen Sie ein Datenquellen SNMP Profil Verwalten von Datenquellen Auf der Seite Datenquellen k nnen Sie Datenquellen hinzuf gen bearbeiten l schen importieren exportieren und migrieren sowie untergeordnete
363. es enthaltene Objekt wird als eigenes Objekt behandelt e Transaktion Eine Transaktion ist ein Wrapper um die bertragung eines Objekts Inhalts Eine Transaktion enth lt mindestens ein Objekt Wenn dieses Objekt jedoch ein Container ist beispielsweise eine ZIP Datei kann eine einzelne Transaktion mehrere Objekte enthalten e Fluss Ein Fluss ist die TCP oder UDP Netzwerkverbindung Ein Fluss kann viele Transaktionen enthalten DEM Regeln Die St rke von McAfee DEM ist die Art der Aufzeichnung und Normalisierung der Informationen in Netzwerkpaketen Mit DEM k nnen Sie au erdem komplexe Regeln erstellen und dabei logische und regul re Ausdr cke f r den Mustervergleich verwenden So k nnen Sie Datenbank oder Anwendungsnachrichten praktisch ohne False Positives berwachen Die normalisierten Daten Messgr en unterscheiden sich je nach Anwendung da manche Anwendungsprotokolle und nachrichten umfangreicher sind als andere Filterausdr cke m ssen sorgf ltig erstellt werden Dabei m ssen Sie nicht nur auf die Syntax achten sondern auch sicherstellen dass die Messgr e f r die Anwendung unterst tzt wird Im Lieferumfang des DEM Ger ts ist ein Standardregelsatz enthalten Mit Standard Compliance Regeln k nnen Sie wichtige Datenbankereignisse berwachen beispielsweise An und Abmeldungen DBA typische Aktivit ten wie DDL nderungen verd chtige Aktivit ten und Datenbankangriffe bei denen normalerweise Compliance An
364. es ELM Speichers Sie k nnen die Verwendung des Speichers auf dem ELM Ger t anzeigen um Entscheidungen bez glich der Speicherplatzzuordnung auf dem Ger t zu treffen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ELM Eigenschaften aus und klicken Sie dann auf ELM Verwaltung 2 Klicken Sie auf Verwendung anzeigen Die Seite Verwendungsstatistik wird ge ffnet Hier wird die Statistik f r das Speicherger t und die Speicherpools auf dem ELM Ger t angezeigt 3 Klicken Sie auf OK Migrieren der ELM Datenbank In der ELM Verwaltungsdatenbank werden die Datens tze gespeichert in denen die an das ELM Ger t gesendeten Protokolle verfolgt werden Wie viel Speicherplatz auf dem ELM Ger t zum Speichern der Verwaltungsdatenbank verf gbar ist h ngt vom Modell ab Beim anf nglichen Hinzuf gen des Ger ts wird berpr ft ob gen gend Speicherplatz f r die Datens tze vorhanden ist Wenn dies nicht der Fall ist werden Sie aufgefordert einen alternativen Speicherort f r die Verwaltungsdatenbank zu definieren Wenn auf dem Ger t gen gend Speicherplatz vorhanden ist und Sie die Datenbank dennoch an einem anderen Speicherort speichern m chten k nnen Sie diesen Speicherort auf der Seite ELM Eigenschaften mit der Option Datenbank migrieren einrichten McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konf
365. eschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf die Ger teoption Verwaltung und w hlen Sie dann eine der folgenden Optionen aus Option Beschreibung Protokoll anzeigen Klicken Sie auf diese Option um vom System aufgezeichnete Nachrichten anzuzeigen Klicken Sie auf Gesamte Datei herunterladen um die Daten in eine Datei herunterzuladen Statistik anzeigen Klicken Sie auf diese Option um Statistiken zur Leistung des Ger ts anzuzeigen beispielsweise zur Ethernet Schnittstelle und zu den Filtern ifconfig und iptables Ger tedaten Klicken Sie auf diese Option um eine TGZ Datei mit Daten zum Status des Ger ts herunterzuladen Diese Option k nnen Sie verwenden wenn Sie gemeinsam mit dem McAfee Support ein Problem auf dem System beheben Aktualisieren der Software eines Ger ts Wenn die Software auf einem Ger t veraltet ist laden Sie aus einer Datei auf dem ESM Ger t oder vom lokalen Computer eine neue Version der Software hoch Bevor Sie beginnen Wenn Sie das System seit mehr als 30 Tagen besitzen m ssen Sie sich f r den Zugriff auf die Aktualisierungen Ihre dauerhaften Anmeldeinformationen besorgen und installieren siehe Anfordern und Hinzuf gen von Anmeldeinformationen f r Regelaktualisierungen Wenn Sie Common Cri
366. etyps W hlen Sie aus wie die Ger te in der Systemnavigationsstruktur angezeigt werden sollen Bevor Sie beginnen Zum Ausw hlen einer benutzerdefinierten Anzeige m ssen Sie diese zuerst zum System hinzuf gen siehe Verwalten benutzerdefinierter Anzeigetypen Vorgehensweise 1 Klicken Sie im Systemnavigationsbereich auf den Dropdown Pfeil im Feld f r den Anzeigetyp 2 W hlen Sie einen der Anzeigetypen aus Die Anordnung der Ger te in der Navigationsstruktur wird ge ndert und entspricht nun dem Typ den Sie f r die aktuelle Arbeitssitzung ausgew hlt haben Verwalten benutzerdefinierter Anzeigetypen Sie k nnen die Anordnung der Ger te in der Systemnavigationsstruktur definieren indem Sie benutzerdefinierte Anzeigetypen hinzuf gen bearbeiten oder l schen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Vorgehensweise Erste Schritte 2 Verbinden von Ger ten Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie im Systemnavigationsbereich auf den Dropdown Pfeil f r den Anzeigetyp 2 F hren Sie einen der folgenden Schritte aus Aufgabe Vorgehensweise Hinzuf gen eines benutzerdefinierten Anzeigetyps 1 Klicken Sie auf Anzeige hinzuf gen 2 F llen Sie die Felder aus und klicken Sie dann auf OK Bearbeiten eines benutzerdefinierten Anzeigetyps 1 Klicken Sie neben dem zu bearbeitenden Anzeigetyp auf das Symbol Be
367. f hrt wird ist die Kommunikation zwischen der Erfassung und dem Empf nger HA erst wieder m glich wenn auf den Switches zwischen den beiden die neue MAC Adresse des Empf ngers f r den ein Failover ausgef hrt wurde der freigegebenen IP Adresse zugeordnet wurde Abh ngig von der aktuellen Netzwerkkonfiguration kann dies ein paar Minuten oder auch mehrere Tage dauern Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das Empf nger HA Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 W hlen Sie Folgendes aus Hochverf gbarkeit Failover Folgendes geschieht e Der sekund re Empf nger wird von ESM angewiesen die freigegebene Datenquellen IP zu verwenden und Daten zu erfassen e Auf dem sekund ren Empf nger wird ein CRM Befehl Cluster Resource Manager ausgegeben um die freigegebene IP und MAC Adresse zu wechseln und die Erfassungen werden gestartet e Auf dem ESM Ger te werden alle Warnungs und Flussdaten vom prim ren Empf nger abgerufen e Der sekund re Empf nger wird vom ESM Ger t als prim rer Empf nger markiert und der prim re Empf nger wird als sekund rer Empf nger markiert McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 69 70 Konfigurieren von ESM Konfigurieren von Ger ten Durchf hren eines Upgrades f r HA Empf nger Beim Upgrade Prozess f r Empf
368. f nger gesammelt werden Sie m ssen Datenquellen hinzuf gen und ihre Einstellungen definieren damit die gew nschten Daten erfasst werden Die Seite Datenquellen bildet den Ausgangspunkt f r die Verwaltung der Datenquellen f r das Empf ngerger t Hier k nnen Sie Datenquellen hinzuf gen bearbeiten und l schen sowie importieren exportieren und migrieren Au erdem k nnen Sie untergeordnete Datenquellen und Client Datenquellen hinzuf gen Hinzuf gen einer Datenquelle Konfigurieren Sie die Einstellungen f r die Datenquellen die Sie zum Empf nger hinzuf gen m ssen um Daten zu erfassen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur den Empf nger aus zu dem Sie die Datenquelle hinzuf gen m chten und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie in Empf ngereigenschaften auf Datenquellen Hinzuf gen 3 W hlen Sie den Anbieter und das Modell aus Welche Felder Sie ausf llen h ngt von Ihrer Auswahl ab 4 Geben Sie die erforderlichen Informationen ein und klicken Sie dann auf OK Die Datenquelle wird zur Liste der Datenquellen auf dem Empf nger sowie zur Systemnavigationsstruktur unter dem ausgew hlten Empf nger hinzugef gt McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Verarbeiten einer Datenquelle mit SNMP Trap Bei V
369. f r Regel 24 Alarm Verwalten von Abfragen 215 216 Alarme Aktivieren 247 Anpassen der bersicht 248 Anzeigen von Details 249 Audiodateien Verwalten 249 Beauftragter ndern 249 275 Benachrichtigung bei Stromausf llen 190 238 Produkthandbuch 377 Index Alarme Fortsetzung Benachrichtigungen 178 Benachrichtigungen Hinzuf gen von Empf ngern 179 Bereich 29 Bereich Anzeigen 30 200 Berichte Anzeigen und Verwalten 250 Berichtsdateien Verwalten 251 Best tigen 249 Deaktivieren 247 Einrichten und Verwalten 231 Erstellen 232 Erstellen neu aus Ereignisansicht 287 Hinzuf gen eines Integrit ts berwachungsereignisses 239 Hinzuf gen zu Regel 237 Kopieren 247 L schen 249 Protokoll 231 Schweregradsymbole 231 Threat Intelligence Exchange Alarme 167 Verwalten von Empf ngern 249 Vorlagen Hinzuf gen 248 Vorlagen Verwalten 248 Alarmvorlagen Bearbeiten 248 Hinzuf gen 248 Kopieren 248 Standard Festlegen 248 Alte Ressourcen Definieren 318 Altiris Server Abrufen von Daten 322 Analysebericht Generieren IPS 172 Andern von Regeln 363 nderungsverlauf Anzeigen f r Regeln 370 Anhalten mehrerer Ger te 56 Anhalten von Ger ten 47 Anmeldeinformationen f r die ePO Authentifizierung 165 Anmeldeinformationen f r ePO 165 Anmeldeinformationen Anfordern und Hinzuf gen von Regelaktualisierungen 23 Anmeldeseite Anpassen 22 Anmeldung Definieren von Einstellungen 201 Sicherheit 201 Zugriffssteuerungsliste A
370. fassung 166 Datenerfassung Aktivieren 166 McAfee ServicePortal Zugriff 10 McAfee Vulnerability Manager Ausf hren von Scans 175 Einstellungen 174 Scan Ausf hren aus Ansicht 287 Verbindungen Einrichten 175 Zertifikat und Passphrase Abrufen 175 McAfee MIB 191 McAfee Regels tze 119 Mehrere Ger te Verwalten 56 Verwaltungssymbol 33 Messgr enreferenzen ADM Regeln 151 DEM Regeln 348 Metadatenereignisse 140 MIB McAfee 191 Migrieren der Datenbank ELM 134 Migrieren von Datenquellen zu einem anderen Empf nger 97 Modell Anzeigen Ger t 47 Nachrichteneinstellungen 178 Nachrichtenprotokoll Anzeigen f r Ger t 45 Name Wert Gruppe benutzerdefinierter Typ Hinzuf gen 309 Name Wert benutzerdefinierte Typen 309 McAfee Enterprise Security Manager 9 5 0 Index Netzwerk Konfigurieren von Einstellungen 180 Ports f r Empf nger HA 66 Schnittstellen Festlegen f r Ger te 40 181 Topologie Komponente Hinzuf gen von Ger ten 282 Topologie Ger tedetails 282 Verwalten von Schnittstellen 41 181 Netzwerkeinstellungen IPMI Port Einrichten 183 Netzwerkerkennung 319 Konfigurationsverwaltung 318 NetzwerkerkennungEndger te Ping Abfrageintervall 321 Ping Zeit berschreitung 321 Subnetze zum Senden des Ping Befehls 321 Netzwerk bersicht 321 Neustarten mehrerer Ger te 56 Neustarten von Ger ten 47 Nitro IPS Zusammenfassung 12 62 Normalisierung 360 Normalisierung von Web Anfragen 335 NSM NSM SIEM Konfigurations Tool 115 St
371. fee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Arbeiten mit ESM Ansichten Beschreibung Option T Gibt an dass der Schnittstelle keine Warnungsdaten zugeordnet sind Gibt an dass der Verwaltungsstatus Inaktiv entspricht nicht nur in Bezug auf den Betrieb inaktiv Stellt einen Router dar Gibt an dass der Switch Port aktiv ist Stellt ein unbekanntes Ger t dar Stellt ein nicht verwaltetes Ger t dar Gibt an dass keine Kommunikation zwischen ESM und dem Ger t ber SNMP Netzwerkerkennung oder Ping m glich ist Komponenten Symbolleiste Die Komponenten Symbolleiste befindet sich unten in jeder Komponente einer Ansicht und enth lt verschiedene Aktionen die Sie f r die Daten in der Komponente ausf hren k nnen Die verf gbaren Aktionen h ngen vom Typ der Komponente ab Option Beschreibung Y Ereignisse als berpr ft markieren Markieren Sie bestimmte Ereignisse nachdem Sie sie berpr ft haben Dann k nnen Sie mithilfe der Dropdown Liste Statusfilter f r Ereignisse ndern nur berpr fte Ereignisse oder nur nicht berpr fte Ereignisse anzeigen Ereignisse zu einem Fall oder zu Remedy zuweisen Weisen Sie Ereignisse einem Fall zu siehe Verwalten von F llen oder senden Sie eine E Mail Nachricht an das Remedy System wenn dieses eingerichtet ist Wenn Sie auf dieses Symbol klicken k nnen Sie folgende Optionen
372. ffe und Dateierweiterungen sind hilfreich wenn Sie diese Verfahren anwenden Terminologie e Ger teschl ssel Enth lt die Verwaltungsrechte ber die ein ESM Ger t in Bezug auf ein Ger t verf gt und wird nicht zu Kryptografiezwecken verwendet e ffentlicher Schl ssel Der ffentliche SSH Kommunikationsschl ssel des ESM Ger ts der in der Tabelle der autorisierten Schl ssel f r ein Ger t gespeichert ist e Privater Schl ssel Der private SSH Kommunikationsschl ssel des ESM Ger ts der von der ausf hrbaren SSH Datei auf einem ESM Ger t zum Herstellen der SSH Verbindung mit einem Ger t verwendet wird e Prim res ESM Ger t Das ESM Ger t das urspr nglich zum Registrieren des Ger ts verwendet wurde e Sekund res ESM Ger t Das zus tzliche ESM Ger t das mit dem Ger t kommuniziert Dateierweiterungen f r die verschiedenen Exportdateien e exk Enth lt den Ger teschl ssel e puk Enth lt den ffentlichen Schl ssel e prk Enth lt den privaten Schl ssel und den Ger teschl ssel Sichern und Wiederherstellen von Informationen f r ein Ger t im FIPS Modus Mit dieser Methode k nnen Sie Kommunikationsinformationen f r ein Ger t in ESM sichern und wiederherstellen Diese Methode ist in erster Linie f r die Verwendung im Fall eines Fehlers gedacht aufgrund dessen das ESM Ger t ersetzt werden muss Wenn die Kommunikationsinformationen vor dem Fehler nicht exportiert wurden kann die K
373. figurieren von ESM 3 Konfigurieren von Ger ten Abrufen des Zertifikats und der Passphrase f r McAfee Vulnerability Manager Sie m ssen das Zertifikat und die Passphrase f r McAfee Vulnerability Manager abrufen bevor Sie McAfee Vulnerability Manager Verbindungen einrichten Diese Aufgabe f hren Sie nicht auf dem ESM Ger t aus Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 F hren Sie auf dem Server mit Foundstone Certificate Manager die Datei Foundstone Certificate Manager exe aus 2 Klicken Sie auf die Registerkarte SSL Zertifikate erstellen 3 Geben Sie in das Feld Host Adresse den Hostnamen oder die IP Adresse f r das System ein auf dem die Web Benutzeroberfl che f r McAfee Vulnerability Manager gehostet wird Klicken Sie dann auf Aufl sen 4 Klicken Sie auf Zertifikat mit allgemeinem Namen erstellen um die Passphrase und eine ZIP Datei zu generieren 5 Laden Sie die ZIP Datei hoch und kopieren Sie die generierte Passphrase Ausf hren von McAfee Vulnerability Manager Scans Auf der Seite Scans werden alle zurzeit oder zu einem fr heren Zeitpunkt von McAfee Vulnerability Manager ausgef hrten Schwachstellen Scans und deren Status angezeigt Wenn Sie diese Seite ffnen wird durch eine API berpr ft ob standardm ige Web Anmeldeinformationen vorhanden sind Wenn dies der Fall ist wird die Scan Liste basierend auf diesen Anmeldeinformationen ausgef l
374. figurieren von zus tzlichen Diensten Tabelle 3 38 Integrit t des Empf ngers Fortsetzung Anfrage und Antwort OID Einheiten Antwortwert Bedeutung 1 3 6 1 4 1 23128 1 3 3 10 Sekunden 1283889234 Aktuelle Systemzeit des seit dem Empf ngers 01 01 1970 00 00 0 0 GMT 1 3 6 1 4 1 23128 1 3 3 11 7 1 3 Version und Build Stempel des 20070518091421a Empf ngers 1 3 6 1 4 1 23128 1 3 3 12 5EEE CCC6 Computer ID des Empf ngers 1 3 6 1 4 1 23128 1 3 3 13 Empf nger Modellnummer des Empf ngers 1 3 6 1 4 1 23128 1 3 3 14 Warnungen 1 Warnungsrate pro Minute f r pro Minute mindestens zehn Minuten 1 3 6 1 4 1 23128 1 3 3 15 Fl sse pro 2 Flussrate pro Minute f r Minute mindestens zehn Minuten Ereignisse Fl sse und Blacklist Eintr ge werden mit SNMP Traps oder Informationsanfragen gesendet Ein Warnungs Trap der von einem f r die Ereignisweiterleitung konfigurierten ESM Ger t gesendet wird kann in etwa so aussehen OID Wert Bedeutung 1 3 6 1 4 1 23128 1 1 1 780 ESM Warnungs ID 1 3 6 1 4 1 23128 1 1 2 6136598 Warnungs ID des Ger ts 1 3 6 1 4 1 23128 1 1 3 Intern Ger tename 1 3 6 1 4 1 23128 1 14 2 Ger te ID 1 3 6 1 4 1 23128 1 1 5 10 0 0 69 Quell IP 1 3 6 1 4 1 23128 1 1 6 27078 Quell Port 1 3 6 1 4 1 23128 1 1 7 AB CD EF 01 23 45 Quell MAC 1 3 6 1 4 1 23128 1 1 8 10 0 0 68 Ziel IP 1 3 6 1 4 1 23128 1 1 9 37258 Ziel Port 1 3 6 1 4 1 23128 1 1
375. finierten Wert an den Sie auf einen anderen als den Standardwert festlegen Eigenschaften Wenn ein Regeltyp ausgew hlt ist werden im Regelanzeigebereich alle im System vorhandenen Regeln dieses Typs und ihre Eigenschaftseinstellungen angezeigt M glich sind die Eigenschaften Aktion Schweregrad Blacklist Aggregation und Paket kopieren Eigenschaft Zweck Aktion Legen Sie die von dieser Regel ausgef hrte Aktion fest Die verf gbaren Optionen basieren auf dem Typ der Regel Blacklist Elemente k nnen nicht an ihre Ziele verschoben werden Wenn in der Spalte Blacklist die Option Zulassen ausgew hlt ist wird die Option vom System automatisch in Warnung ge ndert Schweregrad W hlen Sie den Schweregrad des Regelabschnitts bei Ausl sung der Regel aus Der Schweregrad wird mit 1 bis 100 angegeben wobei 100 dem h chsten Schweregrad entspricht Blacklist Wenn die Regel auf dem Ger t ausgel st wird wird automatisch ein Blacklist Eintrag pro Regel erstellt Sie k nnen ausw hlen ob nur die IP Adresse oder die IP Adresse und der Port in die Blacklist aufgenommen werden sollen Aggregation Legen Sie die Aggregation pro Regel f r Ereignisse fest die bei Ausl sung einer Regel erstellt werden Die auf der Seite Ereignisaggregation definierten Aggregationseinstellungen siehe Aggregieren von Ereignissen oder Fl ssen gelten nur f r die im Richtlinien Editor festgelegten Regeln Paket kopieren Kopieren Sie Paketdate
376. forderungen erf llt sein m ssen Sie k nnen die einzelnen Standardregeln aktivieren oder deaktivieren und die Werte der vom Benutzer definierbaren Parameter f r die einzelnen Regeln festlegen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 345 10 346 Verwalten von Richtlinien und Regeln Regeltypen und ihre Eigenschaften Die folgenden DEM Regeltypen stehen zur Verf gung Datenbank Datenzugriff Erkennung und Transaktions berwachung Regeltypen Beschreibung Datenbank Der DEM Standardregelsatz enth lt Regeln f r die einzelnen unterst tzten Datenbanktypen sowie f r allgemeine Vorschriften wie SOX PCI HIPAA und FISMA Sie k nnen die einzelnen Standardregeln aktivieren oder deaktivieren und die Werte der vom Benutzer definierbaren Parameter f r die einzelnen Regeln festlegen Neben den im Lieferumfang des DEM Ger ts enthaltenen Regeln k nnen Sie komplexe Regeln mit logischen und regul ren Ausdr cken erstellen So k nnen Sie Datenbank oder Anwendungsnachrichten praktisch ohne False Positives berwachen Da manche Anwendungsprotokolle und nachrichten umfangreicher sind als andere unterscheiden sich die normalisierten Daten Messgr en je nach Anwendung Sie k nnen beliebig komplexe Regeln erstellen und dabei Operatoren f r logische und regul re Ausdr cke verwenden Ein Regelausdruck kann auf eine oder mehrere f r die Anwendung verf gbare Messgr en angewendet werden Datenzugriff Mithi
377. g Mit Transaktions berwachungsregeln k nnen Sie Datenbanktransaktionen verfolgen und nderungen automatisch abgleichen Beispielsweise k nnen Sie die zeitraubende berwachung von Datenbank nderungen und den Abgleich mit autorisierten Arbeitsauftr gen in einem vorhandenen Ticket System vollst ndig automatisieren Die Verwendung dieser Funktion l sst sich am besten anhand eines Beispiels veranschaulichen Der DBA f hrt im Rahmen des Verfahrens die gespeicherte Prozedur f r das Start Tag in diesem Beispiel spChangeControlStart in der Datenbank aus in der die Arbeit ausgef hrt werden soll bevor die autorisierte Arbeit tats chlich beginnt Mit der DEM Funktion Transaktions berwachung kann der DBA bis zu drei optionale Zeichenfolgenparameter als Argument in der richtigen Reihenfolge in das Tag einschlie en 1 ID 2 Name oder DBA Initialen 3 Kommentar Beispiel spChangeControlStart 12345 mshakir reindexing app Wenn vom DEM Ger t die Ausf hrung der gespeicherten Prozedur spChangeControlStart beobachtet wird werden die Transaktion sowie die Parameter ID Name Kommentar als spezielle Informationen protokolliert Nach Abschluss der Arbeit f hrt der DBA die gespeicherte Prozedur f r das End Tag spChangeControlEnd aus und schlie t optional einen ID Parameter ein der mit der ID im Start Tag identisch sein muss Wenn vom DEM Ger t das End Tag und die ID beobachtet wird k nnen alle Aktivit ten zwische
378. ge k nnen Sie die Details eines Ereignisses mit einer Sitzungs ID anzeigen und in einer CSV Datei speichern Nur Ereignisse die sich in einer Sitzung befinden haben eine Sitzungs ID Eine Sitzung ist das Ergebnis einer Verbindung zwischen einer Quelle und einem Ziel Ereignisse die intern im Ger t oder in ESM stattfinden haben keine Sitzungs IDs Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Dropdown Liste mit den Ansichten die Ansicht aus die die anzuzeigende Sitzung enth lt 2 W hlen Sie das Ereignis aus klicken Sie auf der Titelleiste der Komponente auf das Men symbol und w hlen Sie dann Folgendes aus Ereignis Drilldown Ereignisse 3 Klicken Sie auf das Ereignis auf die Registerkarte Erweiterte Details und dann auf das Symbol Sitzungsdaten anzeigen neben dem Feld Sitzungs ID Die Sitzungsanzeige wird ge ffnet und die Details der Sitzung werden angezeigt Ansichtssymbolleiste Die Ansichtssymbolleiste befindet sich oben im Ansichtsbereich und enth lt verschiedene Optionen die Sie beim Einrichten der Ansichten verwenden Tabelle 7 1 sA amean gt Option Beschreibung 1 Ger testruktur ausblenden Klicken Sie auf diese Option um die aktuelle Ansicht zu erweitern indem Sie den Bereich der Ger testruktur ausblenden 2 Navigation anzeigen Navigieren Sie zwischen vorherigen Ansichten vor und zur ck
379. gebnis Gibt alle Zeichenfolgen zur ck die stra enthalten beispielsweise administrator gmestrad oder straub Beispiel 2 Suche mit ODER Indizierte Felder contains admin NGCP regex admin NGCP Nicht indizierte Felder admin NGCP Ergebnisse Gibt alle Zeichenfolgen in dem Feld zur ck die admin oder NGCP enthalten Die zus tzlichen Klammern sind erforderlich damit der regul re Ausdruck ODER funktioniert Beispiel 3 Suche nach Sonderzeichen wie beispielsweise in Dienstkonten Dollarzeichen Indizierte Felder contains regex x24 oder regex Nicht indizierte Felder Ergebnisse In allen F llen wird jede Zeichenfolge in dem Feld zur ckgegeben die enth lt Unter http www ascii cl finden Sie eine Liste der HEX Werte f r die Zeichen Wenn Sie f r einen regul ren Ausdruck das Zeichen ohne Skalierung verwenden wird ein leerer Ergebnissatz zur ckgegeben Eine PCRE Escape Sequenz ist als Suchmethode besser geeignet Prozentzeichen Indizierte Felder contains regex x25 oder regex 1 Nicht indizierte Felder Umgekehrter Schr gstrich Indizierte Felder contains 1 regex 1x5c Oder regex 11 Nicht indizierte Felder Y Doppelte umgekehrte Schr gstriche Indizierte Felder contains 11 regex x5c x5c Oder regex Nicht indizierte Felder In manchen F llen wird m glicherweise wenn Sie f r den regul ren Ausdruck nicht den HEX Wert oder den Schr gstrich verwende
380. gel aus benutzerdefinierten Regel 2 Klicken Sie auf Bearbeiten ndern L schen einer 1 W hlen Sie die benutzerdefinierte Regel aus benutzerdefinierten Regel N Klicken Sie auf Bearbeiten L schen Einrichten einer Regel und eines Berichts f r Datenbank Audit Listen Im Bericht Audit Listen f r berechtigte Benutzer k nnen Sie die Audit Liste f r nderungen an der Datenbank anzeigen oder den Zugriff auf eine Datenbank oder Tabelle verfolgen der einem bestimmten Datenbankereignis zugeordnet war Wenn Sie die Parameter zum Generieren des Berichts eingerichtet haben erhalten Sie Benachrichtigungen ber Compliance Berichte in denen die dem jeweiligen Ereignis zugeordnete Audit Liste angezeigt wird Zum Generieren der Audit Listenereignisse m ssen Sie eine Regel f r den Datenzugriff und den Bericht Audit Listen f r berechtigte Benutzer hinzuf gen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie im Richtlinien Editor im Bereich Regeltypen Folgendes aus DEM Datenzugriff 2 Heben Sie im Regelanzeigebereich die Optionen DEM Vorlagenregel Zugriff durch vertrauensw rdige Verwendung aus IP Bereich hervor 3 Klicken Sie auf Bearbeiten Kopierenund dann auf Bearbeiten Einf gen 4 ndern Sie den Namen und die Eigenschaften der neuen Regel a Heben Sie die neue Regel hervor und w hlen Sie dann Folgendes aus Bearbeiten ndern
381. geln vorgenommenen nderungen an oder klicken Sie auf die Registerkarte Regelversion um die neueste Version der jeweiligen Regel anzuzeigen 3 Klicken Sie auf Schlie en Erstellen einer neuen berwachungsliste mit Regeln Eine berwachungsliste ist eine Gruppierung bestimmter Informationstypen die Sie als Filter oder Alarmbedingung verwenden k nnen damit Sie benachrichtigt werden wenn diese in einem Ereignis McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von Richtlinien und Regeln 10 Regelvorg nge auftreten Die berwachungslisten k nnen global oder spezifisch f r einzelne ESM Benutzer oder Gruppen gelten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie im Richtlinien Editor im Bereich Regeltypen den Typ der Regel aus W hlen Sie dann die Regeln aus die in der berwachungsliste enthalten sein sollen Klicken Sie auf Vorg nge und w hlen Sie dann die Option Neue berwachungsliste erstellen aus Die ausgew hlten Regeln werden auf der Seite berwachungsliste hinzuf gen aufgef hrt Geben Sie einen Namen ein und stellen Sie dann sicher dass die Optionsschaltfl che Statisch ausgew hlt ist 67 Informationen zum Hinzuf gen einer dynamischen berwachunggsliste finden Sie unter Hinzuf gen einer neuen Uberwachungsliste W hlen Sie den Typ der Daten aus die mit der berwachungsliste berwacht werden sollen und
382. gen geben Sie die Netzwerkadresse und die Maske ein legen Sie die Rate fest und klicken Sie dann auf OK D Wenn Sie die Maske auf Null 0 festlegen werden alle gesendeten Daten gesteuert 4 Klicken Sie auf Anwenden Die Geschwindigkeit des ausgehenden Datenverkehrs wird f r die angegebene Netzwerkadresse gesteuert McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von zus tzlichen Diensten Arbeiten mit Hostnamen Der Hostname eines Ger ts ist meist hilfreicher als die IP Adresse Sie k nnen Hostnamen verwalten um sie der entsprechenden IP Adresse zuzuordnen Auf der Seite Hosts k nnen Sie Hostnamen hinzuf gen bearbeiten entfernen suchen aktualisieren und importieren Au erdem k nnen Sie festlegen wann ein automatisch erlernter Hostname abl uft Beim Anzeigen von Ereignisdaten k nnen Sie die Hostnamen anzeigen die den IP Adressen im Ereignis zugeordnet sind Dazu klicken Sie unten in Ansichtskomponenten auf das Symbol Hostnamen anzeigen 8 Wenn vorhandene Ereignisse nicht mit einem Hostnamen gekennzeichnet sind wird die Host Tabelle auf dem ESM vom System durchsucht und die IP Adressen werden mit den zugeh rigen Hostnamen gekennzeichnet Wenn die IP Adressen nicht in der Host Tabelle aufgef hrt sind werden die Hostnamen mithilfe einer DNS Suche Domain Name System ausfindig gemacht Die Suchergebnisse werden dann in der Ansicht angezeigt und zur Host Tabelle hinzugef
383. gen den Speicherbedarf f r die einzelnen Speicherpools e Verwendung einzelner Quellen IRSGB 0 1 DRTD SUM DSAB DSALPD 1024 1024 1024 Dabei gilt Folgendes IRSGB Anf nglich erforderlicher Speicherplatz in GB DRTD Dauer der Datenbeibehaltung in Tagen SUMME Summe f r alle Datenquellen DSAB Durchschnittliche Anzahl der Bytes in Datenquellen pro Protokoll DSALPD Durchschnittliche Anzahl der Protokolle von Datenquellen pro Tag e Verwendung von Quellentypen IRSGB 0 1 DRTD SUM NDS DSTAB DSTALPD 1024 1024 1024 Dabei gilt Folgendes IRSGB Anf nglich erforderlicher Speicherplatz in GB DRTD Dauer der Datenbeibehaltung in Tagen NDS Anzahl der Datenquellen eines Datenquellentyps SUMME Summe f r alle Datenquellentypen DSTAB Durchschnittliche Anzahl der Bytes in Datenquellentypen pro Protokoll DSTALPD Durchschnittliche Anzahl der Protokolle von Datenquellentypen pro Tag 5 Erstellen der anf nglichen Speicherger te Erstellen Sie mindestens ein ELM Speicherger t damit genug Speicherplatz f r die einzelnen Datenmengen IRSGB verf gbar ist siehe Hinzuf gen eines Speicherger ts 6 Erstellen von Speicherpools Erstellen Sie f r jeden in Schritt 3 definierten Speicherpool einen ELM Speicherpool Verwenden Sie dabei die zugeordnete Beibehaltungsdauer aus Schritt 1 die zugeordneten IRSGB Werte aus Schritt 4 und die zugeordneten Speicherger te aus Schritt 5 siehe Hinzuf
384. gen durch mehrere PCREs Sie k nnen anstelle eines gro en PCREs mit mehreren Aufzeichnungen mehrere PCREs erstellen mit denen nur ein kleiner Teil Ihrer Zeichenfolge aufgezeichnet wird Hier ist ein Beispiel f r die Erfassung eines Benutzernamens und einer Dom ne sowie die Erstellung einer E Mail Adresse zum Speichern im Feld objectname e Syntax var field PCRE Capture e PCRE Nicht der eigentliche PCRE sondern seine Nummer Wenn die Regel zwei PCRESs enth lt handelt es sich um PCRE 1 oder 2 e Capture Nicht die eigentliche Aufzeichnung sondern die Nummer erste zweite oder dritte Erfassung 1 2 3 e Beispielnachricht Ein Mann namens Jim arbeitet f r McAfee e PCRE Jim McAfee e Regel alert any any any gt any any msg Var User Jim content Jim pcre Jim pcre McAfee var src_username 1 1 var domain 2 1 var objectname 1 1 2 1 com raw classtype unknown adsid 190 sev 25 sid 610061000 rev 1 normID 1209008128 gensys T e Zugeordneter Quellbenutzer Jim e Zugeordnete Dom ne McAfee e Zugeordneter Objektname Jim McAfee com sessionid Dies ist eine Ganzzahl commandname Dies ist ein Zeichenfolgenwert objectname Dies ist ein Zeichenfolgenwert event_action Dieses Tag wird verwendet um eine Standardaktion festzulegen Sie k nnen event_action und action_map nicht in der gleichen Regel verwenden Sie k nnen beispielsweise bei einem Ereignis f
385. gen nach Bedarf ndern Die Auswirkungen der einzelnen Einstellungen werden auf der Seite Aggregation beschrieben Bevor Sie beginnen Zum ndern dieser Einstellungen ben tigen Sie die Berechtigungen Richtlinienadministrator und Ger teverwaltung oder Richtlinienadministrator und Benutzerdefinierte Regeln Die Ereignisaggregation ist nur f r ADM und IPS Ger te sowie Empf ngerger te verf gbar die Flussaggregation ist f r IPS Ger te und Empf ngerger te verf gbar McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 257 258 Arbeiten mit Ereignissen Ereignisse Fl sse und Protokolle Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Ereignisaggregation oder Flussaggregation 3 Definieren Sie die Einstellungen und klicken Sie dann auf OK Hinzuf gen von Ausnahmen f r Einstellungen f r die Ereignisaggregation Aggregationseinstellungen gelten f r alle von einem Ger t generierten Ereignisse Sie k nnen Ausnahmen f r einzelne Regeln erstellen wenn die allgemeinen Einstellungen f r die von der jeweiligen Regel generierten Ereignisse nicht gelten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie im Ansichtsbereich ein Ereignis aus das von
386. ger t ausgew hlte Ger t deaktivieren m chten klicken Sie auf den Dropdown Pfeil in diesem Feld W hlen Sie ein anderes Ger t zum Spiegeln des Datenspeicherger ts aus oder w hlen Sie Keines aus e Wenn Sie das im Feld Datenspeicherger t ausgew hlte Ger t deaktivieren m chten klicken Sie auf den Dropdown Pfeil in diesem Feld und w hlen Sie ein anderes Ger t als Datenspeicherger t aus 4 Klicken Sie auf OK um die nderungen zu speichern Wenn das Ger t nicht mehr als Spiegelger t fungiert wird es dennoch weiterhin in der Tabelle Speicherger t angezeigt Einrichten eines externen Datenspeichers Zum Speichern von ELM Daten k nnen Sie drei externe Speichertypen einrichten iSCSI SAN und DAS Wenn diese externen Speichertypen mit dem ELM Ger t verbunden sind k nnen Sie sie f r die Speicherung von Daten vom ELM Ger t einrichten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ELM Eigenschaften aus und klicken Sie dann auf Datenspeicher 2 Klicken Sie auf die Registerkarte iSCSI SAN oder DAS und f hren Sie dann die erforderlichen Schritte aus 3 Klicken Sie auf Anwenden oder OK Hinzuf gen eines iSCSI Ger ts Wenn Sie ein iSCSI Ger t als ELM Speicher verwenden m chten m ssen Sie Verbindungen mit dem Ger t konfigurieren Vorgehensweise Beschreibungen der Optionen erhalten Sie wen
387. ger und der Empf nger f r den noch kein Upgrade durchgef hrt wurde ist der sekund re Empf nger 3 Der Upgrade Tarball wird auf den neuen sekund ren Empf nger angewendet 4 Sie wechseln erneut die Rollen des prim ren und sekund ren Empf ngers mit dem Prozess zum Wechseln zwischen Empf nger HA Rollen sodass die Empf nger wieder ihre urspr nglichen Rollen annehmen Beim Durchf hren von Upgrades sollte kein bevorzugter prim rer Empf nger festgelegt sein Weitere Informationen finden Sie unter Wenn f r den Empf nger HA ein bevorzugter prim rer Empf nger eingerichtet ist ndern Sie am besten die Einstellung vor dem Upgrade W hlen Sie auf der Registerkarte HA Empf nger siehe Einrichten von Empf nger HA Ger ten im Feld Bevorzugtes prim res Ger t die Option Keine aus Auf diese Weise k nnen Sie die Option Failover verwenden die nicht verf gbar ist wenn Sie die Einstellung als bevorzugtes prim res Ger t ausgew hlt haben Wenn das Upgrade f r beide Empf nger durchgef hrt wurde k nnen Sie die Einstellung als bevorzugtes prim res Ger t wieder anwenden Netzwerk Ports an Empf nger HAs In den folgenden Diagrammen wird gezeigt wie Sie die Netzwerk Ports an einem Empf nger HA verbinden ERC 1250 HA 1260 HA 4 IPMI 6 Verwaltung 2 2 Verwaltung 2 7 Verwaltung 3 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten 3 Verwaltung 1 8 Daten Fe
388. ger 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten 123 Anwendungs PID optional Doppelpunkt optional 7 Die Felder f r den Hostnamen und die Daten k nnen in beliebiger Reihenfolge angezeigt werden Eine IPv6 Adresse kann in eckige Klammern eingeschlossen werden Ausf hren des NSM SIEM Konfigurations Tools Vor dem Einrichten einer NSM Datenquelle m ssen Sie das NSM SIEM Konfigurations Tool ausf hren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Laden Sie das Konfigurations Tool herunter a Navigieren Sie zur McAfee Website f r Produkt Downloads b Geben Sie in das Suchfeld Meine Produkte herunterladen die Kunden Grant Nummer ein die Sie erhalten haben c Klicken Sie auf Suchen Die Produktaktualisierungsdateien befinden sich unter dem Download Link MFE lt Produktname gt lt Version gt d Lesen Sie den McAfee Endbenutzer Lizenzvertrag und klicken Sie auf Ich stimme zu e Laden Sie die Dateien f r das NSM SIEM Konfigurations Tool herunter 2 F hren Sie das Konfigurations Tool auf dem NSM Server aus Der Standardpfad zu NSM muss f r das Tool auffindbar sein Wenn der Pfad nicht gefunden wird navigieren Sie zu NSM 3 Geben Sie den NSM SQL Benutzernamen und das entsprechende Kennwort sowie den bei der Installation von NSM eingegebenen Datenbanknamen ein 4 Geben Sie den SIEM Benutzernamen und das zugeh rige Kennwort
389. ger 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Auf der Seite ELM Suchergebnisse werden die Ergebnisse des Auftrags angezeigt Wenn Sie mehrere zus tzliche VM Laufwerke gleichzeitig vom ESM Ger t entfernen gehen m glicherweise alle ELM Suchen verloren Vermeiden Sie den Verlust der Ergebnisse indem Sie die ELM Suchergebnisse exportieren Sichern und Wiederherstellen von ELM Bei einem Systemfehler oder Datenverlust m ssen Sie die aktuellen Einstellungen auf ELM Ger ten sichern Alle Konfigurationseinstellungen einschlie lich der Datenbank f r die ELM Protokollierung werden gesichert Die eigentlichen auf dem ELM Ger t gespeicherten Protokolle werden nicht gesichert Es wird empfohlen die Ger te auf denen die Protokolldaten des ELM Ger ts gespeichert werden und die ELM Verwaltungsdatenbank zu spiegeln Mit der Spiegelung k nnen Sie Echtzeitprotokolldaten sichern Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ELM Eigenschaften aus 2 Vergewissern Sie sich dass ELM Informationen ausgew hlt ist und klicken Sie dann auf Sichern und wiederherstellen 3 F hren Sie einen der folgenden Schritte aus Aufgabe Vorgehensweise Sofortiges Sichern von ELM Geben Sie die erforderlichen Informationen ein und klicken Sie dann auf Jetzt sichern Automatisches Sichern der W
390. gereigenschaften aus und klicken Sie dann auf Datenquelle Importieren 2 Suchen Sie die Datei mit den verschobenen Datenquellen und klicken Sie auf Hochladen 3 W hlen Sie in der Liste Remote Freigabeprofil den Speicherort der Rohdatendateien aus Wenn das Profil nicht aufgef hrt ist klicken Sie auf Remote Freigabeprofil und f gen Sie das Profil hinzu 4 Klicken Sie auf OK Die Datenquellen werden zum zweiten Empf nger hinzugef gt und greifen ber das Remote Freigabeprofil auf die Rohdaten zu Importieren von Rohdaten und Datenquellendateien 1 Greifen Sie in der Systemnavigationsstruktur auf dem zweiten Empf nger auf Datenquellen zu und klicken Sie dann auf Importieren 2 Suchen Sie die Datei mit den verschobenen Datenquellen und klicken Sie auf Hochladen Auf der Seite Datenquellen importieren werden die zu importierenden Datenquellen aufgef hrt 3 W hlen Sie in der Liste Remote Freigabeprofil den Speicherort der Rohdatendateien aus Wenn das Profil nicht aufgef hrt ist klicken Sie auf Remote Freigabeprofil und f gen Sie es Profil hinzu siehe Konfigurieren von Profilen 4 Klicken Sie auf OK 98 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Einrichten von automatischem Lernen f r Datenquellen Richten Sie ESM f r das automatische Erlernen von IP Adressen ein Bevor Sie beginnen Stellen Sie sicher dass Ports f r Syslog
391. gew hlt ist Geben Sie die Informationen f r das prim re ESM Ger t ein und w hlen Sie dann die redundanten ESM Ger te aus oder f gen Sie sie hinzu 7 Sie k nnen maximal f nf redundante ESM Ger te hinzuf gen W hlen Sie die Optionsschaltfl che Redundant aus geben Sie dann die IP Adresse f r das prim re ESM Ger t ein und w hlen Sie den SSH Port aus Klicken Sie auf OK Sie werden gewarnt dass der Dienst neu gestartet werden muss und dass dadurch die Verbindungen aller Benutzer mit dem ESM Ger t getrennt werden Klicken Sie auf Ja um mit der Synchronisierung fortzufahren Ersetzen eines redundanten ESM Ger ts Wenn ein redundantes ESM Ger t nicht mehr funktioniert k nnen Sie es durch ein neues Ger t ersetzen Bevor Sie beginnen F gen Sie das neue redundante ESM Ger t zum System hinzu Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und vergewissern Sie sich dass Systeminformationen ausgew hlt ist Klicken Sie auf Sichern und wiederherstellen Redundanz und w hlen Sie dann Prim r aus Geben Sie die neue redundante IP Adresse in das Feld IP Adresse des redundanten ESM Ger ts ein W hlen Sie Redundant aus und vergewissern Sie sich dass die IP Adresse des prim ren ESM Ger ts richtig ist W hlen Sie Prim r aus und klicken Sie dann
392. gnisse oder die Flussaggregation f r das Ger t insgesamt ndern und f r einzelne Regeln Ausnahmen f r die Einstellungen des Ger ts hinzuf gen siehe Verwalten von Aggregationsausnahmen f r Ereignisse Die dynamische Aggregation ist auch standardm ig aktiviert Wenn sie ausgew hlt ist werden die Einstellungen f r Aggregationsebene 1 ersetzt und die Einstellungen f r Aggregationsebene 2 und Aggregationsebene 3 erh ht Datens tze werden basierend auf der Abrufeinstellung f r Ereignisse Fl sse und Protokolle abgerufen Wenn automatisches Abrufen festgelegt ist wird ein Datensatz nur beim ersten Abruf durch ESM vom Ger t komprimiert Wenn manuelles Abrufen festgelegt ist wird ein Datensatz bis zu 24 Stunden lang komprimiert oder bis zum manuellen Abruf eines neuen Datensatzes je nachdem was zuerst geschieht Wenn das 24 Stunden Limit f r die Komprimierung erreicht ist wird ein neuer Datensatz abgerufen und die Komprimierung beginnt f r diesen neuen Datensatz McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 49 Konfigurieren von ESM Verwalten von Ger ten ndern von Einstellungen f r die Ereignis oder Flussaggregation Ereignisaggregation und Flussaggregation sind standardm ig aktiviert und auf Hoch festgelegt Sie k nnen die Einstellungen nach Bedarf ndern Die Auswirkungen der einzelnen Einstellungen werden auf der Seite Aggregation beschrieben Bevor Sie beginnen Zum ndern dieser Einstellungen ben
393. grammen die gesch tzten Ergebnisse angezeigt e Diagramm Zeitliche Verteilung der Ergebnisse Hier werden die Sch tzungen und Ergebnisse basierend auf einer zeitlichen Verteilung angezeigt Die untere Achse ndert sich abh ngig von der Auswahl in der Dropdown Liste f r den Zeitraum e Diagramm Ergebnisse f r Datenquelle Hier werden die Sch tzungen und Ergebnisse pro Datenquelle basierend auf den Datenquellen der in der Systemnavigationsstruktur ausgew hlten Ger te angezeigt e Diagramm Ergebnisse f r Ger tetyp Hier werden die Sch tzungen und Ergebnisse pro Ger tetyp basierend auf den in der Systemnavigationsstruktur ausgew hlten Ger ten angezeigt Die Diagramme werden vor Beginn der Suche ausgef llt und aktualisiert wenn Ergebnisse gefunden werden Sie k nnen auf der Seite Ergebnisse f r Datenquelle oder Ergebnisse f r Ger tetyp einen oder mehrere Balken ausw hlen oder einen Abschnitt des Diagramms Zeitliche Verteilung der Ergebnisse hervorheben Klicken Sie auf Filter anwenden um die Suche einzuengen sobald die ersten Ergebnisse eingehen Auf diese Weise k nnen Sie die Suchergebnisse weiter aufgliedern und die Menge der zu durchsuchenden Daten begrenzen Nach Abschluss der Suche werden in den Diagrammen die tats chlichen Ergebnisse angezeigt McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Arbeiten mit ESM Ansichten Ausf hren einer erweiterten ELM Suche Durchsuchen Sie die Pro
394. h Standardwert 49190 snmp_version Automatisch ausgef llt McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 95 Konfigurieren von ESM Konfigurieren von Ger ten Tabelle 3 20 sql_ws ab Spalte EY Spalte Beschreibung Details sql_ws_port Optional Standardwert h ngt vom Anbieter ab Standardwert f r Websense 1433 sql_ws_userid Erforderlich sql_ws_password Erforderlich sql_ws_dbname Optional Standardwert leer sql_ws_db_instance Name der Datenbankinstanz Erforderlich Tabelle 3 21 sql ab Spalte FD Spalte Beschreibung Details sql_port Der f r die Verbindung mit der Datenbank verwendete Port sql_userid Datenbankbenutzer ID sql_password Datenbank Kennwort sql_dbinstance Name der Datenbankinstanz sql_config_logging G ltige Werte 0 f r die SQL Server Express Datenbank und 1 f r die SQL Datenbank sql_protocol Wenn der Wert f r sql_config_logging auf 1 festgelegt ist lautet dieser Wert gsql sql_dbname Datenbankname Tabelle 3 22 oracleidm ab Spalte FK Spalte Beschreibung Details oracleidm_port Der f r die Verbindung mit der Oracle Identity Manager Datenbank verwendete Port oracleidm_userid Benutzer ID f r die Oracle Identity Manager Datenbank oracleidm_password Kennwort f r die Oracle Identity Manager Datenbank oracleidm_ip_address IP Adresse f r die Oracle Identity Manager Datenbank oracleidm_dpsid TNS Name der ver
395. h 115 116 Konfigurieren von ESM Konfigurieren von Ger ten Die folgenden Produkte werden unterst tzt wenn sie vollst ndig in ePolicy Orchestrator integriert sind e ANTISPYWARE e MNAC e DLP e POLICYAUDITOR e EPOAGENT e SITEADVISOR e GSD e VIRUSCAN e GSE e SOLIDCORE e HOSTIPS Wenn IP vergleichen ausgew hlt ist wird eine Abfrage an das ePolicy Orchestrator Ger t gesendet und f r alle Endpunkte in der ePolicy Orchestrator Datenbank werden Client Datenquellen erstellt Wenn in der ePolicy Orchestrator Datenbank mehr als 256 Endpunkte vorhanden sind werden mehrere Datenquellen mit Clients erstellt McAfee Risk Assessment Daten wird von ePolicy Orchestrator Servern erfasst Sie k nnen mehrere ePolicy Orchestrator Server festlegen von denen die McAfee Risk Advisor Daten erfasst werden sollen Die McAfee Risk Advisor Daten werden ber eine Datenbankabfrage aus der SQL Server Datenbank von ePolicy Orchestrator erfasst Aus der Datenbankabfrage ergibt sich eine Liste mit einer Gegen berstellung von IP und Reputationsfaktor Au erdem werden Konstantenwerte f r die hohen und niedrigen Reputationswerte bereitgestellt Alle Listen aus ePolicy Orchestrator und McAfee Risk Advisor werden zusammengef hrt Dabei erhalten doppelte IPs den h chsten Faktor Die zusammengef hrte Liste wird mit den niedrigen und hohen Werten an alle ACE Ger te gesendet die f r die Bewertung von SrcIP und DstIP Feldern verwendet werden Wenn Sie eine
396. halten darf 192 168 1 0 24 e F r IP Adressen k nnen auch Masken in langer Form geschrieben werden 192 168 1 0 255 255 255 0 MAC Adressen e MAC Adressliterale werden in der Standardschreibweise geschrieben und wie IP Adressen nicht in Anf hrungszeichen eingeschlossen aa bb cc dd ee ff Zahlen e Alle Zahlen in ADM Regeln sind 32 Bit Ganzzahlen Sie k nnen im Dezimalformat geschrieben werden 1234 e Sie k nnen im Hexadezimalformat geschrieben werden Oxabcd e Sie k nnen im Oktalformat geschrieben werden 0777 e Sie k nnen ber einen angef gten Multiplikator verf gen Multiplikation mit 1024 K 1048576 M oder 1073741824 G 10M McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 149 150 Konfigurieren von ESM Konfigurieren von Ger ten Typ Formatbeschreibung Zeichenfolgen Zeichenfolgen werden in doppelte Anf hrungszeichen eingeschlossen dies ist eine Zeichenfolge In Zeichenfolgen k nnen standardm ige C Escape Sequenzen verwendet werden tDies ist eine Zeichenfolge mit x20Escape Sequenzen n Beim Vergleichen eines Begriffs mit einer Zeichenfolge muss der gesamte Begriff mit der Zeichenfolge bereinstimmen Wenn eine E Mail Nachricht die Absenderadresse jemand irgendwo com enth lt wird die folgende Regel nicht ausgel st email from irgendwo com Wenn Sie nur einen Teil eines Begriffs vergleichen m chten m ssen Sie stattdessen ein regul res Ausdruckslit
397. hen enth lt m ssen Sie die Anf hrungszeichen wiederum in Anf hrungszeichen einschlie en F r den Wert Smith Boy John m ssen Sie Smith Boy John eingeben Sie k nnen contains Filter und Filter f r regul re Ausdr cke verwenden siehe Beschreibung der contains Filter und Filter f r regul re Ausdr cke Filtern einer Ansicht Mithilfe von Filtern k nnen Sie Details zu ausgew hlten Elementen in einer Ansicht anzeigen Wenn Sie Filter eingeben und die Ansicht aktualisieren entsprechen die Daten in der Ansicht den hinzugef gten Filtern Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie in der ESM Konsole auf die Dropdown Liste der Ansichten und w hlen Sie dann die zu filternde Ansicht aus 2 F llen Sie im Bereich Filter die Felder mit den Daten aus nach denen Sie filtern m chten Sie haben folgende M glichkeiten e Geben Sie die Filterinformationen in das entsprechende Feld ein Wenn Sie beispielsweise die aktuelle Ansicht so filtern m chten dass nur Daten mit der Quell IP Adresse 161 122 15 13 angezeigt werden geben Sie die IP Adresse in das Feld Quell IP ein e Geben Sie einen contains Filter oder einen Filter f r regul re Ausdr cke ein siehe Beschreibung der contains Filter und Filter f r regul re Ausdr cke Klicken Sie neben dem Feld auf das Symbol Filterliste anzeigen F und w hlen Sie die Variablen bzw die Watchlists aus
398. hinzu und klicken Sie dann auf die Registerkarte Bedingung 3 W hlen Sie im Feld Typ die Option Interne Ereignis bereinstimmung aus 4 W hlen Sie im Feld Feld die Option Signatur ID aus und geben Sie dann 306 50086 in das Feld Werte ein 5 F llen Sie nach Bedarf die verbleibenden Informationen auf den einzelnen Registerkarten aus und klicken Sie dann auf Fertig stellen Bei Ausfall einer Stromversorgung wird ein Alarm ausgel st 190 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von zus tzlichen Diensten SNMP und McAfee MIB Auf verschiedene Aspekte der McAfee Produktlinie k nnen Sie ber SNMP zugreifen In der McAfee MIB werden die Objekt IDs OIDs f r die einzelnen relevanten Objekte oder Merkmale definiert In der MIB werden Objektgruppen f r Folgendes definiert e Warnungen Auf einem ESM Ger t k nnen Warnungs Traps mithilfe der Ereignisweiterleitung generiert und gesendet werden Sie k nnen auf einem Empf nger Warnungs Traps empfangen indem Sie eine McAfee SNMP Datenquelle konfigurieren e Fl sse Sie k nnen auf einem Empf nger Fluss Traps empfangen indem Sie eine McAfee SNMP Datenquelle konfigurieren e ESM Integrit tsanfragen Auf einem ESM Ger t k nnen Integrit tsanfragen f r das Ger t selbst sowie f r die ber das Ger t verwalteten Ger te empfangen und beantwortet werden e Blacklist Auf einem ESM Ger te k nnen Traps empfangen werden mit
399. hl ssel und Zertifikat abgerufen haben das Sie f r das ESM Ger t verwenden m chten m ssen Sie es installieren McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 187 188 Konfigurieren von ESM Konfigurieren von zus tzlichen Diensten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf ESM Verwaltung 2 Klicken Sie auf der Registerkarte Schl sselverwaltung auf Zertifikat 3 W hlen Sie die entsprechenden Optionen aus und klicken Sie dann auf Schlie en Konfigurieren von Profilen Definieren Sie Profile f r Syslog basierten Datenverkehr damit Sie Setups mit gemeinsamen Informationen ausf hren k nnen ohne die Details jedes Mal einzugeben Au erdem k nnen Sie ein Profil f r Remote Befehle URL oder Skript hinzuf gen und es f r eine Ansicht und einen Alarm verwenden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Profilverwaltung 2 Zum Hinzuf gen eines Profils klicken Sie auf der Registerkarte Systemprofile auf Hinzuf gen und geben Sie dann die Profildaten ein 3 Zum Hinzuf gen eines Remote Befehls klicken Sie auf die Registerkarte Remote Befehl und geben Sie dann die erf
400. hlen 217 Verf gbare Linux Befehle 218 Verwenden einer globalen Blacklist 218 Einrichten einer globalen Blacklist 219 Was ist Datenanreicherung a 220 Hinzuf gen von Batanank icherungsn ellen 220 Einrichten der Datenanreicherung durch McAfee Real Time for McAfee ePO 220 Hinzuf gen einer Hadoop HBase Datenanreicherungsquelle 221 Hinzuf gen einer Hadoop Pig Datenanreicherungsquelle Doa 222 Hinzuf gen von Active Directory Datenanreicherung f r Benutzernamen 222 Verwalten von Cyber Bedrohungen 225 Einrichten der Cyber Threat Verwaltung 225 Anzeigen von Ergebnissen eines Cyber Threat Feeds 226 Arbeiten mit Inhaltspaketen 229 Importieren von Inhaltspaketen 229 Arbeiten mit Alarmen 231 Funktionsweise der ESM Alarme 231 Erstellen eines Alarms 232 UCAPL Alarme 233 Einrichten eines K rr lafiohs larnis der Quell reigriisio enth lten soll 235 Hinzuf gen eines Alarms vom Typ Feld bereinstimmung 236 Hinzuf gen eines Alarms zu Regeln nog 237 Erstellen eines SNMP Traps als Aktion in einem Alarm 237 Hinzuf gen eines Alarms zur Benachrichtigung bei Stromausf llen 238 Hinzuf gen eines Alarms f r Integrit ts berwachungsereignisse 239 Kopieren eines Alarms 247 Aktivieren oder Deaktivieren der Alatmabenkach nd 247 Anpassen der bersicht f r ausgel ste Alarme und F lle 248 Verwalten von Nachrichtenvorlagen f r Alarme 248 Verwalten von Audiodateien f r Alarm
401. hreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie in der ESM Konsole auf die Liste der Ansichten und w hlen Sie dann Folgendes aus Ereignisansichten Ereignisanalyse 2 be E Klicken Sie auf an Ereignis klicken Sie auf das Men symbol E und dann auf Umliegende Ereignisse untersuchen 294 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Arbeiten mit ESM Ansichten 3 W hlen Sie aus wie viele Minuten vor und nach dem Zeitpunkt des Ereignisses vom System nach einer bereinstimmung durchsucht werden sollen 4 Klicken Sie auf Filter ausw hlen w hlen Sie das Feld aus f r das eine bereinstimmung gesucht werden soll und geben Sie dann den Wert ein Die Ergebnisse werden in der Ansicht Ergebnisse der Untersuchung der umliegenden Ereignisse angezeigt Wenn Sie diese Ansicht verlassen und sp ter zur ckkehren m chten klicken Sie im Men Ereignisanalyse auf Letzte Untersuchung der umliegenden Ereignisse Anzeigen der Details zur IP Adresse eines Ereignisses Wenn Sie ber eine McAfee Global Threat Intelligence McAfee GTI Lizenz von McAfee verf gen k nnen Sie beim Ausf hren einer Suche nach Details zur IP Adresse auf die neue Registerkarte Bedrohungsdetails zugreifen Wenn Sie diese Option ausw hlen werden Details zur IP Adresse zur ckgegeben unter anderem der Risikoschweregrad und Geolocation Daten Bevor Sie beginnen Er
402. hte Watchlists Ressourcenverwaltung Richtlinien Editor Zonen Systemeigenschaften Filter und die Aktionssymbolleiste ein siehe Arbeiten mit Benutzern und Gruppen Alle anderen Funktionen sind deaktiviert Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das System aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Benutzer und Gruppen und geben Sie dann das Systemkennwort ein 3 F hren Sie einen der folgenden Schritte aus e Wenn die Gruppe bereits eingerichtet ist w hlen Sie sie in der Tabelle Gruppe aus und klicken Sie dann auf Bearbeiten e Wenn Sie eine Gruppe hinzuf gen m chten klicken Sie neben der Tabelle Gruppen auf Hinzuf gen Geben Sie Name und Beschreibung ein und w hlen Sie Benutzer aus 4 Klicken Sie auf Berechtigungen und w hlen Sie dann Zugriff dieser Gruppe einschr nken aus Die meisten Berechtigungen sind deaktiviert 5 W hlen Sie in der Liste der verbleibenden Berechtigungen diejenigen aus die die Gruppe haben soll 6 Klicken Sie auf die einzelnen Registerkarten und definieren Sie die brigen Einstellungen f r die Gruppe Sichern und Wiederherstellen von Systemeinstellungen 206 Sie k nnen die aktuellen Systemkonfigurationseinstellungen automatisch oder manuell speichern damit sie im Fall eines Systemfehlers oder Datenverlusts wiederhergestellt werden k
403. htzeit identifiziert und extrahiert werden k nnen Inhalte auf Anwendungsebene k nnen vollst ndig erneut zusammengestellt und decodiert werden Dabei werden Streams aus kryptischen Netzwerkpaketen in Inhalte umgewandelt die so leicht lesbar sind wie der Inhalt einer lokalen Datei Sie k nnen mit dem ICE Modul automatisch Protokolle und Inhaltstypen identifizieren und sind dabei nicht auf feste TCP Port Nummern oder Dateierweiterungen angewiesen Die Analyse und Decodierung ber das ICE Modul erfolgt ohne Zuhilfenahme von Signaturen Stattdessen werden durch die einzelnen Module f r jedes Protokoll bzw jeden Inhaltstyp vollst ndige Parser implementiert Dadurch ergibt sich eine u erst genaue Identifizierung und Decodierung der Inhalte die auch dann identifiziert und extrahiert werden k nnen wenn sie komprimiert oder anderweitig codiert sind und daher im Netzwerk nicht als Klartext bertragen werden Aufgrund dieser sehr genauen Identifizierung und Decodierung bietet das ICE Modul besonders tiefe Einblicke in den Netzwerkverkehr Beispielsweise k nnte das ICE Modul einen PDF Dokument Stream der das Netzwerk in einer ZIP Datei durchquert hat als BASE 64 codierten Anhang einer SMTP E Mail von einem SOCKS Proxyserver empfangen Durch diese Erkennung von Anwendungen und Dokumenten ergibt sich mithilfe von ADM ein Sicherheitskontext von unsch tzbarem Wert Sie k nnen Bedrohungen entdecken die mit herk mmlichen IDS Systemen oder Nitro IPS
404. ication severity Muss eine Ganzzahl sein action map Hiermit k nnen Sie bestimmte Aktionen des Produkts den McAfee Aktionen zuordnen Bei der Aktionszuordnung wird die Gro Kleinschreibung beachtet Beispiel alert any any any gt any any msg OpenSSH Accepted Password content Accepted password for action_map Accepted 8 Blocked 3 pcre Accepted s password s for s S s from s d d d d s port s d setparm action 1 sid 31 rev 1 Weitere Details finden Sie unter Zuordnung von Schweregraden und Aktionen severity map Hiermit k nnen Sie bestimmte Schweregrade des Produkts den McAfee Schweregraden zuordnen Wie bei der Aktionszuordnung wird auch bei der Schweregradzuordnung die Gro Kleinschreibung beachtet Beispiel alert any any any gt any any msg OpenSSH Accepted Password content Accepted password for severity_map High 99 Low 25 10 99 1 25 pcre Accepted s password s for s S s from s d d d d s port s t d setparm action 1 sid 31 rev 1 pri x3d x3a s p x5f x2c Weitere Details finden Sie unter Zuordnung von Schweregraden und Aktionen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 107 108 Konfigurieren von ESM Konfigurieren von Ger ten Tag Beschreibung var Dies ist eine andere M glichkeit f r die Verwendung von setparms Am besten erstellen Sie jedoch einen Wert aus mehreren Aufzeichnun
405. ich auf die Dropdown Liste f r den Anzeigetyp 2 W hlen Sie die benutzerdefinierte Anzeige aus und f hren Sie dann einen der folgenden Schritte aus Aufgabe Vorgehensweise Hinzuf gen 1 Klicken Sie auf einen System oder Gruppenknoten und dann auf der einer neuen Gruppe Aktionssymbolleiste auf das Symbol Gruppe hinzuf gen E 2 F llen Sie die Felder aus und klicken Sie dann auf OK 3 Ziehen Sie Ger te in der Anzeige an die gew nschte Stelle und legen Sie sie ab um sie zur Gruppe hinzuzuf gen Wenn das Ger t Teil einer Struktur in der Anzeige ist wird ein doppelter Ger teknoten erstellt Das Duplikat in der Systemstruktur k nnen Sie anschlie end l schen Bearbeiten einer Gruppe W hlen Sie die Gruppe aus klicken Sie auf das Symbol Eigenschaften ES und nehmen Sie dann auf der Seite Gruppeneigenschaften Anderungen vor L schen einer W hlen Sie die Gruppe aus und klicken Sie dann auf das Symbol Gruppe l schen Gruppe Die Gruppe und die darin enthaltenen Ger te werden aus der benutzerdefinierten Anzeige gel scht Die Ger te werden nicht aus dem System gel scht Siehe auch Verwalten benutzerdefinierter Anzeigetypen auf Seite 26 L schen doppelter Ger te in der Systemnavigationsstruktur Doppelte Ger teknoten werden in der Systemnavigationsstruktur angezeigt wenn Sie Ger te aus einer Systemstruktur in eine Gruppe ziehen und dort ablegen oder wenn Gruppen eingerichtet sind und
406. ich in einer Einrichtung mit Zugriffssteuerung befinden in der kein nicht autorisierter physischer Zugriff m glich ist Beabsichtigte Auf die McAfee Appliance muss Folgendes zutreffen Verwendung e Sie muss Zugriff auf den gesamten Netzwerkverkehr haben damit ihre Funktionen ausgef hrt werden k nnen e Sie muss so verwaltet werden dass Adressen nderungen in dem vom Target of Evaluation TOE berwachten Netzwerkverkehr m glich sind e Sie muss f r den berwachten Netzwerkverkehr skaliert werden 20 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Erste Schritte 2 An und Abmelden Typ Anforderungen Personal e F r die Verwaltung der McAfee Appliance und der Sicherheit der darin enthaltenen Informationen muss mindestens eine fachkundige Person zugewiesen sein Vor Ort Unterst tzung bei der Installation und Konfiguration sowie Vor Ort Schulung f r die Verwendung der Appliance wird von McAfee Technikern f r alle McAfee Kunden bereitgestellt e Die autorisierten Administratoren verhalten sich nicht nachl ssig vors tzlich fahrl ssig oder ablehnend und halten sich an die Anweisungen in der Dokumentation f r die McAfee Appliance e Nur autorisierte Benutzer d rfen auf die McAfee Appliance zugreifen e Die f r die McAfee Appliance zust ndigen Personen m ssen sicherstellen dass alle Anmeldeinformationen f r den Zugriff von den Benutzern im Hinblick auf die IT Sicherheit gesch tzt werden Son
407. icht ausgel st Sie k nnen die ausgel sten Alarme best tigen l schen und Details zu ihnen anzeigen Wenn Sie einen ausgel sten Alarm best tigen wird er im Protokoll Alarme nicht mehr angezeigt In der Ansicht Ausgel ste Alarme wird er jedoch nach wie vor aufgef hrt Wenn Sie einen Alarm l schen wird er aus dem Protokoll Alarme sowie aus der Ansicht Ausgel ste Alarme entfernt Wenn Sie auf der Seite Alarmeinstellungen die Aktion Visuelle Warnung ausw hlen und die Warnung nicht geschlossen best tigt oder gel scht wurde wird die visuelle Warnung nach 30 Sekunden geschlossen Die ausgew hlte Audiowarnung wird wiedergegeben bis Sie die visuelle Warnung schlie en best tigen oder l schen oder auf das Audiosymbol klicken um die Audiowarnung zu beenden Sie k nnen ausw hlen ob der Protokollbereich Alarme auf der Seite Optionen angezeigt werden soll siehe Ausw hlen von Benutzereinstellungen Siehe auch Ausw hlen von Benutzereinstellungen auf Seite 30 Erstellen eines Alarms F gen Sie einen Alarm hinzu damit er ausgel st wird wenn die von Ihnen definierten Bedingungen zutreffen Bevor Sie beginnen Sie m ssen ber Administratorrechte verf gen oder einer Zugriffsgruppe mit der Berechtigung Alarmverwaltung angeh ren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigen
408. icht autorisierte Anzeigen von vertraulichen Daten Dabei werden die vertraulichen Informationen durch eine generische Zeichenfolge die sogenannte Maske ersetzt Wenn Sie ein DEM Ger t zum System hinzuf gen werden drei McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 159 3 Konfigurieren von ESM Konfigurieren von Ger ten Standardmasken f r vertrauliche Daten zur ESM Datenbank hinzugef gt Sie k nnen jedoch neue Masken hinzuf gen und vorhandene Masken bearbeiten oder entfernen Die folgenden Standardmasken stehen zur Verf gung e Name der Maske f r vertrauliche Daten Maske f r Kreditkartennummern Ausdruck 4 d 3 5 1 5 d 2 1 6011 d 4 d 4 d 4 3 4 7 d 13 Index der Teilzeichenfolgen MO Maskierungsmuster HH HH HH HHHH e Name der Maske f r vertrauliche Daten Erste f nf Zeichen der SSN maskieren Ausdruck d d d d d d d d d Index der Teilzeichenfolgen 1 Maskierungsmuster e Name der Maske f r vertrauliche Daten Benutzerkennwort in SQL Anweisung maskieren Ausdruck create s user s w s identified s by s w Index der Teilzeichenfolgen 2 Maskierungsmuster Verwalten von Masken f r vertrauliche Daten Sie k nnen im System eingegebene vertrauliche Informationen sch tzen indem Sie Masken f r vertrauliche Daten hinzuf gen und vorhandene Masken bearbeiten oder entfernen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzerob
409. icken 1 W hlen Sie im Richtlinien Editor im Bereich Regeltypen den zu filternden Regeltyp aus 2 Stellen Sie sicher dass im Bereich Filter Kennzeichnung die Registerkarte Filter ausgew hlt ist 3 F hren Sie einen oder mehrere der folgenden Schritte aus Aufgabe Vorgehensweise Filtern mit mehreren Tags e W hlen Sie Kategorien oder Tags aus und klicken Sie dann auf das Symbol Abfrage ausf hren gt Daraufhin werden nur Regeln angezeigt die allen Filtern entsprechen Anzeigen von Regeln die einem der ausgew hlten Filter entsprechen 1 W hlen Sie mehrere Kategorien oder Tags aus 2 Klicken Sie auf das Symbol oder und dann auf das Symbol Abfrage ausf hren Von Vererbung betroffene Felder Aktion Schweregrad Blacklist Aggregation und Paket kopieren k nnen nicht ber das Symbol oder gefiltert werden Suchen nach einem bestimmten Tag 1 Geben Sie den Namen des Tags in das Feld Geben Sie hier Text ein um nach einem Tag zu suchen ein 2 W hlen Sie in der Liste der Optionen die gew nschte Option aus Auff hren der Regeln nach dem Zeitpunkt der Erstellung e Klicken Sie auf der Symbolleiste auf das Symbol Nach Uhrzeit sortieren Y und dann auf das Symbol Abfrage ausf hren Auff hren der Regeln in alphabetischer Reihenfolge e Klicken Sie auf der Symbolleiste auf das Symbol Nach Namen sortieren und dann auf das Symbol Abfrage ausf hren L schen der Filterung
410. ie Datenbank wenden globals conf an und synchronisieren die beiden Empf nger Erneutes Initialisieren des sekund ren Ger ts Wenn der sekund re Empf nger aus irgendeinem Grund au er Betrieb genommen wird m ssen Sie nach der erneuten Installation erneut initialisieren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Empf ngereigenschaften f r den prim ren Empf nger aus und klicken Sie dann auf Empf ngerkonfiguration Schnittstelle HA Empf nger 2 Vergewissern Sie sich dass im Feld Sekund re Verwaltungs IP die richtige IP Adresse eingetragen ist 3 Klicken Sie auf Sekund ren Empf nger erneut initialisieren Von ESM werden die notwendigen Schritte zum erneuten Initialisieren des Empf ngers ausgef hrt Zur cksetzen von HA Ger ten Wenn Sie HA Empf nger auf den Zustand vor der Einrichtung als HA Ger te zur cksetzen m ssen k nnen Sie die ESM Konsole oder falls keine Kommunikation mit den Empf ngern m glich ist dass LCD Men verwenden e F hren Sie einen der folgenden Schritte aus McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Aufgabe Vorgehensweise Zur cksetzen 1 Klicken Sie in der Systemnavigationsstruktur auf die Option MEE Empf ngereigenschaften und klicken Sie dann auf Empf ngerkonfiguration ESM Konsole Schn
411. ie anzeigen Verteilungs oder Balkendiagramm oder einer Messuhr verglichen werden sollen Beim Anzeigen von Basisliniendaten k nnen Sie zwei verschiedene Optionen verwenden e Automatischen Zeitbereich verwenden Wenn diese Option ausgew hlt ist werden die Basisliniendaten f r den gleichen Zeitraum korreliert der f r die aktuelle Abfrage f r die letzten f nf Intervalle verwendet wird Wenn Sie beispielsweise den aktuellen Tag an einem Montag abfragen werden die Basisliniendaten f r die gleiche Zeit an den letzten f nf Montagen berechnet Wenn f r ein bestimmtes Intervall keine Daten vorhanden sind werden weniger Intervalle verwendet Anschlie end wird der Durchschnitt der aus den einzelnen Intervallen gesammelten Werte ermittelt um den aktuellen Basislinienwert zu berechnen e Bestimmten Zeitbereich verwenden Wenn Sie diesen Zeitbereich ausw hlen k nnen Sie eine Start und Endzeit festlegen die zum Berechnen eines Durchschnitts verwendet werden soll Wenn Sie diese Option verwenden wird der Durchschnitt f r einen einzigen Zeitraum berechnet F r Verteilungsberichte wird ein Durchschnitt in Form einer flachen Linie erzeugt Basisliniendaten werden in Verteilungsdiagrammen als blaue Linie angezeigt Die Linie ist flach wenn die Option Bestimmten Zeitbereich verwenden ausgew hlt ist oder nicht genug Daten vorhanden sind um einen korrelierten Wert zu berechnen Die Linie ist gekr mmt in der Annahme dass f r jeden Zeitraum
412. ie bei der berpr fung der Konfiguration von Routern und Switches abgerufen werden Bevor Sie beginnen Rufen Sie Konfigurationsdateien ab siehe Einrichten der Konfigurationsverwaltung Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie auf das Schnellstartsymbol f r Asset Manager E und w hlen Sie dann die Registerkarte Konfigurationsverwaltung aus 2 F hren Sie eine oder mehrere der verf gbaren Aktionen im Abschnitt Abgerufene Konfigurationsdateien der Seite aus Netzwerkerkennung Unter Netzwerkerkennung werden die physischen Standorte im Netzwerk angezeigt an denen Ereignisse aufgetreten sind So k nnen Sie Ereignisse besser verfolgen Die Netzwerkerkennung ist f r fortgeschrittene Benutzer gedacht die ber umfassende Netzwerkkenntnisse verf gen Die entsprechende Berechtigung muss zugewiesen werden Die Berechtigungen zum Erstellen und Anzeigen der Netzwerkerkennung sowie zum ndern der Switch Einstellungen unter Netzwerk Port Control m ssen f r Sie aktiviert sein D Die Netzwerkerkennung ber SNMPv3 Telnet oder SSH ist nicht FIPS konform Wenn Sie FIPS Vorschriften einhalten m ssen sollten Sie diese Funktionen nicht verwenden Entdecken des Netzwerks Der erste Schritt beim Zuordnen des Netzwerks besteht darin das Netzwerk zu entdecken Bevor Sie den Scan initiieren m ssen Sie die Parameter festlegen McAfee Enterprise
413. ie ein Speicherger t zu einem ELM Ger t hinzuf gen m ssen Sie den Typ des Ger ts ausw hlen Beim Hinzuf gen oder Bearbeiten des Ger ts sind einige Punkte zu ber cksichtigen Ger tetyp Details NFS Wenn Sie den Remote Bereitstellungspunkt des Speicherger ts mit der ELM Verwaltungsdatenbank bearbeiten m ssen verschieben Sie die Datenbank mit der Option Datenbank migrieren auf ein anderes Speicherger t siehe Migrieren der ELM Datenbank Anschlie end k nnen Sie das Feld f r den Remote Bereitstellungspunkt gefahrlos ndern und die Datenbank wieder auf das aktualisierte Speicherger t verschieben CIFS e Wenn Sie den Freigabetyp CIFS mit h heren Samba Server Versionen als 3 2 verwenden kann es zu Datenverlusten kommen e Verwenden Sie beim Herstellen einer Verbindung mit einer CIFS Freigabe keine Kommas im Kennwort e Wenn Sie einen Windows 7 Computer als CIFS Freigabe verwenden finden Sie weitere Informationen unter Deaktivieren der Dateifreigabe f r die Heimnetzgruppe McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 123 124 Konfigurieren von ESM Konfigurieren von Ger ten Ger tetyp Details SCSI e Verwenden Sie beim Herstellen einer Verbindung mit einer iSCSI Freigabe keine Kommas im Kennwort e Der Versuch mehrere Ger te mit einem IQN zu verbinden kann zu Datenverlusten und anderen Konfigurationsproblemen f hren SAN Die Option SAN ist nur verf gbar wenn im ELM Ger
414. ie von McAfee per E Mail eine neue Lizenz und m ssen die Lizenz aktualisieren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option DEM Eigenschaften aus und klicken Sie dann auf DEM Konfiguration 2 Klicken Sie auf Lizenz Lizenz aktualisieren und f gen Sie dann die von McAfee erhaltenen Informationen in das Feld ein McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten 3 Klicken Sie auf OK Die Lizenz wird im System aktualisiert und Sie werden anschlie end informiert 4 F hren Sie einen Rollout f r die Richtlinie auf dem DEM Ger t aus Synchronisieren von DEM Konfigurationsdateien Wenn die DEM Konfigurationsdateien nicht mit dem DEM Ger t synchronisiert sind m ssen Sie die Konfigurationsdateien in das DEM Ger t schreiben Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option DEM Eigenschaften aus und klicken Sie dann auf DEM Konfiguration 2 Klicken Sie auf Dateien synchronisieren Der Status der Synchronisierung wird in einer Meldung angezeigt Erweiterte DEM Einstellungen konfigurieren Mit diesen erweiterten Einstellungen k nnen Sie die Leistung des DEM Ger ts ndern oder erh hen Vorgehensweise Beschreibungen d
415. ien nach Bedarf gel scht Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 pl Klicken Sie im Richtlinien Editor auf das Symbol Verlauf der Richtlinien nderungen anzeigen 2 Zeigen Sie ein Protokoll an oder exportieren Sie ein Protokoll und klicken Sie dann auf Schlie en Anwenden von Richtlinien nderungen Wenn Sie nderungen an Richtlinien vornehmen m ssen Sie einen Rollout f r die nderungen ausf hren um sie anzuwenden nderungen auf der Standardrichtlinienebene werden auf alle Richtlinien angewendet wenn Sie einen Rollout auf allen Ger ten ausf hren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 E Klicken Sie im Richtlinien Editor auf das Symbol Rollout E 2 W hlen Sie aus wie der Rollout ausgef hrt werden soll 3 Klicken Sie auf OK Nach Abschluss des Rollouts auf den einzelnen Ger ten weist der Status der Richtlinie auf einen erfolgreichen Rollout hin Wenn der Rollout Befehl nicht erfolgreich ausgef hrt wurde wird eine Seite mit einer Zusammenfassung der fehlgeschlagenen Befehle angezeigt Verwalten von Datenverkehr mit Priorit t Sie k nnen Datenverkehr so einrichten dass er das Nitro IPS Ger t passiert ohne anhand von Regeln getestet zu werden M glicherweise m ssen Sie beispielsweise VoIP Verkehr Voice over Internet Protocol so einrichten dass dieser das N
416. ieren Bei dieser Methode werden zwei Export und Importprozesse verwendet Zuerst wird ber das prim re ESM Ger t die vom sekund ren ESM Ger t exportierte PUK Datei importiert und der darin enthaltene ffentliche Schl ssel des sekund ren ESM Ger ts an das Ger t gesendet Anschlie end ist die Kommunikation zwischen beiden ESM Ger ten und dem Ger t m glich Im zweiten Schritt wird die EXK Datei des Ger ts vom prim ren ESM Ger t exportiert und auf dem sekund ren ESM Ger t importiert Damit wird dem sekund ren ESM Ger t die Kommunikation mit dem Ger t erm glicht McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 17 18 Erste Schritte Informationen zum FIPS Modus Aktion Schritte Exportieren der 1 W hlen Sie auf der Seite Systemeigenschaften des sekund ren ESM Ger ts die PUK Datei vom Option ESM Verwaltung aus sekund ren ESM Ger t 2 Klicken Sie auf SSH exportieren und w hlen Sie dann den Speicherort f r die PUK Datei aus 3 Klicken Sie auf Speichern und melden Sie sich dann ab Importieren der 1 W hlen Sie in der Systemnavigationsstruktur des prim ren ESM Ger ts das PUK Datei auf Ger t aus das Sie konfigurieren m chten dem prim ren ESM Ger t 2 Klicken Sie auf das Symbol Eigenschaften und w hlen Sie dann Schl sselverwaltung aus 3 Klicken Sie auf SSH Schl ssel verwalten 4 Klicken Sie auf Importieren w hlen Sie die PUK Datei aus und klicken Sie dann auf Hochladen
417. ieren Sie einen Alarm mit der Aktion SNMP Trap a b Klicken Sie in Systemeigenschaften auf Alarme und dann auf Hinzuf gen Geben Sie auf den Registerkarten Zusammenfassung Bedingung und Ger te die erforderlichen Informationen ein W hlen Sie den Bedingungstyp Interne Ereignis bereinstimmung aus und klicken Sie dann auf die Registerkarte Aktionen W hlen Sie Nachricht senden aus und klicken Sie dann auf Konfigurieren um eine Vorlage f r SNMP Nachrichten auszuw hlen oder zu erstellen W hlen Sie im Feld SNMP die Option Standard SNMP Trap aus oder klicken Sie auf Vorlagen und dann auf Hinzuf gen W hlen Sie eine vorhandene Vorlage aus oder klicken Sie auf Hinzuf gen um eine neue Vorlage zu definieren Kehren Sie zur Seite Alarmeinstellungen zur ck und fahren Sie mit dem Einrichten des Alarms fort Hinzuf gen eines Alarms zur Benachrichtigung bei Stromausf llen F gen Sie einen Alarm hinzu damit Sie bei Ausfall einer der ESM Stromversorgungen benachrichtigt werden Bevor Sie beginnen Richten Sie einen SNMP Trap f r allgemeine Hardware Fehler ein siehe Einrichten eines SNMP Traps f r Benachrichtigung bei Stromausf llen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das System aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Alarme klicken Sie auf Hi
418. iert mit der Sie die ben tigten Daten auf die effizienteste Weise erhalten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 m m Klicken Sie in der ESM Konsole auf das Symbol Richtlinien Editor ii 2 W hlen Sie im Men Vorg nge die Option Reihenfolge f r ASP Regeln festlegen oder Reihenfolge f r Filterregeln festlegen aus W hlen Sie dann im Feld Datenquellentyp eine Datenquelle aus Der linke Bereich wird mit den Regeln ausgef llt die zum Sortieren verf gbar sind Die sortierten Regeln werden im rechten Bereich angezeigt 3 Verschieben Sie auf der Registerkarte Standardregeln oder Benutzerdefinierte Regeln eine Regel aus dem linken in den rechten Bereich mit Ziehen und Ablegen oder mithilfe der Pfeile ber oder unter Regeln ohne Reihenfolge Regeln ohne Reihenfolge entspricht den Regeln im linken Bereich die in der Standardreihenfolge angeordnet sind 4 ndern Sie die Reihenfolge der Regeln mithilfe der Pfeile und klicken Sie dann auf OK um die nderungen zu speichern Hinzuf gen von Zeitformaten zu ASP Regeln Wenn das System ein Protokoll des erweiterten Syslog Parsers ASP empf ngt muss das Zeitformat mit dem in der ASP Regel angegebenen Format bereinstimmen Sie k nnen mehrere benutzerdefinierte Zeitformate hinzuf gen um die Wahrscheinlichkeit zu erh hen dass das Zeitformat f r das Protokoll mit einem der angegebenen Formate bereinstimm
419. iert wird Syslog McAfee 8 2 ESM IP McAfee ESM Bestandteil des Syslog Headers Signatur ID SigID Signaturnachricht SigMessage Quell IP SrcIP Ziel IP DstIP Quellport SrcPort Zielport DstPort Quell MAC SrcMac Ziel MAC DstMac Protokoll VLAN Fluss gibt an ob das Ereignis vom Initiator oder Empf nger der Verbindung generiert wird Ereignisanzahl EventCount Erstes Mal FirstTime im UNIX Zeitformat Letztes Mal LastTime im UNIX Zeitformat Letztes Mal_Mikrosekunden LastTime_usec Ergebnisuntertyp Schweregrad Interne ID InternalID Ereignis ID auf dem ESM Ger t Ereignis ID EventID IPS ID IPSID IPS Name IPSName Name der Datenquelle IP Adresse Datenquellen ID DSID Quell IPv6 Ziel IPv6 Sitzungs ID Sequenz Als vertrauensw rdig gekennzeichnet Normalisierte ID Die folgenden Zeichenfolgenfelder sind au erdem in Anf hrungszeichen eingeschlossen da sie ein Semikolon enthalten k nnen Application Command Domain Host Object Destination User Source User User defined type 8 User defined type 9 User defined type 10 Packet Paketinhalt ist nur mit Base 64 codiert wenn die Option Paket kopieren f r die Regeln im Richtlinien Editor auf An festgelegt ist und die Option beim Einrichten der Ereignisweiterleitung auf dem ESM Ger t aktiviert wird Syslog Nitro ESM IP McAfee ESM Signatur ID SigID Signaturnachricht SigMessage Quell IP SrcIP Ziel IP DstIP
420. iesen Diese Nummern k nnen Daten Tags zugewiesen werden Beispiel setparm username 1 Damit wird der aufgezeichnete Text aus dem ersten Satz von Klammern dem Daten Tag f r den Benutzernamen zugewiesen Die erkannten Tags werden unten in der Tabelle aufgef hrt Tag Beschreibung sid Mit diesem aufgezeichneten Parameter wird die SID der bereinstimmenden Regel berschrieben msg Mit diesem aufgezeichneten Parameter wird die Nachricht oder der Name der bereinstimmenden Regel berschrieben action Dieser aufgezeichnete Parameter gibt an welche Aktion vom Drittanbieterger t ausgef hrt wurde protocol src_ip Hiermit wird die IP der Syslog Quelle das hei t die standardm ige Quell IP eines Ereignisses ersetzt src_port dst_ip McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Tag Beschreibung dst_port src_mac dst_mac dst_mac genid Hiermit wird die in der Datenbank gespeicherte SID ge ndert Wird f r nicht von McAfee stammende Snort bereinstimmungen in Snort Pr prozessoren verwendet url Reserviert wird jedoch noch nicht verwendet src_username Erster Benutzername Quellbenutzername username Alternativer Name f r src_username dst_username Zweiter Benutzername Quellbenutzername domain hostname appl
421. ieser Seite wird ein Wert angezeigt den Sie mit dem Wert in den entsprechenden Abschnitten des Dokuments vergleichen m ssen um sicherzustellen dass FIPS nicht kompromittiert wurde e Wenn Sie auf die Optionen Systemeigenschaften Benutzer und Gruppen Berechtigungen Gruppe bearbeitenklicken enth lt die Seite die Berechtigung Selbsttest der FIPS Verschl sselung Damit werden die Gruppenmitglieder autorisiert FIPS Selbsttests auszuf hren e Wenn Sie auf Schl ssel importieren oder Schl ssel exportieren klicken unter IPS Eigenschaften Schl sselverwaltung werden Sie aufgefordert den Typ des zu importierenden oder exportierenden Schl ssels auszuw hlen e In Assistent zum Hinzuf gen von Ger ten ist das TCP Protokoll immer auf Port 22 festgelegt Der SSH Port kann ge ndert werden Ausw hlen des FIPS Modus Bei der ersten Anmeldung beim System werden Sie aufgefordert auszuw hlen ob Sie das System im FIPS Modus betreiben m chten Diese Auswahl kann sp ter nicht ge ndert werden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Gehen Sie bei der ersten Anmeldung bei ESM wie folgt vor a Geben Sie in das Feld Benutzername die Zeichenfolge NGCP ein b Geben Sie in das Feld Kennwort die Zeichenfolge security 4u ein Sie werden aufgefordert das Kennwort zu ndern 2 Geben Sie das neue Kennwort ein und best tigen Sie es McAfee Enterprise Secu
422. igationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Ereignisweiterleitung 2 W hlen Sie auf der Seite Ereignisweiterleitungsziele die Option Hinzuf gen Bearbeiten oder Entfernen aus 3 Wenn Sie das Hinzuf gen oder Bearbeiten eines Ziels ausgew hlt haben definieren Sie die Einstellungen 4 Klicken Sie auf Anwenden oder OK Hinzuf gen von Ereignisweiterleitungszielen F gen Sie ein Ereignisweiterleitungsziel zum ESM Ger t hinzu um Ereignisdaten an einen Syslog oder SNMP Server weiterzuleiten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Ereignisweiterleitung 2 Klicken Sie auf Hinzuf gen und geben Sie dann die erforderlichen Informationen ein 3 Klicken Sie auf OK Siehe auch Ereignisweiterleitungs Agenten auf Seite 260 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 259 7 Arbeiten mit Ereignissen Ereignisse Fl sse und Protokolle Ereignisweiterleitungs Agenten In der folgenden Tabelle finden Sie die Ereignisweiterleitungs Agenten und die Informationen die in den weitergeleiteten Paketen enthalten sind Sie w hlen den Agenten auf der Seite Ereignisweiterleitungsziel hinzuf gen im Feld Format aus Agent Inhalt Syslog McAfee 9 2 ESM IP McAfee ESM Bestandteil des Syslog Headers Signatur ID
423. igenschaften aus und klicken Sie dann auf Berichte 2 Klicken Sie auf Hinzuf gen und definieren Sie dann auf der Seite Bericht hinzuf gen die Einstellungen 3 Klicken Sie auf Speichern Der Bericht wird zur Tabelle auf der Seite Berichte hinzugef gt und gem den Angaben im Feld Bedingung ausgef hrt McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Verwalten von Berichten Hinzuf gen eines Berichtslayouts Entwerfen Sie das Layout f r einen Bericht wenn die vordefinierten Layouts nicht Ihren Anforderungen entsprechen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Berichte 2 Klicken Sie auf Hinzuf gen um die Seite Bericht hinzuf gen zu ffnen und f llen Sie dann die Abschnitte 1 2 und 3 aus 3 W hlen Sie in Abschnitt 4 die Option Bericht im PDF Format oder Bericht im HTML Format aus 4 Klicken Sie in Abschnitt 5 auf Hinzuf gen um den Berichtslayout Editor zu ffnen 5 Richten Sie das Layout zum Anzeigen der vom Bericht generierten Daten ein Das Layout wird gespeichert und kann in dieser Form f r andere Berichte oder als Vorlage die Sie bearbeiten k nnen verwendet werden Einschlie en eines Bilds in PDF Dateien und Berichte Sie k nnen das ESM Ger t so einrichten dass exportierte PDF Dateien und ge
424. igurieren von ESM 3 Konfigurieren von Ger ten Die Option Datenbank migrieren k nnen Sie jederzeit verwenden Wenn die Verwaltungsdatenbank bei der Migration jedoch bereits Datens tze enth lt wird die ELM Sitzung abh ngig von der Anzahl der enthaltenen Datens tze bis zum Abschluss der Migration mehrere Stunden lang angehalten Es wird empfohlen diesen alternativen Speicherort beim anf nglichen Einrichten des ELM Ger ts zu definieren Definieren eines alternativen Speicherorts Wenn Sie die ELM Verwaltungsdatenbank an einem Speicherort au erhalb des ELM Ger ts speichern m chten m ssen Sie den alternativen Speicherort definieren Au erdem k nnen Sie ein zweites Ger t zum Spiegeln der gespeicherten Daten ausw hlen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ELM Eigenschaften aus und klicken Sie dann auf ELM Konfiguration Datenbank migrieren 2 W hlen Sie das Speicherger t und ein gespiegeltes Ger t aus 3 Klicken Sie auf OK Ersetzen einer gespiegelten ELM Verwaltungsdatenbank Wenn auf einem Speicherger t f r eine gespiegelte Verwaltungsdatenbank ein Problem auftritt m ssen Sie das Ger t m glicherweise ersetzen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das ELM Ger t mit dem
425. im Feld Format die Option Syslog Standardereignisformat aus F llen Sie die verbleibenden Felder mit den Informationen f r das ESM Ger t aus an das Sie weiterleiten und klicken Sie auf OK Verwalten von Berichten In Berichten werden Daten aus den Ereignissen und Fl ssen angezeigt die auf dem ESM Ger t verwaltet werden Sie k nnen eigene Berichte entwerfen oder einen der vordefinierten Berichte ausf hren und im PDF HTML oder CSV Format senden Vordefinierte Berichte Die vordefinierten Berichte sind in die folgenden Kategorien unterteilt McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 263 264 Arbeiten mit Ereignissen Verwalten von Berichten e Compliance e McAfee Database Activity Monitoring DAM e Management e McAfee DEM e McAfee ADM e McAfee Event Reporter Mit diesen Berichten werden auf Ereignissen basierende Daten generiert Benutzerdefinierte Berichte Beim Erstellen eines Berichts entwerfen Sie das Layout im Berichtslayout Editor indem Sie Ausrichtung Gr e Schriftart R nder sowie Kopf und Fu zeile ausw hlen Sie k nnen au erdem Komponenten einschlie en und diese so einrichten dass die Daten nach Ihren Vorstellungen angezeigt werden Alle Layouts werden gespeichert und k nnen f r mehrere Berichte verwendet werden Beim Hinzuf gen eines Berichts haben Sie die M glichkeit ein neues Layout zu entwerfen ein vorhandenes Layout unver ndert zu verwenden oder es als Vorlage zu verwenden
426. indestens zwei Felder mit ODER markieren damit dieser Filter funktioniert Ignorieren der Gro Klicken Sie neben dem entsprechenden Filterfeld auf das Symbol Kleinschreibung der Filterwerte Gro Kleinschreibung ignorieren Aa Ersetzen normalisierter Klicken Sie neben dem entsprechenden Filterfeld auf das Symbol ne durch ihre Zeichenfolgennormalisierung a 4 Y Klicken Sie auf das Symbol Abfrage ausf hren ME Die Ansicht wird aktualisiert und die Datens tze die den eingegebenen Werten entsprechen werden in der Ansicht angezeigt Rechts oben im Ansichtsbereich wird ein orangefarbiges Filtersymbol angezeigt Daran erkennen Sie dass die Daten in der Ansicht gefiltert sind Wenn Sie auf das Symbol klicken werden die Filter gel scht und in der Ansicht werden alle Daten angezeigt Bereich Filter Der Filterbereich enth lt Optionen mit denen Sie Filter f r die Ansichten festlegen k nnen Symbol Bedeutung Beschreibung Hinweise Wenn Sie in ein Filterfeld klicken wird eine QuickInfo angezeigt 4 Manager f r die Normalisierung von Mit dieser Option k nnen Sie nach einer Zeichenfolgen starten Zeichenfolge und deren Aliassen filtern siehe Zeichenfolgennormalisierung Far Abfrage ausf hren Mit dieser Option wenden Sie die aktuellen Filter mr auf die Ansicht an Sie m ssen auf dieses Symbol klicken wenn Sie einen Filterwert ndern und diesen auf die aktuelle Ansicht anwenden m chten JS Al
427. indung des Ger ts mit ESM ein Sie k nnen die IP Adresse und den Port ndern die SSH Kommunikation deaktivieren und den Status der Verbindung berpr fen Wenn Sie diese Einstellungen ndern hat dies keine Auswirkungen auf das Ger t selbst Die Anderungen wirken sich nur auf die Kommunikation zwischen ESM und dem Ger t aus Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Verbindung und nehmen Sie dann die nderungen vor 3 Klicken Sie auf Anwenden Ereignisse Fl sse und Protokolle Auf IPS Ger ten ADM Ger ten und Empf ngerger ten werden Ereignisse Fl sse und Protokolle erfasst auf ACE und DEM Ger ten Ereignisse und Protokolle und auf ELM Ger ten Protokolle Legen Sie f r die einzelnen Ger te fest dass diese Elemente manuell oder automatisch berpr ft werden sollen Au erdem k nnen Sie die von einem Ger t generierten Ereignisse oder Fl sse aggregieren Einrichten von Downloads f r Ereignisse Fl sse und Protokolle berpr fen Sie manuell ob Ereignisse Fl sse und Protokolle vorhanden sind oder legen Sie fest dass diese berpr fung automatisch vom Ger t ausgef hrt wird Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Sys
428. indung eingerichtet wird oder die nicht Bestandteil einer hergestellten Verbindung sind werden auf dem Basisger t einsortiert Beispiel Sie verwenden ein virtuelles ADM Ger t auf dem nach Paketen mit dem Quell oder Ziel Port 80 gesucht wird Wenn ein ung ltiges Paket mit dem Quell oder Ziel Port 80 durchgeleitet wird geschieht Folgendes Das Paket wird nicht an das virtuelle Ger t weitergeleitet das nach Datenverkehr an Port 80 sucht sondern auf dem Basisger t einsortiert Daher sehen Sie auf dem Basisger t Ereignisse die so aussehen als h tten sie an ein virtuelles Ger t weitergeleitet werden sollen Die Reihenfolge der Auswahlregeln ist wichtig da das erste Paket das mit einer Regel bereinstimmt automatisch zur Verarbeitung an das entsprechende virtuelle Ger t weitergeleitet wird Beispiel Sie f gen vier Auswahlregeln hinzu und die vierte Regel ist der Filter der am h ufigsten ausgel st wird Dies bedeutet dass die anderen Filter f r dieses virtuelle Ger t von jedem Paket passiert werden m ssen bevor die am h ufigsten ausgel ste Auswahlregel erreicht ist Um die Verarbeitung effizienter zu gestalten f hren Sie den am h ufigsten ausgel sten Filter nicht an letzter sondern an erster Stelle auf McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Verwalten von Ger ten Reihenfolge der virtuellen Ger te Die Reihenfolge der berpr fung der virtuellen Ger te ist wichtig da die
429. inen der folgenden Schritte aus e Geben Sie in das Feld Filter f r Dateinamen einen Dateinamen ein um eine bestimmte Datei zu suchen e ndern Sie die Einstellungen im Feld Zeitbereich um nur die in diesem Zeitraum generierten Dateien anzuzeigen e Klicken Sie auf Aktualisieren um die Dateiliste zu aktualisieren e W hlen Sie in der Liste eine Datei aus und klicken Sie dann auf Herunterladen um die Datei herunterzuladen 4 Klicken Sie auf Abbrechen um die Seite zu schlie en Benutzerdefinierte Datenquellentypen Diese Tabelle enth lt die benutzerdefinierten Typen und die entsprechenden Namen oder Eintr ge die im Datenquellen Editor angezeigt werden ID Ger temodell Anbieter Protokoll Namenspr fix f r Regel Editor Typ Regeln 49190 Benutzerdefiniert 1 Nicht zutreffend Syslog UserDefined1_ Generic 49191 Benutzerdefiniert 2 Nicht zutreffend Syslog UserDefined2_ Generic McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 99 3 Konfigurieren von ESM Konfigurieren von Ger ten ID Ger temodell Anbieter Protokoll Namenspr fix f r Regel Editor Typ Regeln 49192 Benutzerdefiniert 3 Nicht zutreffend Syslog UserDefined3_ Generic 49193 Benutzerdefiniert 4 Nicht zutreffend Syslog UserDefined4_ Generic 49194 Benutzerdefiniert 5 Nicht zutreffend Syslog UserDefined5_ Generic 49195 Benutzerdefiniert 6 Nicht zutreffend Syslog UserDefined6_ Generic 49196 Benutzerdefiniert 7 Nicht zu
430. ines e Zum Best tigen eines Alarms klicken Sie auf das Kontrollk stchen in der Alarms ersten Spalte des ausgel sten Alarms den Sie best tigen m chten e Zum Best tigen mehrerer Alarme heben Sie die Elemente hervor und klicken Sie dann unten in der Ansicht auf das Symbol Alarm best tigen u Best tigte Alarme werden aus dem Bereich Alarme entfernt sind jedoch in der Ansicht Ausgel ste Alarme weiterhin enthalten L schen eines e W hlen Sie den zu l schenden ausgel sten Alarm aus und klicken Sie dann Alarms aus dem amp System auf das Symbol Alarm l schen A Filtern der Alarme Geben Sie im Bereich Filter die Informationen ein die Sie als Filter verwenden m chten und klicken Sie dann auf das Symbol Aktualisieren FE ndern des ss 1 Wenn die Registerkarten mit den Datendetails nicht unten in der Ansicht Beauftragten f r nr Alarme angezeigt werden klicken Sie auf das Symbol Datendetails anzeigen ES 2 W hlen Sie die Alarme aus klicken Sie dann auf Beauftragter und w hlen Sie den neuen Beauftragten aus Erstellen eines 1 Stellen Sie sicher dass die Registerkarten mit den Datendetails angezeigt Falls f r Alarme werden 2 W hlen Sie die Alarme aus klicken Sie dann auf Fall erstellen und w hlen Sie die ben tigten Optionen aus 276 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Arbeiten mit ESM Ansichten Aufgabe Vorgehensweise Anzeigen v
431. inheitliche Weise Mit diesem Pr prozessor k nnen Sie verhindern dass das Nitro IPS Ger t bei Angriffen im Zusammenhang mit RPC Fragmentierung umgangen wird Entdeckung von Generiert ein Ereignis wenn ein Port Scan auf den Ger ten auf der Port Scans vertrauensw rdigen Seite des Netzwerks entdeckt wird Wenn Sie die Variable HOME_NET richtig festgelegt haben sollten Sie die Variable SFPORTSCAN_PARMS Variablen Pr prozessor wie folgt ndern proto all scan type all sense level medium ignore _scanners Diese Zeichenfolge wird zu der Variable sfportscan hinzugef gt um die vom Nitro IPS Ger t erkannten Port Scans aus dem Heimnetzwerk HOME_NET zu eliminieren In Netzwerken in denen sich das Nitro IPS oder IDS Ger t in der N he eines Routers oder einer Firewall mit Netzwerkadress bersetzung Network Address Translation NAT befindet wird scheinbar ein Port Scan auf dem Nitro IPS Ger t ausgef hrt Durch das Andern der Variablen verringern Sie die Anzahl der mutma lichen False Positive Ereignisse Damit ignore_scanners richtig funktioniert darf HOME_NET nicht auf any festgelegt sein ZipZap Beim Bereitstellen von Web Inhalten HTTP werden von vielen Web Servern Anfragen von Web Browsern akzeptiert bei denen darauf hingewiesen wird dass der Web Inhalt vor dem Senden komprimiert werden kann Dadurch wird zwar Bandbreite im Netzwerk gespart jedoch k nnen die komprimierten Web Seiten von einem Ge
432. ischer Komponenten berschreitet einen bestimmten Schwellenwert Bewahren Sie das Ger t in einem Raum mit Klimaanlage auf um dauerhafte Sch den zu verhindern berpr fen Sie ob die Luftzirkulation im Ger t blockiert ist Netzwerkfehler Im Netzwerk treten Netzwerkfehler oder berm ige Kollisionen auf Dies ist m glicherweise auf eine gro e Kollisionsdom ne oder fehlerhafte Netzwerkkabel zur ckzuf hren Problem mit einem Remote Bereitstellungspunkt Es liegt ein Problem mit einem Remote Bereitstellungspunkt vor Wenig freier Speicherplatz auf Remote Bereitstellungspunkt Auf dem Remote Bereitstellungspunkt ist wenig freier Speicherplatz vorhanden Alle Datenquellenerfassungen die mindestens zehn Minuten lang keine Kommunikation von einer Datenquelle empfangen haben Der Empf nger hat mindestens zehn Minuten lang keine Kommunikation von einer Datenquelle empfangen Die Datenquellenerfassung wird nicht ausgef hrt Im Subsystem f r die Behandlung der spezifischen Drittanbieter Datenquellen beispielsweise Syslog oder SNMP tritt eine Fehlfunktion auf Die Erfassung hat in einem bestimmten Zeitraum keine Daten von der Drittanbieter Datenquelle empfangen M glicherweise ist die Datenquelle inaktiv oder es werden nicht wie erwartet Daten an den Empf nger gesendet Von der Integrit ts berwachung kann kein g ltiger Status aus einem Subsystem abgerufen werden Von der Integrit ts berwa
433. ise Security Manager 9 5 0 Produkthandbuch Verwalten von Richtlinien und Regeln 10 Regeltypen und ihre Eigenschaften Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 m m Klicken Sie in der ESM Konsole auf das Symbol Richtlinien Editor ii 2 Klicken Sie im Bereich Regeltypen auf Variable 3 Klicken Sie im Regelanzeigebereich auf Pr prozessor und w hlen Sie dann STREAM5_TCP_PARAMS aus 4 F gen Sie auf der Seite Variable ndern im Feld Wert einen der folgenden Werte hinzu e F gen Sie detect_anomalies nach policy first hinzu um TCP Protokollanomalien zu entdecken und entsprechende Warnungen auszugeben e F gen Sie detect anomalies check session hijacking nach policy first hinzu um auf bernahmen der Kontrolle ber TCP Sitzungen zu berpr fen Pr prozessorregeln Mit Pr prozessoren k nnen Sie die Entdeckung von Anomalien und die berpr fung von Paketen in McAfee Nitro IPS und IDS vereinheitlichen Pr prozessoren sind f r die genaue Entdeckung vieler Regeln unerl sslich Verwenden Sie die Ihrer Netzwerkkonfiguration entsprechenden Pr prozessoren Sie k nnen die Parameter f r die Pr prozessoren ndern indem Sie die entsprechende Pr prozessor Variable im Richtlinien Editor unter dem Regeltyp Variablen bearbeiten Typ Beschreibung RPC Normalisierung Normalisiert f r das RPC Protokoll spezifischen Datenverkehr nur zu Entdeckungszwecken auf e
434. isse exportieren bevor Sie diesen Vorgang ausf hren Siehe auch Verwalten der Akkumulator Indizierung auf Seite 198 Verwalten von Indexeinstellungen f r die Datenbank auf Seite 198 Einrichten von Datenbeibehaltungs Limits auf Seite 197 Anzeigen der Speicherverwendung der Datenbank auf Seite 199 Einrichten des ESM Datenspeichers Zum Speichern von ESM Daten k nnen Sie drei externe Speichertypen einrichten Internet Small Computer System Interface iSCSI Storage Area Network SAN und Direct Attached Storage DAS Wenn diese Speichertypen mit dem ESM Ger t verbunden sind k nnen Sie sie f r die Speicherung von Daten vom ESM Ger t einrichten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Database Datenspeicher 2 Klicken Sie auf eine der Registerkarten w hlen Sie eine Aktion aus und geben Sie dann die erforderlichen Informationen ein 3 Klicken Sie auf Abbrechen um die Seite zu schlie en Siehe auch Einrichten von Datenbeibehaltungs Limits auf Seite 197 Einrichten des ESM VM Datenspeichers Wenn die ESM VM mehr als vier CPUs hat steht auf der Seite Datenbank die Option VM Daten zur Verf gung Mit dieser Option k nnen Sie den zus tzlichen Speicher verwenden der f r den Systemspeicher Datenspeicher und Hochleistungsspeicher der VM verf gbar is
435. ist syslog_burb Name des Internet Bereichs Erforderlich wenn Vendor auf McAfee und Model auf McAfee Firewall Enterprise festgelegt ist syslog_sg_mc Kennzeichnung f r Verwaltungszentrale Optional wenn Vendor auf Stonesoft Corporation festgelegt ist Standardwert no syslog_nsm Kennzeichnung f r Security Manager Optional wenn Vendor auf Juniper Networks und Model auf Netscreen Firewall Security Manager oder Netscreen IDP festgelegt ist Standardwert no syslog_wmi_syslog_format Optional wenn Vendor auf Microsoft und Model auf Adiscon Windows Events festgelegt ist Standardwert O syslog_wmi_version Optional wenn Vendor auf Microsoft und Model auf Adiscon Windows Events festgelegt ist Standardwert Windows 2000 syslog_aruba_version Optional wenn Vendor auf Aruba festgelegt ist Standardwert 332 syslog_rev_pix_dir Netzwerkwerte umkehren Optional wenn Vendor auf Cisco und Model auf PIX ASA oder Firewall Services Module festgelegt ist Standardwert no syslog_aggregate Syslog Relay G ltige Werte leer und Vendor Standardwert leer syslog_require_tls T F Gibt an ob TLS f r diese Datenquelle verwendet wird syslog_syslog_tls_port Der Port der f r Syslog TLS verwendet werden soll wenn dies verwendet wird syslog_mask Maske f r IP Adresse Optional Erm glicht das Anwenden einer Maske auf eine IP Adresse damit ein Bereich von IP Adressen akzeptiert we
436. isterkarte Zonenverwaltung hinzu Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken l Al Klicken Sie auf das Schnellstartsymbol f r Asset Manager und dann auf die Registerkarte Zonenverwaltung 2 W hlen Sie eine Zone aus und klicken Sie dann auf Teilzone hinzuf gen 3 Geben Sie die erforderlichen Informationen ein und klicken Sie dann auf OK McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Asset Manager 9 Bewertung von Ressourcen Bedrohungen und Risiken Bewertung von Ressourcen Bedrohungen und Risiken Durch McAfee Threat Intelligence Services MTIS und die Quellen f r Schwachstellenbewertungen im System wird eine Liste mit bekannten Bedrohungen generiert Der Schweregrad dieser Bedrohungen und die Relevanz der einzelnen Ressourcen werden zum Berechnen der Risikostufe f r Ihr Unternehmen verwendet Asset Manager Beim Hinzuf gen einer Ressource zum Asset Manager siehe Verwalten von Ressourcen weisen Sie eine Relevanzstufe zu Diese Einstellung gibt an wie wichtig die Ressource f r Ihr Gesch ft ist Wenn Sie beispielsweise einen Computer zum Verwalten des Setups im Unternehmen verwenden und f r diesen Computer keine Sicherung vorhanden ist hat er eine hohe Relevanz Wenn Sie die Einrichtung jedoch mit zwei Computern verwalten f r die jeweils eine Sicherung vorhanden ist haben die Computer eine wesentlich niedrigere Relevanzst
437. istributed ESM DESM und Enterprise Log Manager ELM e Datenerfassung Diese Ger te stellen die Schnittstellen und Dienste bereit ber die Daten aus der Netzwerkumgebung der Benutzer erfassen werden F r diese Funktionen verwenden Sie Nitro Intrusion Prevention System IPS Event Receiver Empf nger Application Data Monitor ADM und Database Event Monitor DEM McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 11 1 Einleitung Ger te und ihre Funktion Alle Befehls Steuerungs und Kommunikationsfunktionen zwischen den Komponenten werden ber sichere Kommunikationskan le koordiniert Ger te und ihre Funktion Mit dem ESM Ger t k nnen Sie alle physischen und virtuellen Ger te in einer Sicherheitsumgebung verwalten und mit den Ger ten interagieren McAfee Enterprise euer Security Manager rc ESM AAA Analysierte Ereignisse Advanced Correlation i H Engine ACE Y Y Event Receiver me Ereignisdaten Empang Erforderlich Ereigni Unbearbeitete sabfragen Ereignisse BES Y Enterprise Log gt Speicherformate Manager ELM e CIFS Empfohlen R e DAS i e NFS e SCSI i e SAN t Application Data f cr Database Event N di i Monitor ADM Y 9 Monitor DEM i Ala Optional dl Unternehmensnetzwerk Siehe auch Event Receiver Einstellungen auf Seite 63 Einstellungen f r Enterprise Log Manager ELM auf
438. ite Befehle e getstatsdata e echo e ps e date e grep e ethtool e ifconfig e df e kill e tar e sensors e netstat e service e sar e cat e tail e rm e Suchen e iptables e tcpdump c w e updatedb e ip6tables e cp Dies sind die verf gbaren Befehle die vor der Ausf hrung ge ndert werden Befehl Ge ndert in II II classify ping ping c 1 ls Is classify top top b n 1 ping6 ping6 c 1 Informationen zum Befehl getstatsdata finden Sie in Anhang D unter Sammeln von Statistikdaten f r die Fehlerbehebung Informationen zu allen anderen Befehlen finden Sie unter http www linuxmanpages com Verwenden einer globalen Blacklist 218 Mit einer Blacklist k nnen Sie den durch ein Nitro IPS Ger t oder ein virtuelles Ger t flie enden Datenverkehr blockieren bevor er vom Deep Packet Inspection Modul analysiert wird Mit der Option Nitro IPS Blacklist k nnen Sie eine Blacklist f r einzelne Nitro IPS Ger te auf dem ESM Ger t einrichten Mit Globale Blacklist k nnen Sie eine Blacklist einrichten die f r alle vom ESM Ger t verwalteten Nitro IPS Ger te gilt Bei dieser Funktion sind nur dauerhafte Blacklist Eintr ge zul ssig Zum Einrichten von tempor ren Eintr gen m ssen Sie die Option Nitro IPS Blacklist verwenden Die globale Blacklist kann von allen Nitro IPS Ger ten und virtuellen Ger ten verwendet werden Die Funktion ist auf allen Ger ten deaktiviert bis Sie sie aktivieren
439. itro IPS Ger t ohne Verz gerung durch berpr fungen passiert Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie im Richtlinien Editor auf den Regeltyp Variable 2 Erweitern Sie die Kategorie priority_traffic und klicken Sie dann auf PRIORITY_TRAFFIC_LIST 3 Klicken Sie auf Bearbeiten und w hlen Sie dann ndern aus 4 Verwalten Sie die Einstellungen und klicken Sie dann auf OK McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 375 10 Verwalten von Richtlinien und Regeln Verwalten von Datenverkehr mit Priorit t 376 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Index A Abfragen L schen ausgef hrt 215 216 Verwalten 215 216 Abfragen Assistent 290 Abrufen von Regelaktualisierungen 369 ACE Ausw hlen des Datentyps zum Senden von ESM 137 Hinzuf gen eines Risikokorrelations Managers 138 Historische Korrelation 138 Korrelationsmodul 136 Korrelationsmodule 136 Risikokorrelations Bewertung Hinzuf gen 138 Risikokorrelationsmodul 136 Zusammenfassung 12 62 Active Directory Abrufen von Daten 322 Anmeldung Authentifizierung 201 Konfigurieren von Authentifizierungseinstellungen 204 Adiscon Datenquelle Setup 113 ADM Einstellungen 140 Ereignisse 140 Zusammenfassung 12 62 ADM Regeln Begriffstypen 149 Datei bertragungsprotokoll Module 153 DNA Protokollanomalien f r ADM Regeln 154 E Mail Protokoll Module 153 Hinzuf gen neu
440. ittstelle 2 Heben Sie die Auswahl von Hochverf gbarkeit einrichten auf und klicken Sie dann auf OK 3 Klicken Sie auf der Warnungsseite auf Ja und klicken Sie dann auf Schlie en Nach einer Zeit berschreitung von etwa f nf Minuten werden beide Empf nger erneut gestartet und die MAC Adressen auf die urspr nglichen Werte zur ckgesetzt Zur cksetzen des prim ren oder sekund ren Empf ngers im LCD Men 1 Dr cken Sie im LCD Men des Empf ngers auf X 2 Dr cken Sie den Pfeil nach unten bis Disable HA angezeigt wird 3 Dr cken Sie einmal den Pfeil nach rechts um auf dem LCD Bildschirm die Option Disable Primary anzuzeigen 4 Zum Zur cksetzen des prim ren Empf ngers dr cken Sie das H kchen 5 Zum Zur cksetzen des sekund ren Empf ngers dr cken Sie einmal den Pfeil nach unten und dann das H kchen Wechseln zwischen Empf nger HA Rollen Mithilfe des vom Benutzer initiierten Wechselprozesses k nnen Sie zwischen den Rollen des prim ren und sekund ren Empf ngers wechseln M glicherweise m ssen Sie so vorgehen wenn Sie ein Upgrade f r einen Empf nger durchf hren einen Empf nger f r die R cksendung an den Hersteller vorbereiten oder Kabel an einem Empf nger umstecken Bei diesem Wechsel wird die Menge der verlorenen Daten auf ein Minimum reduziert Wenn eine Erfassung einschlie lich des McAfee ePO Ger ts einem Empf nger HA zugeordnet ist und f r den Empf nger HA ein Failover ausge
441. jekts Zahl Die Quell IP Adresse des Inhalts Die IP Adresse kann als 192 168 1 1 192 168 1 0 24 oder 192 168 1 0 255 255 255 0 angegeben werden Ziel IP Adresse des Objekts Zahl Die Ziel IP Adresse des Inhalts Die IP Adresse kann als 192 168 1 1 192 168 1 0 24 oder 192 168 1 0 255 255 255 0 angegeben werden Quell Port des Objekts Zahl Der TCP UDP Quell Port des Inhalts Ziel Port des Objekts Zahl Der TCP UDP Ziel Port des Inhalts Quell IPv6 Adresse des Objekts Zahl Die Quell IPv6 Adresse des Inhalts Ziel IPv6 Adresse des Objekts Zahl Die Ziel IPv6 Adresse des Inhalts MAC Quelladresse des Objekts MAC Name Die MAC Quelladresse des Inhalts aa bb cc dd ee ff MAC Zieladresse des Objekts MAC Name Die MAC Zieladresse des Inhalts aa bb cc dd ee ff Quell IP Adresse des Flusses IPv4 Quell IP Adresse des Flusses Die IP Adresse kann als 192 168 1 1 192 168 1 0 24 oder 192 168 1 0 255 255 255 0 angegeben werden Ziel IP Adresse des Flusses IPv4 Ziel IP Adresse des Flusses Die IP Adresse kann als 192 168 1 1 192 168 1 0 24 oder 192 168 1 0 255 255 255 0 angegeben werden Quell Port des Flusses Zahl TCP UDP Quell Port des Flusses Ziel Port des Flusses Zahl TCP UDP Ziel Port des Flusses Quell IPv6 Adresse des Flusses Zahl Quell IPv6 Adresse des Flusses Ziel IPv6 Adresse des Flusses Zahl Ziel IPv6 Adresse des Flusses
442. k nnen SNMP Traps als Aktion innerhalb eines Alarms senden e Hinzuf gen eines Alarms zur Benachrichtigung bei Stromausf llen auf Seite 190 F gen Sie einen Alarm hinzu damit Sie bei Ausfall einer der ESM Stromversorgungen benachrichtigt werden e Hinzuf gen eines Alarms f r Integrit ts berwachungsereignisse auf Seite 239 Durch Integrit ts berwachungsregeln werden Ereignisse generiert die unter einem Basisger t in der Systemnavigationsstruktur angezeigt werden e Kopieren eines Alarms auf Seite 247 Sie k nnen einen vorhandenen Alarm als Vorlage f r einen neuen Alarm verwenden indem Sie den Alarm kopieren und unter einem anderen Namen speichern UCAPL Alarme Sie k nnen verschiedene Alarmtypen hinzuf gen um UCAPL Anforderungen zu erf llen Informationen zum Einrichten der allgemeinen Alarmeinstellungen finden Sie unter Erstellen eines Alarms F hren Sie dann die Schritte in dieser Tabelle aus Alarmtyp Beschreibung Anpassbarer a Zum Ausl sen eines Alarms bei Erreichen eines anpassbaren Schwellenwert f r Schwellenwerts f r die Anzahl fehlgeschlagener Anmeldungen durch den fehlgeschlagene gleichen Benutzer erstellen Sie einen Alarm vom Typ Interne Anmeldungen erreicht Ereignisilbereinstimmung mit Vergleich der Signatur ID und geben Sie den Wert 306 36 ein Schwellenwert f r Zum Ausl sen eines Alarms bei Sperrung eines Benutzerkontos aufgrund Zeitraum ohne Aktivit t des erreichten Schwellenwerts f r ein
443. k nnen Sie jetzt contains lt Teil einer Regelnachricht oder gesamte Regelnachricht gt und regex lt Teil einer Regelnachricht gt verwenden e Ein allgemeiner Suchfilter f r contains ist ein einzelner Wert nicht ein einzelner Wert mit einem davor und dahinter Beispiele f r allgemeine Suchfilter e Ein einzelner Wert e Mehrere durch Kommas getrennte Werte die in einen regul ren Ausdruck konvertiert werden e Eine contains Anweisung mit einem das als fungiert e Erweiterte regul re Ausdr cke f r die Sie die Syntax regex verwenden k nnen Weitere Informationen finden Sie unter Beschreibung der contains Filter und Filter f r regul re Ausdr cke Erstellen benutzerdefinierter Typen Wenn Sie ber Administratorberechtigungen verf gen k nnen Sie benutzerdefinierte Typen hinzuf gen um sie als Filter zu verwenden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Benutzerdefinierte Typen 2 Klicken Sie auf Hinzuf gen und geben Sie dann die erforderlichen Informationen ein 3 Klicken Sie auf OK um den benutzerdefinierten Typ zu speichern Tabelle der vordefinierten benutzerdefinierten Typen Wenn Sie ber Administratorberechtigungen verf gen k nnen Sie eine Liste der vordefinierten benutzerdefinierten Typen in der Tabelle der benut
444. k nnen einen Alarm hinzuf gen der bei Auftreten eines Fehlers ausgel st wird siehe Hinzuf gen eines Alarms zur Benachrichtigung bei Stromausf llen Erstellen eines SNMP Traps als Aktion in einem Alarm Sie k nnen SNMP Traps als Aktion innerhalb eines Alarms senden Bevor Sie beginnen Bereiten Sie den SNMP Trap Empf nger vor nur erforderlich wenn kein SNMP Trap Empf nger vorhanden ist Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken Vorgehensweise 1 Erstellen Sie ein SNMP Profil um f r ESM anzugeben wohin die SNMP Traps gesendet werden sollen a W hlen Sie in der Systemnavigationsstruktur das System aus und klicken Sie dann auf das Symbol Eigenschaften ES b Klicken Sie auf Profilverwaltung und w hlen Sie dann im Feld Profiltyp die Option SNMP Trap aus c F llen Sie die verbleibenden Felder aus und klicken Sie dann auf Anwenden McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 189 3 Konfigurieren von ESM Konfigurieren von zus tzlichen Diensten 2 Konfigurieren Sie SNMP in ESM a Klicken Sie in Systemeigenschaften auf SNMP Konfiguration und dann auf die Registerkarte SNMP Traps b W hlen Sie den Port aus w hlen Sie die Trap Typen aus die gesendet werden sollen und w hlen Sie dann das in Schritt 1 hinzugef gte Profil aus c Klicken Sie auf Anwenden 3 Definieren Sie einen Alarm mit der Aktion SNMP Trap a Klicken Sie in Systemeigens
445. ken Sie f r das Feld Schnittstelle 1 auf Setup und w hlen Sie dann DHCP aus Wenn es sich bei den Ger ten nicht um Empf nger handelt werden Sie informiert dass der ESM Server f r die nderungen neu gestartet werden muss 4 Klicken Sie auf OK Einrichten von DHCP in einem VLAN Mithilfe von DHCP Dynamic Host Configuration Protocol werden in IP Netzwerken Konfigurationsparameter wie beispielsweise IP Adressen f r Schnittstellen und Dienste dynamisch verteilt Wenn Sie ESM f r die Bereitstellung in der Cloud Umgebung einrichten wird DHCP automatisch aktiviert und es wird eine IP Adresse zugewiesen Au erhalb der Cloud Umgebung k nnen Sie DHCP Dienste in den VLANSs in ESM in Nicht HA Empf ngern in ACE und in ELM aktivieren und deaktivieren wenn Sie ber Rechte zur Ger teverwaltung verf gen Dies ist hilfreich wenn Sie die IP Adressen f r das Netzwerk zur cksetzen m ssen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das System oder ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 F hren Sie eine der folgenden Aktionen aus e F r ESM Klicken Sie auf Netzwerkeinstellungen und dann auf die Registerkarte Hauptbildschirm e F rein Ger t W hlen Sie die entsprechende Option Konfiguration aus klicken Sie auf Schnittstellen und dann auf die Registerkarte Netzwerk 3 Klicken Sie f r
446. klicken 1 Klicken Sie im Richtlinien Editor auf Extras und w hlen Sie dann ADM W rterbuch Manager aus Auf dem Bildschirm ADM W rterb cher verwalten werden die vier Standardw rterb cher botnet foullanguage icd9_desc und spamlist sowie alle in das System importierten W rterb cher aufgef hrt 2 F hren Sie eine oder mehrere der verf gbaren Aktionen aus und klicken Sie dann auf Schlie en McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 145 146 Konfigurieren von ESM Konfigurieren von Ger ten Verweisen auf ein ADM W rterbuch Wenn Sie ein W rterbuch in ESM importieren k nnen Sie beim Schreiben von Regeln auf dieses W rterbuch verweisen Bevor Sie beginnen Importieren Sie das W rterbuch in ESM Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie im Richtlinien Editor im Bereich Regeltypen auf Neu ADM Regel 2 F gen Sie die erforderlichen Informationen hinzu ziehen Sie ein logisches Element in den Bereich Ausdruckslogik und legen Sie es dort ab a Ziehen Sie das Symbol Ausdruckskomponente us auf das logische Element und legen Sie es dort ab 4 W hlen Sie auf der Seite Ausdruckskomponente im Feld W rterbuch das W rterbuch aus 5 F llen Sie die verbleibenden Felder aus und klicken Sie dann auf OK Referenzmaterial f r ADM Regeln Dieser Anhang enth lt Informationen die Sie beim Hinzuf gen von ADM Reg
447. kthandbuch Verwalten von Richtlinien und Regeln 10 Regeltypen und ihre Eigenschaften Die folgenden Firewall Regeltypen stehen zur Verf gung e Anomalie Entdeckt Anomalien Viele auf Anomalien basierende Regeln sind deckungsgleich und werden mit den auf der Registerkarte Variablen festgelegten Werten verwendet Beispielsweise werden die Regel Long Connection Duration Verbindung mit langer Dauer und die Variable Long Duration Seconds Verbindung mit langer Dauer in Sekunden gemeinsam verwendet um die Anzahl der Sekunden bis zum Ausl sen der Regel zu ermitteln Konkretere Details zu den einzelnen Regeln finden Sie unten auf der Seite in dem Detailabschnitt e Schutz vor Spoofing Entdeckt ung ltige IP Adressen Die Regel f r den Schutz vor Spoofing wird beispielsweise ausgel st wenn eine reservierte interne IP Adresse als ber ein Ger t im Netzwerk eingehende IP Adresse beobachtet wird e Blacklist Bestimmt die Aktion die f r Pakete ausgef hrt werden soll die von bzw an IP Adressen oder Ports in der Blacklist gesendet werden e DHCP Aktiviert oder deaktiviert die M glichkeit DHCP Verkehr durch ein Ger t zuzulassen e IPv6 Entdeckt IPv6 Verkehr e Port Blockierung Blockiert bestimmte Ports Entdeckung von Anomalien Bestimmte Firewall Regeln basieren auf Raten Eine ratenbasierte Regel l st nur dann eine Warnung aus wenn der Netzwerkverkehr die Schwellenwerte berschreitet die Sie mit Variablen aus der Firewall Ka
448. l VA Datenmoduls angehalten oder gestartet 246 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Alarmen Aktivieren oder Deaktivieren der Alarm berwachung Regelname Signatur ID Beschreibung Typ Ger t Schweregra Hinzuf gen einer Variablen 306 23 Eine Richtlinienvariable wurde Software Monitor ESM Niedrig hinzugef gt L schen einer Variablen 306 25 Eine Richtlinienvariable wurde Software Monitor ESM Niedrig gel scht ndern einer Variablen 306 24 Eine Richtlinienvariable wurde Software Monitor ESM Niedrig ge ndert Das Web Server Zertifikat ist 306 50084 Das ESM Web Server Zertifikat Software Monitor ESM Hoch abgelaufen ist abgelaufen Das Web Server Zertifikat l uft 306 50083 Das ESM Web Server Zertifikat Software Monitor ESM Mittel bald ab l uft bald ab Warnung zur 306 50067 Die Websense Erfassung wurde Software Monitor Empf nger Mittel Websense Erfassung angehalten oder gestartet Warnung zur Status nderung 306 50030 Die WMI Erfassung wurde der Erfassung von angehalten oder gestartet WMI Ereignisprotokollen Software Monitor Empf nger Mittel Kopieren eines Alarms Sie k nnen einen vorhandenen Alarm als Vorlage f r einen neuen Alarm verwenden indem Sie den Alarm kopieren und unter einem anderen Namen speichern Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in
449. le hinzuf gen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 F gen Sie eine bergeordnete Datenquelle f r das SMS CMA Ger t auf dem die OPSEC Anwendung bzw das OPSEC Zertifikat gespeichert ist Wenn Sie Empf nger HA verwenden f gen Sie eine bergeordnete Datenquelle f r das prim re SMS CMA Ger t hinzu 6 OPSEC ist nicht FIPS konform Verwenden Sie diese Funktion nicht wenn Sie FIPS Vorschriften einhalten m ssen siehe Anhang A 2 Klicken Sie auf Optionen 3 W hlen Sie auf der Seite Erweiterte Einstellungen die Kommunikationsmethode aus und geben Sie dann in Eindeutiger Name der Server Entit t den entsprechenden Namen der Datenquelle ein 4 Klicken Sie zweimal auf OK McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 117 3 Konfigurieren von ESM Konfigurieren von Ger ten 5 F hren Sie gegebenenfalls die folgenden Schritte aus Fehlermeldung Abhilfema nahme SIC Fehler f r LEA Client could 4 Vergewissern Sie sich dass Sie beim Hinzuf gen der Check not choose an authentication Point Datenquelle die richtigen Einstellungen fiir Authentifizierung u ea om elent verwenden und Verschl sselung verwenden ausgew hlt haben Authentifizierungsmethode f r den Dienst LEA ausgew hlt Wenn Sie nur Authentifizierung verwenden ausgew hlt haben wird vom werden OPSEC Client ssIca_clear f r die Kommunikation mit dem Protokoll Server verw
450. le l schen Mit dieser Option l schen Sie alle Filter aus dem Filterbereich McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 297 7 Arbeiten mit Ereignissen Arbeiten mit ESM Ansichten Symbol Bedeutung Beschreibung amp Optionen f r Filters tze W hlen Sie eine Aktion aus die f r die Filters tze ausgef hrt werden soll e Als Standard festlegen Speichert die Filterwerte die Sie als Standard eingegeben haben Diese Filter werden automatisch angewendet wenn Sie sich anmelden e Standard wiederherstellen Setzt die Filter auf die Standardwerte zur ck sodass Sie die Abfrage mit dem Standardfiltersatz ausf hren k nnen e Ausgef llte Filter speichern Speichert den aktuellen Filtersatz und f gt ihn der Liste der verf gbaren Filter hinzu in der Sie ihn beim Hinzuf gen eines Filters ausw hlen k nnen Geben Sie einen Namen f r den Satz ein und w hlen Sie dann den Ordner aus indem der Satz gespeichert werden soll e Filter verwalten ffnet die Seite Verwalten von Filters tzen auf der Sie die verf gbaren Filters tze organisieren k nnen W hlen Sie ein Filterfeld oder einen Filtersatz aus nach dem die Ansicht gefiltert werden soll Wenn Sie auf das Feld klicken werden alle m glichen Filter und Filters tze in einem Dropdown Men aufgef hrt T Filterliste anzeigen W hlen Sie die Variablen oder Watchlists aus nach denen Sie filtern m chten NICHT Z
451. leitung werden die Rohdaten f r Syslog Protokolle als kontinuierlicher Stream aus kombinierten Syslogs an das Ger t gesendet das Sie auf der Seite Einstellungen f r die Datenarchivierung im Abschnitt Syslog Weiterleitung konfiguriert haben Vom Empf nger kann nur jeweils ein Speichertyp weitergeleitet werden Sie k nnen alle drei Typen konfigurieren jedoch kann nur ein Typ f r das Archivieren von Daten aktiviert sein O Die Datenquellentypen Netflow sflow und IPFIX werden von dieser Funktion nicht unterst tzt McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Definieren von Archiveinstellungen Zum Speichern der Rohdaten von Syslog Nachrichten m ssen Sie die Einstellungen konfigurieren die vom Empf nger f r die Archivierung verwendet werden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Empf ngereigenschaften aus und klicken Sie dann auf Empf ngerkonfiguration Datenarchivierung 2 W hlen Sie den Freigabetyp aus und geben Sie die erforderlichen Informationen ein Auf dem System mit der CIFS Freigabe m ssen Sie Port 445 ffnen um eine Verbindung mit der CIFS Freigabe zu erm glichen Entsprechend muss auf dem System mit der SMB Freigabe Port 135 ge ffnet werden damit eine SMB Verbindung hergestellt werden kann 3 Wenn Sie bereit sind di
452. len Sie in der Liste der Blacklist Eintr ge den entfernten Eintrag aus und klicken Sie dann auf Hinzuf gen oder L schen Klicken Sie auf Anwenden oder OK Konfigurieren von zus tzlichen Diensten Zu den zus tzlichen Diensten geh ren Remedy Server NTP Server Network Time Protocol und DNS Server Konfigurieren Sie diese Server f r die Kommunikation mit ESM Inhalt Allgemeine Systeminformationen Konfigurieren von Remedy Server Einstellungen Definieren von Nachrichteneinstellungen Einrichten von NTP auf einem Ger t Konfigurieren von Netzwerkeinstellungen Systemzeitsynchronisierung Installieren eines neuen Zertifikats Konfigurieren von Profilen SNMP Konfiguration Allgemeine Systeminformationen Auf der Seite Systemeigenschaften Systeminformationen sehen Sie allgemeine Informationen zum System und den Status der verschiedenen Funktionen Auf der Seite Systemprotokoll sehen Sie Ereignisse die im System oder auf den Ger ten aufgetreten sind Diese Informationen k nnen Sie heranziehen wenn Sie mit dem McAfee Support ber Ihr System sprechen Funktionen wie Ereignis oder Flussaggregation einrichten oder den Status einer Regelaktualisierung oder einer Systemsicherung berpr fen Unter System Kunden ID Hardware und Seriennummer finden Sie Informationen zum System und zu seinem aktuellen Betriebsstatus Datenbankstatus wird angezeigt wenn in der Datenbank andere Funktionen ausgef hrt werden z B eine erneute Erst
453. len und kopieren Wenn eine Abfrage geschlossen werden kann wird in der letzten Spalte das Symbol L schen x angezeigt Wenn Sie auf das Symbol klicken werden Sie in einem Dialogfeld zur Best tigung aufgefordert Verwalten von Abfragen die in ESM ausgef hrt werden Im Task Manager wird eine Liste der Abfragen angezeigt die in ESM ausgef hrt werden Sie k nnen ihren Status anzeigen und Abfragen l schen die sich auf die Systemleistung auswirken Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das System aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf ESM Verwaltung auf die Registerkarte Wartung und dann auf Task Manager 3 berpr fen Sie die Liste der ausgef hrten Abfragen und f hren Sie Aktionen aus Aktualisieren eines prim ren oder redundanten ESM Ger ts Beim Aktualisieren eines prim ren oder redundanten ESM Ger ts m ssen Sie bestimmte Schritte ausf hren um den Verlust der Ergebnis Fluss und Protokolldaten zu vermeiden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Deaktivieren Sie die Erfassung von Warnungen Fl ssen und Protokollen a W hlen Sie in der Systemnavigationsstruktur die Option Systeminformationen aus und klicken Sie dann auf Ereignisse Fl sse und Protokolle b Heben Sie die Auswahl von Au
454. lenregeln enth lt vordefinierte und automatisch erlernte Regeln Der Empf nger erlernt automatisch Datenquellenregeln bei der Verarbeitung der Informationen die von den ihm zugeordneten Datenquellen an ihn gesendet werden Die Option Datenquelle im Bereich Regeltypen ist nur sichtbar wenn in der Systemnavigationsstruktur eine Richtlinie eine Datenquelle ein Erweiterter Syslog Parser oder ein Empf nger ausgew hlt ist Der Beschreibungsbereich unten auf der Seite enth lt detaillierte Informationen zur ausgew hlten Regel Alle Regeln verf gen ber eine Schweregradeinstellung mit der die einer Regel zugeordnete Priorit t vorgegeben wird Die Priorit t wirkt sich darauf aus wie die f r die jeweiligen Regeln generierten Warnungen zu Berichterstellungszwecken angezeigt werden F r Datenquellenregeln ist eine Standardaktion definiert Diese Aktion wird vom Empf nger dem der Regel zugeordneten Ereignisuntertyp zugewiesen Sie k nnen die Aktion ndern siehe Festlegen von Aktionen f r Datenquellenregeln Festlegen von Aktionen f r Datenquellenregeln F r Datenquellenregeln ist eine Standardaktion definiert Diese Aktion wird vom Empf nger dem der Regel zugeordneten Ereignisuntertyp zugewiesen Sie k nnen die Aktion ndern Sie k nnen den Wert des Ereignisuntertyps ber eine Datenquellenregel festlegen Dies bedeutet dass Sie Regelaktionen f r Dashboards Berichte Analyseregeln oder Alarme mit verschiedenen Werten festlegen k n
455. lfe von DEM Datenzugriffsregeln k nnen Sie unbekannte Zugriffspfade in die Datenbank verfolgen und Warnungen in Echtzeit senden Wenn Sie die richtigen Datenzugriffsregeln erstellen k nnen Sie allgemeine Verletzungen in Datenbankumgebungen leicht verfolgen beispielsweise Anwendungsentwickler die mit Anmelde IDs f r Anwendungen auf Produktionssysteme zugreifen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von Richtlinien und Regeln 10 Regeltypen und ihre Eigenschaften Regeltypen Beschreibung Erkennung Mit den DEM Regeln f r die Datenbankerkennung erhalten Sie eine Ausnahmeliste von Datenbank Servern die von ESM unterst tzt werden und sich im Netzwerk befinden aber nicht berwacht werden Auf diese Weise kann ein Sicherheitsadministrator zur Umgebung hinzugef gte neue Datenbank Server erkennen sowie verbotene Listener Ports die ge ffnet wurden um auf Daten aus Datenbanken zuzugreifen Bei den Erkennungsregeln Richtlinien Editor DEM Regeltyp Erkennung handelt es sich um direkt nach der Installation verf gbare Regeln die nicht hinzugef gt oder bearbeitet werden k nnen Wenn die Option Erkennung auf der Seite Datenbank Server aktiviert ist DEM Eigenschaften Datenbank Server Aktivieren werden diese Regeln vom System verwendet um nach Datenbank Servern im Netzwerk zu suchen die nicht in der Systemnavigationsstruktur unter dem DEM Ger t aufgef hrt sind Transaktions berwachun
456. lgen http Beispiel com 25 32 35 25 33 32 25 33 30Angriff cmd e Unicode Normalisierung e Ung ltige Zeichen in einem Web Anfrage URI Zielbasiertes Verfolgt Sitzungen Da es sich um einen Stream5 Pr prozessor handelt k nnen Zusammensetzen von die Regelstichw rter rule flow und flow bits f r TCP und UDP Datenverkehr TCP Datenstr men verwendet werden und berwachung von TCP und UDP Sitzungen Verwalten von Pr prozessorregeln Aktivieren oder deaktivieren Sie die einzelnen Pr prozessoren und legen Sie die Vererbung fest Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie im Richtlinien Editor im Bereich Regeltypen auf IPS Pr prozessor 2 W hlen Sie f r die aktiven Regeln die Option Vererben An oder Aus aus Firewall Regeln Firewall Regeln werden verwendet um auf einem Nitro IPS Ger t Netzwerkereignisse basierend auf Paketinformationen wie beispielsweise Protokoll Port oder IP Adresse zu entdecken Mit der Firewall Richtlinie werden eingehende Pakete gescannt und Entscheidungen getroffen die auf anf nglichen Informationen basieren Diese werden gefunden bevor das Paket dem Deep Packet Inspection Modul bergeben wird Durch Firewall Regeln werden beispielsweise gef lschte und ung ltige IP Adressen blockiert Au erdem werden Rate und Gr e des Netzwerkverkehrs verfolgt 336 McAfee Enterprise Security Manager 9 5 0 Produ
457. liassen F gen Sie virtuelle lokale Netzwerke Virtual Local Area Networks VLANs und Aliasse zugewiesene Paare aus IP Adresse und Netzmaske die Sie hinzuf gen wenn Sie ein Netzwerkger t mit mehreren IP Adressen haben zu einer ACE oder ELM Schnittstelle hinzu McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Verwalten von Ger ten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf die Ger teoption Konfiguration auf Schnittstellen und dann auf Erweitert 3 Klicken Sie auf VLAN hinzuf gen geben Sie die erforderlichen Informationen ein und klicken Sie dann auf OK 4 W hlen Sie das VLAN aus zu dem Sie den Alias hinzuf gen m chten und klicken Sie dann auf Alias hinzuf gen 5 Geben Sie die erforderlichen Informationen ein und klicken Sie dann auf OK Konfigurieren von SNMP Benachrichtigungen Zum Konfigurieren der von Ger ten generierten SNMP Benachrichtigungen m ssen Sie festlegen welche Traps gesendet werden sollen und die Ziele f r die Traps angeben Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie
458. lichen Informationen ein und klicken Sie dann auf die Registerkarte Bedingung ce W hlen Sie im Feld Typ die Option Ereignisdelta aus w hlen Sie aus wie oft von ESM eine berpr fung auf nicht synchronisierte Datenquellen vorgenommen werden soll W hlen Sie den Zeitunterschied aus der erforderlich ist damit der Alarm ausgel st wird d Geben Sie die Informationen auf den verbleibenden Registerkarten ein 2 Sie k nnen nicht synchronisierte Datenquellen anzeigen bearbeiten oder exportieren a Klicken Sie in der Systemnavigationsstruktur auf den Empf nger und dann auf das Symbol Eigenschaften b Klicken Sie auf Empf ngerverwaltung und dann auf Zeitdelta McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 81 82 Konfigurieren von ESM Konfigurieren von Ger ten Hinzuf gen einer untergeordneten Datenquelle Sie k nnen untergeordnete Datenquellen hinzuf gen damit Sie die Datenquellen besser anordnen k nnen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Empf ngereigenschaften aus und klicken Sie dann auf Datenquellen 2 Klicken Sie in der Tabelle der Datenquellen auf die Datenquelle zu der Sie eine untergeordnete Datenquelle hinzuf gen m chten 3 Klicken Sie auf Untergeordnetes Element hinzuf gen und f llen Sie dann die Felder wie bei einer bergeordneten Datenquelle aus 4 Klicke
459. licken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Ereignisaggregation und dann unten auf dem Bildschirm auf Ansicht 3 Nehmen Sie die gew nschten nderungen vor und klicken Sie dann auf Schlie en McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Ereignisse Fl sse und Protokolle Einrichten der Ereignisweiterleitung Mithilfe der Ereignisweiterleitung k nnen Sie ber Syslog oder SNMP falls aktiviert Ereignisse vom ESM Ger t an ein anderes Ger t oder eine andere Einrichtung senden Sie m ssen das Ziel definieren und k nnen ausw hlen ob Sie das Paket einschlie en und die IP Daten verschleiern m chten Sie k nnen Filter hinzuf gen damit die Ereignisdaten vor der Weiterleitung gefiltert werden Diese Funktion ist kein Ersatz f r die Protokollverwaltung da es sich nicht um einen vollst ndigen Satz digital signierter Protokolle von den einzelnen Ger ten in der Umgebung handelt Konfigurieren der Ereignisweiterleitung Sie k nnen ein Ereignisweiterleitungsziel einrichten um Ereignisdaten an einen Syslog oder SNMP Server weiterzuleiten Die Anzahl der verwendeten Ereignisweiterleitungsziele in Kombination mit der Rate und Anzahl der vom ESM Ger t abgerufenen Ereignisse kann sich auf die allgemeine ESM Leistung auswirken Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnav
460. likat in der Systemstruktur k nnen Sie anschlie end l schen Bearbeiten einer Gruppe W hlen Sie die Gruppe aus klicken Sie auf das Symbol Eigenschaften ES und nehmen Sie dann auf der Seite Gruppeneigenschaften nderungen vor L schen einer w hlen Sie die Gruppe aus und klicken Sie dann auf das Symbol Gruppe l schen Gruppe Die Gruppe und die darin enthaltenen Ger te werden aus der benutzerdefinierten Anzeige gel scht Die Ger te werden nicht aus dem System gel scht Siehe auch Verwalten benutzerdefinierter Anzeigetypen auf Seite 26 L schen einer Gruppe oder eines Ger ts Wenn ein Ger t nicht mehr Bestandteil des Systems ist oder Sie eine Gruppe nicht mehr verwenden l schen Sie das Ger t bzw die Gruppe aus der Systemnavigationsstruktur Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Heben Sie in der Systemnavigationsstruktur das zu l schende Ger t bzw die zu l schende Gruppe hervor und klicken Sie dann auf der Aktionssymbolleiste auf das Symbol L schen 2 Wenn Sie zur Best tigung aufgefordert werden klicken Sie auf OK L schen doppelter Ger te in der Systemnavigationsstruktur Doppelte Ger teknoten werden in der Systemnavigationsstruktur angezeigt wenn Sie Ger te aus einer Systemstruktur in eine Gruppe ziehen und dort ablegen oder wenn Gruppen eingerichtet sind und Sie dann ein Upgrade der ESM Software durchf hren Es
461. linienstruktur und w hlen Sie dann Importieren aus 2 Navigieren Sie zu der zu importierenden Datei und laden Sie sie hoch Wenn eine Fehlermeldung angezeigt wird finden Sie unter Fehlerbehebung im Abschnitt Importieren einer Richtlinie eine L sung 3 W hlen Sie die gew nschten Importoptionen aus und klicken Sie dann auf OK Exportieren einer 1 W hlen Sie die Richtlinie aus die Sie exportieren m chten Richtlinie n 5 Der Export enth lt den ausgew hlten Knoten und alle in der Hierarchie dar ber liegenden Knoten Da nur Standardregeln mit benutzerdefinierten Einstellungen oder benutzerdefinierte Regeln exportiert werden muss mindestens eine dieser Regeln ausgew hlt sein damit die Option Exportieren aktiviert wird 2 Klicken Sie auf Men und w hlen Sie dann Exportieren aus 3 W hlen Sie die gew nschten Exportoptionen aus klicken Sie auf OK und w hlen Sie dann den Speicherort f r die exportierte Richtliniendatei aus 3 Zum Schlie en der Richtlinienstruktur doppelklicken Sie auf eine Richtlinie oder ein Ger t oder klicken Sie auf das Symbol zum Schlie en a Regeltypen und ihre Eigenschaften Im Bereich Regeltypen der Seite Richtlinien Editor k nnen Sie auf alle Regeln nach dem Typ zugreifen Sie k nnen eine ausgew hlte Regel importieren exportieren hinzuf gen und bearbeiten und verschiedene Vorg nge f r die Regel ausf hren Welche Funktionen Sie ausf hren k nnen h ngt vom Typ de
462. ll ID Hinzuf gen zu Ereignisdatensatz 289 Server Einstellungen 178 Remote Ger t Zugreifen 217 Ressourcen Definieren alter Ressourcen 318 Schweregrad 374 Verwalten 318 Ressourcenquellen 321 Empf nger 119 Hinzuf gen Empf nger 119 Verwalten 322 Richtlinie Anwenden von nderungen 375 Anzeigen von Regeln 329 Exportieren 329 Hinzuf gen 329 Importieren 329 Kopieren 329 L schen 329 Richtlinienstruktur 328 Richtlinienstruktur Symbole 328 Suchen 329 Umbenennen 329 Untergeordnete Richtlinie Hinzuf gen 329 Richtlinien Editor nderungsverlauf 375 Anzeigen des Richtlinienaktualisierungsstatus f r Ger te 362 berbelegungsmodus Einrichten 362 Risiko Bei der Berechnung zu ber cksichtigende Bedrohungen 326 Risikokorrelation Manager Hinzuf gen 138 Risikokorrelations Bewertung 138 Produkthandbuch Risikokorrelationsmodul ACE 136 RisikoschweregradBedrohungsverwaltung Ansichten benutzerdefiniert und vordefiniert 325 Verwalten 325 Rohdaten Archivieren 72 RPC Normalisierung 335 S SAN Speicherger t Formatieren zum Speichern von ELM Daten 129 Scans Ausf hren McAfee Vulnerability Manager 175 Schl ssel Exportieren 38 Ger t 37 Importieren 38 Verwalten Ger t 37 Schnellstartsymbole 29 Schnittstelle Netzwerkeinstellungen 40 181 Verwalten des Netzwerks 41 181 Schwachstelle Bewertung 322 Schweregrad 374 Verwalten von Quellen 322 Schwellenwert f r Inaktivit t Festlegen 255 Schweregrad Datenque
463. lle Verwalten von Nachrichtenvorlagen f r Alarme Verwalten von Audiodateien f r Alarme Verwalten von Alarmempf ngern Verwalten von Alarmen Funktionsweise der ESM Alarme Sie k nnen das System so konfigurieren dass Alarme in Echtzeit bereitgestellt werden Ein ausgel ster Alarm wird automatisch zum Protokoll Alarme unter der Systemnavigationsstruktur sowie zur Ansicht Ausgel ste Alarme hinzugef gt Au erdem k nnen Sie Alarmaktionen f r folgende Zwecke konfigurieren e Protokollieren eines Ereignisses in ESM e Bereitstellen einer visuellen und akustischen Warnung e Erstellen eines Falls f r eine bestimmte Person oder Gruppe e Ausf hren eines Skripts e Aktualisieren einer Watchlist e Senden eines Ereignisses an Remedy e Senden einer SMS oder E Mail Im Protokollbereich Alarme wird die Gesamtanzahl der zurzeit aufgef hrten Alarme nach Schweregrad angezeigt Symbol Schweregrad Bereich a Hoch 66 100 Mittel 33 65 Niedrig 1 32 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 231 6 Arbeiten mit Alarmen Erstellen eines Alarms Ein hinzugef gter Alarm wird ausgel st wenn die Bedingungen zutreffen Wenn Sie die Maximale H ufigkeit der Bedingungsausl sung auf 15 Minuten festlegen wird der Alarm erstmals ausgel st wenn die im Feld Ereignisanzahl angegebene Ereignisanzahl innerhalb eines Zeitraums von 15 Minuten auftritt Durch in den ersten 15 Minuten eingehende Ereignisse wird der Alarm n
464. lle und f r forensische Funktionen oder f r Anforderungen in Bezug auf Compliance Audits verwendet werden Gleichzeitig erhalten Sie mit ADM Einblicke in Bedrohungen die als legitime Anwendungen maskiert sind Mit ADM k nnen Sie erkennen wenn vertrauliche Informationen in E Mail Anh ngen bei Instant Messaging Datei bertragungen HTTP POST Vorg ngen oder in anderen Anwendungen bertragen werden Passen Sie die Erkennungsfunktionen von ADM an indem Sie eigene W rterb cher f r vertrauliche Informationen definieren Die vertraulichen Datentypen werden dann von ADM erkannt die entsprechenden Mitarbeiter werden gewarnt und der Versto wird protokolliert sodass eine Audit Liste gef hrt wird Dabei werden in ADM Anomalien in den folgenden Anwendungsprotokollen berwacht decodiert und erkannt e Datei bertragung FTP HTTP SSL nur Setup und Zertifikate E Mail SMTP POP3 NNTP MAPI e Chat MSN AIM Oscar Yahoo Jabber IRC e Web Mail Hotmail Hotmail DeltaSync Yahoo Mail AOL Mail Gmail e P2P Gnutella BitTorrent e Shell SSH nur Entdeckung Telnet Sie k nnen f r ADM Regelausdr cke verwenden die anhand des berwachten Datenverkehrs getestet werden Dabei werden f r jede ausgel ste Regel Datens tze in die Ereignistabelle der Datenbank eingef gt Das Paket durch das die Regel ausgel st wurde wird im Paketfeld der Ereignistabelle gespeichert Au erdem werden f r jede ausgel ste Regel Metadaten auf Anwendung
465. lle verwendet werden soll b W hlen Sie die Zeitzone f r das ESM Ger t und das Datumsformat f r das Konto aus und klicken Sie dann auf Weiter c Definieren Sie die Einstellungen auf den Seiten des Assistenten Erstkonfiguration von ESM Klicken 2 Sie auf den einzelnen Seiten auf das Symbol Hilfe anzeigen Es um Anweisungen anzuzeigen 8 Klicken Sie auf OK und dann auf die Links zu Hilfe bei den ersten Schritten oder zu den neuen Funktionen die in dieser Version von ESM zur Verf gung stehen 9 Melden Sie sich nach Abschluss der Arbeitssitzung mit einer der folgenden Methoden ab e Wenn keine Seiten ge ffnet sind klicken Sie rechts oben in der Konsole auf der Systemnavigationsleiste auf Abmelden e Wenn Seiten ge ffnet sind schlie en Sie den Browser Siehe auch Informationen zum FIPS Modus auf Seite 13 Anpassen der Anmeldeseite Sie k nnen die Anmeldeseite anpassen indem Sie Text wie beispielsweise Sicherheitsrichtlinien des Unternehmens oder ein Logo hinzuf gen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Optionen Systemeigenschaften Benutzerdefinierte Einstellungen 2 F hren Sie eine oder mehrere der folgenden Aktionen aus 22 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Erste Schritte 2 Aktualisieren der ESM Software Aufgabe Vorgehensweise Hinzuf gen von 1 Klicken Sie
466. llen 103 Gewichtungen 374 Gewichtungen Einrichten 374 Zuordnungen 103 SDEE Datenquellen 110 Sekund res Empf nger HA Ger t Erneutes Initialisieren 68 Seriennummer Anzeigen Ger t 47 System 177 ServicePortal Quellen f r Produktinformationen 10 Sicherheit SSH Kommunikationsschl ssel 38 Sicherheitsfunktionen 201 Sichern ELM 133 ESM Einstellungen 207 Systemeinstellungen 206 Sichern Wiederherstellen 208 Sicherungsdateien Arbeiten mit 208 Signatur IDs f r Integrit ts berwachung 239 Signatur Anzeigen von Regeln 368 Sitzungsanzeige Anzeigen von Kennw rtern 142 Sitzungsdetails Anzeigen 271 SNMP Benachrichtigung bei Stromausf llen 189 Einstellungen 188 Konfiguration 188 Konfigurieren von Benachrichtigungen 43 MIB 191 McAfee Enterprise Security Manager 9 5 0 Index Software Aktualisieren auf mehreren Ger ten 56 Software Aktualisieren des Ger ts 39 45 Software Aktualisieren ESM 23 Speicher Einrichten von ESM Daten 196 Einrichten von ESM VM Daten 196 Speicher Datenbank Verwendung 199 Speicher ELM alternativer Speicherort 135 Speicherger t Hinzuf gen ELM 124 Speichern von ELM Daten Vorbereiten 121 Speichern von ELM Protokollen 123 Speicherpool erneutes Erstellen gespiegelt 127 Speicherpool Hinzuf gen eines Speicherger ts f r die Verkn pfung 124 Speicherpool Hinzuf gen oder Bearbeiten 125 Speicherpool Verschieben 125 Speicherverwendung Anzeigen ELM 134 Speicherzuordnung Ve
467. log Snort snort sigid smallsigid 0 Signature Message oder Alert Classification ClassName Priority ClassPriority Protocol SrcIP SrcPort gt DstIP DstPort SrcIP gt DstIP Packet Paketinhalt ist mit Base 64 codiert Syslog Audit Protokolle time Sekunden seit Epoche status flag user name log category name leer f r 8 2 0 ausgef llt f r 8 3 0 device group name device name log message Syslog Einheitliches Aktuelles Datum und aktuelle Uhrzeit ESM IP CEF Version 0 vendor McAfee product Ereignisformat ESM Modell aus etc McAfee Nitro ipsmodel version ESM Version aus etc buildstamp sig id sig message severity 0 bis 10 Paare aus Name und Wert deviceTranslatedAddress Syslog lt gt YYYY MM DDTHH MM SS S IP Address McAfee_SIEM Standardereignisformat source id 144120685667549200 name McAfee Email Gateway ASP subnet ffff 10 75 126 2 128 fields packet encoding BASE64 gt data unique_id 1 alert_id 1 thirdpartytype 49 sig id 5000012 name Random String Custom Type norm_sig id 1343225856 name Misc Application Event action 5 src_ip 65 254 48 200 dst_ip 0 0 0 0 src_port 38129 dst_port 0 protocol n a src_mac 00 00 00 00 00 00 dst_mac 00 00 00 00 00 00 src_asn_geo 1423146310554370000 firsttime 2014 05 09T20 43 30Z lasttime 2
468. lt und alle 60 Sekunden aktualisiert Au erdem k nnen Sie ber diese Seite einen neuen Scan initiieren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option MVM Eigenschaften aus und klicken Sie dann auf Scans 2 Klicken Sie auf Neuer Scan und geben Sie die erforderlichen Informationen ein 3 Klicken Sie auf OK Nach Abschluss des Scans wird dieser zur Liste der Scans hinzugef gt Einrichten der McAfee Vulnerability Manager Verbindung Sie m ssen McAfee Vulnerability Manager Verbindungen mit der Datenbank einrichten um die Vulnerability Assessment Daten aus McAfee Vulnerability Manager abzurufen und mit der Web Benutzeroberfl che um Scans in McAfee Vulnerability Manager auszuf hren Bevor Sie beginnen Sie m ssen das Zertifikat und die Passphrase f r McAfee Vulnerability Manager abrufen Wenn Sie diese Einstellungen ndern hat dies keine Auswirkungen auf das Ger t selbst Die nderungen wirken sich nur auf die Kommunikation zwischen dem Ger t und ESM aus McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 175 176 Konfigurieren von ESM Konfigurieren von Ger ten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option MVM Eigenschaften aus und klicken Sie dann auf Verbindung
469. m Assistenten aufgef hrt sodass Sie die Daten ausw hlen k nnen die von der Komponente gesammelt werden sollen Au erdem k nnen Sie Abfragen bearbeiten oder entfernen und eine vorhandene Abfrage kopieren um sie als Vorlage beim Einrichten einer neuen Abfrage zu verwenden Verwalten von Abfragen Im Lieferumfang des ESM Ger ts sind vordefinierte Abfragen enthalten die Sie im Abfragen Assistenten ausw hlen k nnen wenn Sie einen Bericht oder eine Ansicht hinzuf gen oder bearbeiten Sie k nnen einige der Einstellungen f r diese Abfragen bearbeiten und benutzerdefinierte Abfragen hinzuf gen und entfernen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 F hren Sie einen der folgenden Schritte aus um auf den Abfragen Assistenten zuzugreifen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen Arbeiten mit ESM Ansichten Aufgabe Vorgehensweise Hinzuf gen einer neuen Ansicht 1 Klicken Sie auf der Ansichtssymbolleiste auf das Symbol Neue Ansicht erstellen 2 Ziehen Sie eine Komponente aus der Symbolleiste zum Bearbeiten von Ansichten in den Ansichtsbereich und legen Sie sie dort ab Der Abfragen Assistent wird ge ffnet Bearbeiten einer vorhandenen Ansicht 1 W hlen Sie die zu bearbeitende Ansicht aus 2 Klicken Sie auf der Ansichtssymbolleiste auf das Symbol Aktuelle Ansicht bearbeiten A 3 Klicken Sie auf
470. m Bereich Filter Kennzeichnung auf der Registerkarte Filter den Filter aus Im oben genannten Beispiel w rden Sie die Option Virus ausw hlen 3 Klicken Sie auf das Symbol Aktualisieren Die gefilterten Regeln werden im Regelanzeigebereich aufgef hrt 4 Klicken Sie auf die Kopfzeile der Spalte Blacklist oder w hlen Sie Regeln in der Liste aus Klicken Sie dann auf IP oder IP und Port 5 F hren Sie einen Rollout f r die nderungen aus indem Sie in der rechten oberen Ecke auf das Symbol Rollout Nr klicken Schlie en Sie dann den Richtlinien Editor 6 W hlen Sie in der Systemnavigationsstruktur ein Nitro IPS Ger t oder ein virtuelles Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von Richtlinien und Regeln 10 Regelvorg nge 7 Klicken Sie auf Blacklist und dann auf Einstellungen 8 Definieren Sie auf der Seite Einstellungen f r die automatische Aufnahme in die Blacklist die Einstellungen und klicken Sie dann auf OK Filtern vorhandener Regeln Wenn Sie im Richtlinien Editor einen Regeltyp ausw hlen werden alle Regeln des ausgew hlten Typs standardm ig in alphabetischer Reihenfolge aufgef hrt Sie k nnen die Regeln nach der Uhrzeit anzeigen oder sie mithilfe von Tags filtern um nur die Ihren Kriterien entsprechenden anzuzeigen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf kl
471. m Prozess zum Erstellen eines Alarms siehe Integrit ts berwachungsereignis Erstellen eines Alarms generiert wird 2 Klicken Sie in der Systemnavigationsstruktur auf Bedingung und w hlen Sie dann den Typ Interne Ereignis bereinstimmung aus 3 W hlen Sie in der Zeile Feld die Option Signatur ID aus 4 Geben Sie im Feld Werte die Signatur ID f r die Integrit ts berwachungsregeln ein siehe Signatur IDs f r die Integrit ts berwachung 5 Geben Sie die verbleibenden Informationen gem der Beschreibung unter Erstellen eines Alarms ein Wenn bereits ein 1 Klicken Sie in der Systemnavigationsstruktur auf das Integrit ts berwachungsereignis GE vorhanden ist Basisger t f r das System kai Ei en gs J und w hlen Sie dann eine Ansicht aus in der das Integrit ts berwachungsereignis angezeigt wird Ereignisanalyse oder Standardzusammenfassung 2 Klicken Sie auf das Ereignis und dann auf das Symbol Men EE 3 W hlen Sie Folgendes aus Aktionen Neuen Alarm erstellen vonaus und klicken Sie dann auf Signatur ID 4 F llen Sie die verbleibenden Einstellungen f r den Alarm aus Siehe auch Erstellen eines Alarms auf Seite 232 Signatur IDs f r die Integrit ts berwachung Diese Liste enth lt Beschreibungen der Integrit ts berwachungsregeln die zugeh rigen Signatur IDs sowie Typ Ger t und Schweregrad Mit diesen Regeln k nnen Sie einen Alarm erstellen durch den McAfee Enterprise Security Ma
472. m hinzuf gen Zum Aktivieren der Redundanz definieren Sie die IP Adressen und andere Netzwerkinformationen f r zwei ELM Ger te siehe Einrichten der ELM Redundanz Das ELM Standby Ger t muss ber Speicherger te verf gen auf denen insgesamt genauso viel Speicherplatz wie auf dem aktiven ELM Ger t vorhanden ist Wenn die beiden ELM Ger te eingerichtet sind werden ihre Konfigurationen synchronisiert und die Daten der beiden Ger te werden durch das ELM Standby Ger t kontinuierlich synchronisiert Beim Arbeiten mit ELM Redundanz k nnen Sie verschiedene Aktionen ausf hren zwischen Ger ten wechseln Ger te wieder in Betrieb nehmen anhalten und entfernen sowie den Status von Ger ten anzeigen Alle Aktionen sind auf der Seite ELM Eigenschaften ELM Redundanz verf gbar Wechseln zwischen Ger ten Wenn das prim re ELM Ger t inaktiv ist oder ersetzt werden muss w hlen Sie ELM Ger te wechseln aus Das ELM Standby Ger t wird aktiv und alle Protokollierungsger te werden ihm vom System zugeordnet W hrend des Wechselvorgangs sind Protokollierungs und Konfigurationsaktionen gesperrt Wieder in Betrieb nehmen Wenn das ELM Standby Ger t inaktiv wird und dann wieder aktiviert wird m ssen Sie es wieder in Betrieb nehmen Wenn keine nderungen an den Konfigurationsdateien erkannt werden wird die Redundanz wie zuvor fortgesetzt Wenn Unterschiede in den Dateien erkannt werden wird die Redundanz f r die Speicherpools ohne Problem
473. m keine Daten von der Drittanbieter Datenquelle empfangen hat Dies ist ein Hinweis darauf dass die Datenquelle m glicherweise inaktiv ist oder dass nicht wie erwartet Daten an den Empf nger gesendet werden Die Kommunikation zwischen der Integrit ts berwachung und dem Controller Programm von Deep Packet Inspector ist nicht m glich Es ist keine Kommunikation zwischen der Integrit ts berwachung und Deep Packet Inspector m glich um den Status abzurufen Dies kann bedeuten dass das Steuerungsprogramm nicht ausgef hrt wird und m glicherweise wird der Netzwerkverkehr nicht durch Nitro IPS geleitet M glicherweise k nnen Sie das Problem beheben indem Sie die Richtlinie erneut anwenden Die Systemprotokollierung wird nicht ausgef hrt Von der Systemprotokollierung wurde keine Antwort erhalten M glicherweise k nnen Sie das Problem beheben indem Sie das Ger t neu starten In der Festplattenpartition ist wenig Speicherplatz verf gbar Es ist sehr wenig freier Speicherplatz vorhanden Warnung zur L ftergeschwindigkeit Die L fter drehen sich sehr langsam oder gar nicht Bewahren Sie das Ger t bis zum Austausch des L fters in einem Raum mit Klimaanlage auf um Sch den zu verhindern McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 59 60 Konfigurieren von ESM Verwalten von Ger ten Status Beschreibung und Anweisungen Warnung zur Temperatur Die Temperatur krit
474. matisch eine E Mail an die Person oder Gruppe gesendet wird der der Fall zugewiesen ist Bevor Sie beginnen Sie m ssen ber Berechtigungen als Fallverwaltungsadministrator verf gen Au erdem k nnen Sie manuell eine Fallbenachrichtigung per E Mail senden und dabei Fallhinweise und Ereignisdetails einschlie en Aufgabe Vorgehensweise Automatisches Senden eines Falls per E Mail 1 Klicken Sie im Bereich F lle auf das Symbol Fenster Fallverwaltung ffnen E 2 Klicken Sie auf das Symbol Fallverwaltungseinstellungen E 3 W hlen Sie Beim Zuweisen eines Falls eine E Mail senden aus und klicken Sie dann auf Schlie en Die E Mail Adressen der Benutzer m ssen auf dem ESM Ger t vorhanden sein siehe Einrichten von Benutzergruppen Manuelles Senden 1 W hlen Sie auf der Seite F lle den Fall aus den Sie per E Mail senden eines vorhandenen e E Falls per E Mail m chten Klicken Sie dann auf das Symbol Fall bearbeiten La 2 Klicken Sie in Falldetails auf Fall per E Mail senden und f llen Sie dann die Felder Von und An aus 3 W hlen Sie aus ob Sie die Hinweise einschlie en und eine CSV Datei mit den Ereignisdetails anf gen m chten 4 Geben Sie Hinweise ein die Sie in die E Mail Nachricht einschlie en m chten und klicken Sie dann auf Senden Anzeigen aller F lle 314 Wenn Sie ber Administrative Berechtigungen auf dem ESM Ger t verf gen k nnen Sie alle zurzeit ge ffneten o
475. mbol f r das Ignorieren der Gro Kleinschreibung Aa neben dem Namen des Filterfelds gekennzeichnet Andere Felder f r die contains zul ssig ist sind nicht mit diesem Symbol versehen Die vollst ndige Liste der Felder finden Sie im Abschnitt Felder mit Unterst tzung der contains Funktion Syntax und Beispiele Die Basissyntax f r contains lautet contains beliebigerWert und die f r regul re Ausdr cke lautet regex regul rer Ausdruck Um die Gro Kleinschreibung zu ignorieren klicken Sie auf das entsprechende Symbol Aa oder verwenden Sie die Schreibweise i f r regul re Ausdr cke beispielsweise regex beliebigerWert i Durch die Suche werden unabh ngig von der Gro Kleinschreibung alle Werte zur ckgegeben die beliebigerWert enthalten Die Symbole NICHT und ODER ur gelten f r die Werte f r regul re Ausdr cke und contains Werte Wenn in den Ergebnissen die Werte angezeigt werden sollen die einen bestimmten Wert nicht enthalten geben Sie den Wert ein und klicken Sie auf das Symbol NICHT Wenn in den Ergebnissen Werte angezeigt werden sollen die einen oder einen anderen Wert enthalten geben Sie die Werte ein und klicken Sie auf das Symbol ODER McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Beschreibung der contains Filter und Filter f r regul re Ausdr cke Beispiel 1 Einfache Suche Indizierte Felder contains stra regex stra Nicht indizierte Felder stra Er
476. me einer b sartigen Datei wurde auf einer steigenden Anzahl von Hosts gefunden McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 167 168 Konfigurieren von ESM Konfigurieren von Ger ten e TIE Auf einem einzigen Host wurden mehrere b sartige Dateien gefunden e TIE Die TIE Reputation wurde von Sauber in Infiziert ge ndert e TIE Auf allen Hosts wurde eine Zunahme der b sartigen Dateien festgestellt Alarme ESM verf gt ber zwei Alarme die ausgel st werden k nnen wenn wichtige Threat Intelligence Exchange Ereignisse erkannt werden e TIE Der Schwellenwert f r ung ltige Dateien ist berschritten wird durch die Korrelationsregel TIE Eine b sartige Datei SHA 1 wurde auf einer steigenden Anzahl von Hosts gefunden ausgel st e TIE Eine unbekannte Datei wurde ausgef hrt wird durch ein bestimmtes TIE Ereignis ausgel st Dabei werden Informationen zur Watchlist f r TIE Datenquellen IPs hinzugef gt Watchlist In der Watchlist f r TIE Datenquellen IPs werden Systeme gef hrt durch die der Alarm TIE Eine unbekannte Datei wurde ausgef hrt ausgel st wurde Es handelt sich um eine statische Watchlist die nicht abl uft Ausf hrungsverlauf f r Threat Intelligence Exchange Sie k nnen den Ausf hrungsverlauf f r alle Threat Intelligence Exchange Ereignisse anzeigen siehe Anzeigen des Ausf hrungsverlaufs f r Threat Intelligence Exchange und Einrichten von Aktionen Dazu geh rt eine Liste der IP Adres
477. meldung 2 Klicken Sie auf der Seite Komponente vergleichen auf Hinzuf gen 3 W hlen Sie in den Feldern die Optionen Normalisierungsregel Inaus und w hlen Sie dann Folgendes aus e Normalisierung e Authentication e Anmeldung e Host Anmeldung 4 Klicken Sie auf OK um zur Seite Komponente vergleichen zur ckzukehren 5 Definieren Sie erfolgreich indem Sie auf Hinzuf gen klicken und dann Ereignisuntertyp Inausw hlen Klicken Sie dann auf das Symbol Variablen und klicken Sie auf Ereignisuntertyp Erfolg Hinzuf gen 6 Klicken Sie auf OK um zum Richtlinien Editor zur ckzukehren Die neue Regel wird zur Liste der Korrelationsregeln im Richtlinien Editor hinzugef gt McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 357 10 358 Verwalten von Richtlinien und Regeln Regeltypen und ihre Eigenschaften Hinzuf gen oder Bearbeiten einer Datenzugriffsregel Mithilfe von DEM Datenzugriffsrichtlinien k nnen Sie unbekannte Zugriffspfade in die Datenbank verfolgen und Ereignisse in Echtzeit senden Wenn Sie die richtigen Datenzugriffsrichtlinien erstellen k nnen Sie allgemeine Verletzungen in Datenbankumgebungen leicht verfolgen beispielsweise Anwendungsentwickler die mit Anmelde IDs f r Anwendungen auf Produktionssysteme zugreifen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie im Richtlinien Editor im Bereich Regeltypen Folgendes a
478. ministratoren k nnen Einstellungen auf dem Ger t von einem anderen ESM Ger t berschreiben Es wird empfohlen ein einziges ESM Ger t zum Verwalten der mit diesem verbundenen Ger te zu verwenden Ein DESM Ger t kann f r die Datenerfassung von Ger ten die mit einem anderen ESM Ger t verbunden sind verwendet werden Festlegen des Schl ssels f r ein Ger t Wenn Sie ein Ger t zum ESM Ger t hinzugef gt haben m ssen Sie den Schl ssel f r das Ger t festlegen um die Kommunikation zu erm glichen Durch das Festlegen des Schl ssels f r das Ger t wird die Sicherheit erh ht da alle externen Kommunikationsquellen ignoriert werden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Schl sselverwaltung Authentifizierungsschl ssel f r Ger t festlegen Wenn die Verbindung vom Ger t hergestellt wurde und die Kommunikation mit dem ESM Ger t m glich ist wird der Assistent f r Ger teschl ssel ge ffnet 3 Geben Sie ein neues Kennwort f r das Ger t ein und klicken Sie dann auf Weiter 4 Klicken Sie auf Schl ssel exportieren und f llen Sie dann die Seite Schl ssel exportieren aus oder klicken Sie auf Fertig stellen wenn Sie den Schl ssel jetzt nicht exportieren m chten McAfee Enterprise Security Manager 9 5 0 Produkthand
479. mkennwort ein und klicken Sie dann auf OK 4 Geben Sie die Linux Befehle ein exportieren Sie die Datei oder bertragen Sie Dateien 5 Klicken Sie auf Schlie en Gew hren des Zugriffs auf das System Wenn Sie sich an den Support von McAfee wenden m ssen Sie m glicherweise den Zugriff auf Ihr System gew hren damit der Mitarbeiter des technischen Supports Einblick in das System nehmen kann Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf die Ger teoption Verwaltung Verbinden Die Schaltfl che ndert sich in Trennen und Ihre IP Adresse wird angezeigt 3 Geben Sie dem Mitarbeiter des technischen Supports die IP Adresse E M glicherweise m ssen Sie weitere Informationen angeben beispielsweise das Kennwort 4 Klicken Sie auf Trennen um die Verbindung zu beenden berwachen des Datenverkehrs Wenn Sie den durch ein DEM ADM oder IPS Ger t flie enden Datenverkehr berwachen m ssen k nnen Sie mit TCP Abbild sichern eine Instanz des auf dem Ger t ausgef hrten Linux Programms herunterladen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2
480. mnavigationsstruktur die Option ELM Eigenschaften aus und klicken Sie dann auf Daten 2 Geben Sie auf der Registerkarte Protokolle und Dateien durchsuchen die erforderlichen Informationen ein und klicken Sie dann auf Suchen Erstellen eines Integrit tspr fungsauftrags Sie k nnen berpr fen ob Dateien seit der urspr nglichen Speicherung ge ndert wurden Dazu erstellen Sie auf der Seite Daten einen Integrit tspr fungsauftrag Keines der Felder auf der Registerkarte Integrit tspr fung ist erforderlich Je genauer Sie jedoch die Suche definieren umso wahrscheinlicher k nnen Sie die Integrit t der ben tigten Daten in k rzestm glicher Zeit berpr fen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ELM Eigenschaften aus und klicken Sie dann auf Daten 2 Klicken Sie auf die Registerkarte Integrit tspr fung w hlen Sie die erforderlichen Optionen aus und klicken Sie dann auf Suchen Einstellungen f r Advanced Correlation Engine ACE Mit McAfee Advanced Correlation Engine ACE werden anhand einer regel und risikobasierten Logik Bedrohungsereignisse in Echtzeit identifiziert und bewertet Sie geben an worauf Sie Wert legen Benutzer oder Gruppen Anwendungen bestimmte Server oder Subnetze und werden von ACE gewarnt wenn die jeweilige Ressource bedroht ist F r Audit Listen und die Wiedergabe des
481. n 2 Sie haben beim Hinzuf gen der Datenquelle eine falsche Zeitzone festgelegt siehe Hinzuf gen einer Datenquelle 3 Das System ist seit langer Zeit in Betrieb und die Uhrzeit hat sich im Lauf der Zeit verschoben und ist jetzt nicht mehr synchronisiert 4 Sie haben das System bewusst so eingerichtet 5 Das System ist nicht mit dem Internet verbunden 6 Das Ereignis ist beim Eingang auf dem Empf nger nicht synchronisiert Siehe auch Hinzuf gen einer Datenquelle auf Seite 74 Verwalten nicht synchronisierter Datenquellen auf Seite 81 Ausw hlen von Benutzereinstellungen auf Seite 30 Verwalten nicht synchronisierter Datenquellen Wenn Sie Datenquellen haben die nicht mit ESM synchronisiert sind k nnen Sie einen Alarm einrichten damit Sie benachrichtigt werden wenn durch diese Datenquellen Ereignisse generiert werden Dann k nnen Sie eine Liste der Datenquellen anzeigen ihre Einstellungen bearbeiten und die Liste exportieren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Richten Sie einen Alarm ein damit Sie benachrichtigt werden wenn beim Empf nger ein Ereignis eingeht das durch eine nicht mit ESM synchronisierte Datenquelle generiert wurde a W hlen Sie in der Systemnavigationsstruktur das System aus und klicken Sie dann auf das Symbol Eigenschaften ES b Klicken Sie auf Alarme Hinzuf gen geben Sie auf der Registerkarte bersicht die erforder
482. n Ausnahmen f r einzelne Regeln erstellen wenn die allgemeinen Einstellungen f r die von der jeweiligen Regel generierten Ereignisse nicht gelten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie im Ansichtsbereich ein Ereignis aus das von der Regel generiert wurde f r die Sie eine Ausnahme hinzuf gen m chten Klicken Sie auf das Symbol Men E amp A und w hlen Sie dann Aggregationseinstellungen ndern aus 3 W hlen Sie in den Dropdown Listen Feld 2 und Feld 3 die zu aggregierenden Feldtypen aus Sie m ssen in Feld 2 und Feld 3 unterschiedliche Typen ausw hlen da ansonsten ein Fehler auftritt O Wenn Sie diese Feldtypen ausw hlen werden die Beschreibungen der einzelnen Aggregationsebenen ge ndert und spiegeln nun die ausgew hlten Optionen wider Die Zeitlimits f r die einzelnen Ebenen h ngen von der f r das Ger t definierten Einstellung f r die Ereignisaggregation ab McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Verwalten von Ger ten 4 Klicken Sie auf OK um die Einstellungen zu speichern und dann auf Ja um fortzufahren 5 Heben Sie die Auswahl von Ger ten auf f r die Sie keinen Rollout der nderungen ausf hren m chten 6 Klicken Sie auf OK um den Rollout f r die nderungen auf den ausgew hlten Ger ten auszuf hren In der Spalte Status wird beim Rollout der nderungen der Aktualisierungs
483. n ber eine URL angezeigt werden k nnen Bevor Sie beginnen Richten Sie die URL Site f r das Ger t ein Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Benutzerdefinierte Einstellungen Ger te Links 2 Zum Hinzuf gen oder Bearbeiten einer URL heben Sie das Ger t hervor klicken Sie auf Bearbeiten und geben Sie dann die URL ein F r das URL Feld gilt ein Limit von 512 Zeichen 3 Klicken Sie auf OK Sie k nnen auf die URL zugreifen indem Sie f r jedes Ger t auf das Symbol URL zum Starten des Ger ts 0 unten in den Ansichten Ereignisanalyse und Flussanalyse klicken Anzeigen von Zusammenfassungsberichten f r Ger te Aus den Zusammenfassungsberichten f r Ger te gehen die Typen und die Anzahl der Ger te in ESM hervor Au erdem erfahren Sie wann ein Ereignis von den einzelnen Ger ten empfangen wurde Diese Berichte k nnen im CSV Format durch Komma getrennte Werte exportiert werden McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Verwalten von Ger ten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Systeminformationen Berichte anzeig
484. n Datenreihenfolge 340 Festlegen der Reihenfolge 341 Regelreihenfolge 340 Filters tze Verwalten 297 FIPS Modus Aktivieren 14 Ausw hlen 14 Dateierweiterungen 16 Entfernte Funktionen 14 Fehlerbehebung 20 Funktionen die nur im FIPS Modus verf gbar sind 14 Ger t mit festgelegtem Schl ssel Hinzuf gen 16 Produkthandbuch FIPS Modus Fortsetzung Kommunizieren mit mehreren ESM Ger ten 17 Nicht konforme verf gbare Funktionen 14 Sichern von Informationen 16 Terminologie 16 berpr fen der Integrit t 15 Wiederherstellen von Informationen 16 Firewall Regeln 336 Erstellen aus Ereignis oder Fluss 287 Hinzuf gen von Ausnahmen 338 Hinzuf gen benutzerdefiniert 337 Typen 336 Zugreifen 172 Fl sse Abrufen 255 256 Ansichten 273 Beschreibung 253 Einrichten von Downloads 48 254 Festlegen des Schwellenwerts f r Inaktivit t 255 L schen 287 berpr fen auf 255 Flussprotokollierung Aktivieren 273 G Geolocation Definieren von Einstellungen f r Ger t 48 256 Ger t Anzeigetyp Ausw hlen 26 54 Ger te Aggregationseinstellungen 50 257 Aktualisieren 60 Aktualisieren der Software 39 45 ndern der Beschreibung 47 ndern der Standardanzeige 30 200 ndern des Namens 47 Anhalten 47 Anordnen 26 39 54 Anzahl Bericht 177 Anzeigen allgemeiner Informationen 47 Anzeigen von Protokollen 57 Anzeigetyp 33 Anzeigetyp Feld 33 ASN Definieren von Einstellungen 48 256 Build 47 Computer ID 47 Deaktivieren von Datenquellen
485. n der Fehler Ung ltiger regul rer Ausdruck ER5 0015 angezeigt Beispiel 4 Suche mit dem Platzhalter Indizierte Felder contains ad Nicht indizierte Felder ad Ergebnisse Gibt alle Zeichenfolgen zur ck die mit ad beginnen beispielsweise administrator und address McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 267 Arbeiten mit Ereignissen Beschreibung der contains Filter und Filter f r regul re Ausdr cke Beispiel 5 Suche mit regul rem Ausdruck regex nitroguard x28 3 4 x29 comlinfo 3 www 10 nitroguard 3 com 0 3 www 10 nitroguard 4 info 0 3 www 10 nitroguard 3 gov 0 3 www 10 nitroguard 3 edu 0 3 www 10 nitroguard 7 oddball 0 7 Diese Dom nen stammen aus Microsoft DNS Ereignissen Ergebnisse Mit diesem regul ren Ausdruck wird eine bestimmte Zeichenfolge ausgew hlt In diesem Fall ist dies nitroguard eine drei oder vierstellige prim re Dom ne und com oder info Mit diesem regul ren Ausdruck stimmen die ersten beiden Ausdr cke berein die anderen jedoch nicht Diese Beispiele sollen veranschaulichen wie Sie regul re Ausdr cke mit der Funktion verwenden k nnen Ihre Ausdr cke werden v llig anders aussehen Beachten Sie dabei jedoch Folgendes e Wenn Sie regul re Ausdr cke mit Werten aus weniger als drei Zeichen verwenden f hrt dies zu einem h heren Overhead und einer langsameren Abfrageleistung Es wird vorgeschlagen nur Abfragen mit mehr
486. n globalen Einstellungen Aggregationseinstellungen und anderen Informationen fehl und ein SSH Fehler wird angezeigt Tats chlich wird ein Rollout f r die Einstellungen auf dem noch funktionierenden Empf nger ausgef hrt Da jedoch die Synchronisierung mit dem ausgefallenen Empf nger nicht m glich ist wird eine Fehlermeldung angezeigt F r Richtlinien wird jedoch kein Rollout ausgef hrt In dieser Situation stehen folgende Optionen zur Verf gung e Warten Sie mit dem Rollout f r Richtlinien bis ein sekund rer Empf nger verf gbar ist und synchronisiert wurde e Deaktivieren Sie den HA Modus auf dem Empf nger Dadurch entsteht eine Ausfallzeit von zwei bis f nf Minuten f r den HA Cluster w hrend der keine Ereignisse gesammelt werden Archivieren von Rohdaten f r Empf nger Konfigurieren Sie den Empf nger f r die Weiterleitung einer Sicherung der Rohdaten an das Speicherger t zur langfristigen Speicherung Von ESM werden die folgenden drei Speichertypen unterst tzt Server Message Block Common Internet File System SMB CIFS Network File System NFS und Syslog Weiterleitung Bei SMB CIFS und NFS wird eine Sicherung aller von Datenquellen an den Empf nger gesendeten Rohdaten in Form von Datendateien gespeichert Dies gilt f r Daten die mit E Mail Estream HTTP SNMP SQL Syslog und Remote Agent Protokollen gesendet wurden Diese Datendateien werden alle f nf Minuten an das Archiv gesendet Bei der Syslog Weiter
487. n in dem die Variablen beim Hinzuf gen oder ndern einer Regel zur Verf gung stehen Variablentypen sind von Natur aus global Alle nderungen gelten auf allen Ebenen der Richtlinie Verwalten von Variablen Wenn Sie im Richtlinien Editor den Regeltyp Variable ausw hlen k nnen Sie verschiedene Aktionen ausf hren um benutzerdefinierte und vordefinierte Variablen zu verwalten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie auf das Symbol Richtlinien Editor 2 W hlen Sie im Bereich Regeltypen die Option Variable aus 3 F hren Sie einen oder mehrere der folgenden Schritte aus McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 333 10 Verwalten von Richtlinien und Regeln Regeltypen und ihre Eigenschaften Aufgabe Vorgehensweise Hinzuf gen einer neuen 4 Kategorie 2 W hlen Sie Folgendes aus Neu Kategorie Geben Sie einen Namen f r die neue Kategorie ein und klicken Sie dann auf OK Hinzuf gen einer neuen 4 benutzerdefinierten Variablen W hlen Sie im Regelanzeigebereich die Kategorie aus und klicken Sie dann auf Neu W hlen Sie Variable aus und definieren Sie dann die erforderlichen Einstellungen Klicken Sie auf OK ndern einer Variablen 4 W hlen Sie im Regelanzeigebereich die Variable aus die Sie ndern m chten 2 W hlen Sie Bearbeiten aus und klicken Sie dann auf ndern 3 ndern Sie
488. n oder gestartet Eine nicht bereinstimmende 146 7 Eine nderung an einem Software Monitor ESM Niedrig Konfiguration wurde Netzwerkerkennungsger t genehmigt wurde genehmigt nderung der 306 3 Die Archivierungseinstellungen Software Monitor ESM Niedrig Archivkonfiguration f r ESM wurden ge ndert Warnung zur Status nderung 306 50051 Der Archivprozess des Software Monitor APM REC IPS ttel des Archivprozesses Empf ngers wurde angehalten DBM oder gestartet Ereignis im Zusammenhang mit 146 10 Ein Schwachstellenereignis Software Monitor ESM Niedrig Ressourcenanf lligkeit 306 10 wurde erstellt Benutzeranmeldung des 306 38 UCAPL Ereignis Anmeldung des Software Monitor ESM Niedrig Audit Administrators Audit Administrators nderung der 306 1 Die Konfigurationseinstellungen Software Monitor ESM Niedrig Sicherungskonfiguration f r die ESM Sicherung wurden ge ndert Sicherung ausgef hrt 306 2 Auf dem System wurde eine Software Monitor ESM Niedrig Sicherung ausgef hrt Warnung zum Blue 306 50071 Der Blue Martini Parser wurde Software Monitor Empf nger Mittel Martini Parser angehalten oder gestartet Warnung zum Status der 306 50001 Die Netzwerkkarte hat den Software Monitor IPA ADM Mittel Umgehungs Netzwerkkarte Umgehungsstatus angenommen IPS oder verlassen Das CAC Zertifikat ist 306 50082 Das CAC Zertifikat f r ESM ist Software Monitor ESM Hoch abgelaufen abgelaufen Das CAC Zertifikat l uft bald 306 50081 Das CAC Zertifikat f r ESM l
489. n Erstellen von Datenquellen verwendet werden sollen 4 Klicken Sie auf Ausf hren wenn Sie die ausgew hlten Regeln auf die vorhandenen automatisch erlernten Daten anwenden m chten Klicken Sie dann auf Schlie en Hinzuf gen neuer Regeln f r automatisches Erstellen Sie k nnen benutzerdefinierte Regeln hinzuf gen die vom Empf nger f r das automatische Erstellen von Datenquellen verwendet werden sollen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie in Empf ngereigenschaften auf Datenquellen Automatisch lernen Konfigurieren Hinzuf gen 2 F gen Sie im Dialogfeld Regel f r automatisches Hinzuf gen konfigurieren die ben tigten Daten zum Definieren der Regel hinzu und klicken Sie dann auf OK Die neue Regel wird zur Liste der Regel f r automatisches Hinzuf gen im Dialogfeld Editor f r automatisch hinzugef gte Regeln hinzugef gt Dann k nnen Sie die Regel ausw hlen damit Datenquellen erstellt werden wenn automatisch erlernte Daten den in der Regel definierten Kriterien entsprechen Festlegen des Datumsformats f r Datenquellen W hlen Sie das Format f r in Datenquellen enthaltene Datumsangaben aus Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur einen Empf nger aus und klicken Sie dann auf das Symbol Datenquelle hinzuf gen Er 2
490. n Erweiterter Syslog Parser aus 3 Geben Sie die erforderlichen Informationen ein und w hlen Sie im Feld Codierung die richtige Codierung aus Die Daten aus dieser Datenquelle werden so formatiert dass sie vom Empf nger gelesen werden k nnen wenn sie dort eingehen Security Device Event Exchange SDEE Mit dem SDEE Format k nnen Ereignisse die von verschiedenen von Sicherheitsger tetypen generiert werden standardm ig beschrieben werden Gem der SDEE Spezifikation werden SDEE Ereignisse ber die Protokolle HTTP oder HTTPS transportiert HTTP Server auf denen Ereignisinformationen mithilfe von SDEE an Clients bereitgestellt werden hei en SDEE Anbieter Die Initiatoren der HTTP Anfragen werden als SDEE Clients bezeichnet Cisco hat Erweiterungen f r den SDEE Standard definiert den sogenannten CIDEE Standard Der Empf nger kann als SDEE Client fungieren und von Cisco IPS Systemen Intrusion Prevention Systems generierte CIDEE Daten anfragen Im Gegensatz zu den anderen vom Empf nger unterst tzten Datenquellentypen wird bei SDEE ein Pull Modell anstelle eines Push Modells verwendet Dies bedeutet dass regelm ig eine Verbindung zwischen dem Empf nger und dem SDEE Anbieter hergestellt wird Dabei werden alle Ereignisse angefragt die seit dem letzten angefragten Ereignis generiert wurden Die vom SDEE Anbieter angefragten Ereignisse werden jeweils in der Ereignisdatenbank des Empf ngers verarbeitet und gespeichert un
491. n Optionen hinzugef gt mit denen Sie benutzerdefinierte Ansichten einrichten k nnen siehe Hinzuf gen einer benutzerdefinierten Ansicht in denen die ben tigten Daten angezeigt werden e In den Komponenten Messuhr und Anzahl k nnen Sie den durchschnittlichen Risikofaktor des Unternehmens und den Gesamtrisikofaktor des Unternehmens anzeigen e In den Komponenten Kreisdiagramm Balkendiagramm und Liste k nnen Sie die Ressourcen mit bestehendem Risiko den Produktbedrohungsschutz die Bedrohung nach Ressource die Bedrohung nach Risiko und die Bedrohung nach Anbieter anzeigen e In der Komponente Tabelle k nnen Sie Ressourcen die neuesten Bedrohungen die h ufigsten Ressourcen nach Risikofaktor und die h ufigsten Bedrohungen nach Risikofaktor anzeigen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 325 Arbeiten mit Asset Manager Verwalten bekannter Bedrohungen Verwalten bekannter Bedrohungen 326 W hlen Sie aus welche bekannten Bedrohungen in Risikoberechnungen verwendet werden sollen Jede Bedrohung hat eine Bewertung des Schweregrads Diese Bewertung und die Relevanzbewertung Ihrer Ressourcen werden zum Berechnen des Gesamtschweregrads einer Bedrohung f r Ihr System verwendet Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie in der ESM Konsole auf das Schnellstartsymbol f r den Asset Manager E 2 Klicken Sie auf die Registerkarte
492. n Pool aus und klicken Sie dann auf Gr e verringern 3 Geben Sie ein um wie viel Sie den Speicher verringern m chten und klicken Sie dann auf OK Spiegeln des ELM Datenspeichers Sie k nnen ein zweites ELM Speicherger t einrichten um die auf dem Hauptger t erfassten Daten zu spiegeln Wenn das Hauptger t aus irgendeinem Grund ausf llt werden die eingehenden Daten auf dem Sicherungsger t weiterhin gespeichert Wenn das Hauptger t wieder aktiv ist wird es automatisch mit der Sicherung synchronisiert Anschlie end wird die Speicherung der eingehenden Daten wieder aufgenommen Bein einem dauerhaften Ausfall des Hauptger ts k nnen Sie das Sicherungsger t auf dem ESM Ger t als Hauptger t neu zuweisen und dann f r die Spiegelung ein anderes Ger t festlegen Wenn eines der Ger te ausf llt wird in der Systemnavigationsstruktur neben dem ELM Ger t eine Kennzeichnung f r den Integrit tsstatus angezeigt M glicherweise wird die Verbindung zwischen einem gespiegelten Speicherpool und dem zugeh rigen Speicherger t getrennt M gliche Ursachen e Der Datei Server oder das Netzwerk zwischen dem ELM Ger t und dem Datei Server ist ausgefallen e Der Datei Server oder das Netzwerk wurde zu Wartungszwecken heruntergefahren e Eine Zuordnungsdatei wurde versehentlich gel scht Bei einem Problem mit der Spiegelung wird auf den Speicherger ten ein Warnsymbol A in der Tabelle Speicherpools angezeigt Sie k nnen die Spiegelu
493. n Sie auf OK Die Datenquelle wird in der Tabelle und in der Systemnavigationsstruktur unter der bergeordneten Datenquelle als untergeordnetes Element hinzugef gt Client Datenquellen Sie k nnen die Anzahl der zul ssigen Datenquellen auf einem Empf nger erh hen indem Sie Client Datenquellen hinzuf gen F r Datenquellen mit Syslog ASP CEF MEF NPP und WMI Erfassung k nnen Sie bis zu 65 534 Datenquellen Clients hinzuf gen Wenn es sich bereits um eine bergeordnete oder untergeordnete Datenquelle oder um eine WMI Datenquelle handelt und RPC verwenden ausgew hlt ist steht diese Option nicht zur Verf gung Sie k nnen mehrere Client Datenquellen mit der gleichen IP Adresse verwenden und die Datenquellen anhand der Portnummer unterscheiden Auf diese Weise k nnen Sie die Daten trennen indem Sie f r die einzelnen Datentypen unterschiedliche Ports verwenden und dann die Daten ber den gleichen Port weiterleiten an dem sie eingegangen sind Beim Hinzuf gen einer Client Datenquelle siehe Client Datenquellen und Hinzuf gen einer Client Datenquelle w hlen Sie aus ob der Port der bergeordneten Datenquelle oder ein anderer Port verwendet werden soll Client Datenquellen haben die folgenden Merkmale e Sie haben keine VIPS Rechte Richtlinienrechte oder Agenten Rechte e Sie werden in der Tabelle Datenquellen nicht angezeigt e Sie werden in der Systemnavigationsstruktur angezeigt McAfee Enterprise Security
494. n Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ELM Eigenschaften aus und klicken Sie dann auf Datenspeicher 2 Klicken Sie auf der Registerkarte iSCSI auf Hinzuf gen 3 Geben Sie erforderlichen Informationen ein und klicken Sie anschlie end auf OK Wenn die Verbindung erfolgreich hergestellt wurde werden das Ger t und die zugeh rigen IQNs zur Liste iSCSI Konfiguration sowie zur Liste Ger tetyp auf der Seite Speicherger t hinzuf gen hinzugef gt siehe Hinzuf gen eines Speicherger ts Nach Beginn der Speicherung von ELM Protokollen auf einem IQN kann das SCSI Ziel nicht gel scht werden Aufgrund dieser Einschr nkung m ssen Sie darauf achten auf dem iSCSI Ziel ausreichend Speicherplatz f r den ELM Speicher einzurichten 4 Bevor Sie einen IQN als ELM Speicher verwenden w hlen Sie ihn in der Liste aus und klicken Sie dann auf Format 128 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten 5 Zum berpr fen des Formatierungsstatus klicken Sie auf Status berpr fen 6 Zum Entdecken oder erneuten Entdecken der IQNs klicken Sie auf das iSCSI Ger t und dann auf Entdecken O Wenn Sie versuchen einem IQN mehrere Ger te zuzuweisen kann es zu Datenverlusten kommen Formatieren eines SAN Speicherger ts zum Speichern von ELM Daten Wenn im System eine SAN Karte vorhanden ist k nnen Sie diese zum Speich
495. n Sie eine bersicht ber bestimmte Aspekte des Systems McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Arbeiten mit ESM Ansichten e Ger testatus Hier wird der Status der in der Systemnavigationsstruktur ausgew hlten Ger te angezeigt Wenn Sie in der Ansicht auf ein Ger t klicken werden in der unteren H lfte der Ansicht die Integrit tsinformationen f r das ausgew hlte Ger t angezeigt e Erweiterte ELM Suche Hier k nnen Sie den Fortschritt und die Ergebnisse der Suche in Echtzeit verfolgen Diese Ansicht ist nur verf gbar wenn im System ein ELM Ger t vorhanden ist siehe Ansicht Erweiterte ELM Suche e Ereignisansichten Hier werden die Informationen unterteilt dargestellt die von Ereignissen im Zusammenhang mit dem in der Systemnavigationsstruktur ausgew hlten Ger t generiert wurden e Management Ansichten Hier erhalten Sie eine bersicht ber Aspekte des Systems die vor allem f r Mitarbeiter au erhalb des IT Bereichs von Interesse sind e Flussansichten Hier werden die Informationen unterteilt dargestellt die zu den einzelnen Fl ssen oder Verbindungen ber Nitro IPS aufgezeichnet wurden siehe Flussansichten e McAfee Event Reporter Enth lt produktspezifische Ansichten f r zahlreiche McAfee Produkte e Risiko Ansichten Werden mit dem ACE Standard Manager verwendet Um Daten f r benutzerdefinierte Manager richtig anzuzeigen m ssen Sie benutzerdefinierte Ansichte
496. n auf das ESM Ger t Dies ist hilfreich beim Verlust der Kommunikation Wenn eine Kopie der Paketdaten vorhanden ist k nnen Sie auf die Informationen zugreifen indem Sie die Kopie abrufen Sie k nnen diese Einstellung ndern indem Sie auf die aktuelle Einstellung klicken und eine andere ausw hlen Variablen Eine Variable ist eine globale Einstellung oder ein Platzhalter f r Benutzer oder Site spezifische Informationen Variablen werden in vielen Regeln verwendet Wenn Sie Variablen hinzuf gen oder ndern m chten sollten Sie ber umfassende Kenntnisse des Snort Formats verf gen Variablen werden verwendet um ein bestimmtes Verhalten von Regeln zu erreichen das je nach Ger t unterschiedlich sein kann Das ESM Ger t verf gt ber zahlreiche vordefinierte Variablen Sie k nnen jedoch auch benutzerdefinierte Variablen hinzuf gen Beim Hinzuf gen einer Regel werden diese Variablen als Optionen in der Dropdown Liste f r den Feldtyp angezeigt den Sie auf der Seite Neue Variable im Feld Typ festgelegt haben McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von Richtlinien und Regeln 10 Regeltypen und ihre Eigenschaften Jede Variable hat einen Standardwert es wird jedoch empfohlen Werte festzulegen die der spezifischen Umgebung des jeweiligen Ger ts entsprechen Leerzeichen sind beim Eingeben eines Variablennamens nicht zul ssig Wenn Sie ein Leerzeichen ben tigen verwenden Sie das Zeichen f
497. n dem Start Tag mit der gleichen ID und dem End Tag als spezielle Transaktion zugeordnet werden Sie k nnen jetzt Berichte nach Transaktionen erstellen und nach der ID suchen bei der es sich in diesem Beispiel f r den Abgleich eines Arbeitsauftrags um die Change Control Nummer handeln kann Au erdem k nnen Sie mit der Transaktions berwachung Start und Ende einer Handelsausf hrung oder sogar Begin und Commit Anweisungen protokollieren um Berichte nach Transaktionen anstelle von Abfragen zu erstellen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 347 10 348 Verwalten von Richtlinien und Regeln Regeltypen und ihre Eigenschaften Messgr enreferenzen f r DEM Regeln Nachfolgend finden Sie eine Liste mit Messgr enreferenzen f r die DEM Regelausdr cke die beim Hinzuf gen einer DEM Regel auf der Seite Ausdruckskomponente zur Verf gung stehen Name Beschreibung Datenbanktypen Anwendungsname Der Name zur Identifizierung des Datenbanktyps f r den die Regel gilt MSSQL Oracle DB2 Sybase MySQL Informix PIServer InterSystems Cach Startzeit Zeitstempel f r die Startzeit der Abfrage MSSQL Oracle DB2 Sybase MySQL Informix PostgreSQL Teradata PIServer InterSystems Cach Versatz f r Startzeit Zeichnet den Versatz der Server Uhrzeit auf MSSQL Oracle DB2 Sybase MySQL PostgreSQL Teradata PIServer InterSystems Cach Client IP IP
498. n ersetzt Geben Sie an welche Bereiche f r das Unternehmen wichtig sind beispielsweise bestimmte Dienste oder Anwendungen Benutzergruppen oder Datentypen Bei der Risikokorrelation werden dann alle Aktivit ten im Zusammenhang mit diesen Elementen verfolgt Dadurch entsteht ein dynamischer Risikofaktor der abh ngig von den Echtzeitaktivit ten steigt oder sinkt Wenn ein Risikofaktor einen bestimmten Schwellenwert berschreitet wird in ACE ein Ereignis generiert und Sie werden vor steigenden Bedrohungsbedingungen gewarnt Alternativ kann das Ereignis vom herk mmlichen regelbasierten Korrelationsmodul als Bedingung f r einen gr eren Vorfall verwendet werden In ACE wird eine Audit Liste mit allen Risikofaktoren gef hrt die die vollst ndige Analyse und Untersuchung von Bedrohungsbedingungen im Zeitverlauf erm glicht e Bei der regelbasierten Korrelation werden Bedrohungen mithilfe einer regelbasierten Ereigniskorrelation erkannt und die erfassten Informationen in Echtzeit analysiert Alle Protokolle Ereignisse und Netzwerkfl sse werden in ACE korreliert zusammen mit Informationen zum Kontext wie beispielsweise Identit ten Rollen Schwachstellen usw um Muster zu erkennen die auf eine gr ere Bedrohung hinweisen Von Event Receiver Ger ten wird netzwerkweite regelbasierte Korrelation unterst tzt ACE dient als Erg nzung dieser Funktion und bietet eine dedizierte Verarbeitungsressource mit der umfangreichere Datenmengen k
499. n erstellen e Workflow Ansichten f r Ereignisse enth lt die folgenden Ansichten e Ausgel ste Alarme Hier k nnen Sie die Alarme anzeigen und verwalten die ausgel st wurden da Alarmbedingungen erf llt waren siehe Ansicht Ausgel ste Alarme e Fallverwaltung Hier k nnen Sie die F lle im System anzeigen und verwalten siehe Anzeigen aller F lle Flussansichten Ein Fluss ist ein Datensatz f r eine ber das Ger t hergestellte Verbindung Wenn die Flussanalyse auf dem Nitro IPS Ger t aktiviert ist werden Daten zu allen ber das Nitro IPS Ger t erfolgten Fl sse oder Verbindungen aufgezeichnet Fl sse haben Quell und Ziel IP Adressen Quell und Zielports Quell und Ziel MAC Adressen ein Protokoll sowie eine Angabe f r Erstes Mal und Letztes Mal als Hinweis auf den Zeitraum zwischen Anfang und Ende der Verbindung Da Fl sse keinen Hinweis auf anomalen oder b sartigen Datenverkehr darstellen sind mehr Fl sse als Ereignisse vorhanden Im Gegensatz zu einem Ereignis ist ein Fluss nicht einer Regelsignatur SigID zugeordnet Fl sse sind nicht Ereignisaktionen wie Warnung Verwerfen und Ablehnen zugeordnet Bestimmte Daten beziehen sich eindeutig auf Fl sse Dazu geh ren Quell und Ziel Bytes sowie Quell und Zielpakete Bei Quell Bytes und Quellpaketen handelt es sich um die Anzahl der Bytes und Pakete die von der Quelle des Flusses bermittelt wurden Die Ziel Bytes und Zielpakete stellen die Anzahl der Bytes
500. n festzulegen die beim Import f r die einzelnen Zeilen ausgef hrt werden soll e add Hinzuf gen Die Daten in der Zeile werden unver ndert importiert e edit Bearbeiten Die Daten werden mit allen von Ihnen vorgenommenen nderungen importiert nur f r Zonendefinitionsdateien Wenn Sie nderungen an einem Teilzonenbereich vornehmen m chten m ssen Sie den vorhandenen Bereich entfernen und dann den Bereich mit den nderungen hinzuf gen Sie k nnen den Bereich nicht direkt bearbeiten e remove Entfernen Die mit dieser Zeile bereinstimmende Zone wird vom ESM Ger t gel scht 3 Speichern Sie die vorgenommenen nderungen und schlie en Sie dann die Datei Klicken Sie auf das Schnellstartsymbol f r Asset Manager a und dann auf die Registerkarte Zonenverwaltung 5 Klicken Sie auf Importieren und w hlen Sie dann den Typ des Imports aus 6 Klicken Sie auf OK suchen Sie dann die zu importierende Datei und klicken Sie auf Hochladen Wenn in der Datei Fehler erkannt wurden werden Sie vom System benachrichtigt 7 Wenn Fehler vorhanden sind korrigieren Sie die Datei entsprechend und versuchen Sie es erneut 8 F hren Sie einen Rollout f r die nderungen aus um die Ger te zu aktualisieren Hinzuf gen einer Teilzone Wenn Sie eine Zone hinzugef gt haben k nnen Sie Teilzonen hinzuf gen um die Ger te und Ereignisse weiter nach IP Adressen zu kategorisieren Bevor Sie beginnen F gen Sie Zonen auf der Reg
501. n k nnen Sie das ESM Ger t anhalten und neu starten Sie werden gewarnt dass durch diese Aktion die Kommunikation aller Benutzer mit dem ESM Ger t beendet wird McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 211 212 Konfigurieren von ESM Verwalten des ESM Ger ts Registerkarte Option Beschreibung Terminal Diese Funktion ist nur f r fortgeschrittene Benutzer gedacht Geben Sie Linux Befehle auf dem ESM Ger t ein Da es sich beim Terminal nur um einen teilweisen Batch Modus Emulator handelt stehen nicht alle Befehle zur Verf gung e Ein vorhandenes Arbeitsverzeichnis wird vom Terminal nicht beibehalten e Sie k nnen nicht mit ca zu einem anderen Verzeichnis wechseln e Sie m ssen vollst ndige Pfadnamen verwenden e Die Operatoren gt und gt gt funktionieren nicht Alle Ergebnisse werden auf dem Bildschirm zur ckgegeben Funktionen abrufen Wenn Sie zus tzliche Funktionen erworben haben aktivieren Sie diese auf dem ESM Ger t indem Sie eine verschl sselte Datei herunterladen Die Datei enth lt Informationen zu den Funktionen die von ESM unterst tzt werden Funktionen festlegen Installieren Sie die heruntergeladene Datei mit Funktionen abrufen Verbinden Gew hren Sie dem McAfee Support bei Support Anfragen Zugriff auf Ihr System Diese Option ist nicht FIPS konform und steht beim Betrieb im FIPS Modus nicht zur Verf gung Statistik anzeigen
502. n und ihre Eigenschaften 3 Geben Sie die erforderlichen Informationen ein Ziehen Sie dann logische Elemente und Ausdruckskomponenten aus der Symbolleiste in den Bereich Ausdruckslogik und legen Sie sie dort ab um die Logik der Regel zu erstellen 4 Klicken Sie auf OK Aufgaben Hinzuf gen von Parametern zu einer Korrelationsregel oder komponente auf Seite 355 Durch die Parameter einer Korrelationsregel oder komponente wird das Verhalten der Regel oder Komponente bei der Ausf hrung gesteuert Parameter sind nicht erforderlich Hinzuf gen oder Bearbeiten einer Datenzugriffsregel auf Seite 358 Mithilfe von DEM Datenzugriffsrichtlinien k nnen Sie unbekannte Zugriffspfade in die Datenbank verfolgen und Ereignisse in Echtzeit senden Hinzuf gen oder Bearbeiten einer Transaktions berwachungsregel auf Seite 358 Mit Transaktions berwachungsregeln k nnen Sie Datenbanktransaktionen verfolgen und nderungen automatisch abgleichen sowie Start und Ende einer Handelsausf hrung oder Begin und Commit Anweisungen protokollieren um Berichte nach Transaktionen anstelle von Abfragen zu erstellen Verwalten benutzerdefinierter ADM Regeln DEM Regeln oder Korrelationsregeln auf Seite 358 Kopieren Sie eine vordefinierte Regel und verwenden Sie diese als Vorlage f r eine benutzerdefinierte Regel Beim Hinzuf gen einer benutzerdefinierten Regel k nnen Sie die Einstellungen bearbeiten kopieren und einf gen um die Regel als Vorlage f r eine neue
503. nager 9 5 0 Produkthandbuch 163 3 Konfigurieren von ESM Konfigurieren von Ger ten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option DESM Eigenschaften aus und klicken Sie dann auf Filter 2 Geben Sie die erforderlichen Daten ein und klicken Sie dann auf OK ePolicy Orchestrator Einstellungen Sie k nnen ein ePolicy Orchestrator Ger t zu ESM hinzuf gen dessen Anwendungen als untergeordnete Elemente in der Systemnavigationsstruktur aufgef hrt werden Nach der Authentifizierung k nnen Sie auf Funktionen von ESM zugreifen und ePolicy Orchestrator Tags direkt zu Quell oder Ziel IP Adressen und zu durch Alarme generierten Ereignissen zuweisen Sie m ssen ePolicy Orchestrator einem Empf nger zuordnen da die Ereignisse nicht von ePolicy Orchestrator sondern vom Empf nger abgerufen werden Sie ben tigen Leseberechtigungen f r die Master Datenbank und f r die ePolicy Orchestrator Datenbank um ePolicy Orchestrator zu verwenden Wenn f r das McAfee ePO Ger t ein McAfee Threat Intelligence Exchange Server vorhanden ist wird dieser beim Hinzuf gen des McAfee ePO Ger ts zu ESM automatisch hinzugef gt siehe Threat Intelligence Exchange Integration Starten von ePolicy Orchestrator Wenn sich ein ePolicy Orchestrator Ger t oder eine Datenquelle auf dem ESM Ger t befindet und die IP Adresse von ePolicy O
504. nager 9 5 0 Produkthandbuch 239 6 Arbeiten mit Alarmen Erstellen eines Alarms eine Benachrichtigung ausgel st wird wenn ein Ereignis im Zusammenhang mit einer Integrit ts berwachungsregel generiert wird Regelname Signatur ID Beschreibung Typ Ger t Schweregra Eine Verbindung mit einer 306 50080 Einstellungen f r Software Monitor ESM Mittel physischen Netzwerkschnittstellen wurden Netzwerkschnittstelle wurde ber eine SSH Sitzung hergestellt oder entfernt ge ndert Es ist ein RAID Fehler 306 50054 Es sind RAID Fehler Hardware Monitor Alle Hoch aufgetreten aufgetreten Das Konto wurde aufgrund von 306 35 Das Benutzerkonto wurde Software Monitor ESM Mittel Inaktivit t deaktiviert aufgrund von Inaktivit t deaktiviert Das Konto wurde deaktiviert 306 36 Das Benutzerkonto wurde Software Monitor ESM Hoch da die maximale Anzahl f r deaktiviert da die maximale fehlgeschlagene Anmeldungen Anzahl f r fehlgeschlagene erreicht ist Anmeldungen erreicht ist Hinzuf gen oder Bearbeiten 306 60 Ein Alarm Remote Befehl wurde Software Monitor ESM Niedrig eines Remote Befehls hinzugef gt oder gel scht Warnung zur Status nderung 306 50029 Der ASP Parser wurde Software Monitor Empf nger Mittel der erweiterten angehalten oder gestartet Syslog Parser Erfassung APM Distiller Prozess 306 50066 Das Software Monitor APM Mittel ADM Textextrahierungsmodul f r PDF DOC wurde angehalte
505. navigationsbereich zum Anzeigen der Ger te im System 5 Bereich f r Alarme und F lle zum Anzeigen von Alarmbenachrichtigungen und zugewiesenen offenen F llen 6 Ansichtsbereich f r Ereignis Fluss und Protokolldaten 7 Ansichtssymbolleiste zum Erstellen Bearbeiten und Verwalten von Ansichten 8 Filterbereich zum Anwenden von Filtern auf ereignis oder flussbasierte Datenansichten McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 29 30 Erste Schritte Konsoleneinstellungen Arbeiten mit dem Farbdesign f r die Konsole Passen Sie die ESM Konsole an indem Sie ein vorhandenes Farbdesign ausw hlen oder ein eigenes entwerfen Sie k nnen auch benutzerdefinierte Farbdesigns bearbeiten oder l schen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie auf der Systemnavigationsleiste der ESM Konsole auf Optionen 2 Sie k nnen ein vorhandenes Farbdesign ausw hlen oder ein benutzerdefiniertes Design hinzuf gen bearbeiten oder entfernen 3 Wenn Sie auf Hinzuf gen oder Bearbeiten klicken w hlen Sie die Farben f r das benutzerdefinierte Design aus und klicken Sie dann auf OK Wenn Sie ein neues Design hinzugef gt haben wird im Abschnitt W hlen Sie ein Design aus ein Miniaturbild mit Ihren Farben angezeigt 4 Klicken Sie auf OK um die Einstellungen zu speichern Ausw hlen von Einstellungen f r die Konsolenansicht Legen Sie die Standardeinstellu
506. nd werden die einzelnen Schweregradtypen beschrieben Schweregradtyp Beschreibungen Asset Eine Ressource ist eine IP Adresse die sich optional in einer Zone befindet Der Ressourcenschweregrad eines Ereignisses wird wie folgt ermittelt 1 Die Ziel IP Adresse und die Zielzone des Ereignisses werden mit allen Ressourcen verglichen Wenn eine bereinstimmung vorliegt wird der Schweregrad dieser Ressource als Ressourcenschweregrad f r das Ereignis verwendet 2 Wenn keine bereinstimmung mit Ziel IP Adresse und Zielzone gefunden wird werden Quell IP Adresse und Quellzone des Ereignisses mit allen Ressourcen verglichen Wenn eine bereinstimmung mit Quell IP Adresse und Quellzone vorliegt wird der Schweregrad der Ressource als Ressourcenschweregrad f r das Ereignis verwendet 3 Wenn keine bereinstimmung gefunden wird entspricht der Ressourcenschweregrad null Tag Der Tag Schweregrad wird mithilfe von McAfee Tags und benutzerdefinierten Tags berechnet Damit ein Tag in der Berechnung des Schweregrad verwendet wird muss es sowohl f r die Regel als auch f r die Ressource des Ereignisses festgelegt sein Wenn f r die Regel oder Ressourcen keine Tags definiert sind oder keine bereinstimmung mit einer Ressource gefunden wird entspricht der Tag Schweregrad null F r die Berechnung des Tag Schweregrads wird die Anzahl der bereinstimmenden Regel und Ressourcen Tags mit 10 multipliziert Der Tag Schweregrad ist auf 100 begrenz
507. ndardwert Editor E 5 Wenn der Parameter nicht extern sichtbar sein soll heben Sie die Auswahl von Extern sichtbar auf Der Parameter ist f r den Bereich der Regel lokal McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 355 10 Verwalten von Richtlinien und Regeln Regeltypen und ihre Eigenschaften 6 7 Geben Sie eine Beschreibung f r den Parameter ein die auf der Seite Regelparameter im Textfeld Beschreibung angezeigt wird wenn Sie den Parameter hervorheben Klicken Sie auf OK und dann auf Schlie en Beispiel f r eine benutzerdefinierte Korrelationsregel oder komponente Hinzuf gen einer Korrelationsregel oder komponente Mit der in diesem Beispiel hinzugef gten Regel wird eine Warnung generiert wenn von ESM innerhalb von zehn Minuten f nf nicht erfolgreiche Anmeldeversuche von einer einzigen Quelle auf einem Windows System entdeckt werden auf die eine erfolgreiche Anmeldung folgt 1 2 Klicken Sie im Richtlinien Editor im Bereich Regeltypen auf Korrelation Klicken Sie auf Neu und w hlen Sie dann Korrelationsregel aus Geben Sie einen aussagekr ftigen Namen ein und w hlen Sie dann die Schweregradeinstellung aus Da ein durch diese Regel generiertes Ereignis ein Hinweis darauf sein kann dass eine nicht autorisierte Person auf das System zugegriffen hat ist 80 eine geeignete Einstellung f r den Schweregrad W hlen Sie die Normalisierungs ID aus Authentifizierung oder Authentication Anmeldung
508. nden Pool aufgef hrt sind 4 Klicken Sie auf Bearbeiten und w hlen Sie in der Dropdown Liste Datenspeicherger te das Ger t aus auf dem der zu verschiebende Speicherpool gespiegelt wird Dieses Ger t ist nun das Hauptspeicherger t f r Daten 5 Zum Spiegeln des neuen Datenspeicherger ts w hlen Sie in der Dropdown Liste Gespiegeltes Datenspeicherger t ein Ger t aus und klicken Sie dann auf OK Verringern der Zuordnungsgr e f r den Speicher Wenn ein Speicherger t voll ist da Speicherplatz f r Speicherpools zugeordnet ist m ssen Sie m glicherweise die f r die einzelnen Zuordnungen definierte Speicherplatzmenge verringern Dies McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 125 3 Konfigurieren von ESM Konfigurieren von Ger ten kann notwendig sein um Speicherplatz auf diesem Ger t f r weitere Speicherpools oder f r die Volltextindizierung zuzuordnen Wenn sich die Verringerung der Zuordnungsgr e auf Daten auswirkt und entsprechender Speicherplatz verf gbar ist werden die Daten in andere Zuordnungen im Pool verschoben Wenn der entsprechende Speicherplatz nicht verf gbar ist werden die ltesten Daten gel scht Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ELM Eigenschaften aus und klicken Sie dann auf Speicherpool 2 W hlen Sie in der unteren Tabelle den zu verringernde
509. nden oder Uhrzeit Genauigkeit f r Nanosekunden geben Sie die verbleibenden Informationen ein und klicken Sie dann auf OK Benutzerdefinierte Typen f r Name Wert Der benutzerdefinierte Typ f r Name Wert besteht aus einer Gruppe von Name Wert Paaren die Sie angeben Sie k nnen Ansichten und Abfragen nach diesen Paaren filtern und sie in Alarmen vom Typ Interne Ereignis bereinstimmung verwenden Diese Funktion hat unter anderem die folgenden Merkmale e Die Felder f r Name Wert Gruppen m ssen mit einem regul ren Ausdruck gefiltert werden e Sie k nnen korreliert werden sodass sie im Editor f r Korrelationsregeln ausgew hlt werden k nnen e Die Werte in dem Paar k nnen nur ber ASP erfasst werden e F r diesen benutzerdefinierten Typ gilt eine maximale Gr e von 512 Zeichen einschlie lich der Namen Zeichen nach dem 512 Zeichen werden bei der Erfassung abgeschnitten McAfee empfiehlt die Gr e und Anzahl der Namen zu begrenzen e Die Namen m ssen aus mehr als zwei Zeichen bestehen e Der benutzerdefinierte Typ f r Name Wert kann bis zu 50 Namen enthalten e Jeder Name in der Name Wert Gruppe wird im globalen Filter in der Schreibweise lt Name der Gruppe gt lt Name gt angezeigt Hinzuf gen eines benutzerdefinierten Typs f r eine Name Wert Gruppe Wenn Sie eine Gruppe von Name Wert Paaren hinzuf gen k nnen Sie Ansichten und Abfragen nach diesen Paaren filtern und sie in Alarmen vom Typ Interne Ereignis b
510. ndere ger tespezifische Details an Bevor Sie beginnen Vergewissern Sie sich dass Sie ber die Berechtigung zur Ger teverwaltung verf gen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das entsprechende Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Navigieren Sie durch die Optionen und Registerkarten zu Statistik anzeigen 3 Klicken Sie auf Statistik anzeigen Die Statistik f r das Ger t wird in einem Diagramm angezeigt das alle zehn Minuten aktualisiert wird Zum Anzeigen von Daten werden Daten von mindestens 30 Minuten ben tigt Jeder Messgr entyp enth lt mehrere Messgr en die zum Teil standardm ig aktiviert sind Klicken Sie auf Angezeigt um Messgr en zu aktivieren In der vierten Spalte wird der Ma stab der entsprechenden Messgr e angezeigt McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 35 3 Konfigurieren von ESM Verwalten von Ger ten Hinzuf gen von Ger ten zur ESM Konsole Wenn Sie physische und virtuelle Ger te eingerichtet und installiert haben m ssen Sie diese zur ESM Konsole hinzuf gen Bevor Sie beginnen Richten Sie die Ger te ein und installieren Sie sie siehe McAfee Enterprise Security Manager Installationshandbuch Vorgehensweise 1 2 8 Klicken Sie in der Systemnavigationsstruktur auf Lokales ESM Ger t o
511. ndungen ausblenden oder anzeigen Text ausblenden Sie k nnen die Beschriftungen des Ger ts in der Netzwerktopologie Ansicht ausblenden oder anzeigen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Arbeiten mit ESM Ansichten Senden einer E Mail an Remedy Wenn Sie ein Remedy System einrichten k nnen Sie eine E Mail Nachricht senden um das System ber ein Ereignis zu benachrichtigen bei dem eine Abhilfema nahme erforderlich ist Wenn Sie diesem Prozess folgen erhalten Sie eine Remedy Fallnummer die Sie zum Ereignisdatensatz hinzuf gen Ein Remedy System wird vom Benutzer eingerichtet und ist nicht mit McAfee Nitro IPS verbunden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Heben Sie in einer Ereignisansicht das Ereignis hervor bei dem eine Abhilfema nahme erforderlich ist Klicken Sie auf das Symbol Ereignisse zu einem Fall oder zu Remedy zuweisen 3 und w hlen Sie dann Ereignis an Remedy senden aus 3 F gen Sie Pr fix Stichwort und Unternehmensbenutzer ID hinzu 4 Optional F gen Sie unter Details Informationen hinzu Der Abschnitt enth lt vom System generierte Informationen zu dem Ereignis 5 Klicken Sie auf Senden Men optionen f r Komponenten Die meisten Komponenten einer Ansicht verf gen ber ein Men E in dem die f r die jeweilige Komponente verf gbaren Optionen aufgef h
512. ne neue Adresse hinzu oder bearbeiten oder entfernen Sie eine vorhandene Adresse 4 Klicken Sie auf OK um die nderungen zu speichern Entdecken von Endpunkten Wenn Sie das Netzwerk einrichten IP Adressen zur Ausschlussliste hinzuf gen und das Netzwerk entdecken m ssen Sie mit den Ger ten verbundene Endpunkte entdecken Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken Klicken Sie auf das Schnellstartsymbol f r Asset Manager E und w hlen Sie dann die Registerkarte Netzwerkerkennung aus 2 Klicken Sie auf Endpunkte entdecken um den Scan sofort zu initiieren Die Ergebnisse und den Status des Scans finden Sie auf der Seite im Abschnitt Endpunktger te 3 Zum Planen der automatischen Erkennung der Endpunkte w hlen Sie Automatische Erkennung alle und dann die H ufigkeit aus McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Asset Manager 9 Ressourcenquellen Anzeigen einer Netzwerk bersicht Sie k nnen eine grafische Darstellung des Netzwerks generieren in der Sie die Ger te an jede gew nschte Position verschieben k nnen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken i Klicken Sie auf das Schnellstartsymbol f r Asset Manager und dann auf die Registerkarte Netzwerkerkennung 2 Klicken Sie auf Netzwerk bersicht Die grafische Darstellung des Netzwerks wird ge ffnet
513. nen beispielsweise mit dem Ergebnis einer selektiven Zugriffsregel Zulassen Verweigern 342 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von Richtlinien und Regeln 10 Regeltypen und ihre Eigenschaften Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 m m Klicken Sie in der ESM Konsole auf das Symbol Richtlinien Editor und w hlen Sie dann Empf nger Datenquelle im Bereich Regeltypen aus 2 Klicken Sie in die Spalte Untertyp f r die zu ndernde Regel und w hlen Sie dann die neue Aktion aus e W hlen Sie Aktivieren aus um den Ereignisuntertyp mit der Standardaktion Warnung auszuf llen e W hlen Sie Deaktivieren aus wenn Sie f r die entsprechende Regel keine Ereignisse erfassen m chten e W hlen Sie beliebige weitere Aktionen aus um den Ereignisuntertyp mit der jeweiligen Aktion auszuf llen Verwalten automatisch erlernter Datenquellenregeln Zeigen Sie eine Liste aller automatisch erlernten Datenquellenregeln an und bearbeiten oder l schen Sie sie Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie im Richtlinien Editor Folgendes aus Empf nger Datenquelle 2 Klicken Sie unten im Bereich Filter Kennzeichnung auf die Leiste Erweitert 3 W hlen Sie in der Dropdown Liste Herkunft die Option benutzerdefiniert aus und klicken Sie dann auf PH das Sym
514. nen eine berschreibungsaktion f r Regeln des Typs definieren den Sie beim Herunterladen ausw hlen Wenn keine berschreibungsaktion definiert ist wird die Standardaktion der Regeln ausgef hrt Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie im Richtlinien Editor auf Extras und w hlen Sie dann Neue Regelkonfiguration aus Auf der Seite Neue Regelkonfiguration werden die f r die Standardrichtlinie vorhandenen berschreibungen aufgef hrt 2 Legen Sie die Einstellungen f r die berschreibungsaktion fest und klicken Sie dann auf Schlie en McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 373 10 Verwalten von Richtlinien und Regeln Gewichtungen der Schweregrade Gewichtungen der Schweregrade 374 Der Ereignisschweregrad wird basierend auf der Gewichtung des Schweregrads von Ressourcen Tags Regeln und Schwachstellen berechnet Jeder der vier Schweregrade wird bei der endg ltigen Berechnung gewichtet Bei dieser endg ltigen Berechnung wird die Summe der einzelnen vier Schweregrade mit ihren jeweiligen Gewichtungen multipliziert Auf der Seite Gewichtungen der Schweregrade werden die Gewichtungen angezeigt die den Gruppen aus Ressourcen Tags Regeln und Schwachstellen zugeordnet sind Die Summe der Einstellungen muss 100 entsprechen Wenn Sie eine Einstellung ndern wirkt sich dies auf einige oder auf alle Einstellungen aus Nachfolge
515. ng in Version 9 0 0 und h her die Literale einzeln in Anf hrungszeichen ein wenn sie Leerzeichen oder andere Zeichen enthalten Lassen Sie die Verweise auf die PCRE Teilaufzeichnung ohne Anf hrungszeichen Regeln werden wie folgt definiert Abschnitt Feld Beschreibung Regelkopfzeile Die Regelkopfzeile enth lt die Benachrichtigungsaktion und das Format any any any Die Regel lautet ALERT any any any gt any any Aktion Gibt an was mit dem Ereignis geschehen soll wenn eine bereinstimmung vorliegt Die Optionen lauten e ALERT Ereignis protokollieren e DROP Ereignis protokollieren aber nicht weiterleiten e SDROP Ereignis nicht protokollieren oder weiterleiten e PASS Weiterleiten falls definiert aber nicht protokollieren Protokoll Wenn im Ereignis ein Protokoll definiert ist wird basierend auf dem Protokoll nach der effektiven bereinstimmung gefiltert SreDsttIP Wenn im Ereignis eine Quell oder Ziel IP Adresse definiert ist wird basierend auf dieser Adresse nach der effektiven bereinstimmung gefiltert Src Dst Port Wenn im Ereignis ein Quell oder Ziel Port definiert ist wird basierend auf diesem Port nach der effektiven bereinstimmung gefiltert Regeltext Der Regeltext enth lt den gr ten Teil der bereinstimmungskriterien Hier definieren Sie wie die Daten analysiert und in der ESM Datenbank protokolliert werden m ssen Die Elemente des Regeltexts werden in Paaren aus Stichwor
516. ng mit der Funktion Erneut erstellen reparieren Hinzuf gen eines gespiegelten ELM Datenspeichers Zum Spiegeln der auf einem ELM Speicherger t gespeicherten Daten k nnen Sie ein beliebiges Speicherger t verwenden das zur Liste der verf gbaren Ger te hinzugef gt wurde und ber den ben tigten Speicherplatz verf gt Bevor Sie beginnen F gen Sie die zwei Ger te die Sie f r die gegenseitige Spiegelung verwenden m chten zum ESM Ger t hinzu 126 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ELM Eigenschaften aus und klicken Sie dann auf Speicherpools 2 Klicken Sie neben der unteren Tabelle auf Hinzuf gen 3 Geben Sie auf der Seite Speicherpool hinzuf gen die erforderlichen Informationen ein Klicken Sie dann auf Hinzuf gen um das Speicherger t und das Spiegelger t hinzuzuf gen 7 Ein Ger t kann mehreren Pools gleichzeitig zugewiesen sein 4 Klicken Sie zweimal auf OK Erneutes Erstellen eines gespiegelten Speicherpools Wenn die Verbindung zwischen einem gespiegelten Speicherpool und den zugeh rigen Speicherger ten getrennt wird k nnen Sie den Speicherpool mit der Funktion Erneut erstellen reparieren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie
517. ng zwischen dem aktiven ELM Ger t und dem ELM Standby Ger t anzeigen indem Sie die Option Status ausw hlen Einrichten der ELM Redundanz Wenn im System ein eigenst ndiges ELM Ger t vorhanden ist k nnen Sie Redundanz f r die Protokollierung bereitstellen indem Sie ein ELM Standby Ger t hinzuf gen Bevor Sie beginnen Ein eigenst ndiges ELM Ger t muss installiert siehe McAfee Enterprise Security Manager 9 5 0 Installationshandbuch und zur ESM Konsole hinzugef gt sein siehe Hinzuf gen von Ger ten zur ESM Konsole Au erdem muss ein ELM Standby Ger t installiert sein das nicht zur Konsole hinzugef gt wurde Stellen Sie sicher dass sich auf dem ELM Standby Ger t keine Daten befinden Wenn Sie das Ger t auf die Werkseinstellungen zur cksetzen m chten wenden Sie sich an den McAfee Support Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie in der Systemnavigationsstruktur auf das ELM Ger t und dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf der Seite ELM Eigenschaften auf ELM Redundanz und dann auf Aktivieren 3 Geben Sie die IP Adresse und das Kennwort f r das ELM Standby Ger t ein und klicken Sie dann auf OK 4 Klicken Sie auf der Seite ELM Eigenschaften auf Speicherpools und vergewissern Sie sich dass die Registerkarte Aktiv ausgew hlt ist 5 F gen Sie Speicherger te zum aktiven ELM Ger t hinzu siehe Hinzuf gen
518. ngehalten oder gestartet beliebige Datenquelle f r MS SQL Warnung zu einem Protokoll mit 306 50062 Die jEMAIL Erfassung wurde Software Monitor Empf nger Mittel mehreren Ereignissen angehalten oder gestartet Der MVM Scan wurde initiiert 306 27 Der MVM Scan wurde gestartet Software Monitor ESM Niedrig Warnung zur Status nderung 306 50024 Die NetFlow Erfassung Fluss Software Monitor Empf nger Mittel der NetFlow Erfassung wurde angehalten oder gestartet Neues Benutzerkonto 306 13 Ein neuer Benutzer wurde zum Software Monitor ESM Niedrig System hinzugef gt Warnung zur Status nderung 306 50048 Die Remote Bereitstellung f r Software Monitor Empf nger Mittel der NFS CIFS Erfassung NFS oder CIFS wurde angehalten oder gestartet Warnung zur Status nderung 306 50026 NitroFlow Fl sse auf dem Software Monitor Empf nger Mittel der NitroFlow Erfassung Ger t wurde angehalten oder gestartet Es wurde kein SSH Schl ssel 306 50076 Bei der Kommunikation mit ELM Software Monitor Alle Hoch gefunden sind Ger teprobleme aufgetreten beispielsweise unterschiedliche Versionen ge nderte Schl ssel Hinzuf gen oder ndern in der 306 29 Ein NSM Blacklist Eintrag wurde Software Monitor ESM Niedrig NSM Blacklist hinzugef gt oder bearbeitet L schen in der NSM Blacklist 306 30 Ein NSM Blacklist Eintrag wurde Software Monitor ESM Niedrig gel scht Warnung zur Status nderung 306 50028 Die OPSEC Erfassung Check Software Monitor Empf nger
519. ngen f r die Ansichten in der ESM Konsole fest Auf dieser Seite k nnen Sie die folgenden Aktionen f r das System festlegen e Automatisches Aktualisieren der Daten in einer ge ffneten Ansicht ndern der Ansichten die beim Starten des Systems standardm ig ge ffnet werden e ndern der Ansichten die beim Ausw hlen von Zusammenfassen in einer Ereignis oder Flussansicht ge ffnet werden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie auf der Systemnavigationsleiste der ESM Konsole auf Optionen 2 W hlen Sie auf der Seite Ansichten die Einstellungen aus und klicken Sie dann auf OK Festlegen des Zeit berschreitungswerts f r die Konsole Die aktuelle Sitzung in der ESM Konsole bleibt ge ffnet solange Aktivit ten stattfinden Legen Sie fest wie viel Zeit ohne Aktivit t verstreichen kann bis die Sitzung geschlossen wird Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Optionen Systemeigenschaften Anmeldesicherheit 2 W hlen Sie in Zeit berschreitungswert f r Benutzeroberfl che aus wie viele Minuten ohne Aktivit ten verstreichen m ssen Klicken Sie dann auf OK Wenn Sie Null 0 ausw hlen bleibt die Konsole unbegrenzt ge ffnet Ausw hlen von Benutzereinstellungen Auf der Seite Benutzereinstellungen k nnen Sie ver
520. nger HAs wird das Upgrade f r beide Empf nger nacheinander beginnend mit dem sekund ren Empf nger durchgef hrt Lesen Sie sich vor dem Starten des Upgrade Prozesses den Abschnitt berpr fen des O Hochverf gbarkeitsstatus eines Empf ngers durch um sicherzustellen dass die Empf nger HA Ger te f r das Upgrade bereit sind Wenn Sie dies nicht tun kann es zu Problemen beim Upgrade des Ger ts und zu Ausfallzeiten kommen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das Empf nger HA Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 F hren Sie das Upgrade f r den sekund ren Empf nger durch a Klicken Sie auf Empf ngerverwaltung und w hlen Sie dann Sekund r aus b Klicken Sie auf Ger t aktualisieren und w hlen Sie dann die zu verwendende Datei aus oder navigieren Sie zu der Datei Klicken Sie auf OK Der Empf nger wird neu gestartet und die Version der Software wird aktualisiert c Klicken Sie in Empf ngereigenschaften auf Hochverf gbarkeit Wieder in Betrieb nehmen d W hlen Sie den sekund ren Empf nger aus und klicken Sie dann auf OK 3 ndern Sie den sekund ren Empf nger in den prim ren Empf nger indem Sie auf Folgendes klicken Hochverf gbarkeit Failover 4 F hren Sie das Upgrade f r den neuen sekund ren Empf nger durch indem Sie Schritt 2 wiederholen berp
521. nnen Au erdem k nnen Sie die aktuellen Einstellungen auf einem redundanten ESM Ger t einrichten und speichern Bei einer Standardsicherung werden alle Konfigurationseinstellungen gesichert auch die f r Richtlinien sowie SSH Dateien Netzwerkdateien und SNMP Dateien Wenn Sie ein neues ESM Ger t hinzuf gen wird die Funktion Sichern und wiederherstellen so aktiviert dass alle sieben Tage eine Sicherung McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Sichern und Wiederherstellen von Systemeinstellungen ausgef hrt wird Sie k nnen vom System empfangene Ereignisse Fl sse und Protokolle sichern Bei der ersten Sicherung von Ereignis Fluss oder Protokolldaten werden nur Daten ab dem Anfang des aktuellen Tags gespeichert Bei den nachfolgenden Sicherungen werden die Daten ab dem Zeitpunkt der letzten Sicherung gespeichert Wenn Sie Ereignisse Fl sse oder Protokolle auf dem ESM Ger t sichern wird der Speicherplatz des ESM Ger ts verringert Es wird empfohlen regelm ig Sicherungsdateien vom lokalen ESM Ger t herunterzuladen oder zu l schen Zum Wiederherstellen des Systems k nnen Sie mindestens eine Sicherungsdatei auf dem ESM Ger t einem lokalen Computer oder an einem Remote Speicherort ausw hlen um alle Einstellungen und Daten auf einen vorherigen Zustand zur ckzusetzen Wenn Sie diese Funktion verwenden gehen alle nderungen verloren die seit der Erstellung der letzten Sicherung vorgen
522. nnen Sie IP Adressen angeben und alle Angriffe auf die angegebenen IP Adressen anzeigen Au erdem k nnen Sie alle Angriffe anzeigen die von den angegebenen IP Adressen auf andere IP Adressen ausgef hrt wurden Mit der Option Fluss k nnen Sie IP Adressen angeben und die IP Adressen anzeigen ber die Verbindungen mit diesen IP Adressen hergestellt wurden Dar ber hinaus k nnen Sie die Verbindungen anzeigen die ber die IP Adressen hergestellt wurden Dieses Diagramm enth lt unten in jeder Komponente ein offenes Feld in dem Sie die Quell und Zielereignisse oder fl sse f r eine bestimmte IP Adresse anzeigen k nnen Geben Sie die Adresse in das Feld ein oder w hlen Sie eine zuvor verwendete Adresse aus und klicken Sie dann auf Py das Symbol Aktualisieren EF ai Kreisdiagramm F Zeigt die abgefragten Informationen in einem Kreisdiagramm an Diese Option ist hilfreich wenn weniger Kategorien zum Anzeigen vorhanden sind beispielsweise bei einer Protokoll oder Aktionsabfrage Zeigt die Abfrageinformationen in mehreren Spalten an Diese Komponente ist hilfreich um Ereignis und Flussdaten so detailliert wie m glich anzuzeigen Balkendiagramm Tabelle Zeigt die abgefragten Informationen in einem Balkendiagramm an in dem Sie die Gr e der einzelnen Ergebnisse in einem bestimmten Zeitbereich vergleichen k nnen Liste Zeigt die ausgew hlten Abfragedaten im Listenformat an Diese
523. nterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Tabelle 3 27 Operatoren Fortsetzung Operator Beschreibung Beispiel lt Kleiner objectsize lt 10K lt Kleiner oder gleich time hour lt 6 Tabelle 3 28 Literale Literal Beispiel Zahl 1234 0x1234 0777 16K 10M 2G Zeichenfolge eine Zeichenfolge Regul rer Ausdruck A Z a z IPv4 1 2 3 4 192 168 0 0 16 192 168 1 0 255 255 255 0 MAC aa bb cc dd ee ff Boolescher Wert wahr falsch Tabelle 3 29 Kompatibilit t der Typen und Operatoren Typ Operatoren Hinweise Zahl gt gt lt lt Zeichenfolge Zum Vergleichen des Inhalts einer Zeichenfolge mit Zeichenfolge regul rer Ausdruck Zeichenfolge gt gt lt Zum Vergleichen der L nge einer Zeichenfolge IPv4 l MAC Boolescher Wert Zum Vergleichen mit wahr falsch unterst tzt auBerdem den impliziten Vergleich mit wahr beispielsweise in den folgenden Tests ob der Begriff email bcc auftritt email bcc Tabelle 3 30 ADM regul re Ausdr cke Grammatik Einfache Operatoren Alternierung oder Null oder mehr Eins oder mehr Null oder mehr Gruppierung a b Wiederholter Bereich x oder x oder x oder x y Bereich 0 9a z abc Ausschlie licher Bereich abc 0 9 Beliebiges
524. nur f r Benutzer mit Systemadministrator Berechtigungen verf gbar Wenn Sie ein redundantes ESM Ger t einrichten werden die Konfigurations und Richtliniendaten vom prim ren ESM Ger t alle f nf Minuten automatisch mit dem redundanten ESM Ger t synchronisiert Zum Einrichten eines redundanten ESM Ger ts m ssen Sie die Einstellungen f r dieses Ger t das die Einstellungen und Daten vom prim ren Ger t erh lt sowie die Einstellungen f r das prim re Ger t definieren von dem die Sicherungseinstellungen und Daten an das redundante Ger t gesendet werden Das redundante ESM Ger t muss bereits konfiguriert sein damit vom ESM Ger t eine Verbindung mit ihm hergestellt werden kann Die ESM Redundanzfunktion ist f r ESMREC Kombinationsger te nicht verf gbar Einrichten eines redundanten ESM Ger ts Zum Speichern der Systemeinstellungen auf einem redundanten ESM Ger t m ssen Sie beide ESM Ger te f r die Kommunikation miteinander einrichten McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 209 3 Konfigurieren von ESM Sichern und Wiederherstellen von Systemeinstellungen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Systeminformationen Sichern und wiederherstellen Redundanz Stellen Sie sicher dass im Feld ESM Typ die Option Prim r aus
525. nutzerdefinierten Regel k nnen Sie die Einstellungen bearbeiten kopieren und einf gen um die Regel als Vorlage f r eine neue benutzerdefinierte Regel zu verwenden oder die Einstellungen l schen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie im Richtlinien Editor die Option ADM oder DEM Database Datenzugriff oder Transaktions berwachung aus 2 F hren Sie einen oder mehrere der folgenden Schritte aus McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von Richtlinien und Regeln 10 Regeltypen und ihre Eigenschaften Aufgabe Vorgehensweise Anzeigen aller 1 W hlen Sie im Bereich Filter Kennzeichnung die Registerkarte Filter aus benutzerdefinierten ADM oder DEM Regeln 2 Klicken Sie unten im Bereich auf die Leiste Erweitert 3 W hlen Sie im Feld Herkunft die Option benutzerdefiniert aus 4 Klicken Sie auf Abfrage ausf hren Die benutzerdefinierten Regeln des ausgew hlten Typs werden im Regelanzeigebereich aufgef hrt Kopieren und Einf gen 1 W hlen Sie eine vordefinierte oder benutzerdefinierte Regel aus einer Regel 2 Klicken Sie auf Bearbeiten Kopieren 3 Klicken Sie auf Bearbeiten Einf gen Die kopierte Regel wird zur Liste der vorhandenen Regeln unter dem gleichen Namen hinzugef gt 4 Zum ndern des Namens klicken Sie auf Bearbeiten ndern ndern einer 1 W hlen Sie die benutzerdefinierte Re
526. nwerte berschreitet die Sie mit Variablen aus der Firewall Kategorie im Richtlinien Editor definiert haben Die Standardwerte f r diese Variablen m ssen f r Ihren Netzwerkverkehr nicht zwangsl ufig sinnvoll sein Daher haben Sie im Assistenten zur Erkennung von ratenbasierten Anomalien die M glichkeit Diagramme der Netzwerk Flussdaten in Bezug auf diese Parameter zu analysieren Dann k nnen Sie die Standardwerte ausw hlen einen eigenen Wert festlegen oder ausw hlen dass die Daten vom ESM Ger t analysiert werden und dabei gesch tzt wird welche Werte basierend auf dem Verlauf des Datenverkehrs im Netzwerk am besten geeignet sind Jedes Netzwerk ist anders Daher sollten Sie sich mit dem Verlauf des Datenverkehrs vertraut machen indem Sie diese visuellen Analyseberichte berpr fen und die f r Ihre Anforderungen geeigneten Werte ausw hlen ber den Assistenten werden viele komplizierte Berechnungen ausgef hrt um die vorgeschlagenen Werte zu ermitteln und eine visuelle Analyse der Muster des Netzwerkverkehrs anzuzeigen Wenn in Nitro IPS auf dem virtuellen Ger t auf dem Empf nger und in der Datenquelle eine gro e Menge von Flussdaten vorhanden ist sollten Sie den Zeitbereich f r diese Berechnungen begrenzen Verwenden Sie ein paar Tage oder eine Woche mit normaler Netzwerkaktivit t als Basislinie f r die Berechnung der Werte Wenn Sie einen l ngeren Zeitraum verwenden beanspruchen die Berechnungen m glicherweise zu viel Zeit
527. nwort In folgenden F llen erforderlich e traptype v3trap und secLevel authPriv oder authNoPriv e traptype v3inform und secLevel authPriv oder authNoPriv snmp_authproto Authentifizierungsprotokoll G ltige Werte MD5 oder SHA1 In folgenden F llen erforderlich e traptype v3trap und secLevel authPriv oder authNoPriv e traptype v3inform und secLevel authPriv oder authNoPriv other traptypes Standardwert MD5 snmp_community Community Name In folgenden F llen erforderlich traptype vitrap v2trap v2inform snmp_engineid In folgenden F llen erforderlich traptype v3trap snmp_privpass Datenschutzkennwort In folgenden F llen erforderlich e traptype snmpv3trap und secLevel authPriv e traptype snmpv3inform und secLevel authPriv snmp_privproto Datenschutzprotokoll G ltige Werte DES und AES In folgenden F llen erforderlich e traptype snmpv3trap und secLevel authPriv e traptype snmpv3inform und secLevel authPriv Andere traptypes Standardwert DES snmp_seclevel Sicherheitsstufe G ltige Werte noAuthNoPriv authNoPriv und authPriv In folgenden F llen erforderlich traptype v3trap oder v3inform Andere traptypes Standardwert noAutNoPriv snmp_traptype Erforderlich G ltige Werte vitrap v2trap v2inform v3trap und v3inform snmp_username In folgenden F llen erforderlich traptype snmpv3 oder snmpv3inform type Standardregelzuweisung Erforderlic
528. nzuf gen f gen Sie auf der Registerkarte bersicht die erforderlichen Daten hinzu und klicken Sie dann auf die Registerkarte Bedingung 3 W hlen Sie im Feld Typ die Option Interne Ereignis bereinstimmung aus 4 W hlen Sie im Feld Feld die Option Signatur ID aus und geben Sie dann 306 50086 in das Feld Werte ein 5 F llen Sie nach Bedarf die verbleibenden Informationen auf den einzelnen Registerkarten aus und klicken Sie dann auf Fertig stellen Bei Ausfall einer Stromversorgung wird ein Alarm ausgel st McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Alarmen 6 Erstellen eines Alarms Hinzuf gen eines Alarms f r Integrit ts berwachungsereignisse Durch Integrit ts berwachungsregeln werden Ereignisse generiert die unter einem Basisger t in der Systemnavigationsstruktur angezeigt werden Die Signatur IDs der Integrit ts berwachungsereignisse k nnen Sie im Feld Werte eines Alarms vom Typ Interne Ereignis bereinstimmung zum Generieren eines auf Integrit ts berwachungsereignissen basierenden Alarms verwenden Der Bericht Ereigniszusammenfassung f r die Integrit ts berwachung wird dann als Aktion des Alarms generiert Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken e Es gibt verschiedene M glichkeiten einen Alarm f r Integrit ts berwachungsereignisse hinzuzuf gen Einrichten eines Alarms Vorgehensweise Bevor ein ne 1 Folgen Sie de
529. ole anmelden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 ffnen Sie auf dem Client Computer einen Web Browser und wechseln Sie zu der IP Adresse die Sie beim Konfigurieren der Netzwerkschnittstelle festgelegt haben Klicken Sie auf Anmeldung w hlen Sie die Sprache f r die Konsole aus und geben Sie dann den Standardbenutzernamen und das entsprechende Kennwort ein e Standardbenutzername NGCP e Standardkennwort security 4u McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 21 2 Erste Schritte Anpassen der Anmeldeseite 3 Klicken Sie auf Anmeldung lesen Sie den Endbenutzer Lizenzvertrag und klicken Sie anschlie end auf Akzeptieren 4 ndern Sie den Benutzernamen und das Kennwort und klicken Sie dann auf OK 5 W hlen Sie aus ob der FIPS Modus aktiviert werden soll Wenn Sie im FIPS Modus arbeiten m ssen m ssen Sie diesen bei der ersten Anmeldung beim O System aktivieren damit alle zuk nftigen Vorg nge mit McAfee Ger ten im FIPS Modus stattfinden Sie sollten den FIPS Modus nur aktivieren wenn dies erforderlich ist Weitere Informationen finden Sie unter Informationen zum FIPS Modus 6 Folgen Sie den Anweisungen um den Benutzernamen und das Kennwort zu erhalten die Sie f r den Zugriff auf Regelaktualisierungen ben tigen 7 F hren Sie die Erstkonfiguration von ESM aus a W hlen Sie die Sprache aus die f r die Systemprotoko
530. ommen wurden Wenn Sie beispielsweise eine t gliche Sicherung ausf hren und die Daten der letzten drei Tage wiederherstellen m chten w hlen Sie die drei letzten Sicherungsdateien aus Die Ereignisse Fl sse und Protokolle aus den drei Sicherungsdateien werden zu den zurzeit auf dem ESM Ger t vorhandenen Ereignissen Fl ssen und Protokollen hinzugef gt Dann werden alle Einstellungen mit denen aus der neuesten Sicherung berschrieben Sichern von ESM Einstellungen und Systemdaten Es gibt mehrere M glichkeiten zum Sichern der Daten auf dem ESM Ger t Wenn Sie ein neues ESM Ger t hinzuf gen wird die Funktion Sichern und wiederherstellen so aktiviert dass alle sieben Tage eine Sicherung ausgef hrt wird Sie k nnen diese Option deaktivieren oder nderungen an den Standardeinstellungen vornehmen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Systeminformationen Sichern und wiederherstellen 2 Legen Sie die Einstellungen auf eines dieser Elemente fest e Automatische Sicherung e Manuelle Sicherung e Redundantes ESM Ger t e Wiederherstellen des Systems anhand einer vorherigen Sicherung 3 Klicken Sie auf OK um die Seite Sichern und wiederherstellen zu schlie en Siehe auch Wiederherstellen der ESM Einstellungen auf Seite 207 Arbeiten mit Sicherungsdateien
531. ommunikation mit dem Ger t nicht wiederhergestellt werden Bei dieser Methode wird die PRK Datei exportiert und importiert Der private Schl ssel f r das prim re ESM Ger t wird vom sekund ren ESM Ger t verwendet um anfangs die Kommunikation mit dem Ger t herzustellen Wenn die Kommunikation hergestellt ist wird der ffentliche Schl ssel des sekund ren ESM Ger ts in die Tabelle der autorisierten Schl ssel f r das Ger t kopiert Anschlie end wird auf dem sekund ren ESM Ger t der private Schl ssel f r das prim re ESM Ger t gel scht und die Kommunikation mit dem eigenen ffentlichen oder privaten Schl sselpaar initiiert McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Erste Schritte 2 Informationen zum FIPS Modus Aktion Schritte Exportieren der 1 PRK Datei vom prim ren ESM Ger t W hlen Sie in der Systemnavigationsstruktur des prim ren ESM Ger ts das Ger t mit den zu sichernden Kommunikationsinformationen aus und klicken Sie dann auf das Symbol Eigenschaften W hlen Sie Schl sselverwaltung aus und klicken Sie dann auf Schl ssel exportieren W hlen Sie Privaten SSH Schl ssel sichern aus und klicken Sie dann auf Weiter Geben Sie ein Kennwort ein best tigen Sie es und legen Sie dann das Ablaufdatum fest Wenn das Ablaufdatum verstrichen ist kann die Person die den Schl ssel importiert erst mit dem Ger t kommunizieren wenn ein anderer Schl ssel mit 67 einem in der Zukunft li
532. on 1 Stellen Sie sicher dass die Registerkarten mit den Datendetails unten in der Details zu einem Ansicht angezeigt werden Alarm 2 W hlen Sie den Alarm aus und f hren Sie eine der folgenden Aktionen aus e Klicken Sie auf die Registerkarte Ausl sendes Ereignis um das Ereignis anzuzeigen durch das der ausgew hlte Alarm ausgel st wurde Doppelklicken Sie auf das Ereignis um eine Beschreibung anzuzeigen Die Registerkarte Ausl sendes Ereignis ist nicht immer verf gbar da einige Alarmbedingungen nicht von einem einzelnen Ereignis erf llt werden e Klicken Sie auf die Registerkarte Bedingung um die Bedienung anzuzeigen durch die das Ereignis ausgel st wurde e Klicken Sie auf die Registerkarte Aktion um die als Ergebnis des Alarms ausgef hrten Aktionen und die dem Ereignis zugewiesenen ePolicy Orchestrator Tags anzuzeigen Bearbeiten der 1 Klicken Sie auf den ausgel sten Alarm klicken Sie dann auf das Symbol Einstellungen f r ausgel ste Alarme I Men E und w hlen Sie Alarm bearbeiten aus 2 Nehmen Sie auf der Seite Alarmeinstellungen die nderungen vor klicken Sie 2 auf den einzelnen Registerkarten auf das Symbol Hilfe 2 um Anweisungen anzuzeigen klicken Sie dann auf Fertig stellen Hinzuf gen einer benutzerdefinierten Ansicht Benutzerdefinierte Ansichten enthalten Komponenten mit denen Sie die gew nschten Informationen anzeigen k nnen Vorgehensweise Beschreibungen der Op
533. on ESM Konfigurieren von Ger ten Betriebssystem DEM Appliance DEM Agent Windows alle Versionen MSSQL 7 2000 2005 2008 2012 MSSQL 2000 SP4 2005 2008 Windows UNIX Linux alle Versionen Oracle 8 X 9 X 10 g 11 g c 11 g R23 Oracle 8 0 3 9 X 10 X 11 X 11 X 12 X 15 X 11 X 12 X 15 X 8 X 9 X 10 X 7 1 X 8 X 9 X Informix verf gbar in 8 4 0 und h her 11 5 Windows UNIX Linux alle Versionen Ja 4 X 5 X 6 X Ja 4 1 22 X 5 0 3X 7 4 X 8 4 X 9 0 X 9 1 X 12 x 13 x 14 x InterSystems 2011 1 x UNIX Linux alle 8 2 15 Versionen 5 1 1 0 Mainframe Alle Versionen Option f r Partner Agenten AS400 Alle Versionen 3 Oracle 11g ist in Version 8 3 0 und h her verf gbar 1 Die Paketentschl sselung f r Microsoft SQL Server wird in Version 8 3 0 und h her unterst tzt 2 Die Paketentschl sselung f r Oracle wird in Version 8 4 0 und h her unterst tzt F r die genannten Server und Versionen gilt Folgendes e Es werden die 32 Bit und 64 Bit Versionen von Betriebssystemen und Datenbankplattformen unterst tzt e MySQL wird nur auf Windows 32 Bit Plattformen unterst tzt e Die Paketentschl sselung wird f r MSSQL und Oracle unterst tzt DEM Lizenz aktualisieren Im Lieferumfang des DEM Ger ts ist eine Standardlizenz enthalten Wenn Sie die Funktionen des DEM Ger ts ndern erhalten S
534. on Konfigurationsdateien 157 Zusammenfassung 12 62 DEM Regeln Verwalten benutzerdefiniert 358 DEM spezifische Einstellungen 155 DESM Zusammenfassung 12 62 DHCP Einrichten 185 Direkt nach der Installation verf gbare Ansichten 272 DNA Protokollanomalien f r ADM Regeln 154 Dokumentation Produktspezifisch suchen 10 Typografische Konventionen und Symbole 9 Zielgruppe dieses Handbuchs 9 Doppelte Ger teknoten L schen 28 55 Durchsuchen der Referenz aus Ansicht 287 Durchsuchen von ELM 287 E Mail Einstellungen 178 Fallbenachrichtigung 314 E Mail Protokoll Module f r ADM Regeln 153 E Mail Server Verbinden 178 Einstellungen Konsole 29 ELM Abrufen von Daten 135 DAS Ger t zum Speichern von ELM Daten 129 Deaktivieren eines Spiegelger ts 127 Definieren eines alternativen Speicherorts 135 Einrichten der Kommunikation mit 44 Externer Datenspeicher 128 Formatieren eines SAN Speicherger ts zum Speichern von Daten 129 Gespiegelte Verwaltungsdatenbank Ersetzen 135 Gespiegelter Datenspeicher Hinzuf gen 126 Gespiegelter Speicherpool erneutes Erstellen 127 Hinzuf gen eines gespiegelten Datenspeichers 126 Hinzuf gen eines iSCSI Ger ts als Speicher 128 Produkthandbuch ELM Fortsetzung Hinzuf gen eines Speicherger ts 124 Integrit tspr fung Anzeigen der Ergebnisse 132 Integrit tspr fungsauftrag 135 Integrit tspr fungsauftrag Erstellen 136 Komprimierung 132 Komprimierung Festlegen 132 Migrieren der Datenbank 134 P
535. on O null im oben genannten Format angegeben M glicherweise werden Sie die Erfahrung machen dass Sie weitere Felder zum Pr fix hinzuf gen m ssen und daher die Versionsnummer ndern m ssen Neue Formate werden von dem f r den Standard zust ndigen Gremium hinzugef gt e Mit den Zeichenfolgen Ger teanbieter Ger teprodukt und Ger teversion wird der Typ des sendenden Ger ts eindeutig identifiziert Das Paar aus Device Vendor und Device Product darf nur jeweils von einem Produkt verwendet werden Es gibt keine zentrale Stelle f r die Verwaltung dieser Paare Es muss sichergestellt sein dass von Ereigniserzeugern eindeutige Namenspaare zugewiesen werden e Ger te Ereignisklassen ID ist eine eindeutige ID f r den Ereignis Typ Dabei kann es sich um eine Zeichenfolge oder eine Ganzzahl handeln Mit DeviceEventClassId wird der Typ des gemeldeten Ereignisses identifiziert Bei IDS Systemen Intrusion Detection System System zur Erkennung von Eindringungsversuchen wird jeder Signatur oder Regel mit der bestimmte Aktivit ten entdeckt werden eine eindeutige deviceEventClassId zugewiesen Diese Anforderung gilt auch f r andere Ger tetypen und erleichtert die Behandlung der Ereignisse durch die Korrelationsmodule 112 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten e Name ist eine Zeichenfolge die eine f r Menschen lesbare und verst ndliche Beschreibung des Ereignisses d
536. on Regeln 363 Korrelationsalarm Einschlie en von Quellereignissen 235 Korrelationsdatenquellen 102 Korrelationsereignis Anzeigen der Quellereignisse 73 Korrelationsmodul ACE 136 Korrelationsregeln 352 Anzeigen von Details Festlegen zum Anzeigen von Details 353 Beispiel 356 Hinzuf gen von Parametern 355 Hinzuf gen neu 353 Konflikte beim Importieren 364 Logische Elemente 354 Logische Elemente Bearbeiten 355 Threat Intelligence Exchange Regeln 167 Verwalten benutzerdefiniert 358 Kunden ID 177 L Layout Hinzuf gen eines Berichts 265 LDAP Anmeldung Authentifizierung 201 Server Authentifizieren von Benutzern 205 Limits Einrichten f r Datenbeibehaltung 197 Linux Befehle 217 Verf gbare Befehle 218 Produkthandbuch Linux Befehle Eingeben f r Ger t 46 Literale f r ADM Regeln 146 Lizenz Aktualisieren von DEM 156 Logische Elemente f r ADM Regeln Datenbankregeln Korrelationsregeln 354 Logische Elemente Bearbeiten 355 Logo Hinzuf gen zu Anmeldeseite 22 L schen Ausgel ster Alarm 275 Benutzerdefinierte Regeln 363 Ereignisse oder Fl sse 287 M Masken f r vertrauliche Daten 159 Verwalten 160 Maskieren von IP Adressen 213 McAfee ePO Anmeldeinformationen Einrichten f r Benutzer 31 204 McAfee ePO Datenquellen 115 McAfee Network Security Manager Blacklist Eintrag Hinzuf gen 176 Einstellungen 176 Entfernter Blacklist Eintrag 176 Hinzuf gen oder L schen 176 McAfee Risk Advisor Datener
537. on der Regel dar Wenn f r diese Regel die Quelladresse 10 0 0 1 aktiv ist w hlen Sie Als Ausnahme zu den in anderen Ausnahmen definierten Mustern behandeln aus und geben Sie 10 0 0 1 in das Quellfeld ein Die Firewall Regel gilt dann f r 10 0 0 1 aber nicht f r andere Adressen im Block 10 0 0 0 24 da 10 0 0 1 jetzt die Ausnahme von der Ausnahmeliste ist Hinzuf gen einer benutzerdefinierten Firewall Regel Normalerweise reichen die Firewall Standardregeln aus um das Netzwerk zu sch tzen Es kann jedoch F lle geben in denen Sie spezielle Regeln f r ein gesch tztes System oder eine gesch tzte Umgebung hinzuf gen m ssen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 337 10 338 Verwalten von Richtlinien und Regeln Regeltypen und ihre Eigenschaften Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie im Richtlinien Editor im Bereich Regeltypen Folgendes aus IPS Firewall 2 W hlen Sie Neu aus und klicken Sie dann auf Firewall Regel 3 Definieren Sie die Einstellungen und klicken Sie dann auf OK Die Filter in der neuen Regel werden angewendet und die neue Regel wird im Regelanzeigebereich angezeigt Wenn Sie auf das Filtersymbol Y klicken werden die Filter gel scht Hinzuf gen von Firewall Ausnahmen F gen Sie Ausnahmen zu Firewall Regeln hinzu um zuzulassen dass Netzwerkereignisse von festgelegten Protokollen IP Adressen oder
538. orderlichen Informationen ein 4 Klicken Sie auf OK SNMP Konfiguration Konfigurieren Sie die Einstellungen die vom ESM Ger t zum Senden von Traps f r Verbindung aktiv Verbindung inaktiv Kaltstart und Warmstart vom ESM Ger t sowie von den einzelnen Ger ten verwendet werden Rufen Sie System und Schnittstellentabellen f r Management Information Base MIB II ab und lassen Sie die Erkennung des ESM Ger ts mit dem snmpwalk Befehl zu SNMPv3 wird mit den Optionen NoAuthNoPriv AuthNoPriv und AuthPriv unterst tzt Dabei wird MD5 oder SHA Secure Hash Algorithm f r die Authentifizierung und DES Data Encryption Standard oder AES Advanced Encryption Standard f r die Verschl sselung verwendet MD5 und DES sind im FIPS Compliance Modus nicht verf gbar SNMP Anfragen k nnen an ein ESM System gesendet werden um Integrit tsinformationen f r ESM einen Empf nger und Nitro IPS abzurufen SNMPv3 Traps k nnen an ein ESM Ger t gesendet werden um sie zur Blacklist mindestens eines der verwalteten Nitro IPS Ger te hinzuzuf gen Alle McAfee Appliances k nnen au erdem f r das Senden von Traps f r Verbindung aktiv Verbindung inaktiv Kaltstart und Warmstart an mindestens ein Ziel Ihrer Wahl konfiguriert werden siehe SNMP und McAfee MIB Konfigurieren von SNMP Einstellungen Definieren Sie die Einstellungen die vom ESM Ger t f r eingehenden und ausgehenden SNMP Datenverkehr verwendet werden SNMP Abfragen k nnen nur von Ben
539. orreliert werden k nnen entweder als Erg nzung f r vorhandene Korrelationsberichte oder durch vollst ndige Auslagerung der Daten Konfigurieren Sie die einzelnen ACE Ger te mit eigenen Einstellungen f r Richtlinien Verbindungen Ereignisse und Protokollabruf und eigenen Risiko Managern Ausw hlen des ACE Datentyps Auf dem ESM Ger t werden Ereignis und Flussdaten erfasst W hlen Sie aus welche Daten an ACE gesendet werden sollen Standardm ig werden nur Ereignisdaten gesendet Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ACE Eigenschaften aus und klicken Sie dann auf ACE Konfiguration 2 Klicken Sie auf Daten und w hlen Sie dann Ereignisdaten und oder Flussdaten aus 3 Klicken Sie auf OK McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 137 138 Konfigurieren von ESM Konfigurieren von Ger ten Hinzuf gen eines Korrelations Managers Zum Verwenden der Regel oder Risikokorrelation m ssen Sie Regel oder Risikokorrelations Manager hinzuf gen Bevor Sie beginnen In ESM muss ein ACE Ger t vorhanden sein siehe Hinzuf gen von Ger ten zur ESM Konsole Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ACE Eigenschaften aus und klicken Sie dann auf
540. ort Version 6 2 X und h her und Dauer dauerhaft oder tempor r erforderlich Au erdem ist das optionale Feld Beschreibung vorhanden Ber cksichtigen Sie beim Hinzuf gen von Eintr gen Folgendes Hinzuf gen und ndern werden abh ngig von den ge nderten Informationen aktiviert Beim ndern der IP Adresse oder des Ports wird Hinzuf gen aktiviert Wenn Sie Dauer oder Beschreibung ndern wird ndern aktiviert e Eintr ge in den Listen Blockierte Quellen und Blockierte Ziele k nnen so konfiguriert werden dass Quellen oder Ziele f r alle Ports oder f r einen bestimmten Port in die Blacklist aufgenommen werden e Beim Konfigurieren von Eintr gen mit einem maskierten IP Adressbereich m ssen Sie den Port auf Alle 0 und die Dauer auf Dauerhaft festlegen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 173 174 Konfigurieren von ESM Konfigurieren von Ger ten e Eintr ge k nnen tempor r in Minuten Stunden oder Tagen oder dauerhaft hinzugef gt werden Eintr ge unter Ausschl sse m ssen jedoch dauerhaft sein e F r diese Listen ist zwar das IP Adressformat erforderlich aber es ist ein Tool enthalten mit dem die Adressen verst ndlicher gestaltet werden k nnen Wenn Sie eine IP Adresse oder einen Host Namen in das Feld IP Adresse eingegeben haben wird neben diesem Steuerelement abh ngig vom eingegebenen Wert die Schaltfl che Aufl sen oder Suche angezeigt Wenn Sie Aufl sen ausw hlen wird der eingege
541. osync HA Steuerungsskript OPSEC Konfiguration f r 306 50059 Wird nicht verwendet Software Monitor Empf nger Niedrig Empf nger HA Das redundante ESM Ger t ist 306 76 Das redundante ESM Ger t ist Software Monitor ESM Hoch nicht synchronisiert nicht synchronisiert Warnung zur Status nderung 306 50020 Die NFS ELM Bereitstellung Software Monitor ELM Mittel von wurde angehalten oder NFS Remote Bereitstellungspun gestartet kten Warnung zum freien 306 50021 Auf dem Software Monitor ESM Mittel Speicherplatz von Remote Bereitstellungspunkt ist Remote Freigaben Bereitstellu wenig freier Speicherplatz ngspunkten vorhanden Warnung zur Status nderung 306 50019 Der SMB Software Monitor Empf nger Mittel von SMB CIFS Remote Bereitstellungspu CIFS Remote Freigaben nkt wurde angehalten oder gestartet Warnung zur Status nderung 306 50061 Das Risikokorrelationsmodul Software Monitor ACE Mittel der Risikokorrelation wurde angehalten oder gestartet Warnung zum freien 307 50002 In der Stammpartition ist wenig Software Monitor Alle Mittel Speicherplatz in der freier Speicherplatz vorhanden Stammpartition Hinzuf gen einer Regel 306 20 Eine Regel wurde zum System Software Monitor ESM Niedrig hinzugef gt beispielsweise eine ASP Regel Filterregel oder Korrelationsregel L schen einer Regel 306 22 Eine Regel wurde aus dem Software Monitor ESM Niedrig System gel scht McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 245 6 Arbeiten mit
542. ource hinzugef gt oder bearbeitet wird Vom System eingerichtete Tags werden bei jedem Abruf der Ressource aktualisiert wenn sie ge ndert wurden Vom Benutzer eingerichtete Tags werden beim Abruf der Ressource nicht aktualisiert auch dann nicht wenn sie ge ndert wurden Wenn Sie die Tags einer Ressource hinzuf gen oder bearbeiten die Tags jedoch beim Abruf der Ressource vom System aktualisiert werden sollen klicken Sie auf Zur cksetzen Diese Aktion m ssen Sie jedes Mal ausf hren wenn Sie die Tag Einstellungen ndern Die Konfigurationsverwaltung ist Bestandteil von standardm igen Compliance Vorschriften wie beispielsweise PCI HIPPA und SOX Mit dieser Funktion k nnen Sie alle nderungen berwachen die m glicherweise an der Konfiguration von Routern und Switches vorgenommen werden und damit Systemschwachstellen verhindern Auf dem ESM Ger t k nnen Sie mit der Funktion f r die Konfigurationsverwaltung folgende Aufgaben ausf hren e Festlegen der Abfrageh ufigkeit f r Ger te e Ausw hlen der entdeckten Ger te deren Konfiguration berpr ft werden soll e Identifizieren einer abgerufenen Konfigurationsdatei als Standard f r das Ger t e Anzeigen der Konfigurationsdaten Herunterladen der Daten in eine Datei und Vergleichen der Konfigurationsinformationen der beiden Ger te Inhalt Verwalten von Ressourcen Einrichten der Konfigurationsverwaltung Netzwerkerkennung Ressourcenquellen McAfee Enterprise S
543. peichert das hei t die ESM Konsole kennt alle auf dem ESM Ger t verwalteten Schl ssel Daher muss ein Ger teschl ssel nicht importiert werden wenn die Kommunikation zwischen dem ESM Ger t und dem Ger t bereits erfolgreich stattfindet Beispiel Sie erstellen am Montag eine Sicherung der Einstellungen einschlie lich der Ger teschl ssel und legen dann am Dienstag den Schl ssel f r eines der Ger te erneut fest Wenn Sie am Mittwoch feststellen dass Sie die Einstellungen vom Montag wiederherstellen m chten importieren Sie den Schl ssel der am Dienstag nach Abschluss der Wiederherstellung der Einstellungen erstellt wurde Obwohl bei der Wiederherstellung der Ger teschl ssel auf den Stand vom Montag zur ckgesetzt wurde wird auf dem Ger t nur Datenverkehr abgeh rt der mit dem Schl ssel vom Dienstag codiert ist Die Kommunikation mit dem Ger t ist erst nach dem Import des Schl ssels m glich Es wird empfohlen einen Ger teschl ssel nicht auf einem separaten ESM Ger t zu importieren Der Exportschl ssel wird verwendet um ein Ger t im Zusammenhang mit Rollen mit Ger teverwaltungsrechten auf dem verwaltenden ESM Ger t f r das Ger t erneut zu installieren Wenn Sie ein Ger t auf einem zweiten ESM Ger t importieren k nnen verschiedene Ger tefunktionen nicht verwendet werden Dazu geh ren die Richtlinienverwaltung ELM Protokollierung und Verwaltung sowie Einstellungen f r Datenquellen und virtuelle Ger te Ger te Ad
544. pfangen und analysiert wird Die bisherige Alarmbedingung Feld bereinstimmung hei t jetzt Interne Ereignis bereinstimmung Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das System aus Klicken Sie auf das Symbol Eigenschaften und dann auf Alarme 2 Klicken Sie auf Hinzuf gen geben Sie den Alarmnamen ein w hlen Sie den Beauftragten aus und klicken Sie dann auf die Registerkarte Bedingung 3 W hlen Sie im Feld Typ die Option Feld bereinstimmung aus und richten Sie dann die Bedingungen f r den Alarm ein a Ziehen Sie das Symbol UND oder ODER siehe Logische Elemente im Produkthandbuch und legen Sie es an der gew nschten Stelle ab um die Logik f r die Bedingung des Alarms einzurichten b Ziehen Sie das Symbol Komponente vergleichen auf das logische Element legen Sie es ab und f llen Sie dann die Seite Filterfeld hinzuf gen aus c W hlen Sie im Feld Maximale H ufigkeit der Bedingungsausl sung aus wie viel Zeit zwischen den einzelnen Bedingungen verstreichen muss Damit verhindern Sie eine Flut von Benachrichtigungen Jeder Ausl ser enth lt nur das erste Quellereignis das der Ausl sebedingung entspricht nicht jedoch die Ereignisse die innerhalb des Zeitraums f r die Bedingungsausl sung aufgetreten sind Durch neue Ereignisse die der Ausl sebedingung entsprechen wird der Alarm nicht erneut ausgel st
545. platz berschritten ist Beispiel Speicherplatzverwendung 9 von 8 Bytes 72 von 64 Bits Name Wert benutzerdefinierter Typ Wenn Sie den Datentyp Name Wert Gruppe ausw hlen k nnen Sie einen benutzerdefinierten Typ hinzuf gen der eine Gruppe von Name Wert Paaren enth lt die Sie angeben Dann k nnen Sie Ansichten und Abfragen nach diesen Paaren filtern und sie in Feld bereinstimmungsalarmen verwenden Diese Funktion hat unter anderem die folgenden Merkmale e Die Felder f r Name Wert Gruppen m ssen mit einem regul ren Ausdruck gefiltert werden e Die Paare k nnen korreliert werden sodass sie im Editor f r Korrelationsregeln ausgew hlt werden k nnen e Die Werte in dem Paar k nnen nur ber den erweiterten Syslog Parser Advanced Syslog Parser ASP erfasst werden e F r diesen benutzerdefinierten Typ gilt eine maximale Gr e von 512 Zeichen einschlie lich der Namen L ngere Werte werden bei der Erfassung abgeschnitten McAfee empfiehlt die Gr e und Anzahl der Namen zu begrenzen e Die Namen m ssen aus mehr als zwei Zeichen bestehen e Der benutzerdefinierte Typ f r Name Wert kann bis zu 50 Namen enthalten e Jeder Name in der Name Wert Gruppe wird im globalen Filter in der Schreibweise lt Name der Gruppe gt lt Name gt angezeigt Format f r regul re Ausdr cke f r nicht indizierte benutzerdefinierte Typen Verwenden Sie dieses Format f r nicht indizierte und indizierte benutzerdefinierte Typen f r
546. r e gr er als 100 oder 200 ist objectsize gt 100 200 Dies entspricht objectsize gt 100 objectsize gt 200 Messgr enreferenzen f r ADM Regeln Nachfolgend finden Sie Listen mit Messgr enreferenzen f r die ADM Regelausdr cke die beim Hinzuf gen einer ADM Regel auf der Seite Ausdruckskomponente zur Verf gung stehen F r allgemeine Eigenschaften und allgemeine Anomalien werden die Parametertypwerte die Sie jeweils eingeben k nnen in Klammern hinter der Messgr enreferenz gezeigt Allgemeine Eigenschaften McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 151 152 Konfigurieren von ESM Konfigurieren von Ger ten Eigenschaft oder Begriff Beschreibung Protokoll Zahl Anwendungsprotokoll HTTP FTP SMTP Objektinhalt Zeichenfolge Der Inhalt eines Objekts Text in einem Dokument einer E Mail Nachricht oder einer Chat Nachricht Kontext bereinstimmung ist f r Bin rdaten nicht verf gbar Bin robjekte k nnen jedoch mithilfe des Objekttyps objtype entdeckt werden Objekttyp Zahl Gibt den von ADM ermittelten Typ des Inhalts an Office Dokumente Nachrichten Videos Audio Bilder Archive ausf hrbare Dateien Objektgr e Zahl Gr e des Objekts Nach der Zahl k nnen die numerischen Multiplikatoren K M und G hinzugef gt werden 10K 10M 10G Objekt Hash Zeichenfolge Der Hash des Inhalts zurzeit MD5 Quell IP Adresse des Ob
547. r den Unterstrich _ Damit Sie ein Ger t m glichst effizient nutzen k nnen m ssen Sie insbesondere die Variable HOME_NET auf das Heimnetzwerk festlegen das mit dem jeweiligen Ger t gesch tzt wird In dieser Tabelle finden Sie eine Liste mit g ngigen Variablen und den zugeh rigen Standardwerten Variablennamen Beschreibung Standardwert Standardbeschreibung EXTERNAL_NET Jeder au erhalb des gesch tzten HOME_NET Port 80 Netzwerks HOME_NET Lokal gesch tzter Alle Wie HOME_NET Netzwerk Adressbereich 10 0 0 0 80 HTTP_PORTS Web Server Ports 80 oder 80 90 80 Alle Ports mit Ausnahme f r einen Bereich zwischen 80 von HTTP_PORTS und 90 HTTP_SERVERS Adressen von Web Servern HOME_NET Wie HOME_NET 192 168 15 4 oder 192 168 15 4 172 16 61 5 SHELLCODE_PORTS Alles au er Web Server Ports I HTTP_PORTS Wie HOME_NET SMTP Adressen von E Mail Servern HOME_NET Wie HOME_NET SMTP_SERVERS Adressen von E Mail Servern HOME_NET Wie HOME_NET SQL_SERVERS Adressen von HOME_NET Wie HOME_NET SQL Datenbank Servern TELNET_SERVERS Adressen von Telnet Servern HOME_NET Wie HOME_NET Im Lieferumfang des Systems enthaltene Variablen k nnen ge ndert werden Benutzerdefinierte Variablen k nnen hinzugef gt ge ndert oder gel scht werden Sie k nnen benutzerdefinierten Variablen Typen zuweisen Mithilfe von Variablentypen k nnen Sie beim Filtern von Regeln f r die Berichterstellung das Feld bestimme
548. r fen des Hochverf gbarkeitsstatus eines Empf ngers Ermitteln Sie den Status eines HA Empf ngerpaars bevor Sie ein Upgrade durchf hren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das prim re Empf nger HA Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Vergewissern Sie sich in den Feldern Status und Sekund rer Status dass der Status OK HA Status online lautet McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten 3 Greifen Sie ber Secure Shell oder SSH auf die einzelnen HA Empf nger zu und f hren Sie auf beiden Empf ngern ber die Befehlszeilenschnittstelle den Befehl na status aus Aus den daraufhin angezeigten Informationen geht der Status des Empf ngers sowie der vom Empf nger angenommene Status des anderen Empf ngers hervor Die Informationen sehen in etwa so aus OK Hostname McAfeel Modus Prim r McAfeel Online McAfee2 Online sharedIP McAfeel stonith McAfee2 corosync Wird ausgef hrt hi_bit Nein 4 Vergewissern Sie sich oben dass Folgendes zutrifft e Die erste Zeile der Antwort lautet oK e Hostname stimmt mit dem Hostnamen auf der Befehlszeile ohne die Modellnummer des Empf ngers berein e Modus entspricht Prim r wenn der Wert von sharedIP der Hostname dieses Empf ngers ist Anderenfalls lautet der Modus Sekund
549. r t mit Version 8 5 oder h her importieren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Schl sselverwaltung Schl ssel importieren 3 Suchen Sie die gespeicherte Schl sseldatei und w hlen Sie sie aus 4 Klicken Sie auf Hochladen und geben Sie dann das beim Exportieren des Schl ssels festgelegte Kennwort ein Wenn der Schl ssel erfolgreich importiert wurde wird eine Seite mit dem Status angezeigt SSH Schl ssel verwalten Ger te k nnen ber SSH Kommunikationsschl ssel f r Systeme verf gen mit denen sichere Kommunikation m glich sein muss Sie k nnen die Kommunikation mit diesen Systemen anhalten indem Sie den Schl ssel l schen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Verwalten von Ger ten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Schl sselverwaltung und dann auf SSH Schl ssel verwalten Auf der Seite SSH Schl ssel verwalten werden die IDs des ESM Ger ts aufgef hrt mit denen das Ger t kommuniziert 3 Heben Sie die ID hervor und klicken Sie auf L schen um die
550. r t nicht analysiert werden Der ZipZap Pr prozessor bewirkt dass diese Daten vom Web Server in einem unbearbeiteten nicht komprimierten und analysierbaren Format zur ckgegeben werden Wenn Sie diesen Pr prozessor aktivieren erh ht sich die Menge der f r Web Verkehr genutzten Bandbreite McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 335 10 Verwalten von Richtlinien und Regeln Regeltypen und ihre Eigenschaften Typ Beschreibung Zielbasierte Modelliert die eigentlichen Ziele im Netzwerk anstatt lediglich die Protokolle zu IP Defragmentierung modellieren und nach Angriffen innerhalb dieser Protokolle zu suchen Mithilfe der sfxhash Datenstruktur und der verkn pften Listen werden die Daten intern verarbeitet Dadurch wird eine vorhersehbare und deterministische Leistung in allen Umgebungen erm glicht sodass stark fragmentierte Umgebungen leichter verwaltet werden k nnen Normalisierung von Normalisiert Web Anfragen nur zu Entdeckungszwecken auf einheitliche Weise Web Anfragen Der Pr prozessor ist immer aktiviert Sie k nnen jedoch keine nderungen vornehmen Es gibt zwei Arten von Pr prozessoren f r die Normalisierung von Web Anfragen einen f r die Verwendung mit Versionen bis 8 2 X und einen f r Version 8 3 0 und h her Durch diesen Pr prozessor werden die folgenden Angriffe entdeckt e Angriffe mit Web Verzeichnisdurchquerung http Beispiel com Angriff cmd e Doppelt codierte Zeichenfo
551. r t verwalten Au erdem k nnen Sie ausw hlen ob die Einstellungen unter Globale Blacklist f r das Ger t gelten sollen Wenn die Einstellungen f r das Ger t gelten sollen m ssen Sie oben im Editor das Kontrollk stchen Globale Blacklist einschlie en aktivieren Der Bildschirm Blacklist Editor enth lt drei Registerkarten Blockierte Quellen Ermittelt bereinstimmungen mit der Quell IP Adresse des durch das Ger t geleiteten Datenverkehrs e Blockierte Ziele Ermittelt bereinstimmungen mit der Ziel IP Adresse des durch das Ger t geleiteten Datenverkehrs e Ausschl sse Verhindert dass Datenverkehr automatisch zu einer der Blacklists hinzugef gt wird Kritische IP Adressen z B DNS Server und andere Server oder die Arbeitsstationen von Systemadministratoren k nnen zu den Ausschl ssen hinzugef gt werden Dann ist sichergestellt dass diese ungeachtet der von ihnen generierten Ereignisse nie automatisch in die Blacklist aufgenommen werden Sie k nnen Eintr ge sowohl auf der Registerkarte Blockierte Quellen als auch auf der Registerkarte Blockierte Ziele konfigurieren um die Auswirkungen der Blacklist auf einen bestimmten Ziel Port einzuschr nken Hosts k nnen auch manuell zur Blacklist hinzugef gt oder daraus entfernt werden Wenn eine der Registerkarten im Blacklist Editor ausgew hlt ist k nnen Sie einen Eintrag hinzuf gen oder ndern Beim Hinzuf gen eines Eintrags sind unter anderem die Felder IP Adresse P
552. r ten und Routern erfassen von denen Daten Feeds an den Empf nger gesendet werden Empf nger mit Hochverf gbarkeit Empf nger HA k nnen im prim ren und im sekund ren Modus verwendet werden und dabei als Sicherungen f reinander fungieren Der prim re Empf nger A wird kontinuierlich vom sekund ren Empf nger B berwacht und neue Konfigurations oder Richtlinieninformationen werden an beide Ger te gesendet Wenn von Empf nger B festgestellt wird dass auf Empf nger A ein Fehler aufgetreten ist wird die Netzwerkkarte der Datenquelle von Empf nger A vom Netzwerk getrennt und Empf nger B ist nun der prim re Empf nger Er bleibt so lange der prim re Empf nger bis Sie manuell eingreifen um Empf nger A als prim ren Empf nger wiederherzustellen Anzeigen von Streaming Ereignissen In der Streaming Anzeige wird eine Liste der vom ausgew hlten McAfee ePO Ger t McAfee Network Security Manager Ger t Empf nger von der ausgew hlten Datenquelle der ausgew hlten untergeordneten Datenquelle oder dem ausgew hlten Client generierten Ereignisse angezeigt Sie k nnen die Liste filtern und ein Ereignis ausw hlen um es in einer Ansicht anzuzeigen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das anzuzeigende Ger t aus und klicken Sie dann auf der Aktionssymbolleiste auf das Symbol Streaming Ereignisse anzeigen
553. r Regel ab Alle Regeln basieren auf einem Hierarchiesystem in dem jede Regel ihre Verwendung von der jeweils bergeordneten Regel erbt Die Regel mit Ausnahme von Variablenregeln und Pr prozessorregeln wird mit einem Symbol markiert aus dem hervorgeht von welchem Element sie die Verwendung erbt Wenn die Vererbungskette an einer beliebigen Stelle unterhalb der aktuellen Zeile unterbrochen wurde ist das Symbol mit einem Punkt in der linken unteren Ecke versehen Symbol Beschreibung Weist darauf hin dass die Verwendung dieses Elements durch die Einstellung des bergeordneten Elements bestimmt wird F r die meisten Regeln ist standardm ig die Vererbung festgelegt die Verwendung kann jedoch ge ndert werden sl Weist darauf hin dass die Vererbungskette auf dieser Ebene unterbrochen ist und der Wert f r die Vererbung deaktiviert ist 7 Wenn die Vererbungskette unterbrochen ist wird die aktuelle Regelverwendung verwendet McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 331 10 332 Verwalten von Richtlinien und Regeln Regeltypen und ihre Eigenschaften Symbol Beschreibung T Gibt an dass die Vererbung auf dieser Ebene unterbrochen ist Elemente unterhalb dieser Stelle erben keine Einstellungen von weiter oben in der Kette angeordneten Elementen Diese Einstellung ist hilfreich wenn Sie die Verwendung der Standardwerte f r Regeln erzwingen m chten Pa Gibt einen benutzerde
554. r eine erfolgreiche Anmeldung das Tag event_action verwenden und als Standard f r die Aktion den Wert success verwenden Beispiel event_action 8 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Tag Beschreibung firsttime_fmt Wird verwendet um das erste Auftreten des Ereignisses festzulegen Weitere Informationen finden Sie in der Liste der Formate Jasttime_fmt Wird verwendet um das letzte Auftreten des Ereignisses festzulegen Weitere Informationen finden Sie in der Liste der Formate Sie k nnen dies mit setparm oder var verwenden var firsttime 1 1 oder setparm lasttime 1 Beispiel alert any any any gt any any msg SSH Login Attempt content content firsttime_fmt Y m dT H M S f lasttime_fmt Y m dT H M S f pcre PCRE goes here raw setparm firsttime 1 setparm lasttime 1 adsid 190 rev 1 Weitere Details zu unterst tzten aktuellen Formaten finden Sie unter http pubs opengroup org onlinepubs 009695399 functions strptime html Y Y d om KH M S m d Y Y H Y M S b Y d Y Y H Y M S b Y d Y Y Y H Y M S b Y d H Y M S Y b Y d H Y M S Y b Y d H Y M S b Y d H M S Y Y H M S Y H M S m d Y H M S H M S Y entspricht einem vierstelligen Jahr m entspricht der Nummer des Monats 1 12 d entspricht dem
555. r stellt den Ausgangspunkt f r die Verwaltung der Einstellungen f r alle Datenbank Server f r das DEM Ger t dar Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option DEM Eigenschaften aus und klicken Sie dann auf Datenbank Server 2 W hlen Sie eine der verf gbaren Optionen aus 3 Klicken Sie auf OK Verwalten von Benachrichtigungen f r die Datenbankerkennung DEM verf gt ber eine Funktion f r die Datenbankerkennung mit der Sie eine Ausnahmeliste der nicht berwachten Datenbank Server erhalten Auf diese Weise kann ein Sicherheitsadministrator zur Umgebung hinzugef gte neue Datenbank Server erkennen sowie verbotene Listener Ports die ge ffnet wurden um auf Daten aus Datenbanken zuzugreifen Wenn diese Funktion aktiviert ist erhalten Sie eine Warnbenachrichtigung die in der Ansicht Ereignisanalyse angezeigt wird Dann k nnen Sie ausw hlen ob der Server zu den im System berwachten Servern hinzugef gt werden soll McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option DEM Eigenschaften aus und klicken Sie dann auf Datenbank Server Aktivieren Wenn die Option aktiviert ist werden Si
556. rchestrator zum lokalen Netzwerk geh rt k nnen Sie die Benutzeroberfl che von ePolicy Orchestrator ber das ESM Ger t starten Bevor Sie beginnen F gen Sie ein ePolicy Orchestrator Ger t oder eine Datenquelle zum ESM Ger t hinzu 7 Diese Funktion ist in ePolicy Orchestrator 4 6 und h her verf gbar Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur eine Ansicht aus 2 W hlen Sie in einer Balkendiagramm Listendiagramm Kreisdiagramm oder Tabellenkomponente von der Daten zu Quell und Ziel IPs zur ckgegeben werden ein Ergebnis aus 3 H Klicken Sie im Men k der Komponente auf Aktion ePO starten e Wenn sich im System nur ein ePolicy Orchestrator Ger t oder nur eine Datenquelle befindet und Sie in Schritt 1 eine Quell oder Ziel IP ausgew hlt haben wird ePolicy Orchestrator gestartet e Wenn im System mehrere ePolicy Orchestrator Ger te oder Datenquellen vorhanden sind w hlen Sie das Ger t oder die Datenquelle aus auf das bzw auf die Sie zugreifen m chten Daraufhin wird ePolicy Orchestrator gestartet e Wenn Sie in Schritt 1 ein Ereignis oder einen Fluss in einer Tabellenkomponente ausgew hlt haben w hlen Sie aus ob Sie auf die Quell oder Ziel IP Adresse zugreifen m chten Daraufhin wird ePolicy Orchestrator gestartet 164 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch
557. rd ge ffnet wenn ein Alarm ausgel st wird Seite Details Wird ge ffnet wenn Sie auf das Symbol Details ren im Protokollbereich Alarme klicken 2 F hren Sie einen oder mehrere der folgenden Schritte aus Aufgabe Vorgehensweise Best tigen eines Alarms E Klicken Sie auf das Symbol Best tigen E Aufheben der Best tigung eines pd Alarms Klicken Sie auf das Symbol Best tigung aufgehoben L schen eines Alarms amp Klicken Sie auf das Symbol L schen Anzeigen von Alarmdetails Klicken Sie im Protokollbereich Alarme oder in einer visuellen Pop Up Warnung auf das Symbol Details ren ndern des Beauftragten Klicken Sie auf der Seite Details auf Beauftragter und w hlen Sie einen Namen aus Erstellen eines Falls aus einem Klicken Sie auf der Seite Details auf Fall erstellen Alarm Aufgaben e Anzeigen der Warteschlange f r Alarmberichte auf Seite 250 Wenn Sie f r einen Alarm die Aktion Berichte generieren ausgew hlt haben k nnen Sie nderungen an den auf die Ausf hrung wartenden Berichten vornehmen und die abgeschlossenen Berichte anzeigen e Verwalten von Alarmberichtsdateien auf Seite 251 Wenn ein Alarmbericht ausgef hrt wurde wird er der Liste der verf gbaren Berichte in ESM hinzugef gt Sie k nnen diese Liste anzeigen und verschiedene Aktionen ausf hren Siehe auch Hinzuf gen eines Falls auf Seite 311 Anzeigen der Warteschlange f r Alarmberichte Wenn Sie f r einen
558. rden kann Eine Null 0 im Feld bedeutet dass keine Maske verwendet wird Standardwert 0 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 91 92 Konfigurieren von ESM Konfigurieren von Ger ten Tabelle 3 11 nfxsql Felder ab Spalte CM Spalte Beschreibung Details nfxsql_port Der Standard h ngt vom Anbieter und Modell ab Standardwert Anbieter Modell 9117 Enterasys Dragon Sensor oder Networks Dragon Squire 1433 IBM ISS Real Secure Desktop Protector oder ISS Real Secure Network oder ISS Real Secure Server Sensor 1433 McAfee ePolicy Orchestrator oder ePolicy Orchestrator Firewall oder ePolicy Orchestrator Host IPS 3306 Symantec Symantec Mail Security for SMTP 1433 Websense Websense Enterprise 1433 Microsoft Operations Manager 1433 NetIQ NetIQ Security Manager 1433 Trend Micro Control Manager 1433 Zone Labs Integrity Server 1433 Cisco Security Agent 1127 Sophos Sophos Antivirus 1433 Symantec Symantec Antivirus Corporate Edition Server 443 alle anderen nfxsql_userid Erforderlich nfxsql_password Erforderlich nfxsql_dbname Datenbankname Optional Standardwert leer nfxsql_splevel Service Pack Ebene Wird verwendet wenn Vendor auf IBM und Model auf ISS Real Secure Desktop Protector ISS Real Secure Network oder ISS Real Secure Server Sensor festgelegt ist Standardwert SP4 nfxsql_version Optional e Der Standardwert ist 9i wenn Vendor auf
559. rdnete Datenquellen Hinzuf gen 82 Unterst tzte Datenquellen 100 Unterst tzung f r Syslog Relay 114 Untersuchen umliegender Ereignisse auf bereinstimmende Felder in Ereignissen 294 Upgrade Empf nger HA 70 Prim res und redundantes ESM Ger t 216 URL Link Hinzuf gen von Ger teinformationen 47 URL Links Hinzuf gen zu Ger t 56 V VA Abruf Fehlerbehebung 78 VA Daten Abrufen 77 VA Daten Integrieren 76 VA Quelle Hinzuf gen 77 VA Systemprofil Definieren 77 Variablen 332 ndern 333 ndern des Typs 333 Benutzerdefiniert Hinzuf gen 333 Importieren 333 Kategorie Hinzuf gen neu 333 L schen benutzerdefiniert 333 priority_traffic 375 Verbindungen ndern mit ESM 48 Einrichten von McAfee Vulnerability Manager 175 Verfolgen eines Ereignisses 312 Vergleichen von Regeldateien 370 Vergleichen von Werten in Verteilungsdiagrammen 293 Verkn pfen von Komponenten 292 Verlauf Anzeigen von nderungen f r Regeln 370 Richtlinien nderung 375 Verringern der ELM Speicherzuordnung 125 Verschieben eines Speicherpools 125 Verschieben von Datenquellen auf ein anderes System 97 Verschleierung 213 Version Anzeigen Software 47 Verteiltes ESM Ger t Eigenschaften 163 Produkthandbuch Verteiltes ESM Ger t Fortsetzung Hinzuf gen von Filtern 163 Verteilungsdiagramm Vergleichen von Werten 293 Verwaltungsdatenbank Wiederherstellen ELM 133 Verweisen auf ADM W rterbuch 146 Virtuelle Ger te 51 Auswahlregeln Verwalt
560. re Eigenschaften Aufgabe Vorgehensweise Legen Sie den Typ des Filters fest durch den die relevanten Ereignisse identifiziert werden in diesem Fall mehrere fehlgeschlagene 1 Ziehen Sie das Symbol Filter Y auf das logische Element AND und legen Sie es dort ab Klicken Sie auf der Seite Filterfeldkomponente auf Hinzuf gen Anmeldeversuche bei 3 W hlen Sie Folgendes aus Normalisierungsregel Inaus und w hlen Sie einem Windows System dann Folgendes aus e Normalisierung e Authentication e Anmeldung e Host Anmeldung e Mehrere fehlgeschlagene Anmeldeversuche bei einem Windows Host 4 Klicken Sie auf OK Legen Sie fest wie oft und 1 Ziehen Sie das logische Element AND in die Leiste Filter und legen Sie in welchem Zeitraum die es dort ab fehlgeschlagene AniMe Ung eS Das Element AND wird verwendet da f nf getrennte Versuche auftreten m ssen Mit dem Element k nnen Sie festlegen wie oft und in welchem Zeitraum die Versuche auftreten m ssen Klicken Sie auf das Symbol Men f r das gerade hinzugef gte Element AND und dann auf Bearbeiten 3 Geben Sie in das Feld Schwellenwert den Wert 5 ein und entfernen Sie andere vorhandene Werte 4 Legen Sie das Zeitfenster auf 5 fest 5 Klicken Sie auf OK Definieren Sie den zweiten 1 Ziehen Sie das Symbol Filter in das untere Ende der eckigen Klammer Filtertyp der auftreten des ersten logischen Elements AND und legen Sie es dort ab muss die erfolgreiche An
561. reaming Ereignisse Anzeigen 63 NTP Server Anzeigen des Status 180 Einrichten f r Ger t 43 179 O Operatoren f r ADM Regeln 146 P Parameter Hinzuf gen zu Korrelationsregel oder komponente 355 Partitionen Einrichten Inaktiv Archiv 197 Passphrase und Zertifikat Abrufen McAfee Vulnerability Manager 175 PDF Dateien Einschlie en eines Bilds 265 Ping Einstellungen f r Netzwerkerkennung 321 Ports Empf nger HA Netzwerk 66 Pr prozessorregeln 335 336 Prim res ESM Ger t Upgrade 216 Profil f r Remote Befehl Konfigurieren 188 Profile Konfigurieren 188 Protokoll Anomalieereignisse 140 Protokollanomalien TCP 334 Protokolldaten Wiederherstellen ELM 133 Protokolle Beschreibung 253 Einrichten von Downloads 48 254 Festlegen der Sprache 25 214 Typen Generieren 213 Produkthandbuch 385 Index Protokolle Fortsetzung berpr fen auf 255 Verwalten 212 Protokolle Speichern ELM 123 Protokollierung Abmelden Konsole 21 Aktivieren Fluss 273 Anzeigen System oder Ger t 57 Einrichten von ESM 214 Festlegen des Standardpools 44 Konsole erstes Mal 21 Protokollspezifische Eigenschaften f r ADM Regeln 153 Q Quartalsberichte Festlegen des Startmonats 264 Quell IP Adressen Anzeigen des Host Namens in Bericht 266 Quellen Hinzuf gen von Datenanreicherung 220 Quellereignisse Einschlie en in Korrelationsalarm 235 Quellereignisse Anzeigen f r Korrelationsereignis 73 R RADIUS Anmeldung Authen
562. reignisaggregation verzerrt e Wenn Sie den Risiko Manager wieder in die Risikokorrelation in Echtzeit verschieben m ssen Sie die Schwellenwerte optimieren F hren Sie die folgenden Schritte zum Einrichten und Ausf hren der historischen Korrelation aus 1 F gen Sie einen Filter f r historische Korrelation hinzu 2 F hren Sie eine historische Korrelation aus 3 Laden Sie die korrelierten historischen Ereignisse herunter und zeigen Sie sie an Hinzuf gen und Ausf hren einer historischen Korrelation Richten Sie zum Korrelieren vergangener Ereignisse einen Filter f r historische Korrelation ein und f hren Sie dann die Korrelation aus Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ACE Eigenschaften aus und klicken Sie dann auf Historisch 2 Klicken Sie auf Hinzuf gen geben Sie die erforderlichen Informationen ein und klicken Sie dann auf OK 3 W hlen Sie Historische Korrelation aktivieren aus und klicken Sie dann auf Anwenden Die Echtzeitkorrelation wird angehalten bis Sie die historische Korrelation deaktivieren 4 W hlen Sie die auszuf hrenden Filter aus und klicken Sie dann auf Jetzt ausf hren Die Ereignisse werden von ESM berpr ft die Filter werden angewendet und die entsprechenden Ereignisse werden in Paketen zusammengefasst Herunterladen und Anzeigen der Ereignisse der historischen Ko
563. ren verf gbar Ereignisse anzeigen oder Fl sse anzeigen Zeigen Sie die von einem Fluss generierten Ereignisse oder die von einem Ereignis generierten Fl sse an Exportieren Exportieren Sie eine Ansichtskomponente im PDF Format Textformat CSV oder HTML Format siehe Exportieren einer Komponente L schen L schen Sie Ereignisse oder Fl sse aus der Datenbank Sie m ssen einer Gruppe mit Ereignisberechtigungen angeh ren und k nnen nur die zurzeit ausgew hlten Datens tze die aktuelle Seite mit Daten oder eine maximale Anzahl von Seiten ab Seite 1 l schen Als berpr ft markieren Kennzeichnen Sie Ereignisse als berpr ft Sie k nnen alle Datens tze im Ergebnissatz die aktuelle Seite oder ausgew hlte Datens tze markieren McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Arbeiten mit ESM Ansichten Option Beschreibung Benutzerdefinierte Firewall Regel Erstellen Sie eine benutzerdefinierte Firewall Regel die auf den erstellen Eigenschaften des ausgew hlten Ereignisses oder Flusses basiert Wenn Sie auf Benutzerdefinierte Firewall Regel erstellen klicken wird die Seite Neue Regel ge ffnet siehe Hinzuf gen benutzerdefinierter ADM Regeln Datenbankregeln oder Korrelationsregeln Benutzerdefinierte Regel erstellen Erstellen Sie eine benutzerdefinierte Regel und verwenden Sie dabei als Ausgangspunkt die Signatur von der eine bestimmte Warnung
564. reten konkreter Bedrohungssituationen k nnen Sie sofort reagieren indem Sie die entsprechenden Inhaltspakete vom Regel Server importieren und installieren Inhaltspakete enthalten auf Verwendungsszenarien abgestimmte Korrelationsregeln Alarme Ansichten Berichte Variablen und Watchlists f r die Behandlung bestimmter Malware Aktivit ten oder Bedrohungsaktivit ten Mithilfe von Inhaltspaketen k nnen Sie auf Bedrohungen reagieren ohne Zeit damit zu verlieren Tools von Grund auf zu erstellen Importieren von Inhaltspaketen McAfee erstellt auf Verwendungsszenarien abgestimmte Inhaltspakete mit Korrelationsregeln Alarmen Ansichten Berichten Variablen oder Watchlists f r die Behandlung bestimmter Malware Aktivit ten Bevor Sie beginnen Vergewissern Sie sich dass Sie ber die folgenden Berechtigungen verf gen e Systemverwaltung e Benutzerverwaltung Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 berpr fen auf Regelaktualisierungen auf Seite 24 Online Benutzer erhalten verf gbare Inhaltspakete automatisch im Rahmen von Regelaktualisierungen Offline Benutzer m ssen einzelne Inhaltspakete manuell von der Hosting Site f r Regeln herunterladen 2 Klicken Sie in der Systemnavigationsstruktur auf Systemeigenschaften 3 Klicken Sie auf Inhaltspakete 4 Zum Importieren und Installieren eines neuen Inhaltspakets klicken Sie auf Durchsuchen Bei d
565. retisch tausendfach generiert werden Sie m ssen nicht Tausende identischer Ereignisse durchgehen sondern k nnen mithilfe der Aggregation diese Ereignisse als ein einziges Ereignis bzw einen einzigen Fluss anzeigen Dabei gibt ein Z hler an wie oft ein Ereignis aufgetreten ist Bei der Aggregation wird der Speicherplatz sowohl auf dem Ger t als auch in ESM effizienter genutzt da nicht jedes einzelne Paket gespeichert werden muss Diese Funktion gilt nur f r Regeln f r die im Richtlinien Editor die Aggregation aktiviert ist Quell IP Adresse und Ziel IP Adresse Die nicht festgelegten Werte oder aggregierten Werte f r Quell IP Adresse und Ziel IP Adresse werden in allen Ergebniss tzen als anstelle von 0 0 0 0 angezeigt Beispiel e ffff 10 0 12 7 wird als 0 0 0 0 0 FFFF A00 C07 eingef gt A00 C07 entspricht 10 0 12 7 e 0000 10 0 12 7 entspricht 10 0 12 7 Aggregierte Ereignisse und Fl sse In aggregierten Ereignissen und Fl ssen wird mit den Feldern Erstes Mal Letztes Mal und Insgesamt die Dauer und Menge der Aggregation angegeben Beispiel Ein Ereignis ist in den ersten zehn Minuten nach 12 00 Uhr 30 Mal aufgetreten Das Feld Erstes Mal enth lt die Uhrzeit 12 00 Uhr den Zeitpunkt der ersten Instanz des Ereignisses das Feld Letztes Mal enth lt die Uhrzeit 12 10 Uhr den Zeitpunkt der letzten Instanz des Ereignisses und das Feld Insgesamt enth lt den Wert 30 Sie k nnen die Standardeinstellungen f r Erei
566. rgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Anmeldesicherheit 2 Legen Sie die Optionen auf der Registerkarte Standard fest 3 Klicken Sie auf OK oder auf Anwenden Definieren der Einstellungen f r das Anmeldekennwort Sie k nnen f r das Systemanmeldekennwort verschiedene Einstellungen definieren Bevor Sie beginnen Sie m ssen ber Systemadministratorrechte verf gen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Anmeldesicherheit 2 Klicken Sie auf die Registerkarte Kennw rter nehmen Sie eine Auswahl vor und klicken Sie dann auf Anwenden oder OK Konfigurieren von Einstellungen f r die RADIUS Authentifizierung Konfigurieren Sie das ESM Ger t f r die Authentifizierung von Benutzern gegen ber einem RADIUS Server Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Anmeldesicherheit 2 W hlen Sie die Registerkarte RADIUS aus und f llen Sie dann die Felder f r den prim ren Server aus Ein sekund rer Server
567. richten enthaltenen Informationen zu definieren und sie so gestalten dass sie die f r den Empf nger n tzlichsten Informationen enthalten Anschlie end k nnen Sie die Vorlage ausw hlen wenn Sie die Aktion f r einen Alarm definieren Sie k nnen Vorlagen hinzuf gen um die in den Nachrichten enthaltenen Informationen zu definieren und sie so gestalten dass sie die f r den Empf nger n tzlichsten Informationen enthalten Anschlie end k nnen Sie die Vorlage ausw hlen wenn Sie die Aktion f r einen Alarm definieren McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Alarmen 6 Verwalten von Audiodateien f r Alarme Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Alarme 2 Klicken Sie auf die Registerkarte Einstellungen und dann auf Vorlagen 3 Zeigen Sie die Liste der vorhandenen Vorlagen an oder w hlen Sie eine der verf gbaren Optionen aus Klicken Sie dann auf OK Verwalten von Audiodateien f r Alarme Sie k nnen Audiodateien hochladen und herunterladen um sie f r Audiowarnungen zu verwenden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Alarme 2 Klicken Si
568. riff hinweisen wird durch DEM eine Warnung generiert Au erdem werden alle Transaktionen zu Compliance Zwecken protokolliert Sie k nnen mit DEM Datenbank berwachungsregeln ber die gleiche Benutzeroberfl che verwalten bearbeiten und anpassen die Sie zu Analyse und Berichterstellungszwecken verwenden Auf diese Weise k nnen Sie leicht bestimmte Datenbank berwachungsprofile anpassen welche Regeln erzwungen werden welche Transaktionen protokolliert werden und so die Anzahl der False Positives reduzieren und die allgemeine Sicherheit verbessern Die Interaktionen der Benutzer und Anwendungen mit den Datenbanken werden ohne St rungen in DEM berwacht Dazu werden Netzwerkpakete hnlich wie bei Systemen zur Erkennung von Eindringungsversuchen berwacht Stellen Sie sicher dass Sie alle Aktivit ten auf Datenbank Servern ber das Netzwerk berwachen k nnen indem Sie die anf ngliche DEM Bereitstellung mit den Teams aus den Bereichen Netzwerk Sicherheit Compliance und Datenbanken koordinieren Die Netzwerkteams k nnen Span Ports an Switches Netzwerk Taps oder Hubs verwenden um den Datenbankverkehr zu replizieren So k nnen Sie den Datenverkehr auf den Datenbank Servern abh ren oder berwachen und ein Audit Protokoll erstellen Informationen zu den unterst tzten Datenbank Server Plattformen und Versionen finden Sie auf der McAfee Website McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 155 156 Konfigurieren v
569. rity Manager 9 5 0 Produkthandbuch 4 Erste Schritte 2 Informationen zum FIPS Modus Klicken Sie auf der Seite FIPS aktivieren auf Ja In der Warnung zu FIPS aktivieren werden Sie aufgefordert zu best tigen dass Sie das System dauerhaft im FIPS Modus betreiben m chten Klicken Sie auf Ja um die Auswahl zu best tigen berpr fen der FIPS Integrit t Wenn Sie im FIPS Modus arbeiten muss die Integrit t der Software gem FIPS 140 2 regelm ig getestet werden Diese Tests m ssen Sie auf dem System und auf jedem einzelnen Ger t ausf hren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und vergewissern Sie sich dass Systeminformationen ausgew hlt ist 2 F hren Sie eine oder mehrere der folgenden Aktionen aus Feld Vorgehensweise FIPS Status Zeigen Sie die Ergebnisse des letzten auf dem ESM Ger t ausgef hrten FIPS Selbsttests an Test oder F hren Sie die FIPS Selbsttests aus Dabei wird die Integrit t der Algorithmen getestet die in der FIPS Selbsttest ausf hrbaren Datei f r die Kryptografie verwendet werden Die Ergebnisse k nnen Sie im Nachrichtenprotokoll anzeigen Wenn der FIPS Selbsttest fehlschl gt ist FIPS kompromittiert oder es liegt ein Ger tefehler vor Wenden Sie sich an den McAfee Support Ansicht oder ffnen Sie die Seite FIPS Identit t
570. rnung zur Status nderung 306 50009 Die Firewall Aggregation auf Software Monitor IPS ADM Mittel der dem IPS und oder ADM Ger t IPS Firewall Warnungsaggregation wurde angehalten oder gestartet Trennen der Flusspartition 306 5 Die Flusspartition wurde Software Monitor ESM Niedrig getrennt Fehler beim Abrufen der 306 52 Das Abrufen der VA Daten Software Monitor ESM Mittel VA Daten durch ESM ist fehlgeschlagen Erfolg beim Abrufen der 306 51 Die VA Daten wurden von ESM Software Monitor ESM Niedrig VA Daten abgerufen Interne Warnung zur 306 50027 Der Software Monitor Alle Mittel Integrit ts berwachung Integrit ts berwachungsprozess wurde angehalten oder gestartet Warnung zur Status nderung 306 50039 Die HTTP Erfassung wurde Software Monitor Empf nger Mittel der HTTP Erfassung angehalten oder gestartet nderung der 306 8 Die Indizierungseinstellungen Software Monitor ESM Mittel Indizierungskonfiguration f r ESM wurden ge ndert Ung ltiger SSH Schl ssel 306 50075 Bei der Kommunikation mit ELM Software Monitor Alle Hoch sind Ger teprobleme aufgetreten beispielsweise unterschiedliche Versionen ge nderte Schl ssel Warnung zur Status nderung 306 50055 Die IPFIX Erfassung Fluss Software Monitor Empf nger Mittel der IPFIX Erfassung wurde angehalten oder gestartet Benutzeranmeldung des 306 39 UCAPL Ereignis Anmeldung des Software Monitor ESM Niedrig Schl ssel und Kryptografie Administrators Zertifikat Administrators McAfee Ente
571. rotokolldaten Wiederherstellen 133 Schnellere Suchvorg nge Erm glichen 134 Sichern 133 Speichern von Protokollen 123 Speicherpool Hinzuf gen oder Bearbeiten 125 Speicherverwendung Anzeigen 134 Speicherzuordnung Verringern 125 Spiegeln des Datenspeichers 126 Suchansicht 274 Suchauftrag 135 Suchauftrag Anzeigen der Ergebnisse 132 Suchauftrag Erstellen 136 Suche Erweitert 275 Synchronisieren mit Ger t 44 Verschieben eines Speicherpools 125 Verwaltungsdatenbank Wiederherstellen 133 Vorbereiten zum Speicherung von Daten 121 Wiederherstellen 133 Zusammenfassung 12 62 ELM Einstellungen 120 ELM Redundanz Anhalten der Kommunikation mit dem ELM Standby Ger t Anzeigen von Details der Datensynchronisierung 130 Deaktivieren der Redundanz 130 Wechseln von ELM Ger ten 130 Wiederinbetriebnehmen des ELM Standby Ger ts 130 ELM Speicher Sch tzen des Bedarfs 120 Empf nger Archiveinstellungen Definieren 73 Archivieren von Rohdaten 72 Datenquellen 74 Hinzuf gen 179 Konfigurieren von Einstellungen 63 Ressourcenquelle Hinzuf gen 119 Ressourcenquellen 119 Streaming Ereignisse Anzeigen 63 Verwalten von Alarmen 249 Empf nger mit Fehlern Ersetzen 72 Empf nger mit Hochverf gbarkeit 63 Empf nger HA 63 Einrichten von Ger ten 67 Erneutes Initialisieren des sekund ren Ger ts 68 Ersetzen eines Empf ngers mit Fehlern 72 Fehlerbehebung Fehler 72 Netzwerk Ports 66 berpr fen des Status 70 Upgrade 70 McAfee Enterprise Security M
572. rpr fen der FIPS Integrit t Hinzuf gen eines Ger ts mit festgelegtem Schl ssel im FIPS Modus Fehlerbehebung f r den FIPS Modus McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 13 14 Erste Schritte Informationen zum FIPS Modus Informationen zum FIPS Modus Aufgrund von FIPS Vorschriften sind einige ESM Funktionen nicht verf gbar einige sind nicht konform und einige sind nur im FIPS Modus verf gbar Diese hier aufgef hrten Funktionen sind berall im Dokument mit Hinweisen versehen Status der Beschreibung Funktion Entfernte Empf nger mit Hochverf gbarkeit Funktionen e GUI Terminal e M glichkeit zum Kommunizieren mit dem Ger t ber das SSH Protokoll e In der Ger tekonsole wird die Root Shell durch ein Men f r die Ger teverwaltung ersetzt Funktionen de e Es gibt vier Benutzerrollen ohne berschneidung Benutzer Power User nur im Audit Administrator und Administrator f r Schl ssel und Zertifikate FIPS Modus verf gbar sind e Alle Seiten mit dem Titel Eigenschaften enthalten die Option Selbsttest mit der Sie sich vergewissern k nnen dass das System erfolgreich im FIPS Modus betrieben wird e Bei Auftreten eines FIPS Fehlers wird als Hinweis in der Systemnavigationsstruktur eine Statuskennzeichnung hinzugef gt e Alle Seiten mit dem Titel Eigenschaften enthalten die Option Ansicht Wenn Sie auf diese Option klicken wird die Seite FIPS Identit ts Token ge ffnet Auf d
573. rprise Security Manager 9 5 0 Produkthandbuch 243 Arbeiten mit Alarmen Erstellen eines Alarms Regelname Signatur ID Beschreibung Typ Ger t Schweregra Die Protokollpartition wurde 306 34 Die ltesten Partitionen f r de Software Monitor ESM Niedrig bereinigt Protokolltabelle der Datenbank wurden bereinigt Warnung zum freien 306 50004 In der Protokollpartition var Software Monitor Alle Mittel Speicherplatz in der ist wenig freier Speicherplatz Protokollpartition vorhanden Warnung zur Status nderung 306 50010 Die Datenbank wurde Software Monitor Alle Mittel des angehalten oder gestartet McAfee EDB Datenbank Servers Warnung zur McAfee 306 50069 Die McAfee ePO Erfassung Software Monitor Empf nger Mittel ePO Erfassung wurde angehalten oder gestartet Warnung zur Status nderung 306 50031 Die Erfassung des Software Monitor Empf nger Mittel des McAfee Ereignisformats McAfee Ereignisformats wurde angehalten oder gestartet Kommunikationsfehler beim 306 26 Die Kommunikation zwischen Software Monitor ESM Hoch McAfee SIEM Ger t ESM und einem anderen Ger t ist nicht m glich Warnung zu Microsoft Forefront 306 50068 Die Forefront Threat Software Monitor Empf nger Mittel Threat Management Gateway Management Gateway Erfassung wurde angehalten oder gestartet Warnung zur Status nderung 306 50035 Die MS SQL Erfassung wurde Software Monitor Empf nger Mittel des MS SQL Abrufs a
574. rrelation Wenn Sie die historische Korrelation ausgef hrt haben k nnen Sie die dabei generierten Ereignisse herunterladen und anzeigen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 139 140 Konfigurieren von ESM Konfigurieren von Ger ten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option ACE Eigenschaften aus und klicken Sie dann auf Ereignisse und Protokolle Ereignisse abrufen Die Ereignisse die sich beim Ausf hren der historischen Korrelation ergeben haben werden in ESM heruntergeladen 2 Schlie en Sie ACE Eigenschaften 3 So zeigen Sie die Daten an a W hlen Sie in der Systemnavigationsstruktur das ACE Ger t aus f r das Sie die historischen Daten abgerufen haben b W hlen Sie auf der Ansichtssymbolleiste in der Dropdown Liste f r Zeitr ume den Zeitraum aus den Sie beim Einrichten der Abfrage angegeben haben Die Ergebnisse der Abfrage werden im Ansichtsbereich angezeigt Einstellungen f r Application Data Monitor ADM Mit McAfee Application Data Monitor ADM wird die gesamte Verwendung vertraulicher Daten im Netzwerk verfolgt Dabei werden die zugrunde liegenden Protokolle die Sitzungsintegrit t und der Anwendungsinhalt analysiert Wenn eine Verletzung in ADM erkannt wird bleiben alle Details der jeweiligen Anwendungssitzung erhalten und k nnen bei Reaktionen auf Vorf
575. rringern ELM 125 Spiegelger t Deaktivieren ELM 127 Spiegeln des ELM Datenspeichers 126 Sprache Festlegen f r Ereignisprotokolle 25 214 SSH Erneutes Generieren des Schl ssels 215 Kommunikation Deaktivieren mit ESM 48 Kommunikationsschl ssel Verwalten f r Ger te 38 Standardansicht ndern 295 Standardanzeigetyp ndern 30 200 Standardm iger Protokollierungspool Festlegen 44 Standardregeln Zugreifen 172 Starten ePolicy Orchestrator 287 ePolicy Orchestrator ber ESM 164 Starten mehrerer Ger te 56 Starten von Ger ten 47 Statische Routen Hinzuf gen 41 182 Statistik Anzeigen f r Ger t 45 Status Empf nger HA 70 Ger te Anzeigen Richtlinienaktualisierung 362 Inaktiv 57 Status des Ger ts Herunterladen von Daten 45 Status f r F lle Hinzuf gen 313 Steuerung des Netzwerkverkehrs ESM 184 Ger te 40 Streaming Ereignisse f r Empf nger NSM ePO 63 Suchauftrag 135 Suchauftrag Anzeigen der Ergebnisse 132 Suchauftrag Erstellen 136 Suche Erweitert ELM 275 Suchvorg nge Erm glichen schneller ELM 134 Synchronisieren der Systemzeit 186 187 Synchronisieren des Ger ts mit ESM 43 Produkthandbuch 387 Index Synchronisieren von Ger ten Uhren 187 Systemeinstellungen Sichern 206 Speichern auf redundantem ESM Ger t 209 Wiederherstellen 206 Systemnavigation Leiste 29 Struktur 29 Systemnavigationsstruktur Anordnen von Ger ten 39 Diagramm 33 Systemprotokoll Anzeigen 57 Systemuhr 177 T T
576. rt sind Die folgende Tabelle enth lt alle verf gbaren Elemente Option Beschreibung Aufgliedern Ereignis Fluss Ressource Zeigen Sie weitere Details f r den in den Aufgliederungslisten ausgew hlten Datentyp an Die Details werden in einer neuen Ansicht angezeigt Zusammenfassen oder Zusammenfassen nach Zeigen Sie weitere Ereignis oder Flussdaten an die teilweise die gleichen Merkmale aufweisen wie die ausgew hlten Ereignisse Wenn Sie beispielsweise ein Port Scan Ereignis auf dem Analysebildschirm anzeigen und weitere vom gleichen Angreifer generierte Ereignisse sehen m chten klicken Sie auf das Ereignis w hlen Sie Zusammenfassen nach aus und klicken Sie dann auf Quell IP Aggregationseinstellungen ndern Erstellen Sie f r eine einzelne Regel eine Ausnahme von den allgemeinen Aggregationseinstellungen siehe Hinzuf gen von Ausnahmen f r Einstellungen f r die Ereignisaggregation Neue Watchlist erstellen W hlen Sie in einer Ansicht Ereignisse aus und f gen Sie sie zu einer neuen Watchlist hinzu siehe Watchlists An berwachungsliste anf gen w hlen Sie in einer Ansicht Ereignisse aus und f gen Sie sie zu einer vorhandenen berwachungsliste hinzu Neuen Alarm erstellen Aktionen W hlen Sie in einer Ansicht Ereignisse aus und erstellen Sie einen Alarm der auf den Werten der Ereignisse basiert siehe Erstellen eines Alarms MVM Scan ausf hren Initiier
577. rten Anzeigetyp L schen einer Gruppe oder eines Ger ts L schen doppelter Ger te in der Systemnavigationsstruktur Hinzuf gen von Ger ten zur ESM Konsole Wenn Sie physische und virtuelle Ger te eingerichtet und installiert haben m ssen Sie diese zur ESM Konsole hinzuf gen Bevor Sie beginnen Richten Sie die Ger te ein und installieren Sie sie siehe McAfee Enterprise Security Manager Installationshandbuch Vorgehensweise 1 Klicken Sie in der Systemnavigationsstruktur auf Lokales ESM Ger t oder auf eine Gruppe 2 Klicken Sie auf der Aktionssymbolleiste auf das Symbol Ger t hinzuf gen El 3 W hlen Sie den Typ des hinzuzuf genden Ger ts aus und klicken Sie dann auf Weiter 4 Gegeben Sie im Feld Ger tename einen in der Gruppe eindeutigen Namen ein und klicken Sie dann auf Weiter McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 25 26 Erste Schritte Verbinden von Ger ten 5 Geben Sie die erforderlichen Informationen ein e F r McAfee ePO Ger te W hlen Sie einen Empf nger aus geben Sie die erforderlichen Anmeldeinformationen f r die Anmeldung bei der Web Oberfl che ein und klicken Sie dann auf Weiter Geben Sie die Einstellungen ein die f r die Kommunikation mit der Datenbank verwendet werden sollen W hlen Sie Benutzerauthentifizierung erforderlich aus um den Zugriff auf die Benutzer zu begrenzen die ber den Benutzernamen und das Kennwort f r das Ger t verf gen
578. rufen werden F r den Ger tetyp stehen zwei Optionen zur Verf gung Server und Verwaltetes Ger t Um Ereignisse von einem SiteProtector Server zu sammeln m ssen Sie mindestens eine Datenquelle mit dem Ger tetyp Server einrichten Wenn eine SiteProtector Server Datenquelle konfiguriert ist werden alle aus SiteProtector gesammelten Daten als zu dieser Datenquelle geh rend angezeigt Dabei spielt es keine Rolle von welcher Ressource das Ereignis tats chlich an den SiteProtector Server gemeldet wurde Um McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Ereignisse weiter nach der verwalteten Ressource zu kategorisieren von der das Ereignis an SiteProtector gemeldet wurde k nnen Sie zus tzliche SiteProtector Datenquellen ausw hlen und f r diese den Ger tetyp Verwaltetes Ger t ausw hlen Mit der unten auf der Seite angezeigten Option Erweitert k nnen Sie eine URL definieren die zum Starten bestimmter URLs beim Anzeigen von Ereignisdaten verwendet werden kann Au erdem k nnen Sie einen Anbieter ein Produkt und eine Version definieren die f r die CEF Weiterleitung Common Event Format Einheitliches Ereignisformat verwendet werden sollen Diese Einstellungen sind optional Damit Ereignisse aus der SiteProtector Datenbank vom Empf nger abgefragt werden k nnen m ssen von der Microsoft SQL Server Installation in der die von SiteProtector verwendete Datenbank gehos
579. ruktur angezeigt wird Diesen Namen den Systemnamen die URL und die Beschreibung k nnen Sie ndern Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Name und Beschreibung ndern Sie dann den Namen den Systemnamen die URL und die Beschreibung oder zeigen Sie die Ger te ID an 3 Klicken Sie auf OK Hinzuf gen eines URL Links Zum Anzeigen von Ger teinformationen ber eine URL k nnen Sie den Link f r jedes Ger t auf der Seite Name und Beschreibung einrichten Auf den hinzugef gten Link k nnen Sie in den Ansichten Ereignisanalyse und Flussanalyse f r jedes Ger t zugreifen indem Sie unten in den Ansichtskomponenten auf das Symbol URL zum Starten des Ger ts La klicken McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 47 48 Konfigurieren von ESM Verwalten von Ger ten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Name und Beschreibung und geben Sie dann die URL ein 3 Klicken Sie auf OK um die nderungen zu speichern ndern der Verbindung mit ESM Wenn Sie ein Ger t zu ESM hinzuf gen richten Sie die Verb
580. rung einer Website durch ein Server Zertifikat vergleichbar Wenn Sie die CAC Funktion aktivieren wird angenommen dass Sie mit der CAC basierten Authentifizierung vertraut sind Sie wissen in welchen Browsern die Funktionalit t unterst tzt wird und sind mit der zu CACs geh renden EDI PI Electronic Data Interchange Personal Identifier vertraut Es kommt vor dass Zertifikate widerrufen werden Mithilfe von Zertifikatsperrlisten Certificate Revocation List CRL k nnen Systeme ber diese Sperrungen informiert werden Sie k nnen manuell eine ZIP Datei mit CRL Dateien hochladen Unter Windows wird ActivClient als einzige CAC Middleware unterst tzt Wenn Sie unter Windows CAC Authentifizierung ber Internet Explorer in ESM verwenden m chten muss ActivClient auf dem Client Computer installiert werden Nach der Installation von ActivClient werden CAC Anmeldeinformationen nicht mit dem nativen Smartcard Manager von Windows sondern mit ActivClient verwaltet Wenn ber den Client auf andere CAC f hige Websites zugegriffen wird ist die ActivClient Software h chstwahrscheinlich bereits installiert Anweisungen zum Einrichten von ActivClient und Quellen zum Herunterladen der Software finden Sie unter http militarycac com activclient htm oder im Intranet Ihres Unternehmens Wenn Sie die CAC berpr fung f r die Authentizit t von Anwendungen verwenden h ngt die Sicherheit des Systems von der Sicherheit der Zertifizierungsstelle Certificat
581. rung verwenden k nnen Sie die WMI Funktionalit t zu vorhandenen Instanzen von McAfee Agent hinzuf gen Sie k nnen SIEM Collector auch als Hub verwenden um ber RPC Protokolle von anderen Systemen zu erfassen ohne das SIEM Collector Paket zu jedem einzelnen System hinzuzuf gen Au erdem sind die folgenden Funktionen enthalten e Plug In f r benutzerdefinierte SQL Datenbankerfassung mit Unterst tzung f r SQL Server und Oracle e Plug In f r das Analysieren exportierter Windows Ereignisse im EVT oder EVTX Format e Plug In f r die Unterst tzung von SQL Server C2 Audits TRC Format Integrieren von Vulnerability Assessment Daten Mit Vulnerability Assessment VA auf dem DEM Ger t und dem Empf nger k nnen Sie Daten integrieren die von vielen VA Anbietern abgerufen werden k nnen Sie haben verschiedene M glichkeiten diese Daten zu verwenden e Erh hen Sie den Schweregrad eines Ereignisses basierend auf der bekannten Schwachstelle des Endpunkts in Bezug auf dieses Ereignis e Legen Sie fest dass Ressourcen und deren Attribute entdeckte Betriebssysteme und Dienste automatisch vom System erlernt werden e Erstellen und ndern Sie die Mitgliedschaft in benutzerdefinierten Ressourcengruppen e Greifen Sie auf zusammengefasste Informationen und nach weiteren Details aufgegliederte Informationen zu den Netzwerkressourcen zu e ndern Sie die Richtlinien Editor Konfiguration indem Sie beispielsweise MySQL Signaturen
582. s der mit dem Namen Nexpose beginnt ableiten indem Sie zum gleichen Empf nger eine Rapid7 VA Quelle hinzuf gen Wenn der Schweregrad nicht abgeleitet werden kann wird der Standardschweregrad 100 verwendet Saint Automatisches Erstellen von Datenquellen Sie k nnen den Empf nger so einrichten dass Datenquellen automatisch erstellt werden Dabei werden die f nf im Lieferumfang des Empf ngers enthaltenen Standardregeln oder von Ihnen erstellte Regeln verwendet Bevor Sie beginnen Stellen Sie sicher dass die automatische berpr fung im Dialogfeld Ereignisse Fl sse und Protokolle Systemeigenschaften Ereignisse Fl sse und Protokolle aktiviert ist oder klicken Sie auf der Aktionssymbolleiste auf das Symbol Ereignisse und Fl sse abrufen gt um Ereignisse und oder Fl sse abzurufen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 79 80 Konfigurieren von ESM Konfigurieren von Ger ten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie in Empf ngereigenschaften auf Datenquellen Automatisch lernen 2 Klicken Sie im Fenster Automatisch lernen auf Konfigurieren 3 Stellen Sie im Fenster Editor f r automatisch hinzugef gte Regeln sicher dass Automatische Erstellung von Datenquellen aktivieren ausgew hlt ist W hlen Sie dann die Regeln f r automatisches Hinzuf gen aus die vom Empf nger zum automatische
583. s und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf die Option Konfiguration f r das Ger t auf Schnittstellen und dann auf die Registerkarte Datenverkehr Die vorhandenen Steuerungen werden in der Tabelle aufgef hrt 3 Zum Hinzuf gen von Steuerungen f r ein Ger t klicken Sie auf Hinzuf gen geben Sie die Netzwerkadresse und die Maske ein legen Sie die Rate fest und klicken Sie dann auf OK Wenn Sie die Maske auf Null 0 festlegen werden alle gesendeten Daten gesteuert 4 Klicken Sie auf Anwenden Die Geschwindigkeit des ausgehenden Datenverkehrs wird f r die angegebene Netzwerkadresse gesteuert Ger tekonfiguration Die Seite Konfiguration f r jedes Ger t enth lt Optionen zum Konfigurieren von Einstellungen wie beispielsweise Netzwerkschnittstelle SNMP Benachrichtigungen NTP Einstellungen und ELM Protokollierung Einrichten von Netzwerkschnittstellen Mit Schnittstelleneinstellungen bestimmen Sie wie die Verbindung zwischen ESM und dem Ger t hergestellt wird Sie m ssen diese Einstellungen f r jedes Ger t definieren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie f r das Ger t auf die Option Konfiguration und dann auf Schnittstellen 3 Geben Sie die erforderlichen Daten ein und klicken Si
584. s Token um die Integrit t der Software beim Einschalten zu testen FIPS Identit ts Token Vergleichen Sie den folgenden Wert mit dem auf dieser Seite angezeigten ffentlichen Schl ssel BEGIN PUBLIC KEY MIICHANBgkahkiG9wOBAQEFAAOCASSAMIICCSKCAgEAtSFWOP2mvVjvTTxkhGgk LdgA sx0jBv zYnCkGYOHHZNAdum9yuMn69GNbYXm7I50OcKv2 nz6axBruCZ5xXX1 CGWnmsj8 Y ZJoNp FLUy1YE71XI5 NRm2uhpzjdOjg Fv10SkgxVfL aBJjqZF KKbHMzYEBwdyseQUc56u3mKaBtP4rydfRmEtytkuOsZgQuPHKYhaQ InbV5LfrLa o6HQSIzZHYHIcF Yog QHJ6CISR A11KSEMPyFG9IRHdKnwcg3s Y 8Q QMbIZSSDobbK0 GPOOucG8vWDWdxSiab JLBdkIVsmBOzwdH6lOCKkGTidayMk12hDh 2BA6el7YQBV SEJaJ5wvz82aQKwDfinlb9vmC sk Rwo E7uRn3E1M Rxo0uH19 319219qXZeJCV 1YV2XahhyxSpq8ro 0BMTiab3d hjogxMxCI9QjEpm3J Zy UpWtNKaHq8BgSEle daiJob7O kvef1T ZOb3090bSK3vtn 3513K 3cpa Y qBm9var xV NyGhHztR v0F OnSllyddWuXLIU hMTO2YE33T354Uf44omTVSDTJOS7hLT5 hCz6A33Hz17 gk8 Q895NsmL pORA JzJ 3 mGyoUAd1D2u65Yq6NKGCn640a5A2zA0QdX M8R8S NKjgi nLg3n 25KsCB3KDY3AKYECAWwWEAAQ Wenn dieser Wert und der ffentliche Schl ssel nicht bereinstimmen ist FIPS kompromittiert Wenden Sie sich an den McAfee Support McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 15 16 Erste Schritte Informationen zum FIPS Modus Hinzuf gen eines Ger ts mit festgelegtem Schl ssel im FIPS Modus Es gibt im FIPS Modus zwei Methoden zum Hinzuf gen eines Ger ts das bereits mit einem Schl ssel an ein ESM Ger t gebunden wurde Die folgenden Begri
585. s W rterbuch Beispiele Typ des W rterbuchs Beispiel W rterbuch f r Zeichenfolgen Cialis mit allgemeinen Spam W rtern n_n cialis Viagra viagra nicht jugendfreie Websites Nicht jugendfreie Websites Jetzt zugreifen Chance nicht verpassen W rterbuch f r regul re Ausdr cke mit Schl sselw rtern im Zusammenhang mit Autorisierung kennwort kennwrt kennw a z0 9 1 3 admin anmelden kennwort benutzer i kunde benutzer a z0 9 1 3 konto a z0 9 1 3 nummer i fond a z0 9 1 3 transaktion i fond a z0 9 1 3 berweisung a z0 9 1 3 0 9 i W rterbuch f r Zeichenfolgen mit Hash Werten f r bekannte ung ltige ausf hrbare Dateien fec72ceae15b6f60cbf269f99b69888e9 fed472c13c1db095c4cb0fc54ed28485 feddedb607468465f9428a59eb5ee22a ff3cb87742f9b56dfdb9a49b31c1743c ff45e471aa68c9e2b6d62a82bbb6a82a ff669082faf0b5b976cec8027833791c ff7025e261bd09250346bc9efdfc6c7c IP Adressen wichtiger Ressourcen 192 168 1 12 192 168 2 0 24 192 168 3 0 255 255 255 0 192 168 4 32 27 192 168 5 144 255 255 255 240 144 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Tabelle 3 26 Zweispaltiges W rterbuch Beispiele Typ des W rterbuchs Beispiel W rterbuch f r Zeichenfolgen Cialis pharmazeutisch mit allgemeinen Spam W rtern cialis pharmazeutisch und Kategorien Viagra pharmazeutis
586. s der folgenden Formate aus e Text Exportieren Sie die Daten im Textformat e PDF Exportieren Sie die Daten zusammen mit einem Bild e BildinPDF Exportieren Sie nur das Bild e CSV Exportieren Sie eine Liste im durch Komma getrennten Format e HTML Exportieren Sie die Daten in einer Tabelle 3 Geben Sie auf der Seite Exportieren die Daten an die Sie exportieren m chten e Wenn Sie Text oder PDF ausgew hlt haben k nnen Sie die aktuelle Seite mit Daten oder eine maximale Seitenanzahl beginnend mit Seite 1 exportieren e Wenn Sie Bild in PDF ausgew hlt haben wird das Bild generiert e Wenn Sie CSV oder HTML ausgew hlt haben k nnen Sie nur die ausgew hlten Elemente nur die aktuelle Seite mit Daten oder eine maximale Seitenanzahl beginnend mit Seite 1 exportieren 4 Klicken Sie auf OK Die Exportdatei wird generiert und Sie werden aufgefordert die sich ergebende Datei herunterzuladen Arbeiten mit dem Abfragen Assistenten In den einzelnen Berichten oder Ansichten auf dem ESM Ger t werden Daten basierend auf den Abfrageeinstellungen f r die einzelnen Komponenten gesammelt Beim Hinzuf gen oder Bearbeiten einer Ansicht oder eines Berichts definieren Sie die Abfrageeinstellungen f r die einzelnen Komponenten im Abfragen Assistenten indem Sie den Abfragetyp die Abfrage die einzuschlie enden Felder und die zu verwendenden Filter ausw hlen Alle Abfragen im System vordefinierte und benutzerdefinierte Abfragen werden i
587. schaften e Instant Messaging AOL ICQ Jabber MSN SIP und Yahoo e Datei bertragungsprotokolle FTP HTTP SMB und SSL e Komprimierungs und Extrahierungsprotokolle BASE64 GZIP MIME TAR ZIP und andere e Archivdateien RAR Archive ZIP BZIP GZIP Binhex und UU codierte Archive e Installationspakete Linux Pakete InstallShield CAB Dateien Microsoft CAB Dateien e Bilddateien GIF JPEG PNG TIFF AutoCAD Photoshop Bitmaps Visio Digital RAW und Windows Symbole e Audiodateien WAV MIDI RealAudio Dolby Digital AC 3 MP3 MP4 MOD RealAudio SHOUTCast und weitere e Videodateien AVI Flash QuickTime Real Media MPEG 4 Vivo Digital Video DV Motion JPEG und weitere e Sonstige Anwendungen und Dateien Datenbanken Tabellen Faxe Web Anwendungen Schriftarten ausf hrbare Dateien Microsoft Office Anwendungen Spiele und sogar Tools f r die Software Entwicklung e Sonstige Protokolle Netzwerkdrucker Shell Zugriff VoIP und Peer to Peer Wichtige Konzepte Um die Funktionsweise von ADM zu verstehen m ssen Sie die folgenden Konzepte kennen e Objekt Ein Objekt ist ein einzelnes Inhaltselement Eine E Mail ist ein Objekt aber auch ein Objekt Container da sie einen Textteil oder zwei Textteile und Anh nge enth lt Eine HTML Seite ist ein Objekt das weitere Objekte enthalten kann beispielsweise Bilder ZIP Dateien ebenso wie die darin enthaltenen Dateien sind Objekte Der Container wird von ADM entpackt und jed
588. schaften aus und klicken Sie dann auf Alarme Hinzuf gen 2 Geben Sie die Informationen auf den Registerkarten Zusammenfassung Bedingung Aktionen und Eskalation ein 67 Unter UCAPL Alarme finden Sie eine Liste und Beschreibung der Alarme die Ihnen helfen soll UCAPL Anforderungen Unified Capabilities Approved Products List zu erf llen 3 Klicken Sie auf Fertig stellen Der Alarm wird der Liste auf der Seite Alarme hinzugef gt und ausgel st wenn die Bedingungen zutreffen 232 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Alarmen 6 Erstellen eines Alarms Aufgaben e Einrichten eines Korrelationsalarms der Quellereignisse enthalten soll auf Seite 235 Wenn Sie Tags zu einem Alarm vom Typ Interne Ereignis bereinstimmung hinzuf gen bei dem ein Korrelationsereignis als bereinstimmung verwendet wird enthalten die Ergebnisse Informationen zu den Quellereignissen e Hinzuf gen eines Alarms vom Typ Feld bereinstimmung auf Seite 236 Bei einem Alarm vom Typ Feld bereinstimmung liegt eine bereinstimmung mit mehreren Feldern eines Ereignisses vor Der Alarm wird ausgel st sobald das Ereignis vom Ger t empfangen und analysiert wird e Hinzuf gen eines Alarms zu Regeln auf Seite 237 Sie k nnen zu bestimmten Regeln einen Alarm hinzuf gen damit Sie benachrichtigt werden wenn Ereignisse durch diese Regeln generiert werden e Erstellen eines SNMP Traps als Aktion in einem Alarm auf Seite 189 Sie
589. schaften oder Felder hinzuf gen Wenn die ben tigte Watchlist noch nicht vorhanden ist klicken Sie auf Neue Watchlist erstellen Legen Sie auf der Registerkarte R ckverfolgung fest welche Ereignisse Standard und Fl sse analysiert werden sollen welche bereinstimmenden Daten analysiert werden sollen und f r welchen Zeitraum in der Vergangenheit die Daten anhand dieses Feeds analysiert werden sollen a W hlen Sie aus ob Ereignisse und oder Fl sse analysiert werden sollen b Geben Sie an f r welchen Zeitraum in der Vergangenheit in Tagen die Ereignisse und Fl sse analysiert werden sollen c Legen Sie fest welche Aktion von ESM ausgef hrt werden soll wenn bei der R ckverfolgung eine Daten bereinstimmung gefunden wird d W hlen Sie f r Alarme einen Beauftragten und einen Schweregrad aus Kehren Sie zur Registerkarte Hauptbildschirm zur ck und w hlen Sie dann Aktiviert aus um den Feed zu aktivieren Klicken Sie auf Fertig stellen Siehe auch Anzeigen von Ergebnissen eines Cyber Threat Feeds auf Seite 226 Anzeigen von Ergebnissen eines Cyber Threat Feeds Zeigen Sie Kompromittierungsindikatoren Indicators of Compromise IOC aus externen Datenquellen an die durch die Cyber Threat Feeds Ihres Unternehmens identifiziert werden Sie k nnen schnell die Bedrohungsdetails Dateibeschreibungen und entsprechenden Ereignisse f r die einzelnen Indikatorquellen weiter aufgliedern 226 Bevor Sie beginnen V
590. schiedene Standardeinstellungen ndern Sie k nnen die Zeitzone das Datumsformat das Kennwort die Standardanzeige und die Sprache der Konsole McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Erste Schritte 2 Konsoleneinstellungen ndern Au erdem k nnen Sie ausw hlen ob deaktivierte Datenquellen und die Registerkarten Alarme und F lle angezeigt werden sollen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie auf der Systemnavigationsleiste der ESM Konsole auf Optionen 2 Vergewissern Sie sich dass Benutzereinstellungen ausgew hlt ist 3 Nehmen Sie nach Bedarf nderungen an den Einstellungen vor und klicken Sie dann auf OK Die Darstellung der Konsole wird basierend auf den Einstellungen ge ndert Einrichten von Benutzeranmeldeinformationen f r McAfee ePO Sie k nnen den Zugriff auf ein McAfee ePO Ger t begrenzen indem Sie Benutzeranmeldeinformationen festlegen Bevor Sie beginnen Das McAfee ePO Ger t darf nicht so eingerichtet werden dass globale Benutzerauthentifizierung erforderlich ist siehe Einrichten der globalen Benutzerauthentifizierung Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie auf der Systemnavigationsleiste der ESM Konsole auf Optionen und w hlen Sie dann ePO Anmeldeinformationen aus 2 Klicken Sie auf das Ger t und dann
591. se des Klicken Sie auf Hinweise Verlauf oder Quellereignisse Wenn Sie auf Verlaufs und der Quellereignisse klicken werden die Registerkarten f r Quellereignisdetails Quellereignisse f r den ge ffnet Wenn die Registerkarten nicht angezeigt werden oder Sie ausgew hlten Fall die angezeigten Registerkarten ausblenden m chten klicken Sie auf der Symbolleiste unten in der Ansicht auf das Symbol Quellereignisdetails anzeigen E Auf der Registerkarte Verlauf wird aufgezeichnet wann Benutzer einen Fall anzeigen Wenn ein Benutzer einen Fall innerhalb von f nf Minuten mehrmals anzeigt wird der Datensatz nicht jedes Mal aktualisiert Filtern der F lle W hlen Sie im Bereich Filter die Daten zum Filtern der F lle aus oder geben Sie sie ein Klicken Sie dann auf das Symbol Abfrage ausf hren FS Die Liste der F lle wird ge ndert sodass nur die den Filterkriterien entsprechenden F lle angezeigt werden Generieren von Fallverwaltungsberichten Auf dem ESM Ger t stehen drei Fallverwaltungsberichte zur Verf gung Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie auf der Seite Systemeigenschaften auf Berichte Hinzuf gen 2 F llen Sie die Abschnitte 1 2 und 3 aus 3 W hlen Sie in Abschnitt 4 die Option CSV Datei f r Abfrage aus McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 315 316 Verwalten von F llen Generieren von Fallverw
592. sebene zu der dbsession Tabelle und der Abfragetabelle der Datenbank hinzugef gt Eine Textdarstellung des Protokoll Stacks wird im Paketfeld der Abfragetabelle gespeichert McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten In ADM k nnen die folgenden Ereignistypen generiert werden e Metadaten In ADM wird f r jede Transaktion im Netzwerk ein Metadatenereignis generiert in dem Details zu Adressen Protokoll Dateityp und Dateiname enthalten sind Die Metadatenereignisse werden in die Abfragetabelle eingef gt und mithilfe der Sitzungstabelle gruppiert Wenn beispielsweise in einer FTP Sitzung drei Dateien bertragen wurden werden diese von ADM zusammen gruppiert Protokollanomalie Protokollanomalien sind fest in die Protokollmodule codiert Dazu geh ren Ereignisse wie beispielsweise ein TCP Paket Transmission Control Protocol das zu kurz ist um einen g ltigen Header zu enthalten und die R ckgabe eines ung ltigen Antwortcodes durch einen SMTP Server Simple Mail Transfer Protocol Ereignisse im Zusammenhang mit Protokollanomalien sind selten und werden in der Ereignistabelle abgelegt Regelausl ser Regelausl seereignisse werden generiert wenn durch Regelausdr cke Anomalien in den von ICE Internet Communications Engine generierten Metadaten erkannt werden Eine Anomalie liegt beispielsweise vor wenn ein Protokoll au erhalb der gewohnten Zeiten verwendet wir
593. sen ber die versucht wurde die Datei auszuf hren Auf dieser Seite k nnen Sie ein Element ausw hlen und die folgenden Aktionen ausf hren e Erstellen einer neuen Watchlist e Hinzuf gen der Informationen zu einer Blacklist e Anf gen der Informationen an eine e Exportieren der Informationen in eine Watchlist CSV Datei e Erstellen eines neuen Alarms Anzeigen des Ausf hrungsverlaufs f r Threat Intelligence Exchange und Einrichten von Aktionen Auf der Seite mit dem Ausf hrungsverlauf f r Threat Intelligence Exchange wird eine Liste der Systeme angezeigt auf denen die Datei ausgef hrt wurde die dem ausgew hlten Ereignis zugeordnet ist Bevor Sie beginnen Es muss ein ePolicy Orchestrator Ger t vorhanden sein mit in ESM ein Threat Intelligence Exchange Server verbunden ist Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie in der Systemnavigationsstruktur der ESM Konsole auf das ePolicy Orchestrator Ger t 2 W hlen Sie in der Dropdown Liste mit den Ansichten die Optionen Ereignisansichten Ereignisanalyse aus und klicken Sie dann auf das Ereignis 3 m Klicken Sie auf das Men symbol E J und w hlen Sie dann die folgenden Optionen aus Aktionen Ausf hrungsverlauf f r TIE McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten 4 Zeigen Sie auf der Seite Ausf hrungsverl
594. sgef hrt Ausgeschlossen Protokolle cifs nfs ftp scp http e Collector curl oder mount e SNMPTrap Nicht g ltig wenn f r andere Datenquellen SNMP Trap und IPAddress bereinstimmungen verwendet werden e nfxsql Nicht g ltig wenn eine Kombination aus IPAddress dbname und port gefunden wird e netflow oder opsec Nicht g ltig wenn eine Kombination aus IPAddress und port gefunden wird e mef Entspricht der Erfassung wenn parser mef entspricht collector wird automatisch auf mef festgelegt Nicht g ltig wenn mef und protocol gefunden werden model Eintrag muss genau bereinstimmen Ausnahme Clients mit MatchByFlag 1 Vergleich nach IPAddress vendor Eintrag muss genau bereinstimmen Ausnahme Clients mit MatchByFlag 1 Vergleich nach IPAddress parent_id ID der bergeordneten Datenquelle F r Agenten oder Clients erforderlich Wenn es sich bei der ID um einen Namen handelt wird versucht die bergeordnete Datenquelle mit diesem Namen zu finden die dem angegebenen Empf nger untergeordnet ist child_type Typ der untergeordneten Datenquelle Erforderlich O nicht untergeordnet 1 Agent 2 Client match_type Client bereinstimmung Erforderlich beim Hinzuf gen oder Bearbeiten von Datenquellen 1 Vergleich nach IP Adresse 2 Vergleich nach Typ des Drittanbieters parsing Kennzeichnung f r aktivierte Datenquelle Kennzeichnung f r Aktivierung
595. sh2 alert any any any gt any any msg SSH Login Attempt content sshd action map Failed 9 Accepted 8 pcre ssha x5b d x5d x3a s Failed Accepted stpassword stfor s invalid illegal stuser s S st from s S s S stport s d raw setparm msg 1 setparm action 2 setparm username 5 setparm src ip 6 adsid 190 rev 1 Die Aktion Failed ist einer Zahl zugeordnet Diese Zahl entspricht den verschiedenen Aktionen die Sie in Ihrem System verwenden k nnen In der folgenden Liste finden Sie alle Aktionstypen die Sie verwenden k nnen e 0 Null e 20 Anhalten e 1 Zulassen e 21 Hinweis e 2 Ablehnen e 22 Vertrauensw rdig e 3 Verwerfen e 23 Nicht vertrauensw rdig e 4 Verwerfen im Hintergrund e 24 False Positive e 5 Warnung e 25 Warnung und ablehnen e 6 Standard e 26 Warnung und verwerfen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 103 3 Konfigurieren von ESM Konfigurieren von Ger ten e 7 Fehler e 27 Warnung und verwerfen im Hintergrund e 8 Erfolg e 28 Neustart e 9 Fehlgeschlagen e 29 Blockieren e 10 Notfall e 30 S ubern e 11 Kritisch e 31 S ubern und Fehlschlag e 12 Warnmeldung e 32 Fortfahren e 13 Information e 33 Infiziert e 14 Debug e 34 Verschieben e 15 Integrit t e 35 Verschieben und Fehlschlag e 16 Hinzuf gen e 36 Quarant ne e 17 ndern e 37 Quarant ne und Fehlschlag e
596. spection Regel hinzuf gen oder bearbeiten m ssen Sie unter anderem der Regel Attribute zuweisen Mit diesen Attributen definieren Sie die Aktion f r die Regel Sie k nnen in der Liste benutzerdefinierte Optionen hinzuf gen und l schen die einer Regel zugewiesen werden k nnen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie im Richtlinien Editor Folgendes aus IPS Deep Packet Inspection Hinzuf gen 2 W hlen Sie in der Dropdown Liste die Kategorie f r das Attribut aus 3 W hlen Sie im Feld Optionen die dem Attribut zugeordnete Aktion aus 4 Geben Sie einen Wert f r die ausgew hlte Option ein und klicken Sie dann auf OK Der Wert und der Name der Option werden zur Tabelle Regeloptionen hinzugef gt W hlen Sie den Wert aus um ihn zu bearbeiten oder zu l schen Interne Regeln Der Regeltyp Intern enth lt Regeln mit Signatur IDs zwischen 3 000 000 und 3 999 999 Dabei handelt es sich um interne Warnungen die im Gegensatz zu anderen Regeln nicht ber Signaturen verf gen Diese Regeln k nnen nur aktiviert oder deaktiviert werden Dieser Regeltyp ist nur verf gbar wenn in der Systemnavigationsstruktur ein Nitro IPS Ger t oder ein virtuelles Ger t ausgew hlt ist Verwalten interner Regeln Zeigen Sie die Liste der vorhandenen internen Regeln an oder ndern Sie den Status dieser Regeln Vorgehensweise Beschreibungen der Optionen erhalten Si
597. sportieren beispielsweise IPFIX NetFlow oder sFlow e Die Quellereignisse von korrelierten Ereignissen werden nicht angezeigt e Wenn Sie die Korrelationsregeln auf dem zweiten Empf nger ndern werden diese Regeln vom Korrelationsmodul nicht verarbeitet Beim Transport der Korrelationsdaten werden diese Ereignisse aus der Datei eingef gt Aufgabe Vorgehensweise Ausw hlen der Datenquellen und des Remote Speicherorts 1 W hlen Sie in der Systemnavigationsstruktur die Option Empf ngereigenschaften aus und klicken Sie dann auf Datenquelle 2 W hlen Sie die Datenquelle aus und klicken Sie dann auf Bearbeiten 3 Klicken Sie auf Erweitert und w hlen Sie dann Im NitroFile Format exportieren aus Die Daten werden an einen Remote Speicherort exportiert und mithilfe des Profils konfiguriert 4 Klicken Sie auf OK Von nun an werden die von dieser Datenquelle generierten Rohdaten an den Speicherort der Remote Freigabe kopiert Erstellen einer Rohdatendatei 1 Greifen Sie auf den Speicherort der Remote Freigabe zu in der die Rohdaten gespeichert sind 2 Speichern Sie die generierten Rohdaten an einem Speicherort von dem aus Sie die Datei auf den zweiten Empf nger verschieben k nnen beispielsweise ein Flash Laufwerk das Sie an den nicht gesicherten Speicherort mitnehmen k nnen Erstellen einer Datei zur Beschreibung der Datenquellen 1 W hlen Sie in der Systemnavigationsstruktur die Option Empf n
598. st auf den Typ der ausgew hlten Abfrage begrenzt Wenn beispielsweise eine Ereignisabfrage ausgew hlt ist k nnen Sie nur einen Vergleich mit den Feldern aus der Ereignistabelle durchf hren nicht mit der Fluss Ressourcen und Schwachstellentabelle Wenn Sie die Abfrageparameter auf das Verteilungsdiagramm anwenden wird die Abfrage normal ausgef hrt Wenn das Vergleichsfeld aktiviert ist wird gleichzeitig eine sekund re Abfrage f r die Daten ausgef hrt In der Verteilungskomponente werden die Daten f r beide Datens tze im gleichen Diagramm jedoch mit zwei getrennten vertikalen Achsen angezeigt Wenn Sie den Diagrammtyp ndern rechte untere Ecke der Komponente werden weiterhin beide Datens tze angezeigt Vergleichen von Diagrammwerten Sie k nnen die Daten in einem Verteilungsdiagramm mit einer ausgew hlten Variablen vergleichen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 4 a W hlen Sie das Symbol Neue Ansicht erstellen E oder Aktuelle Ansicht bearbeiten A aus Klicken Sie auf das Symbol Verteilung ali ziehen Sie es in die Ansicht und legen Sie es dort ab um den Abfragen Assistenten zu ffnen 3 W hlen Sie den Abfragetyp und die Abfrage aus und klicken Sie dann auf Weiter 4 Klicken Sie auf Vergleichen und w hlen Sie dann das Feld aus das Sie mit der ausgew hlten Abfrage vergleichen m chten 5 Klicken Sie auf OK und dann auf Fertig stellen 6
599. status angezeigt Virtuelle Ger te Sie k nnen zu einigen Nitro IPS und ADM Ger temodellen virtuelle Ger te hinzuf gen um den Datenverkehr zu berwachen Datenverkehrsmuster zu vergleichen und Berichte zu erstellen Zweck und Vorteile Virtuelle Ger te k nnen f r verschiedene Zwecke verwendet werden e Sie k nnen Datenverkehrsmuster mit Regels tzen vergleichen Beispielsweise k nnen Sie um Web Datenverkehr mit Web Regeln zu vergleichen ein virtuelles Ger t einrichten von dem nur Ports f r Web Datenverkehr untersucht werden und eine Richtlinie einrichten mit der Sie verschiedene Regeln aktivieren oder deaktivieren k nnen e Sie k nnen Berichte erstellen Wenn Sie virtuelle Ger te auf diese Weise verwenden ist dies mit einer automatischen Filterung vergleichbar e Sie k nnen mehrere Verkehrspfade gleichzeitig berwachen Wenn Sie ein virtuelles Ger t verwenden k nnen Sie f r jeden Verkehrspfad eigene Richtlinien festlegen und verschiedene Verkehrsarten nach unterschiedlichen Richtlinien sortieren Maximale Anzahl der Ger te pro Modell Wie viele virtuelle Ger te zu einem ADM Ger t oder Nitro IPS Ger t hinzugef gt werden k nnen h ngt vom Modell ab Maximale Anzahl der Ger te Modell 2 APM 1225 NTP 1225 APM 1250 NTP 1250 4 APM 2230 NTP 2230 NTP 2600 APM 3450 NTP 3450 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 51 Konfigurieren von ESM Verwalten von Ger
600. stellungen f r Advanced Correlation Engine ACE auf Seite 136 Einstellungen f r verteilte ESM Ger te DESM auf Seite 163 ePolicy Orchestrator Einstellungen auf Seite 164 Einstellungen f r Nitro Intrusion Prevention System Nitro IPS auf Seite 170 62 McAfee Enterprise Security Manager 9 5 0 ESM i AMA Analysierte Ereignisse Advanced Correlation BB R Engine ACE o N Event Receiver I Ereignisdaten Empfohlen Erforderlich i Ereigni Unbearbeitete i sabfragen Ereignisse as Y Enterprise Log gt Speicherformate Manager ELM e CIFS i Empfohlen f e DAS i k e NFS e SCSI Appli D la i pplication Data m Database Event i lt gt 3 i Monitor ADM Y Y Monitor DEM Optional Optional Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Event Receiver Einstellungen Mit Event Receiver k nnen Sie Sicherheitsereignisse und Netzwerk Flussdaten aus Quellen mehrerer Anbieter erfassen Dazu geh ren unter anderem Firewalls virtuelle private Netzwerke VPNs Router Nitro IPS und Systeme zur Erkennung von Eindringungsversuchen NetFlow und sFlow Mit Event Receiver k nnen Sie diese Daten erfassen und in einer einzigen verwaltbaren L sung normalisieren Dadurch erhalten Sie eine einzige Ansicht f r Ger te von mehreren Anbietern wie beispielsweise Cisco Check Point und Juniper Au erdem k nnen Sie die Ereignis und Flussdaten von Nitro IPS Ge
601. stige e Wenden Sie keine Software Aktualisierungen auf die McAfee Appliance an da sich dadurch eine von der Common Criteria Konfiguration abweichende Konfiguration ergibt Zertifizierte Aktualisierungen erhalten Sie vom McAfee Support Wenn Sie f r ein Nitro IPS Ger t die Einstellungen Watchdog Timer und Umgehung erzwingen auf der Seite Einstellungen f r Netzwerkschnittstellen aktivieren ergibt sich eine von der zertifizierten Common Criteria Konfiguration abweichende Konfiguration Wenn Sie bei einem Nitro IPS Ger t f r den berbelegungsmodus eine andere Einstellung als Verwerfen verwenden ergibt sich eine von der zertifizierten Common Criteria Konfiguration abweichende Konfiguration Wenn Sie die Funktion Anmeldesicherheit mit einem RADIUS Server aktivieren ergibt sich sichere Kommunikation Die IT Umgebung erm glicht die sichere bertragung von Daten zwischen dem TOE und externen Entit ten und Quellen Externe Authentifizierungsdienste k nnen von einem RADIUS Server bereitgestellt werden Die Verwendung der Smart Dashboard Funktionalit t der Check Point Firewall Konsole ist nicht Bestandteil des TOE Die Verwendung von Snort Barnyard ist nicht Bestandteil des TOE Die Verwendung des MEF Clients ist nicht Bestandteil des TOE Die Verwendung des Remedy Ticket Systems ist nicht Bestandteil des TOE An und Abmelden Wenn Sie die Ger te installiert und eingerichtet haben k nnen Sie sich zum ersten Mal bei der ESM Kons
602. t Regel Der Regelschweregrad entspricht dem Schweregrad der bei der Erstellung des Ereignisses festgelegt wurde Basiert auf dem im Richtlinien Editor festgelegten Regelschweregrad des Ereignisses sowie auf allen f r die Erfassung des Ereignisses konfigurierten Datenanreicherungen Schwachstelle Wenn VA SVE Informationen f r die Ressource und die Regel eines Ereignisses verf gbar sind wird als Schweregrad der Schwachstelle der h chste Schweregrad aller bereinstimmenden VA SVEs f r Ressourcen und Regeln verwendet Anderenfalls wird null verwendet Festlegen der Gewichtungen der Schweregrade Die Schweregrade von Ressourcen Tags Regeln und Schwachstellen werden bei der Berechnung des Ereignisschweregrads gewichtet Sie m ssen diese Schweregrade definieren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken Klicken Sie im Richtlinien Editor auf das Symbol Gewichtungen der Schweregrade qu 2 Definieren Sie die Einstellungen und klicken Sie dann auf OK McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von Richtlinien und Regeln 10 Anzeigen des Verlaufs der Richtlinien nderungen Anzeigen des Verlaufs der Richtlinien nderungen Sie k nnen ein Protokoll der an der Richtlinie vorgenommenen nderungen anzeigen oder exportieren Dieses Protokoll kann maximal 1 GB an Daten enthalten Wenn das Limit erreicht ist werden die ltesten Date
603. t Es gibt einen Konnektor f r die relationale Datenquelle in Hadoop HBase von dem die Paare aus Schl ssel und Wert aus der Anreicherungsquelle verwendet werden Die Identit tszuordnung in HBase kann regelm ig auf einen Empf nger abgerufen werden um Ereignisse anzureichern Hinzuf gen von Datenanreicherungsquellen F gen Sie eine Datenanreicherungsquelle hinzu und legen Sie fest welche Ger te die Daten empfangen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Datenanreicherung Hinzuf gen Die Registerkarten und Felder in Datenanreicherungs Assistent h ngen vom ausgew hlten Datenanreicherungstyp ab 2 F llen Sie die Felder auf den einzelnen Registerkarten aus und klicken Sie dann auf Weiter 3 Klicken Sie auf Fertig stellen und dann auf Schreiben 4 W hlen Sie die Ger te aus in die Sie die Datenanreicherungsregeln schreiben m chten und klicken Sie dann auf OK Einrichten der Datenanreicherung durch McAfee Real Time for McAfee ePO Wenn Sie die McAfee Real Time for McAfee ePO Quelle im Datenanreicherungs Assistenten ausw hlen k nnen Sie Ihre Abfrage testen und die Spalten f r Suche und Anreicherung ausw hlen 220 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Was ist Datenanreicherung Vorgehensweise
604. t Jede Dropdown Liste auf der Seite Datenzuordnung enth lt die verf gbaren Speicherlaufwerke die in der VM bereitgestellt sind Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Database VM Daten 2 W hlen Sie in jedem Feld das Laufwerk aus auf dem die Daten gespeichert werden sollen Jedes Laufwerk kann nur einmal ausgew hlt werden 3 Klicken Sie auf OK Erh hen der Anzahl verf gbarer Akkumulator Indizes Aufgrund der Anzahl der aktivierten Standard Indizes auf dem ESM Ger t k nnen Sie nur f nf Indizes zu einem Akkumulator Feld hinzuf gen Wenn Sie mehr als f nf ben tigen k nnen Sie zurzeit nicht McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Verwalten der Datenbank verwendete Standard Indizes deaktivieren beispielsweise sessionid src dst mac src dst port src dst zone oder src dst geolocation maximal 42 Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken In ESM werden beim Generieren von Abfragen Berichten Alarmen und Ansichten Standard Indizes verwendet Falls Sie Standard Indizes deaktivieren und Abfragen Berichte Alarme oder Ansichten zu O generieren versuchen die diese Standard Indizes verwenden werden Sie informiert dass sie aufgrund eines d
605. t McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 341 10 Verwalten von Richtlinien und Regeln Regeltypen und ihre Eigenschaften Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 m m Klicken Sie in der ESM Konsole auf das Symbol Richtlinien Editor ii 2 Klicken Sie im Bereich Regeltypen auf Empf nger Erweiterter Syslog Parser 3 F hren Sie nach dem Herunterladen der ASP Regeln eine der folgenden Aktionen aus e Zum Bearbeiten einer vorhandenen Regel klicken Sie auf die Regel und dann auf Bearbeiten ndern e Zum Hinzuf gen einer neuen Regel klicken Sie auf Neu Regel f r erweiterten Syslog Parser und f llen Sie dann die Registerkarten Allgemein Analysieren und Feldzuweisung aus 4 Klicken Sie auf die Registerkarte Zuordnung und dann auf das Pluszeichen ber der Tabelle Zeitformat 5 Klicken Sie in das Feld Format und w hlen Sie dann das Zeitformat aus 6 W hlen Sie die Uhrzeitfelder aus f r die Sie das Format verwenden m chten Mit Erstes Mal und Letztes Mal wird angegeben wann das Ereignis zum ersten bzw zum letzten Mal generiert wurde Au erdem werden alle Uhrzeitfelder vom Typ Benutzerdefinierter Typ aufgef hrt die Sie zu ESM hinzugef gt haben siehe Benutzerdefinierte Typfilter 7 Klicken Sie auf OK und geben Sie dann die verbleibenden Informationen auf der Registerkarte Zuordnung ein Datenquellenregeln Die Liste der Datenquel
606. t lautet der Standardwert 443 Wird auch verwendet wenn flat file support und Protocol auf ftp festgelegt sind Standardwert 80 fs_verify_cert SSL Zertifikat berpr fen Wird verwendet wenn Protocol auf ftp oder http festgelegt ist Standardwert no Wird auch verwendet wenn flat file support und Protocol auf ftp festgelegt sind fs_compression Wird verwendet wenn Protocol auf scp oder sftp festgelegt ist Standardwert no fs_login_timeout Wird verwendet wenn Protocol auf scp festgelegt ist Standardwert 1 Sekunde fs_copy_timeout Wird verwendet wenn Protocol auf scp festgelegt ist Standardwert 1 Sekunde fs_wmi_version Wird verwendet wenn flat file support und Vendor auf Microsoft und Model auf Adiscon Windows Events festgelegt ist Standardwert Windows 2000 fs_aruba_version Wird verwendet wenn flat file support und Vendor auf Aruba festgelegt sind Standardwert 332 fs_rev_pix_dir Netzwerkwerte umkehren Wird verwendet wenn flat file support und Vendor auf Cisco festgelegt sind und Model auf PIX ASA oder Firewall Services Module festgelegt ist Standardwert no fs_untrust_iface Schnittstelle mit niedrigster Erforderlich wenn flat file support und Vendor auf Vertrauensw rdigkeit CyberGuard festgelegt sind fs_burb Name des Erforderlich wenn flat file support und Vendor auf McAfee Internet Bereichs und Model auf McAfee Firewall Enterprise festgelegt sind fs_nsm Kennzeichnung f r Securi
607. t siehe Arbeiten mit dem Abfragen Assistenten Steuerungsleiste anzeigen Legen Sie fest ob die Steuerungsleiste unten in der Komponente angezeigt werden soll Seitengr e Legen Sie fest wie viele Datens tze pro Seite angezeigt werden wenn mehr Daten vorhanden sind als auf einmal angezeigt werden k nnen Wert Andere anzeigen Wenn diese Option ausgew hlt ist wird unten in einer Diagramm oder Listenkomponente der Wert Andere angezeigt Dieser entspricht der Gesamtzahl aller Datens tze die auf der aktuellen Seite nicht angezeigt werden Wenn Sie beispielsweise Seite 2 eines Datensatzes anzeigen entspricht die Kategorie Andere der Summe der Werte von Seite 1 und allen Seiten nach Seite 2 Legende anzeigen Zeigen Sie unter oder rechts neben einem Kreisdiagramm eine Legende an Werte anzeigen Schlie en Sie die Werte f r jedes Element eines Balkendiagramms ein McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Arbeiten mit ESM Ansichten Option Beschreibung Beschriftungen anzeigen Schlie en Sie f r jeden Balken eines Balkendiagramms eine Beschriftung ein Sie k nnen festlegen wie viele Zeichen maximal in einer Beschriftung angezeigt werden k nnen Wenn die Anzahl auf O festgelegt ist gibt es kein H chstlimit f r die Beschriftung Durchschnittswerte der W hlen Sie aus ob die aktuellen Daten mit historischen Daten in einem Basislin
608. t mit einer niedrigeren Version als 8 3 X exportiert wurden verf gen nicht ber Informationen zum Kommunikationsmodell der Version 8 4 0 Beim Durchf hren des Upgrades mussten Sie den Authentifizierungsschl ssel f r das O Ger t erneut festlegen Um Zugriff auf Ger te mit Version 9 0 0 oder h her zu erhalten m ssen Sie den Schl ssel f r dieses Ger t von einem ESM Ger t mit Version 8 5 0 oder h her erneut exportieren Achten Sie darauf alle f r das Ger t erforderlichen Berechtigungen festzulegen beispielsweise die Berechtigung Virtuelle Ger te konfigurieren Geben Sie ein Kennwort f r das Ger t ein und klicken Sie dann auf Weiter Die Kommunikation zwischen dem ESM Ger t und dem anderen Ger t wird getestet und der Verbindungsstatus wird gemeldet 36 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Verwalten von Ger ten Informationen zu Ger teschl sseln F r die Kommunikation zwischen ESM und einem Ger t muss die gesamte Kommunikation mit dem Kommunikationsschl ssel verschl sselt werden der beim Festlegen des Schl ssels f r das Ger t erstellt wird Es wird empfohlen alle Schl ssel in eine alternative mit einem Kennwort verschl sselte Datei zu exportieren Diese k nnen dann importiert werden um im Notfall die Kommunikation mit einem Ger t wiederherzustellen oder einen Schl ssel auf ein anderes Ger t zu exportieren Alle Einstellungen werden auf dem ESM Ger t ges
609. t und Option definiert Auf manche Stichw rter folgt keine Option msg Erforderlich Die Nachricht die der Regel zugeordnet werden soll Dabei handelt es sich um die Zeichenfolge die in ESM Thin Client zu Berichterstellungszwecken angezeigt wird sofern sie nicht durch eine mit pcre setparm entdeckte Nachricht berschrieben wird siehe unten Der erste Teil von msg ist der Kategoriename gefolgt von der eigentlichen Nachricht msg Kategorie der Regelnachricht McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 105 106 Konfigurieren von ESM Konfigurieren von Ger ten Abschnitt Feld Beschreibung content Optional eines oder mehr Beim Inhaltsstichwort handelt es sich um einen Qualifizierer ohne Platzhaltertext zum Vorfiltern von Ereignissen die den Regelsatz passieren Kann auch Leerzeichen enthalten beispielsweise content Suche 1 content etwas anderes procname Auf vielen UNIX und Linux Systemen ist der Prozessname und die Prozess ID Teil eines standardisierten Syslog Nachrichten Headers Mit dem Stichwort procname k nnen Sie Ereignis bereinstimmungen f r die Regel filtern Wird verwendet um Ereignis bereinstimmungen auszuschlie en oder zu filtern bei denen zwei Prozesse auf einem Linux oder UNIX Server diesen oder einen hnlichen Nachrichtentext aufweisen adsid Die Datenquellen ID die verwendet werden soll Mit diesem Wert wird die Standardregelzuweisung im Da
610. t werden siehe Hinzuf gen einer Hadoop HBase Watchlist Sie k nnen beispielsweise in Alarme einflie en die ausgel st werden wenn in neuen Ereignissen Werte aus der Watchlist gefunden werden Hinzuf gen einer berwachungsliste F gen Sie eine berwachungsliste zum ESM Ger t hinzu damit Sie sie als Filter oder in einer Alarmbedingung verwenden k nnen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 299 300 Arbeiten mit Ereignissen Arbeiten mit ESM Ansichten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Sie haben folgende M glichkeiten auf die Seite Watchlists zuzugreifen Klicken Sie in der ESM Konsole auf das Schnellstartsymbol f r Watchlists E e Klicken Sie in der Systemnavigationsstruktur auf die Option Systemeigenschaften und dann auf Watchlists In der Tabelle Watchlists werden alle im System vorhandenen Watchlists angezeigt B sartige GTI IPs und Verd chtige GTI IPs werden in der Tabelle angezeigt enthalten jedoch nur dann Daten wenn Sie eine Lizenz f r McAfee GTI von McAfee erworben haben Wenn Sie eine Lizenz erwerben m chten wenden Sie sich an einen McAfee Vertriebsingenieur oder an den McAfee Support 2 Klicken Sie auf Hinzuf gen und geben Sie dann die erforderlichen Informationen ein 3 Klicken Sie auf OK um die neue Watchlist zur Tabelle Watchlists hinzuzuf gen Siehe auch McAfee GTI Watchlist auf Seite 300
611. tegorie im Richtlinien Editor definiert haben Die Standardwerte f r diese Variablen m ssen f r Ihren Netzwerkverkehr nicht zwangsl ufig sinnvoll sein Daher haben Sie im Assistenten zur Entdeckung von ratenbasierten Anomalien die M glichkeit Diagramme der Netzwerk Flussdaten in Bezug auf diese Parameter zu analysieren siehe Assistent zur Entdeckung von Anomalien Firewall Ausnahmen Firewall Ausnahmen sind manchmal notwendig wenn Sie zulassen m chten dass bestimmte Verkehrstypen die ansonsten blockiert w rden die Firewall passieren Wenn beispielsweise eine g ltige interne Adresse von einem externen Netzwerk z B einem VPN kommt wird eine Warnung zu eingehenden Bogons ausgel st Um die Warnung zu verhindern m ssen Sie eine Ausnahme f r die Firewall Regel einrichten Sie k nnen auch ausw hlen dass eine Ausnahme als Ausnahme von den in anderen Ausnahmen definierten Mustern behandelt werden soll Dabei erstellen Sie eine Ausnahme f r die Ausnahmeliste mit anderen Worten Sie f gen eine Adresse oder einen Adressblock hinzu Wenn eine Adresse anhand einer Firewall Regel berpr ft werden muss und die IP Adresse in einem bereits akzeptierten Adressblock enthalten ist k nnen Sie die Adresse von der Ausnahmeliste ausschlie en Dazu geben Sie die IP Adresse oder Maske ein und w hlen das Feld aus Beispiel Die Ausnahmeliste enth lt bereits den Adressblock 10 0 0 0 24 Alle Adressen in diesem Bereich stellen eine Ausnahme v
612. temnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Ereignisse Fl sse und Protokolle Ereignisse und Protokolle oder Protokolle 3 Richten Sie die Downloads ein und klicken Sie dann auf Anwenden Definieren von Geolocation und ASN Einstellungen ber Geolocation erhalten Sie den tats chlichen geografischen Standort von mit dem Internet verbundenen Computern ASN Autonomous System Number ist eine Zahl die einem autonomen System zugewiesen wird und jedes Netzwerk im Internet eindeutig identifiziert Mithilfe dieser beiden Datentypen k nnen Sie den physischen Standort einer Bedrohung identifizieren Daten f r Quell und Ziel Geolocation k nnen f r Ereignisse erfasst werden McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Verwalten von Ger ten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Ereignisse Fl sse und Protokolle oder Ereignisse und Protokolle und dann auf Geolocation 3 W hlen Sie die entsprechenden Optionen zum Generieren der gew nschten Informationen aus und klicken Sie dann auf OK Anhand dieser Informationen k nnen Sie Ereignisdaten filtern Aggregieren von Ereignissen oder Fl ssen Ein Ereignis oder Fluss kann theo
613. tems Cach amp Endzeit Abschlusszeitstempel f r das Ende der Abfrage MSSQL Oracle DB2 Sybase MySQL Informix PostgreSQL Teradata PIServer InterSystems Cach Fehlermeldung Enth lt den Nachrichtentext der den Variablen SQLCODE und SQLSTATE in der SQLCA Datenstruktur SQL Communication Area zugeordnet ist und Informationen zum Erfolg oder Fehlschlagen der angeforderten SQL Anweisungen enth lt DB2 Informix Nachrichtennummer Eine eindeutige Nachrichtennummer die jedem Fehler vom Datenbank Server zugewiesen wird MSSQL Oracle Sybase MySQL Informix PostgreSQL Teradata InterSystems Cach Nachrichtenschweregrad Zahl f r den Schweregrad zwischen 10 und 24 die Typ und Schweregrad des Problems angibt MSSQL Sybase Informix zur ck an den Client Antwortzeit Antwortzeit des Servers Nachrichtentext Vollst ndiger Text der Nachricht MSSQL Oracle Sybase MySQL Informix PostgreSQL Teradata InterSystems Cach Netzwerkzeit Zeitbedarf f r das Senden des Ergebnissatzes MSSQL Oracle DB2 Sybase MySQL Informix PostgreSQL Teradata PIServer InterSystems Cach NT Client Name Name des Windows Computers ber den sich MSSQL der Benutzer angemeldet hat NT Dom nenname Name der Windows Dom ne aus der sich der MSSQL Benutzer angemeldet hat NT Benutzername Anmeldename des Windows Benutzers MSSQL Objektname MSSQL Oracle DB2 Sybase MySQL Informi
614. ten aus und klicken Sie dann auf Ereignisweiterleitung 2 Klicken Sie auf Einstellungen und legen Sie dann die Optionen fest 3 Klicken Sie auf OK McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 261 7 Arbeiten mit Ereignissen Ereignisse Fl sse und Protokolle Hinzuf gen von Ereignisweiterleitungsfiltern Richten Sie Filter ein um die Ereignisdaten zu begrenzen die an einen Syslog oder SNMP Server auf dem ESM weitergeleitet werden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Ereignisweiterleitung 2 Klicken Sie auf Hinzuf gen und dann auf Ereignisfilter 3 F llen Sie die Filterfelder aus und klicken Sie dann auf OK Bearbeiten von Einstellungen f r Ereignisweiterleitungsfilter ndern Sie gespeicherte Filtereinstellungen f r die Ereignisweiterleitung Bevor Sie beginnen Wenn Sie einen Ger tefilter bearbeiten ben tigen Sie Zugriff auf alle Ger te im Filter Informationen zum Aktivieren des Zugriffs auf die Ger te finden Sie unter Einrichten von Benutzergruppen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Ereignisweiterleitung 2 Klicken Sie auf
615. tenquellen Editor berschrieben sid Signatur ID der Regel Dies ist die bereinstimmungs ID die in ESM Thin Client verwendet wird sofern sie nicht durch eine mit pcre setparm entdeckte SID berschrieben wird rev Regelrevision Wird zum Verfolgen von nderungen verwendet Schweregrad Ein Wert zwischen 1 niedrigster Schweregrad und 100 h chster Schweregrad der Ereignissen zugewiesen wird die mit der Regel bereinstimmen pcre Das PCRE Stichwort wird f r den Vergleich eingehender Ereignisse mithilfe eines PCRE Ausdrucks Perl Compatible Regular Expression verwendet Der PCRE Ausdruck wird durch Anf hrungszeichen getrennt und alle Vorkommen von werden als normales Zeichen behandelt Inhalte in Klammern sind f r das Stichwort setparm reserviert Das PCRE Stichwort kann mit den Stichw rtern nocase nomatch raw und setparm ge ndert werden nocase Bewirkt dass der PCRE Inhalt unabh ngig von der Gro Kleinschreibung verglichen wird nomatch Kehrt die PCRE bereinstimmung um entspricht in Perl raw Vergleicht den PCRE Ausdruck mit der gesamten Syslog Nachricht einschlie lich der Header Daten Einrichtung Daemon Datum Host IP Prozessname und Prozess ID Normalerweise wird der Header bei der PCRE bereinstimmung nicht verwendet setparm Kann mehrmals vorkommen Jedem Satz von Klammern im PCRE Ausdruck wird in der Reihenfolge des Vorkommens eine Nummer zugew
616. teria und FIPS Vorschriften einhalten m ssen sollten Sie ESM nicht auf diese Weise aktualisieren Zertifizierte Aktualisierungen erhalten Sie vom McAfee Support Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf die Ger teoption Verwaltung Ger t aktualisieren 3 W hlen Sie in der Tabelle eine Aktualisierung aus oder klicken Sie auf Durchsuchen um die Aktualisierung auf dem lokalen System zu suchen Das Ger t wird mit der aktualisierten Softwareversion neu gestartet McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 45 46 Konfigurieren von ESM Verwalten von Ger ten Eingeben von Linux Befehlen f r ein Ger t Mit der Option Terminal k nnen Sie Linux Befehle auf einem Ger t eingeben Diese Funktion ist f r fortgeschrittene Benutzer gedacht und darf nur in Notf llen unter Anleitung von Mitarbeitern des McAfee Supports verwendet werden Diese Option ist nicht FIPS konform und ist im FIPS Modus deaktiviert Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf die Ger teoption Verwaltung Terminal 3 Geben Sie das Syste
617. terkarte LDAP 3 F llen Sie die Felder aus und klicken Sie dann auf Anwenden oder auf OK Wenn die Option aktiviert ist m ssen sich alle Benutzer mit Ausnahme des Systemadministrators ber den LDAP Server authentifizieren Wenn die Authentifizierung deaktiviert ist k nnen Benutzer die f r die LDAP Authentifizierung eingerichtet sind nicht auf das System zugreifen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 205 Konfigurieren von ESM Sichern und Wiederherstellen von Systemeinstellungen Einrichten von Benutzergruppen Gruppen bestehen aus Benutzern die die Einstellungen der Gruppe erben Beim Hinzuf gen einer Gruppe m ssen Ger te Richtlinien und Berechtigungen zugewiesen werden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Benutzer und Gruppen Hinzuf gen 2 Geben Sie auf den einzelnen Registerkarten die erforderlichen Informationen ein und klicken Sie dann auf OK Die Gruppe wird zur Tabelle Gruppen auf der Seite Benutzer und Gruppen hinzugef gt Hinzuf gen einer Gruppe mit eingeschr nktem Zugriff Um den Zugriff bestimmter Benutzer auf die Funktionen des ESM Ger ts einzuschr nken erstellen Sie eine Gruppe die diese Benutzer enth lt Mit dieser Option schr nkten Sie den Zugriff der Benutzer auf Alarme Fallverwaltung ELM Beric
618. tes Mal enth lt die Uhrzeit 12 00 Uhr den Zeitpunkt der ersten Instanz des Ereignisses das Feld Letztes Mal enth lt die Uhrzeit 12 10 Uhr den Zeitpunkt der letzten Instanz des Ereignisses und das Feld Insgesamt enth lt den Wert 30 Sie k nnen die Standardeinstellungen f r Ereignisse oder die Flussaggregation f r das Ger t insgesamt ndern und f r einzelne Regeln Ausnahmen f r die Einstellungen des Ger ts hinzuf gen siehe Verwalten von Aggregationsausnahmen f r Ereignisse Die dynamische Aggregation ist auch standardm ig aktiviert Wenn sie ausgew hlt ist werden die Einstellungen f r Aggregationsebene 1 ersetzt und die Einstellungen f r Aggregationsebene 2 und Aggregationsebene 3 erh ht Datens tze werden basierend auf der Abrufeinstellung f r Ereignisse Fl sse und Protokolle abgerufen Wenn automatisches Abrufen festgelegt ist wird ein Datensatz nur beim ersten Abruf durch ESM vom Ger t komprimiert Wenn manuelles Abrufen festgelegt ist wird ein Datensatz bis zu 24 Stunden lang komprimiert oder bis zum manuellen Abruf eines neuen Datensatzes je nachdem was zuerst geschieht Wenn das 24 Stunden Limit f r die Komprimierung erreicht ist wird ein neuer Datensatz abgerufen und die Komprimierung beginnt f r diesen neuen Datensatz ndern von Einstellungen f r die Ereignis oder Flussaggregation Ereignisaggregation und Flussaggregation sind standardm ig aktiviert und auf Hoch festgelegt Sie k nnen die Einstellun
619. tet wird Verbindungen ber das TCP IP Protokoll zul ssig sein Die Schritte zum Aktivieren des Protokolls und zum Definieren des f r diese Verbindung verwendeten Ports finden Sie in der Dokumentation f r Microsoft SQL Server der Standardwert lautet Port 1433 Bei der ersten Verbindung zwischen dem Empf nger und der SiteProtector Datenbank werden nach dem aktuellen Zeitpunkt generierte neue Ereignisse abgerufen Bei zuk nftigen Verbindungen werden alle Ereignisse angefragt die seit dem letzten erfolgreich abgerufenen Ereignis aufgetreten sind Die folgenden Informationen werden vom Empf nger aus einem SiteProtector Ereignis extrahiert e Quell und Ziel IP Adressen IPv4 e Ereignisanzahl e Quell und Ziel Ports e VLAN e Protokoll e Schweregrad e Ereigniszeitpunkt e Ereignisbeschreibung Einrichten von Check Point Richten Sie Datenquellen ein die Anbieter 1 Check Point Hochverf gbarkeit und die meisten Check Point Standardumgebungen abdecken Im ersten Schritt f gen Sie die bergeordnete Check Point Datenquelle hinzu siehe Hinzuf gen einer Datenquelle Wenn die bergeordnete Datenquelle nicht als Protokoll Server fungiert und Sie einen dedizierten Protokoll Server verwenden m ssen Sie eine Datenquelle f r den Protokoll Server hinzuf gen F gen Sie au erdem nach Bedarf untergeordnete Datenquellen hinzu In einer Hochverf gbarkeitsumgebung m ssen Sie f r jedes sekund re SMS CMA Ger t eine untergeordnete Datenquel
620. tifizierung 201 Authentifizierungseinstellungen 202 Real Time for McAfee ePO Abfragen von ePO f r Dashboard 170 Ausf hren von Aktionen 167 Redundantes ESM Ger t Einrichten 207 Ersetzen 210 Funktionsweise 209 Speichern der Systemeinstellungen 209 Upgrade 216 Regeln Abrufen von Aktualisierungen 369 Aktualisierung Anmeldeinformationen 23 ndern 363 ndern der Aggregationseinstellungen 373 Anzeigen der Signatur 368 Anzeigen benutzerdefiniert 363 Ausl seereignisse 140 Automatische Aufnahme in die Blacklist 366 Datenquelle 342 Erstellen benutzerdefiniert aus Ereignis 287 Erweiterter Syslog Parser 340 Exportieren 365 Filtern vorhandener 367 Firewall Zugreifen 172 Hinzuf gen eines Alarms 237 Hinzuf gen zu berwachungsliste 371 Importieren 364 Intern 339 Kopieren und Einf gen 363 386 McAfee Enterprise Security Manager 9 5 0 Regeln Fortsetzung L schen des Aktualisierungsstatus 369 L schen benutzerdefiniert 363 Normalisierung 360 Pr prozessor 335 336 Schweregrad 374 Standard Zugreifen 172 Transaktions berwachung Hinzuf gen oder Bearbeiten 358 Typen und Eigenschaften 331 berpr fen auf Aktualisierungen 24 berschreibungsaktion f r heruntergeladene 373 Variablen 332 Vergleichen von Dateien 370 Verlauf Anzeigen von nderungen 370 Windows Ereignisse 343 Regels tze 119 Regul re Ausdr cke Grammatik f r ADM Regeln 146 Reiner Warnungsmodus Aktivieren 362 Richtlinien 361 Remedy Fall ID Festlegen 287 Fa
621. tionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken Klicken Sie auf der Ansichtssymbolleiste auf das Symbol Neue Ansicht erstellen al Klicken Sie dann auf der Symbolleiste zum Bearbeiten von Ansichten auf eine Komponente und ziehen Sie sie an die gew nschte Stelle siehe Ansichtskomponenten 2 Nehmen Sie im Abfragen Assistenten eine Auswahl vor sodass in der Ansicht die anzuzeigenden Daten generiert werden siehe Arbeiten mit dem Abfragen Assistenten Klicken Sie dann auf Fertig stellen Die Daten werden in der hinzugef gten Komponente angezeigt 3 F hren Sie einen oder mehrere der folgenden Schritte aus Aufgabe Vorgehensweise Verschieben der Klicken Sie auf die Titelleiste der Komponente ziehen Sie sie an die Komponente gew nschte Stelle und legen Sie sie ab Standardm iges Anzeigen Klicken Sie auf der Symbolleiste einer Komponente in der von Host Namen anstelle a von IP Adressen IP Adressen angezeigt werden auf das Symbol Hostnamen anzeigen siehe Verwalten von Hostnamen Anpassen der Komponente Klicken Sie auf die Komponente und nehmen Sie nderungen an den Einstellungen im Bereich Eigenschaften vor siehe Anpassen von Komponenten McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 277 278 Arbeiten mit Ereignissen Arbeiten mit ESM Ansichten Aufgabe Vorgehensweise Hinzuf gen weiterer 1 Komponenten zur Ansicht Klicken Sie auf eine Komponente und
622. tokolle eines oder mehrerer ELM Ger te nach Informationen die Sie definieren Wenn die Volltextindizierung aktiviert ist wird die ELM Suche beschleunigt da weniger Dateien durchsucht werden m ssen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 2 W hlen Sie im Ansichtsbereich in der Dropdown Liste die Option Erweiterte ELM Suche aus Wenn mehrere ELM Ger te im System vorhanden sind w hlen Sie die Ger te f r die Suche in der Dropdown Liste neben dem Textfeld aus Geben Sie eine normale Textsuche oder einen regul ren Ausdruck in das Textfeld ein Das Vokabular f r die Volltextindizierung beispielsweise XOR und NOT wird in diesem Feld nicht unterst tzt Die Operatoren AND und OR werden unterst tzt Wenn Sie einen anderen Zeitraum als Aktueller Tag verwenden m chten w hlen Sie diesen in der Dropdown Liste aus W hlen Sie in der Systemnavigationsstruktur die zu durchsuchenden Ger te aus W hlen Sie bei Bedarf eine oder mehrere der folgenden Optionen aus e Gro Kleinschreibung ignorieren Die Gro Kleinschreibung wird bei der Suche ignoriert e Regul rer Ausdruck Der Begriff im Suchfeld wird als regul rer Ausdruck behandelt e Enth lt NICHT den Suchbegriff Gibt bereinstimmungen zur ck die den Begriff im Suchfeld nicht enthalten Klicken Sie auf Suchen Die Ergebnisse werden im Abschnitt Suchergebnisse der Ansicht angezeigt F
623. tomatisch erlernte Datenquellenregeln Verwalten 343 Automatische Aufnahme in die Blacklist Konfigurieren 174 Automatische Aufnahme in die Blacklist Regeln 366 Automatisches Erstellen von Datenquellen 79 Automatisches Erstellen von Datenquellen Regeln Hinzuf gen 80 Automatisches Lernen von Datenquellen Einrichten 99 Bearbeiten eines ausgel sten Alarms 275 Bedingung Hinzuf gen Bericht 265 Bedrohungen Aktivieren oder Deaktivieren f r Risikoberechnung 326 Anzeigen von Details 326 Bedrohungsverwaltung 325 Begriffstypen f r ADM Regeln 149 Produkthandbuch Beibehaltung Einrichten von Datenlimits 197 Benachrichtigung Konfigurieren SNMP 43 Benutzer Arbeiten mit 199 Authentifizieren gegen ber LDAP Server 205 Deaktivieren 205 Erneutes Aktivieren 205 Hinzuf gen 200 Hinzuf gen der CAC Anmeldung 203 Standardname 21 Benutzerdefiniert Typfilter 303 Benutzerdefinierte Anzeige Hinzuf gen Bearbeiten L schen 26 54 Benutzerdefinierte ASP Regeln Hinzuf gen 341 Benutzerdefinierte Datenquellentypen 99 Benutzerdefinierte Regeln Anzeigen 363 Benutzerdefinierte Typen Erstellen 305 Hinzuf gen Uhrzeit 309 Name Wert 309 Vordefiniert 305 Benutzerdefinierte Typen Uhrzeit Hinzuf gen 309 Benutzerdefinierter Typ Hinzuf gen einer Name Wert Gruppe 309 Benutzeridentifizierung Hinzuf gen einer Regel 161 Verwalten 160 Bericht Verwalten von Abfragen 215 216 Berichte Abfragen von ePO Ger ten 169 Alarmwarteschlange 250
624. tomatische berpr fung alle auf 2 Aktualisieren Sie das prim re ESM Ger t 3 Aktualisieren Sie das redundante ESM Ger t Wenn Redundanzdateien zu verarbeiten sind beansprucht der Vorgang mehr Zeit 4 Aktivieren Sie die Erfassung von Warnungen Fl ssen und Protokollen indem Sie erneut Automatische berpr fung alle ausw hlen Wenn die Aktualisierung fehlschl gt finden Sie weitere Informationen unter Aktualisieren auf Version 9 3 216 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Verwalten des ESM Ger ts Zugreifen auf ein Remote Ger t Wenn ein Ger t an einem Remote Standort eingerichtet ist k nnen Sie mithilfe der Option Terminal Linux Befehle ausf hren um das Ger t anzuzeigen Diese Funktion ist f r fortgeschrittene Benutzer gedacht und darf nur in Notf llen unter Anleitung von Mitarbeitern des McAfee Supports verwendet werden 7 Diese Option ist nicht FIPS konform und ist im FIPS Modus deaktiviert Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf ESM Verwaltung 2 Klicken Sie auf der Registerkarte Wartung auf Terminal 3 Geben Sie das Systemkennwort ein und klicken Sie dann auf OK 4 Geben Sie nach Bedarf Linux Befehle ein und exportieren Sie den Inhalt zum Speichern in eine Datei Ergebnisse die
625. treffend Syslog UserDefined7_ Generic 49197 Benutzerdefiniert 8 Nicht zutreffend Syslog UserDefined8_ Generic 49198 Benutzerdefiniert 9 Nicht zutreffend Syslog UserDefined9_ Generic 49199 Benutzerdefiniert 10 Nicht zutreffend Syslog UserDefined10_ Generic Unterst tzte Datenquellen McAfee f gt regelm ig Unterst tzung f r neue Datenquellen hinzu Auf Empf ngern sind maximal 2000 200 oder 50 Datenquellen m glich Informationen zum Anzeigen einer Liste der zurzeit unterst tzten Datenquellen finden Sie unter https kc mcafee com corporate index page content amp id PD25060 Diesen Ger ten k nnen 2 000 Datenquellen zugeordnet werden e ERC 1225 e ENMELM 5600 e ERC 1250 e ENMELM 5750 e ERC 2230 e ENMELM 6000 e ERC 2250 e ELMERC 2230 e ERC 2600 e ELMERC 2250 e ERC 3450 e ELMERC 2600 e ERC 4245 e ELMERC 4245 e ERC 4600 e ELMERC 4600 100 ENMELM 2250 ENMELM 4245 ENMELM 4600 ENMELM 5205 ESMREC 4245 ESMREC 5205 ESMREC 5510 Beim Modell ERC 110 sind nur 50 Datenquellen zul ssig bei allen anderen maximal 200 Die Datenquellenbereiche sind wie folgt zugeordnet Datenquellentypen 1 48 999 Benutzerdefinierte Typen 49 001 49 999 F r McAfee reserviert beispielsweise Regels tze 50 001 65 534 Wenn Sie McAfee Firewall Enterprise Event Reporter ERU verwenden sind nur McAfee Datenquellen verf gbar McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren
626. ttel niedrig angezeigt Da in diesen F llen der Schweregrad nicht aufgezeichnet werden kann m ssen Sie eine Zuordnung erstellen Im folgenden Beispiel sehen Sie eine Nachricht von McAfee IntruShield in der der Schweregrad in Textform angezeigt wird lt 113 gt Apr 21 07 16 11 SyslogAlertForwarder Attack NMAP XMAS Probe Medium 000 Die Syntax f r eine Regel mit Zuordnung des Schweregrads w rde so aussehen die Schweregradzuordnung ist nur zur Hervorhebung fett formatiert alert any any any gt any any msg McAfee Traffic content syslogalertforwarder severity_map High 99 Medium 55 Low 10 pcre SyslogAlertForwarder x3a stAttack s x27 x27 x28 x28 raw setparm application 1 setparm msg 2 setparm severity 3 adsid 190 rev l severity_map High 99 Medium 55 Low 10 Damit wird der Text einer Zahl in einem Format zugeordnet das Sie verwenden k nnen setparm severity 3 Dies bedeutet dass die dritte Aufzeichnung auf den Schweregrad festgelegt werden soll Alle setparm Modifizierer funktionieren auf diese Weise e action_map Wird wie der Schweregrad verwendet Die Aktion entspricht der Aktion die vom Drittanbieterger t ausgef hrt wurde Mithilfe der Aktion soll eine f r den Endbenutzer hilfreiche Zuordnung erstellt werden Hier ist ein Beispiel f r eine Nachricht von OpenSSH zu fehlgeschlagenen Anmeldungen Dec 6 10 27 03 nina sshd 24259 Failed password for root from 10 0 12 20 port 49547 s
627. tware Monitor Alle Hoch Systemintegrit t ausgef hrtes fremdes Nicht ISO Programm oder ein entsprechender Prozess wird gekennzeichnet Warnung zur Status nderung 306 50014 Der Prozess der Software Monitor Alle Mittel der Systemprotokollierung Systemprotokollierung wurde angehalten oder gestartet Der Task Abfrage wurde 306 54 Der Task Manager wurde Software Monitor ESM Niedrig beendet geschlossen Warnung zum freien 306 50003 In der tempor ren Partition Software Monitor Alle Mittel Speicherplatz in der tmp ist wenig Speicherplatz tempor ren Partition vorhanden Warnung zur Status nderung 306 50052 Der textparser Prozess wurde Software Monitor Empf nger Mittel des Textprotokoll Parsers angehalten oder gestartet nderung an Benutzerkonto 306 14 Das Benutzerkonto wurde Software Monitor ESM Niedrig ge ndert Fehler bei der 306 50079 Die Anmeldung des Software Monitor ESM Niedrig Benutzeranmeldung beim Ger t SSH Benutzers ist fehlgeschlagen Benutzeranmeldung beim Ger t 306 50017 Wird im System nicht Software Monitor ESM Niedrig verwendet Benutzerabmeldung beim Ger t 306 50078 Der SSH Benutzer hat sich Software Monitor ESM Niedrig abgemeldet Benutzeranmeldung 306 11 Der Benutzer hat sich beim Software Monitor ESM Niedrig System angemeldet Benutzerabmeldung 306 12 Der Benutzer hat sich beim Software Monitor ESM Niedrig System abgemeldet Warnung zum Status des 306 50043 Das VA Modul vaded pl wurde Software Monitor Empf nger Mitte
628. ty Optional wenn flat file support und Vendor auf Juniper Manager Networks festgelegt sind und Model auf Netscreen Firewall Security Manager oder Netscreen IDP festgelegt ist Standardwert no fs_autolearn Unterst tzung f r Optional wenn flat file support und Retrieval auf gsyslog generisches Syslog festgelegt sind G ltige Werte T F COUNT Standardwert F fs_type Zuweisung generischer Erforderlich wenn autolearn T anderenfalls Regeln optional Standardwert 49190 fs_binary Standardwert no fs_protocol Standardwert Wird verwendet wenn parser auf Default und collector auf nfs File Source festgelegt ist fs_delete_files Tabelle 3 16 sql_ms Felder ab Spalte EH Spalte Beschreibung Details sql_ms_port Standardwert 1433 sql_ms_userid Erforderlich sql_ms_password Erforderlich sql_ms_dbname Datenbankname McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Tabelle 3 17 nas Feld Spalte EL Spalte Beschreibung Details nas_type Standardwert 49190 Benutzerdefiniert 1 Dieses Feld wird nur f r McAfee PluginProtocol Datenquellen verwendet Tabelle 3 18 ipfix Feld Spalte EM Spalte Beschreibung Details ipfix_transport Erforderlich G ltige Werte TCP und UDP TCP ist der Standardwert Tabelle 3 19 snmp Felder ab Spalte EN Spalte Beschreibung Details snmp_authpass Authentifizierungsken
629. tzer den Benutzernamen und das Kennwort die Sie hinzugef gt haben Deaktivieren oder erneutes Aktivieren eines Benutzers Wenn die Anzahl der zul ssigen fehlgeschlagenen Anmeldeversuche innerhalb des unter Anmeldesicherheit festgelegten Zeitraums berschritten ist k nnen Sie das Konto mit dieser Funktion erneut aktivieren Sie k nnen die Funktion auch verwenden wenn Sie den Zugriff eines Benutzers vor bergehend oder dauerhaft blockieren m ssen ohne den Benutzer aus dem System zu l schen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur Folgendes aus Systemeigenschaften Benutzer und Gruppen 2 Heben Sie in der Tabelle Benutzer den Benutzernamen hervor und klicken Sie dann auf Bearbeiten 3 W hlen Sie die Option Konto deaktivieren aus oder heben Sie ihre Auswahl auf und klicken Sie dann auf OK Das Symbol neben dem Benutzernamen unter in Benutzer und Gruppen spiegelt den Status des Kontos wider Authentifizieren von Benutzer gegen ber einem LDAP Server Sie k nnen ESM so konfigurieren dass Benutzer gegen ber einem LDAP Server authentifiziert werden Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Anmeldesicherheit 2 Klicken Sie auf die Regis
630. tzerdefinierte Typen hinzuf gen bearbeiten oder entfernen sowie exportieren und importieren Auf der Seite Bearbeiten k nnen Sie den Namen ndern Bei einem benutzerdefinierten Datentyp k nnen Sie au erdem die Einstellungen f r Untertypen ndern Exportieren oder Importieren benutzerdefinierter Typen Wenn Sie benutzerdefinierte Typen exportieren werden alle an den ausgew hlten Speicherort exportiert Wenn Sie eine Datei mit benutzerdefinierten Typen importieren werden die aktuellen benutzerdefinierten Typen im System durch die importierten Daten ersetzt Benutzerdefinierte Abfragen Wenn Sie eine benutzerdefinierte Abfrage f r eine Ansicht einrichten werden die vordefinierten benutzerdefinierten Typen bei der Auswahl der Felder f r die Abfrage als Optionen angezeigt Wenn Sie einen benutzerdefinierten Typ als Feld in der Abfrage hinzuf gen fungiert dieser als Filter Wenn die abgefragten Informationen keine Daten f r diesen benutzerdefinierten Typ enthalten wird die Abfragetabelle ohne Ergebnisse zur ckgegeben Dies k nnen Sie verhindern indem Sie das Benutzerfeld Benutzerdefiniertes Feld 1 bis 10 in der Tabellenspalte Ereignisfeld ausw hlen sodass anstelle des benutzerdefinierten Typs die ben tigten Ergebnisse zur ckgegeben werden Beispiel Die Abfrageergebnisse sollen Quellbenutzerdaten enthalten sofern diese vorhanden sind Wenn Sie Quellbenutzer als Abfragefeld ausw hlen fungiert das Feld als Filter und wenn die abg
631. tzwerk ein 3 Klicken Sie auf Anwenden oder OK Aufgaben Einrichten des IPMI Ports in ESM oder auf Ger ten auf Seite 183 Konfigurieren Sie das Netzwerk f r den IPMI Port um IPMI in ESM oder auf den zugeh rigen Ger ten einzurichten e Einrichten der Steuerung des Netzwerkverkehrs in ESM auf Seite 184 Definieren Sie einen H chstwert f r die Datenausgabe f r ESM e Einrichten von DHCP auf Seite 185 Mithilfe von DHCP Dynamic Host Configuration Protocol werden in IP Netzwerken Konfigurationsparameter wie beispielsweise IP Adressen f r Schnittstellen und Dienste dynamisch verteilt e Einrichten von DHCP in einem VLAN auf Seite 186 Mithilfe von DHCP Dynamic Host Configuration Protocol werden in IP Netzwerken Konfigurationsparameter wie beispielsweise IP Adressen f r Schnittstellen und Dienste dynamisch verteilt McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von zus tzlichen Diensten Verwalten von Netzwerkschnittstellen Die Kommunikation mit einem Ger t kann ber die ffentlichen und privaten Schnittstellen der Datenverkehrspfade erfolgen Dies bedeutet dass das Ger t im Netzwerk nicht sichtbar ist da es keine IP Adresse ben tigt Verwaltungsschnittstelle Netzwerkadministratoren k nnen alternativ eine Verwaltungsschnittstelle mit einer IP Adresse f r die Kommunikation zwischen ESM und dem Ger t konfigurieren F r die folgenden Funktionen eines Ger ts muss
632. u protokollierenden Ereignistypen aus 3 Klicken Sie auf OK Ereignistypen Die folgenden Ereignisprotokolltypen werden auf dem ESM Ger t generiert Ereignistyp Protokollierte Ereignisse Authentication Anmeldung Abmeldung und nderungen an Benutzerkonten Um die Compliance mit FIPS Vorschriften zu gew hrleisten ist Authentifizierungsmodus immer auf Keine festgelegt Sicherung Prozess der Datenbanksicherung Blacklist Hierbei handelt es sich um Blacklist Eintr ge die an das Ger t gesendet werden Ger t nderungen oder Kommunikation bez glich des Ger ts wie der Erhalt von Warnungen Fl ssen oder Protokollen Ereignisweiterleitung nderungen oder Fehler im Zusammenhang mit der Ereignisweiterleitung Integrit ts berwachung Ereignisse im Zusammenhang mit dem Ger testatus Benachrichtigungen nderungen oder Fehler im Zusammenhang mit Benachrichtigungen Richtlinie Richtlinienverwaltung und Anwenden von Richtlinien Regel Server Download von Regeln vom Regel Server und berpr fung der Regeln Im FIPS Modus sollten Regeln nicht ber den Regel Server aktualisiert werden System nderungen an Systemeinstellungen und Protokollierung des Tabellen Rollovers Ansichten nderungen an Ansichten und Abfragen Maskieren von IP Adressen Sie k nnen ausw hlen dass bestimmte Daten in Ereignisdatens tzen die bei der Ereignisweiterleitung gesendet werden oder an ein bergeordnetes ESM Ger t
633. ualisieren ME berpr fen auf Ereignisse Fl sse und Protokolle Sie k nnen festlegen dass die berpr fung auf Ereignisse Fl sse und Protokolle vom ESM Ger t automatisch ausgef hrt wird oder Sie k nnen die berpr fung manuell ausf hren Die H ufigkeit der berpr fung h ngt vom Ausma der Aktivit ten in Ihrem System ab und davon wie oft Sie Statusaktualisierungen erhalten m chten Sie k nnen auch festlegen auf welchen Ger ten welche Informationsarten berpr ft werden sollen und die Einstellungen f r den Schwellenwert f r Inaktivit t f r die vom ESM Ger t verwalteten Ger te festlegen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 255 256 Arbeiten mit Ereignissen Ereignisse Fl sse und Protokolle Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf Ereignisse Fl sse und Protokolle 2 W hlen Sie die entsprechenden Optionen f r den Abruf von Ereignissen Fl ssen und Protokollen aus und nehmen Sie gegebenenfalls nderungen vor 3 Klicken Sie auf OK Siehe auch Definieren der Einstellungen f r den Schwellenwert f r Inaktivit t auf Seite 255 Definieren von Geolocation und ASN Einstellungen ber Geolocation erhalten Sie den tats chlichen geografischen Standort von mit dem Internet verbundenen Computern ASN Autonomous
634. uchvorg nge l schen damit die neue Suche ausgef hrt McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 135 3 Konfigurieren von ESM Konfigurieren von Ger ten werden kann Wenn keine Suchvorg nge vorhanden sind l scht der Systemadministrator vorhandene von anderen Benutzern initiierte Suchvorg nge oder Integrit tspr fungsauftr ge damit Ihre Suche ausgef hrt werden kann Eine initiierte Suche wird ausgef hrt bis sie abgeschlossen ist oder eines der festgelegten Limits erreicht ist Dies gilt auch wenn Sie die Seite Daten schlie en Sie k nnen zu diesem Bildschirm zur ckkehren um den Status der Suche zu berpr fen der in der Tabelle Suchergebnisse angezeigt wird Erstellen eines Suchauftrags Zum Durchsuchen des ELM Ger ts nach Dateien die Ihren Kriterien entsprechen m ssen Sie auf der Seite Daten einen Suchauftrag definieren Keines der Felder auf diesem Bildschirm ist erforderlich Je genauer Sie jedoch die Suche definieren umso wahrscheinlicher k nnen Sie die ben tigten Daten in k rzestm glicher Zeit abrufen Die Geschwindigkeit der ELM Suche wurde in Version 9 2 0 erh ht Damit diese Steigerung beim Durchf hren eines Upgrades von Versionen vor 9 2 0 auf Versionen nach 9 2 0 wirksam wird m ssen Sie das FTI System Full Text Indexer Volltextindizierung aktivieren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Syste
635. uf das Volume Nun k nnen Sie das formatierte SAN Volume als Speicherger t f r die ELM Speicherung einrichten Zuweisen eines DAS Ger ts zum Speichern von Daten Sie k nnen verf gbare DAS Ger te f r die Speicherung von ELM Daten zuweisen Bevor Sie beginnen Richten Sie DAS Ger te ein McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 129 130 Konfigurieren von ESM Konfigurieren von Ger ten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das ELM Ger t aus dem Sie das DAS Ger t zuweisen m chten und klicken Sie dann auf das Symbol Eigenschaften ES Bei einem All in One Ger t k nnen Sie das DAS Ger t dem ESM Ger t zuweisen indem Sie das ESM Ger t ausw hlen und dann auf das Symbol Eigenschaften klicken 2 Klicken Sie auf Datenspeicher und dann auf die Registerkarte DAS In der Tabelle DAS werden die als Speicher verf gbaren Ger te aufgef hrt 3 Klicken Sie in der Tabelle auf eines der Ger te die nicht zum Speichern von ELM oder ESM Daten zugewiesen sind 4 Klicken Sie auf Zuweisen und dann auf der Warnungsseite auf Ja O Ein zugewiesenes Ger t k nnen Sie sp ter nicht ndern Das ELM Ger t wird neu gestartet ELM Redundanz Sie k nnen Redundanz f r die Protokollierung bereitstellen indem Sie ein ELM Standby Ger t zum aktuellen eigenst ndigen ELM Ger t im Syste
636. uf die Komponente ziehen und dort ablegen e Zum Hinzuf gen des Ger ts oder Ordners zu einer Gruppe in der Struktur Logische Ger tegruppierungen klicken Sie auf Hinzuf gen geben Sie einen Namen f r den Ordner ein und klicken Sie auf OK Ziehen Sie dann das Ger t in den Ordner und legen Sie es ab 3 Ordnen Sie die Ger te an Ger te die physisch mit dem System verbunden sind sind mit einer geraden schwarzen Linie mit der Komponente verbunden Blaue oder rote gekr mmte Linien weisen auf einen Datenpfad hin Ger tedetails in Netzwerktopologie Komponenten Sie k nnen bestimmte Ger tedetails in einer Netzwerktopologie Komponente anzeigen wenn Sie auf ein Ger t doppelklicken Auf diesem Bildschirm k nnen Sie Informationen zu Schnittstellen und Endpunkten anzeigen beispielsweise Port Zusammenfassung Gesamtanzahl der Ger te und Status von Ger ten Option Beschreibung Port Zusammenfassung f r Zeigt an welchen Port Sie zurzeit anzeigen Insgesamt Gibt die Gesamtanzahl der Ger te an ber dem Durchschnitt der Basislinie Gibt die Anzahl der Ger te ber dem aktuellen Durchschnitt der Basislinie an Stellt eine Arbeitsstation dar Gibt an dass der Schnittstelle Warnungsdaten zugeordnet sind und dass die Daten den Durchschnitt der Basislinie unterschreiten Gibt an dass der Schnittstelle Warnungsdaten zugeordnet sind und dass die Daten den Durchschnitt der Basislinie berschreiten McA
637. uf die Richtlinie Die Regeln werden im Richtlinien Editor einer Richtlinie im Abschnitt Regelanzeige aufgef hrt Festlegen einer e W hlen Sie das untergeordnete Element aus ziehen Sie es auf das Richtlinie als bergeordnete Element und legen Sie es dort ab untergeordnetes Element einer anderen Richtlinie Sie k nnen nur Ger te auf Richtlinien ziehen und dort ablegen Suchen einer e Geben Sie den Namen in das Suchfeld ein Richtlinie oder eines Ger ts McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 329 10 330 Verwalten von Richtlinien und Regeln Richtlinienstruktur Aufgabe Vorgehensweise Hinzuf gen einer neuen Richtlinie 1 w hlen Sie die Richtlinie aus zu der Sie eine neue Richtlinie hinzuf gen m chten und klicken Sie dann auf das Symbol Men elemente der Richtlinienstruktur gt 2 Klicken Sie auf Neu geben Sie einen Namen f r die Richtlinie ein und klicken Sie dann auf OK Umbenennen einer Richtlinie 1 W hlen Sie die umzubenennende Richtlinie aus und klicken Sie dann auf das Symbol Men elemente der Richtlinienstruktur 2 Klicken Sie auf Umbenennen geben Sie den neuen Namen ein und klicken Sie dann auf OK L schen einer Richtlinie 1 W hlen Sie die zu l schende Richtlinie aus und klicken Sie dann auf das Symbol Men elemente der Richtlinienstruktur 2 Klicken Sie auf L schen und dann auf der Best tigungsseite auf OK Kopieren einer
638. uf einem anderen ESM Ger t zu importieren Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken Klicken Sie auf das Symbol f r Asset Manager E und dann auf Zonenverwaltung 2 Klicken Sie auf Exportieren und w hlen Sie dann den Typ der zu exportierenden Datei aus 3 Klicken Sie auf OK und w hlen Sie die Datei aus die sofort heruntergeladen werden soll Importieren von Zoneneinstellungen Mit der Importfunktion k nnen Sie eine Zonendatei unver ndert importieren oder die Daten vor dem Importieren bearbeiten Bevor Sie beginnen Exportieren Sie eine Datei mit Zoneneinstellungen von einem anderen ESM Ger t um sie auf Ihrem ESM Ger t zu importieren McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 323 324 Arbeiten mit Asset Manager Zonenverwaltung Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 ffnen Sie die Datei mit den Zoneneinstellungen die Sie importieren m chten e Wenn es sich um eine Zonendefinitionsdatei f r den Import handelt enth lt sie acht Spalten Befehl Zonenname Name des bergeordneten Elements Geolocation ASN Standard IPStart und IPStop e Wenn es sich um eine Datei f r den Import eines Ger ts in eine Zonenzuweisungsdatei handelt enth lt sie drei Spalten Befehl Ger tename und Zonenname 2 Geben Sie Befehle in die Spalte Befehl ein um die Aktio
639. ufe Sie k nnen ausw hlen ob Sie eine Ressource bei der Risikoberechnung f r das Unternehmen auf der Registerkarte Ressource im Men Bearbeiten verwenden oder ignorieren m chten Bedrohungsverwaltung Auf der Registerkarte Bedrohungsverwaltung im Asset Manager wird eine Liste mit bekannten Bedrohungen ihrem Schweregrad und dem Anbieter angezeigt Au erdem erfahren Sie ob die Bedrohungen bei der Berechnung des Risikos verwendet werden Sie k nnen bestimmte Bedrohungen aktivieren oder deaktivieren damit sie zum Berechnen des Risikos verwendet bzw nicht verwendet werden Au erdem k nnen Sie die Details f r die Bedrohungen in der Liste anzeigen Zu diesen Details geh ren Empfehlungen f r den Umgang mit der Bedrohung sowie m gliche Gegenma nahmen Vordefinierte Ansichten In drei vordefinierten Ansichten siehe Arbeiten mit ESM Ansichten werden Daten zu Ressourcen Bedrohungen und Risiken zusammengefasst und angezeigt Ressourcenbedrohung bersicht Zeigt die h ufigsten Ressourcen nach Risikofaktor und Bedrohungsstufen nach Risiko an e Aktuelle Bedrohung bersicht Zeigt aktuelle Bedrohungen nach Anbieter Risiko Ressource und verf gbaren Schutzprodukten an e Schwachstelle bersicht Zeigt Schwachstellen nach Bedrohungen und Ressourcen an Auf die Details der einzelnen Elemente in diesen Ansichten k nnen Sie ber die Komponentenmen s zugreifen Benutzerdefinierte Ansichten Im Abfragen Assistenten wurde
640. um Anzeigen von Daten die mit einigen Filterwerten bereinstimmen und mit anderen nicht klicken Sie neben die Felder die Sie ausschlie en m chten or ODER Zum Anzeigen von Daten die mit Filtern f r regul re Ausdr cke oder ODER Filtern bereinstimmen klicken Sie auf dieses Symbol neben den Feldern mit den ODER Werten Die Ansicht enth lt die Daten die mit den Werten in den nicht mit ODER markierten Feldern und mit einem der Werte in den mit ODER markierten Feldern bereinstimmen Sie m ssen mindestens zwei Felder mit ODER markieren damit dieser Filter funktioniert Aa Gro IKleinschreibung ignorieren Um die Gro Kleinschreibung zu ignorieren klicken Sie auf dieses Symbol 4 Zeichenfolgennormalisierung Klicken Sie auf diese Option um normalisierte Zeichenfolgen durch ihre Aliasse zu ersetzen a Filter im Satz anzeigen Klicken Sie auf diese Option um eine Liste der in einem Satz enthaltenen Filter anzuzeigen Wert ersetzen R Klicken Sie auf diese Option um den aktuellen Wert durch den im Wertsatz enthaltenen Wert zu ersetzen Diesen Filter entfernen Klicken Sie auf diese Option um das Filterfeld aus den aktuellen Filtern zu entfernen 298 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Arbeiten mit ESM Ansichten Hinzuf gen von UCF Filtern und Filtern f r Windows Ereignis IDs Eine der Herausforderungen bei der Unterst
641. um freien 306 50005 In den einzelnen Partitionen ist Software Monitor Alle Mittel Speicherplatz in der wenig freier Speicherplatz Datenpartition vorhanden beispielsweise verf gt hada_hd ber 10 freien Speicherplatz Konfigurations nderung f r die 306 6 Die Konfiguration f r die Software Monitor ESM Hoch Datenaufbewahrung Datenaufbewahrung in ESM wurde ge ndert Warnung zum Status der 306 50036 Der Dienst f r die automatische Software Monitor Alle Mittel Datenbank Erkennungsdienste DBM Erkennung wurde angehalten oder gestartet Warnung zur Status nderung 306 50008 Das Modul f r die gr ndliche Software Monitor Alle Mittel der gr ndlichen Paketpr fung Paketpr fung in IPS oder ADM wurde angehalten oder gestartet Der Remote Befehl wurde 306 61 Der Alarm Remote Befehl Software Monitor ESM Niedrig gel scht wurde entfernt Ereignisse wurden gel scht 306 74 Der Benutzer hat Software Monitor ESM Niedrig ESM Ereignisse gel scht Fl sse wurden gel scht 306 75 Der Benutzer hat ESM Fl sse Software Monitor ESM Niedrig gel scht Hinzuf gen eines Ger ts 306 18 Ein neues Ger t wurde zum Software Monitor ESM Niedrig System hinzugef gt L schen eines Ger ts 306 19 Ein vorhandenes Ger t wurde Software Monitor ESM Niedrig aus dem System gel scht Ger t m glicherweise inaktiv 146 2 Ereignis im Zusammenhang mit Software Monitor ESM Niedrig der Netzwerkerkennung aus dem hervorgeht dass ein Ger t m glicherweise inaktiv ist Das Ger
642. und seine Funktionen zu bearbeiten Au erdem k nnen Sie nicht mehr ben tigte Berichtslayouts entfernen Siehe auch Hinzuf gen einer Berichtsbedingung auf Seite 265 Festlegen des Startmonats f r Quartalsberichte auf Seite 264 Hinzuf gen eines Berichtslayouts auf Seite 265 Festlegen des Startmonats f r Quartalsberichte Wenn Sie quartalsweise Berichte ausf hren m ssen Sie den ersten Monat des ersten Quartals definieren Wenn der erste Monat definiert und in der Systemtabelle gespeichert ist werden Berichte quartalsweise auf diesem Startdatum basierend ausgef hrt Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der ESM Konsole die Option Systemeigenschaften aus und klicken Sie dann auf Benutzerdefinierte Einstellungen 2 W hlen Sie im Feld Legen Sie fest welcher Monat verwendet werden soll den Monat aus 3 Klicken Sie auf Anwenden um die Einstellung zu speichern Hinzuf gen eines Berichts F gen Sie Berichte zu ESM hinzu und legen Sie fest dass diese regelm ig in von Ihnen definierten Intervallen oder bei manueller Auswahl ausgef hrt werden Sie k nnen ein vorhandenes Berichtslayout ausw hlen oder mit dem Berichtslayout Editor ein neues Berichtslayout erstellen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systeme
643. ungen 2 2 mn m nn nn 24 ndern der Sprache f r Ereignisprotokolle 2 2 2 u 2 m nn nn 25 Verbinden von Ger ten BE a a A Hinzuf gen von Ger ten zur ESM Konsole DA A O A RA A ZO Ausw hlen eines AnzeigetypS 2 nn nn nn 26 Verwalten benutzerdefinierter Anzeigetypen in ae A A ZO Verwalten einer Gruppe in einem benutzerdefinierten Anz igeiyp muai ee m ee A L schen einer Gruppe oder eines Ger ts aa aaa a 28 L schen doppelter Ger te in der ystemnsvigalionsstmiine go A Ze Konsoleneinstellungen 2 a 2 nn nn 29 ESM Konsole aoa a io piob oa aooe Si ode cani g a ee 29 Arbeiten mit dem Farbdesign f r die Konscle Somi AA A O Ausw hlen von Einstellungen f r die Konsolenansicht 2 2 nn nn nn 30 Festlegen des Zeit berschreitungswerts f r die Konsole 2 2 2 2 2 nn nn nn 30 Ausw hlen von Benutzereinstellungen Be sr O Einrichten von Benutzeranmeldeinformationen f r McAfee ePO en AA 3 Konfigurieren von ESM 33 Verwalten von Ger ten ee en Sa ne Mn Dee ae RAR O Anzeigen der Ger testatistik a S ER IE Tat nr a un SED sah erde Si men aha E Hinzuf gen von Ger ten zur ESM Konsole En SE a A a rs a a e O Informationen zu Ger teschl sseln 2 2 2 nn nn o o 37 Aktualisieren der Software eines Ger ts 2 22 nn nn a 39 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Inhaltsverzeichnis Anordnen
644. ungsmodus ein Aushandlungsproblem auf Die verf gbaren Umgehungsoptionen h ngen vom Typ der Umgehungs Netzwerkkarte im Ger t ab Typ 2 oder Typ 3 Einrichten von Umgehungs Netzwerkkarten Auf IPS Ger ten k nnen Sie Einstellungen f r eine Umgehungs Netzwerkkarte definieren um s mtlichen Verkehr passieren zu lassen ADM und DEM Ger te befinden sich immer im IDS Modus Sie k nnen Typ und Status der Umgehungs Netzwerkkarte anzeigen aber Sie k nnen die Einstellungen nicht ndern Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur ein Ger t aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf Konfiguration Schnittstellen 3 Wechseln Sie auf der Seite Einstellungen f r Netzwerkschnittstellen unten zum Abschnitt Konfiguration f r Umgehungs Netzwerkkarte 4 Sie k nnen Typ und Status anzeigen oder auf einem IPS Ger t die Einstellungen ndern 5 Klicken Sie auf OK Einrichten des IPMI Ports in ESM oder auf Ger ten Sie k nnen den IPMI Port in ESM oder den zugeh rigen Ger ten einrichten Auf diese Weise k nnen Sie verschiedene Aktionen ausf hren e Schlie en Sie die IPMI Netzwerkkarte Network Interface Controller NIC an einen Switch an damit sie f r IPMI Software verf gbar ist e Greifen Sie auf eine IPMI basierte Kernel basierte virtuelle Maschine Kernel Based Virtual Machine
645. uriert haben k nnen Sie einen Rollout f r die Standardrichtlinie der Korrelation ausf hren die Basisregeln in der Standardrichtlinie der Korrelation bearbeiten oder benutzerdefinierte Regeln und Komponenten hinzuf gen und anschlie end einen Rollout f r die Richtlinie ausf hren Sie k nnen die einzelnen Regeln aktivieren oder deaktivieren und die Werte der vom Benutzer definierbaren Parameter f r die einzelnen Regeln festlegen Details zur Korrelationsrichtlinie finden Sie unter Korrelationsregeln Wenn Sie eine Korrelationsdatenquelle hinzuf gen lautet der Anbieter McAfee und das Modell Korrelationsmodul Wenn die Korrelationsdatenquelle aktiviert ist werden vom ESM Ger t Warnungen an das Korrelationsmodul auf dem Empf nger gesendet McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Zuordnung von Schweregraden und Aktionen Die Parameter f r Schweregrade und Aktionen unterscheiden sich geringf gig in der Verwendung Das Ziel besteht darin einen Wert aus der Syslog Nachricht einem Wert zuzuordnen der sich in das Schema des Systems einf gt e severity_map Der Schweregrad wird als Wert zwischen 1 niedrigster Schweregrad und 100 h chster Schweregrad angezeigt der den mit der Regel bereinstimmenden Ereignissen zugewiesen wird In manchen F llen wird der Schweregrad auf dem Ger t von dem die Nachricht gesendet wird als Zahl von 1 bis 10 oder als Text hoch mi
646. us DEM Datenzugriff 2 F hren Sie einen der folgenden Schritte aus e Zum Hinzuf gen einer neuen Regel w hlen Sie Neu aus und klicken Sie dann auf Datenzugriffsregel e Zum Bearbeiten einer Regel w hlen Sie die Regel im Regelanzeigebereich aus und klicken Sie dann auf Bearbeiten ndern 3 Geben Sie die Informationen ein und klicken Sie dann auf OK Hinzuf gen oder Bearbeiten einer Transaktions berwachungsregel Mit Transaktions berwachungsregeln k nnen Sie Datenbanktransaktionen verfolgen und nderungen automatisch abgleichen sowie Start und Ende einer Handelsausf hrung oder Begin und Commit Anweisungen protokollieren um Berichte nach Transaktionen anstelle von Abfragen zu erstellen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie im Richtlinien Editor Folgendes aus DEM Transaktions berwachung 2 F hren Sie einen der folgenden Schritte aus e Zum Hinzuf gen einer neuen Regel klicken Sie auf Neu und dann auf Transaktions berwachungsregel e Zum Bearbeiten einer Regel w hlen Sie die Regel im Regelanzeigebereich aus und klicken Sie dann auf Bearbeiten ndern 3 Geben Sie die Informationen ein und klicken Sie dann auf OK Verwalten benutzerdefinierter ADM Regeln DEM Regeln oder Korrelationsregeln Kopieren Sie eine vordefinierte Regel und verwenden Sie diese als Vorlage f r eine benutzerdefinierte Regel Beim Hinzuf gen einer be
647. utzern ausgef hrt werden deren Benutzernamen kein Leerzeichen enthalten McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von zus tzlichen Diensten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf SNMP Konfiguration 2 Geben Sie auf den Registerkarten SNMP Anfragen und SNMP Traps die erforderlichen Informationen ein 3 Klicken Sie auf OK Einrichten von SNMP Traps zur Benachrichtigung bei Stromausf llen W hlen Sie einen SNMP Trap aus durch den Sie ber allgemeine Hardware Fehler und Ausf lle der Stromversorgung von DAS Ger ten benachrichtigt werden damit Sie das Herunterfahren von Ger ten bei Stromausf llen vermeiden k nnen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur das System aus und klicken Sie dann auf das Symbol Eigenschaften ES 2 Klicken Sie auf SNMP Konfiguration klicken Sie auf die Registerkarte SNMP Traps und w hlen Sie dann Allgemeiner Hardware Fehler aus 3 Klicken Sie auf Anwenden oder OK Beim Ausfall einer Stromversorgung wird ein SNMP Trap gesendet und in der Systemnavigationsstruktur wird neben dem Ger t eine Kennzeichnung f r den Integrit tsstatus angezeigt Sie
648. von Ger ten Konfiguration f r bestimmte Datenquellen Manche Datenquellen erfordern mehr Informationen und spezielle Konfigurationseinstellungen In den Abschnitten dieses Anhangs finden Sie weitere Details e Check Point e Big Fix e IBM Internet Security Systems e Common Event Format SiteProtector e McAfee ePolicy Orchestrator e ArcSight e ePolicy Orchestrator 4 0 e Security Device Event Exchange e NSM SEIM e Erweiterter Syslog Parser e Unterst tzung f r Syslog Relay e WMI Ereignisprotokoll e Adiscon WMI Ereignisprotokoll Bei WMI handelt es sich um die Microsoft Implementierung von Web Based Enterprise Management WBEM gem der Definition durch die Distributed Management Task Force DMTF Dies ist die prim re Verwaltungstechnologie f r Windows Betriebssysteme mit deren Hilfe Verwaltungsinformationen gemeinsam von Verwaltungsanwendungen genutzt werden k nnen WMI ist hilfreich da Sie die M glichkeit haben Verwaltungsdaten von Remote Computern abzurufen WMI ist nicht FIPS konform Verwenden Sie diese Funktion nicht wenn Sie FIPS Vorschriften einhalten m ssen WMI Ereignisprotokolle werden als Datenquelle eingerichtet und ber den Empf nger gesendet Die Ereignisse werden ber den Empf nger in einem festgelegten Intervall vom Windows Server abgerufen und erfasst Mit der WMI Erfassung k nnen Ereignisse aus allen Ereignisprotokollen auf dem Windows Computer erfasst werden Standardm ig werden auf dem Empf nger
649. w hrend der aktuellen Terminalsitzung auf der Seite Terminal gel scht wurden sind im Export nicht enthalten 5 Klicken Sie auf Schlie en Siehe auch Verf gbare Linux Befehle auf Seite 218 Verwenden von Linux Befehlen Mit der Option Terminal k nnen Sie Linux Befehle auf dem ESM Ger t eingeben Diese Funktion ist nur f r fortgeschrittene Benutzer gedacht Verwenden Sie sie nur in Notf llen unter Anleitung des McAfee Supports Diese Option ist nicht FIPS konform und ist im FIPS Modus deaktiviert Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften aus und klicken Sie dann auf ESM Verwaltung 2 Klicken Sie auf der Registerkarte Wartung auf Terminal geben Sie das Systemkennwort ein und klicken Sie dann auf OK 3 Geben Sie Linux Befehle ein siehe Verf gbare Linux Befehle 4 Klicken Sie gegebenenfalls auf L schen um den Inhalt der Seite zu l schen 5 Optional Klicken Sie auf Exportieren um den Inhalt in einer Datei zu speichern Ergebnisse die w hrend der aktuellen Terminalsitzung auf der Terminalseite gel scht wurden sind im Export nicht enthalten McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 217 Konfigurieren von ESM Verwenden einer globalen Blacklist Verf gbare Linux Befehle Die folgenden Befehle sind auf der Seite Terminal verf gbar Terminal Se
650. wendeten Verbindung Tabelle 3 23 text ab Spalte FP Spalte Beschreibung Details 67 F r die ePolicy Orchestrator Datenquelle verwendete Felder text_dbinstance Datenbankinstanz in der die ePolicy Orchestrator Datenbank ausgef hrt wird text_dbname Name der ePolicy Orchestrator Datenbank text_password Kennwort f r die ePolicy Orchestrator Datenbank text_port Der f r die Verbindung mit der ePolicy Orchestrator Datenbank verwendete Port text_userid Benutzer ID f r die ePolicy Orchestrator Datenbank McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM 3 Konfigurieren von Ger ten Tabelle 3 24 gsql ab Spalte FU Spalte Beschreibung Details gsql_port Optional Standardwert h ngt vom Anbieter ab Standardwert f r Websense 1433 gsql_userid Erforderlich gsql_password Erforderlich gsql_dbname Optional Standardwert leer gsql_db_instance Name der Datenbankinstanz Erforderlich gsql_nsmversion NSM Version Erforderlich Wenn der Wert leer bleibt wird standardm ig Version 6 X verwendet Migrieren von Datenquellen zu einem anderen Empf nger Sie k nnen Datenquellen zwischen Empf ngern im gleichen System erneut zuordnen oder erneut verteilen Dies kann besonders hilfreich sein wenn Sie einen neuen Empf nger erwerben und die Datenquellen und die zugeh rigen Daten ausgewogen auf die beiden Empf nger verteilen m chten oder wenn
651. wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie im Bereich F lle auf das Symbol Fallverwaltung ffnen E Die Ansicht Fallverwaltung wird ge ffnet Sie enth lt eine Liste aller F lle im System 2 berpr fen Sie die Daten auf den Registerkarten Hinweise und Quellereignisse 3 Doppelklicken Sie auf einen Fall um weitere Details anzuzeigen und berpr fen Sie dann die Informationen auf der Seite Falldetails Hinzuf gen von Fallstatusebenen Der Fall Manager enth lt zwei Statusebenen Offen und Abgeschlossen Sie k nnen weitere Status hinzuf gen denen F lle zugewiesen werden k nnen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie im Bereich F lle auf das Symbol Fallverwaltung ffnen E 2 Klicken Sie in der Ansicht Fallverwaltung auf der unteren Symbolleiste auf das Symbol Fallverwaltungseinstellungen 8 und dann auf Hinzuf gen McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 313 Verwalten von F llen Senden von F llen per E Mail 3 Geben Sie einen Namen f r den Status ein und w hlen Sie dann aus ob der Status als Standard f r neue F lle verwendet werden soll 4 W hlen Sie aus ob F lle mit diesem Status im Bereich F lle angezeigt werden sollen und klicken Sie dann auf OK Senden von F llen per E Mail Richten Sie das System so ein dass beim Hinzuf gen oder erneuten Zuweisen eines Falls immer auto
652. wenn vom Administrator festgelegte Kriterien PIServer InterSystems f r die Zugriffsrichtliniendatei erf llt sind Der Wert 3 bedeutet dass die Kriterien f r die Richtliniendatei nicht erf llt sind Der Wert O bedeutet dass die Sicherheits berwachung nicht aktiviert ist Sicherheitsmechanismus Der Sicherheitsmechanismus mit dem die DB2 Identit t des Benutzers berpr ft wird beispielsweise Benutzer ID und Kennwort Server IP IP Adresse des Datenbank Server Hosts MSSQL Oracle DB2 Sybase MySQL Informix PostgreSQL Teradata InterSystems Cach amp Server Name Dies ist der Name des Servers Der Hostname MSSQL Oracle DB2 wird standardm ig als Server Name Sybase Informix PIServer zugewiesen InterSystems Cach Server Port Port Nummer des Servers MSSQL Oracle DB2 Sybase MySQL Informix PostgreSQL Teradata InterSystems Cach Antwortzeit des Servers Anf ngliche Antwort vom Datenbank Server auf MSSQL Oracle DB2 die Client Abfrage Sybase MySQL Informix PostgreSQL Teradata PIServer InterSystems Cach Schweregrad Code DB2 SID Oracle System ID Oracle Informix PostgreSQL Teradata PIServer InterSystems Cach SPID Die jeder eindeutigen Verbindung bzw Sitzung MSSQL Sybase zugewiesene Prozess ID f r das Datenbanksystem McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 351 10 352 Verwalten von Richtlinien und Regeln Regeltypen und
653. werben Sie eine McAfee GTI Lizenz siehe McAfee GTIWatchlist Wenn Ihre McAfee GTI Lizenz abgelaufen ist wenden Sie sich an einen McAfee Vertriebsingenieur oder an den McAfee Support Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der ESM Konsole eine Ansicht aus die eine Tabellenkomponente enth lt beispielsweise Ereignisansichten Ereignisanalyse Klicken Sie auf eine IP Adresse auf das Men symbol Ku IP Adresse und dann auf Details zur IP Adresse in einer beliebigen Komponente mit einer Auf der Registerkarte Bedrohungsdetails werden die Daten f r die ausgew hlte IP Adresse aufgef hrt Sie k nnen die Daten in die Zwischenablage des Systems kopieren Durch die Option Details zur IP Adresse wurde die Option WHOIS Suche im Kontextmen ersetzt Die Seite Details zur IP Adresse enth lt jedoch die Registerkarte WHOIS Suche auf der diese Informationen angezeigt werden ndern der Standardansicht Die Ansicht Standardzusammenfassung wird standardm ig im Ansichtsbereich angezeigt wenn Sie sich erstmals bei der ESM Konsole anmelden Sie k nnen diese Standardansicht in eine beliebige vordefinierte oder benutzerdefinierte Ansicht des ESM Ger ts ndern Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Klicken Sie auf der Navigationsleiste der ESM Konsole auf Optionen und w
654. witness Informer 1 6 name name Medium xternalld sessionid proto ip proto categorySignificance Normal categoryBehavior Authentication Verify categoryDeviceGroup 0S categoryOutcome Attempt categoryObject Host Application Service act action deviceDirection 0 shost ip host src ip src spt tcp srcport dhost ip host dst ip dst dport tcp dstport duser username dproc 27444 fileType security cs1 did cs2 password cs3 4 cs4 5 enl rid cn2 0 cn3 0 F r das richtige Format m ssen Sie oben dport in dpt ndern Adiscon Setup Syslog WMI wird durch Adiscon unterst tzt Sie m ssen in Event Reporter die folgende Formatzeichenfolge verwenden damit die Adiscon Datenquelle f r Microsoft Windows Ereignisse richtig funktioniert sourceproc 1d stimereported uxTimeStamp Suser Scategory Param0 3Paraml Param2 Param3 Param4 Param5 Param6 Param7 Param8 Param9 Paraml10 Param11 Param12 Param13 Paraml14 Param15 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 113 3 Konfigurieren von ESM Konfigurieren von Ger ten Unterst tzung f r Syslog Relay F r die Weiterleitung von Ereignissen von verschiedenen Ger ten durch einen Syslog RelayServer an den Empf nger sind zus tzliche Schritte erforderlich Sie m ssen eine einzige Syslog Relay Datenquelle hinzuf gen um den Datenstrom und die zus tzlichen Datenquellen zu akzeptieren D
655. x besteht OSS Benutzername Oracle Paketname Ein Paket enth lt Steuerungsstrukturen die DB2 zum Ausf hren von SQL Anweisungen verwendet werden Pakete werden bei der Programmvorbereitung erzeugt und mit dem DB2 Unterbefehl BIND PACKAGE erstellt Eingehende Pakete Anzahl der Pakete aus denen die Abfrage MSSQL Oracle DB2 Sybase MySQL Informix PostgreSQL Teradata PIServer InterSystems Cach McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 349 10 Verwalten von Richtlinien und Regeln Regeltypen und ihre Eigenschaften Name Beschreibung Datenbanktypen Ausgehende Pakete Anzahl der Pakete aus denen der MSSQL Oracle DB2 zur ckgegebene Ergebnissatz besteht Sybase MySQL Informix PostgreSQL Teradata PIServer InterSystems Cach Kennwort MSSQL Oracle DB2 Sybase MySQL Informix PostgreSQL InterSystems Cach Kennwortl nge MSSQL Oracle DB2 Sybase MySQL Informix PostgreSQL InterSystems Cach Gr e des Abfrageblocks Ein Abfrageblock ist die Basiseinheit f r die DB2 Informix Ubertragung von Daten in Abfragen und Ergebniss tzen Durch Festlegen der Gr Be des Abfrageblocks kann der Anfrager f r den m glicherweise Ressourceneinschr nkungen gelten die Menge der jeweils zur ckgegebenen Daten steuern Beendigungsstatus der Beendigungsstatus einer Abfrage MSSQL Oracle DB2 Abfrage Sybase MySQL Informix PostgreSQL Teradata InterS
656. x der Teilzeichenfolgen 2 Eine erweiterte Korrelation der Benutzer ist m glich indem Sie die Protokolle f r DEM Anwendung Web Server System sowie f r die Identit ts und Zugriffsverwaltung in ESM korrelieren Hinzuf gen einer Regel f r Benutzer IDs Zum Zuordnen von Datenbankabfragen zu Personen k nnen Sie die vorhandenen ID Regeln verwenden oder eine neue Regel hinzuf gen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option DEM Eigenschaften aus und klicken Sie dann auf ID Verwaltung 2 Klicken Sie auf Hinzuf gen und geben Sie dann die erforderlichen Informationen ein 3 Klicken Sie auf OK und dann auf Schreiben um die Einstellungen in das DEM Ger t zu schreiben Informationen zu Datenbank Servern Die Datenbankaktivit ten werden von den Datenbank Servern berwacht Wenn auf einem Datenbank Server auftretende Aktivit ten einem bekannten Muster entsprechen das auf b swilligen Datenzugriff hinweist wird eine Warnung generiert Mit jedem DEM Ger t k nnen maximal 255 Datenbank Server berwacht werden Von DEM werden zurzeit die folgenden Datenbank Server und Versionen unterst tzt os Database DEM Appliance DEM Agent Windows alle Microsoft MSSQL 7 2000 2005 MSSQL 2000 SP4 2005 Versionen SQL Server 2008 2012 2008 Windows UNIX Oracle Oracle 8 X 9 X 10g 11g Oracle 8
657. y System senden erhalten Sie eine Fall ID Diese k nnen Sie zu Referenzzwecken zum Ereignisdatensatz hinzuf gen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken aam Heben Sie in der Ansicht Ereignisanalyse das Ereignis hervor und klicken Sie dann auf das Men ESA 2 W hlen Sie Remedy Fall ID festlegen aus geben Sie die Nummer ein und klicken Sie auf OK Exportieren einer Komponente Sie k nnen die Daten einer ESM Ansichtskomponente exportieren Diagrammkomponenten k nnen im Textformat oder PDF Format exportiert werden Tabellenkomponenten k nnen im CSV Format durch Komma getrennte Werte oder im HTML Format exportiert werden Wenn Sie die aktuelle Seite einer Diagramm Verteilungs oder Tabellenkomponente in einer Ansicht exportieren entsprechen die exportierten Daten genau denen die beim Initiieren des Exports angezeigt werden Wenn Sie mehrere Seiten exportieren wird die Abfrage beim Exportieren der Daten erneut ausgef hrt und kann sich daher von dem unterscheiden was in der Komponente angezeigt wird McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 289 290 Arbeiten mit Ereignissen Arbeiten mit ESM Ansichten Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 H Klicken Sie in einer Ansicht auf das Men der zu exportierenden Komponente und dann auf Exportieren 2 W hlen Sie eine
658. yes no Standardwert yes Von Datenquellen die nicht Clients sind verwendete Felder Spalte Beschreibung Details snmp_trap_id Profil ID f r SNMP Trap Standardwert 0 elm_logging In ELM protokollieren yes no Standardwert no pool ELM Poolname Standardwert leer meta vendor Standardwert leer meta product Standardwert leer meta_version Standardwert leer url URL f r Ereignisdetails Standardwert leer McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Konfigurieren von ESM Konfigurieren von Ger ten Spalte Beschreibung Details parser Analysemethode f r das Standardwert Default Datenformat collector Methode f r den Datenabruf Standardwert Default Wenn parser mef entspricht wird collector auf mef festgelegt scp http ftp nfs cifs k nnen verwendet werden wenn das Flatfile Format f r das Protokoll unterst tzt wird Erforderliche Felder f r das Format CEF oder MEF Spalte Beschreibung Details encrypt Kennzeichnung f r Standardwert F Wird auch verwendet wenn Format auf Default Verschl sselung der Retrieval auf mef und Protocol auf gsyslog festgelegt ist Die Datenquelle Verschl sselung muss f r alle MEF Datenquellen mit der gleichen IP Adresse gleich sein hostname Hostname oder Standardwert leer Optional wenn Protocol auf gsyslog oder syslog Host ID festgelegt ist Muss eindeutig sein Optional wenn Protocol
659. yp der Regel aus 3 W hlen Sie im Anzeigebereich f r Regeln mindestens eine Regel aus Klicken Sie auf das Symbol Alarme kr 5 Legen Sie die Einstellungen f r den Alarm fest Siehe auch Erstellen eines Alarms auf Seite 232 Erstellen eines SNMP Traps als Aktion in einem Alarm Sie k nnen SNMP Traps als Aktion innerhalb eines Alarms senden Bevor Sie beginnen Bereiten Sie den SNMP Trap Empf nger vor nur erforderlich wenn kein SNMP Trap Empf nger vorhanden ist Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken Vorgehensweise 1 Erstellen Sie ein SNMP Profil um f r ESM anzugeben wohin die SNMP Traps gesendet werden sollen a W hlen Sie in der Systemnavigationsstruktur das System aus und klicken Sie dann auf das Symbol Eigenschaften ES b Klicken Sie auf Profilverwaltung und w hlen Sie dann im Feld Profiltyp die Option SNMP Trap aus c F llen Sie die verbleibenden Felder aus und klicken Sie dann auf Anwenden McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 237 238 Arbeiten mit Alarmen Erstellen eines Alarms 2 Konfigurieren Sie SNMP in ESM a b c Klicken Sie in Systemeigenschaften auf SNMP Konfiguration und dann auf die Registerkarte SNMP Traps W hlen Sie den Port aus w hlen Sie die Trap Typen aus die gesendet werden sollen und w hlen Sie dann das in Schritt 1 hinzugef gte Profil aus Klicken Sie auf Anwenden 3 Defin
660. ypen h ngen davon ab welcher Ger tetyp in der Systemnavigationsstruktur ausgew hlt ist Im Navigationsbereich wird die Hierarchie der ausgew hlten Richtlinie angezeigt Zum ndern der aktuellen Richtlinie klicken Sie im Navigationsbereich auf den Namen der Richtlinie und auf den Pfeil Daraufhin werden die untergeordneten Elemente der Richtlinie angezeigt Alternativ k nnen Sie auf das Symbol Richtlinienstruktur lez klicken Im Men Richtlinienstruktur werden die Aktionen aufgef hrt die Sie f r eine Richtlinie ausf hren k nnen Wenn Sie im Bereich Regeltypen einen Typ ausw hlen werden im Abschnitt Regelanzeige alle Regeln dieses Typs aufgef hrt Die Spalten enthalten die spezifischen Regelparameter die Sie f r die jeweilige Regel anpassen k nnen mit Ausnahme von Variable und Pr prozessor Sie k nnen die Einstellungen ndern indem Sie auf die aktuelle Einstellung klicken und in der Dropdown Liste eine neue Einstellung ausw hlen Im Bereich Filter Kennzeichnung k nnen Sie die im Richtlinien Editor angezeigten Regeln filtern Auf diese Weise k nnen Sie nur die Ihren Kriterien entsprechenden Regeln anzeigen oder Tags zu den Regeln hinzuf gen um ihre Funktionen zu definieren Richtlinienstruktur In der Richtlinienstruktur werden die Richtlinien und Ger te im System aufgef hrt In der Richtlinienstruktur haben Sie folgende M glichkeiten 328 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von
661. ystems Cach Abfragenummer Eine eindeutige Nummer die jeder Abfrage vom MSSQL Oracle DB2 AuditProbe Uberwachungs Agenten zugewiesen Sybase MySQL wird Die erste Abfrage erh lt die Nummer 0 PostgreSQL Teradata und die folgenden werden jeweils um 1 erh ht PIServer InterSystems Cache Abfragetext Die tats chliche vom Client gesendete MSSQL Oracle DB2 SQL Abfrage Sybase MySQL Informix PostgreSQL Teradata PIServer InterSystems Cach Abfragetyp Eine Ganzzahl die verschiedenen Abfragetypen MSSQL Oracle Sybase zugewiesen wird Tats chlicher Benutzername Anmeldename des Client Benutzers Antwortinhalt MSSQL Oracle DB2 Sybase MySQL Informix Antwortzeit End to End Antwortzeit der Abfrage MSSQL Oracle Sybase Antwortzeit des Servers Netzwerkzeit MySQL Informix PostgreSQL Teradata InterSystems Cach Zur ckgegebene Zeilen Anzahl der Zeilen im zur ckgegebenen MSSQL Oracle DB2 Ergebnissatz Sybase MySQL Informix PostgreSQL Teradata PIServer InterSystems Cach 350 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Verwalten von Richtlinien und Regeln 10 Regeltypen und ihre Eigenschaften Name Beschreibung Datenbanktypen Sicherheitskennzeichnung Messgr e f r die Sicherheitskennzeichnung MSSQL Oracle DB2 deren Wert auf 1 VERTRAUENSWURDIG oder Sybase MySQL Informix 2 NICHT VERTRAUENSWURDIG festgelegt ist PostgreSQL Teradata
662. ystemuhr GMT definieren Sie die Einstellungen und klicken Sie dann auf OK 7 Bei den NTP Server Adressen von Ger ten der IPS Klasse muss es sich um IP Adressen handeln Die Server Informationen werden in der Konfigurationsdatei gespeichert Anschlie end k nnen Sie wieder die Liste der NTP Server ffnen und ihren Status berpr fen Synchronisieren der Ger teuhren Sie k nnen die Ger teuhren mit der Uhr des ESM Ger ts synchronisieren damit die von den verschiedenen System generierten Daten die gleiche Zeiteinstellung widerspiegeln Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 W hlen Sie in der Systemnavigationsstruktur die Option Systemeigenschaften oder die Option Eigenschaften f r das jeweilige Ger t aus und klicken Sie dann im Feld Ger teuhr synchronisieren auf Synchronisieren Wenn die Synchronisierung abgeschlossen ist oder ein Problem aufgetreten ist werden Sie informiert 2 Klicken Sie auf Aktualisieren um die Daten auf der Seite Systeminformationen oder auf der Seite Informationen f r das jeweilige Ger t zu aktualisieren Installieren eines neuen Zertifikats Im Lieferumfang des ESM Ger ts ist ein standardm iges selbstsigniertes Sicherheitszertifikat f r esm mcafee local enthalten In den meisten Web Browsern wird eine Warnmeldung angezeigt dass die Authentizit t des Zertifikats nicht berpr ft werden kann Wenn Sie das Paar aus SSL Sc
663. zahl Feld 5 HTTP_Resp_Status Nicht signierte Keines Benutzerdefiniertes Ganzzahl Feld 4 HTTP_Resp_TTFB Nicht signierte Keines Benutzerdefiniertes Ganzzahl Feld 6 HTTP_Resp_TTLB Nicht signierte Keines Benutzerdefiniertes Ganzzahl Feld 7 HTTP_User_Agent Zeichenfolge Keines Benutzerdefiniertes Feld 7 Schnittstelle Zeichenfolge Benutzerdefiniertes Keines Feld 8 Job_Name Zeichenfolge Benutzerdefiniertes Keines Feld 5 Sprache Zeichenfolge Benutzerdefiniertes Keines Feld 10 Local_User_Name Zeichenfolge Benutzerdefiniertes Keines Feld 5 Message_Text Zeichenfolge Benutzerdefiniertes Keines Feld 9 Methode Zeichenfolge Benutzerdefiniertes Keines Feld 5 Nat_Details Benutzerdefiniert Benutzerdefiniertes Benutzerdefiniertes Feld 9 Feld 1 e NAT_Address e IPv4 Adresse e NAT_Port e Nicht signierte NAT Type Ganzzahl e Nicht signierte Ganzzahl Network_Layer Signatur ID Keines Benutzerdefiniertes Feld 1 NTP_Client_Mode Zeichenfolge Benutzerdefiniertes Keines Feld 5 NTP_Offset_To_Monitor Nicht signierte Benutzerdefiniertes Keines Ganzzahl Feld 8 NTP_Opcode Zeichenfolge Benutzerdefiniertes Keines Feld 10 NTP_Request Zeichenfolge Benutzerdefiniertes Keines Feld 9 NTP_Server_Mode Zeichenfolge Benutzerdefiniertes Keines Feld 6 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 307 Arbeiten mit Ereignissen Benutzerdefinierte Typfilter Feld 9 Name Datentyp
664. zerdefinierten Typen anzeigen Systemeigenschaften Benutzerdefinierte Typen Wenn Sie nicht ber Administratorberechtigungen verf gen verwenden Sie diese Liste der vordefinierten benutzerdefinierten Typen Name Datentyp Ereignisfeld Flussfeld Application Zeichenfolge Benutzerdefiniertes Keines Feld 1 Application_Layer Signatur ID Keines Benutzerdefiniertes Feld 4 Application_Protocol Zeichenfolge Benutzerdefiniertes Keines Feld 1 Authoritative_Answer Zeichenfolge Benutzerdefiniertes Keines Feld 10 Bcc Zeichenfolge Benutzerdefiniertes Keines Feld 9 Cc Zeichenfolge Benutzerdefiniertes Keines Feld 8 McAfee Enterprise Security Manager 9 5 0 Produkthandbuch 305 Arbeiten mit Ereignissen Benutzerdefinierte Typfilter Feld 8 Name Datentyp Ereignisfeld Flussfeld Client_Version Zeichenfolge Benutzerdefiniertes Keines Feld 9 Befehl Zeichenfolge Benutzerdefiniertes Keines Feld 2 Confidence verl ssigkeit Nicht signierte Benutzerdefiniertes Keines Ganzzahl Feld 8 Contact_Name Zeichenfolge Benutzerdefiniertes Keines Feld 6 Contact_Nickname Zeichenfolge Benutzerdefiniertes Keines Feld 8 Cookie Zeichenfolge Benutzerdefiniertes Keines Feld 9 Database_Name Zeichenfolge Benutzerdefiniertes Keines Destination User Zielbenutzer Zeichenfolge Benutzerdefiniertes Feld 6 Benutzerdefiniertes Feld 1 Destination_Filename
665. zum ESM Ger t hinzuf gen Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken Klicken Sie im Bereich Filter auf das Symbol Manager f r die Normalisierung von Zeichenfolgen starten s 2 F hren Sie eine oder mehrere der verf gbaren Aktionen aus und klicken Sie dann auf Schlie en Erstellen einer Zeichenfolgennormalisierungs Datei zum Importieren Wenn Sie eine CSV Datei mit Aliassen erstellen k nnen Sie diese auf der Seite Zeichenfolgennormalisierung importieren sodass sie als Filter verwendet werden kann McAfee Enterprise Security Manager 9 5 0 Produkthandbuch Arbeiten mit Ereignissen 7 Benutzerdefinierte Typfilter Vorgehensweise Beschreibungen der Optionen erhalten Sie wenn Sie auf der Benutzeroberfl che auf klicken 1 Geben Sie in einem Textverarbeitungs oder Tabellenkalkulationsprogramm die Aliasse im folgenden Format ein Befehl prim re Zeichenfolge Alias Die m glichen Befehle lauten Hinzuf gen ndern und L schen 2 Speichern Sie die Datei als CSV Datei und importieren Sie diese Benutzerdefinierte Typfilter Sie k nnen benutzerdefinierte Typfelder als Filter f r Ansichten und Berichte verwenden um die f r Sie relevantesten Daten zu definieren und auf diese zuzugreifen Die von diesen benutzerdefinierten Typfeldern generierten Daten k nnen Sie in der Ansicht Ereignisanalyse oder Flussanalyse im Abschnitt Details anzeigen Sie k nnen benu
Download Pdf Manuals
Related Search