Sind Sie bereit für ein Upgrade? Legen Sie los!

Planung Ihres Upgrades

Führen Sie vor dem Upgrade die folgenden Schritte aus oder verwenden Sie unseren geführten Assistenten. Klicken Sie hierzu rechts unten auf das Robotersymbol, und suchen Sie nach "SIEM Upgrade Wizard" (SIEM-Upgrade-Assistent).

Schritt 1

Vergewissern Sie sich, dass Ihre Hardware nicht das Ende ihres Lebenszyklus erreicht hat und dass sie für das Upgrade auf 11.4.x geeignet ist. Für optimale Leistung empfiehlt McAfee dringend, mindestens Hardware der 5. Generation zu verwenden.

Schritt 2

Führen Sie zunächst eine gründliche Planung durch, indem Sie die Anleitung für das Upgrade im Installationshandbuch durchlesen. Wenn Sie aktuell mit Version 10.4 oder niedriger arbeiten, prüfen Sie die Informationen zu den Port-Anforderungen.

Schritt 3

Bewerten Sie intern Ihre aktuelle Netzwerk- sowie Systemarchitektur, und vergewissern Sie sich anhand des Produkthandbuchs, dass alle Teilnehmer und Verantwortlichen die McAfee ESM-Plattform genau kennen.

Schritt 4

Bewerten Sie die Konfiguration Ihrer aktuellen Produktionsumgebung, um Informationen und Empfehlungen für Ihr Upgrade zu liefern. Die folgenden Schritte werden in diesem Video gezeigt.

  • 4.1. Laden Sie die Upgrade Advisor-Datei herunter.
    • Melden Sie sich bei der McAfee-Download-Website mit Ihrer Grant-Nummer und E-Mail-Adresse an.
    • Wählen Sie auf der Seite "My Products" (Meine Produkte) unter Filters (Filter) die Option SIEM Management Solutions (SIEM-Verwaltungslösungen) aus.
    • Klicken Sie auf McAfee Enterprise Security Manager.
    • Klicken Sie auf die Upgrade Advisor-Datei, um sie herunterzuladen.
  • 4.2. Installieren Sie die Upgrade Advisor-Informationsdatei zu der Version, auf die das Upgrade durchgeführt werden soll.
  • 4.3. Klicken Sie im Navigationsmenü auf Upgrade Advisor.
  • 4.4. Klicken Sie auf den Link unterhalb des Fensters mit dem Protokollstatus, um die Liste der verfügbaren Upgrade-Versionen zu aktualisieren.
  • 4.5. Klicken Sie auf Check Upgrade to (Upgrade auf überprüfen), und wählen Sie eine Upgrade-Version aus.
  • 4.6. Klicken Sie auf Check (Überprüfen).
  • 4.7. Fortschritt und Status werden im Feld "Log Status" (Protokollstatus) angezeigt.

Der Protokollstatus wird angezeigt. Ein grüner Status gibt an, dass bei keiner der Überprüfungen Fehler aufgetreten sind. Ein roter Status gibt an, dass bei einer früheren Upgrade-Kompatibilitätsprüfung Fehler angezeigt wurden. Beheben Sie alle gemeldeten Probleme.

WICHTIG: Wenn Sie Probleme vor dem Upgrade nicht beheben, können beim Upgrade Fehler auftreten.

Festplattenspeicher

Generell müssen für ein Upgrade auf jedem Gerät 55 GB freier Speicherplatz vorhanden sein.

Für ELM, ELMREC und ENMELM sind jeweils 150 GB freier Speicherplatz erforderlich.

Für das Upgrade von virtuellen Maschinen sind 55 GB freier Speicherplatz erforderlich.

Integritätskennzeichen

Gelbe Kennzeichen sind in der Regel ein Hinweis auf Inaktivität. Sie können jedoch auch auf Alarme hindeuten, die synchronisiert werden müssen, oder auf eine ausstehende Schreibaktion.

Rote Kennzeichen weisen auf schwerwiegendere Probleme hin, und leiten Sie in der Regel zum Systemprotokoll weiter.

Am besten sind keine Kennzeichen vorhanden, damit schwerwiegende Probleme nicht durch die Inaktivität einer Datenquelle verschleiert werden.

Allgemeiner Status

Überprüfen Sie die Verbindungen, und vergewissern Sie sich, dass alle Geräte den Status "OK" melden.

Löschen Sie in ESM-Task-Managern alle Abfragen mit langer Ausführungszeit.

Führen Sie in der grafischen Benutzeroberfläche für jedes Gerät eine Statusüberprüfung durch, um sicherzustellen, dass wichtige Prozesse im System ausgeführt werden.

Port-Anforderungen

Notieren Sie sich die Ports, Quell-/Ziel-IP-Adressen und -Protokolle, die durch Firewall-Regeln zugelassen werden müssen.

*Wenn Sie ein Upgrade von Version 10.x durchführen, müssen Sie zur Gewährleistung eines reibungslosen Upgrade-Prozesses die Port-Anforderungen kennen.

Wenn Sie die Dokumentation nicht beachten, können beim Upgrade Fehler auftreten.

Bereitstellung

Für ein erfolgreiches Upgrade Ihres Systems müssen Sie im Wesentlichen drei Schritte durchführen.

Schritt 1

Laden Sie die Upgrade-Dateien mithilfe Ihrer Grant-Nummer von der McAfee-Download-Website herunter.

*Erforderlich: Gleichen Sie zur Gewährleistung der Integrität nach dem Herunterladen der Dateien deren Prüfsummen mit den auf der McAfee-Download-Website angegebenen Prüfsummen ab.

Schritt 2

Laden Sie Dateien auf ESM unter der ESM-Dateiwartung hoch, indem Sie wie folgt vorgehen.

  1. Wechseln Sie zu "System Properties > File Maintenance" (Systemeigenschaften > Dateiwartung).
  2. Wählen Sie im oberen Bereich unter "Select File Type:" (Dateityp auswählen:) die Option "Software Update Files" (Software-Aktualisierungsdateien) aus.
  3. Klicken Sie auf die Schaltfläche "Upload" (Hochladen).
  4. Navigieren Sie zu den Upgrade-Dateien.

Schritt 3

Setzen Sie das Upgrade fort, indem Sie die Anleitung im Installations-/Aktualisierungshandbuch befolgen.

*WICHTIGER HINWEIS:
  • Vergewissern Sie sich, dass das Gerät den Status "OK" aufweist, bevor Sie mit dem nächsten Gerät fortfahren.
  • Wenn Sie die Dokumentation nicht befolgen und die Voraussetzungen für das Upgrade nicht erfüllt sind, können beim Upgrade Fehler auftreten.

Nach dem Upgrade

Installationshandbuch zu McAfee ESM 11.4.x herunterladen         Video mit ausführlichen Erläuterungen zu Aktivitäten nach dem Upgrade

Aktivität Details Zusätzliche Informationen
Bei Upgrades von 10.x oder älteren Versionen bei allen Peripheriegeräten die Schlüssel erneut festlegen "System Properties > ESM Management > Key Management > Regenerate SSH > Yes" (Systemeigenschaften > ESM-Verwaltung > Schlüsselverwaltung > Schaltfläche "SSH erneut generieren" > Ja) und schließen. Dieser Vorgang kann bis zu 30 Minuten dauern. Es wird angezeigt, dass die Schlüssel erneut festgelegt werden. Das ist normal und kann ignoriert werden.
Einstellungen in McAfee Event Receiver oder ESM/Event Receiver-Kombinationen schreiben
  1. Wählen Sie im Dashboard in der Systemnavigationsstruktur das Gerät aus, und klicken Sie dann auf das Symbol "Properties" (Eigenschaften).
  2. Klicken Sie auf die Registerkarte "Data Sources" (Datenquellen) > "Write" (Schreiben).
  3. Klicken Sie auf die Registerkarte "Vulnerability Assessment" (Schwachstellenbewertung) > "Write" (Schreiben).
Daraufhin wird die Meldung "Write Successful" (Schreiben erfolgreich) angezeigt.
Einstellungen in McAfee Advanced Correlation Engine (ACE) schreiben
  1. Wählen Sie im Dashboard in der Systemnavigationsstruktur das Gerät aus, und klicken Sie dann auf das Symbol "Properties" (Eigenschaften).
  2. Klicken Sie auf "Correlation Management > Write" (Korrelationsverwaltung > Schreiben).
  3. Wenn Sie McAfee ACE im Verlaufsmodus verwenden, klicken Sie auf "Historical > Enable Historical Correlation > Apply" (Verlauf > Verlaufskorrelation aktivieren > Anwenden). Wenn diese Option bereits aktiviert ist, deaktivieren Sie sie, aktivieren Sie sie erneut, und klicken Sie dann auf "Apply" (Anwenden).
 
Regelaktualisierung anwenden
  1. Laden Sie die aktuelle Datei von unserer Download-Seite herunter.
  2. Wählen Sie in der Systemnavigationsstruktur das ESM-Gerät aus, und klicken Sie dann auf das Symbol "Properties" (Eigenschaften).
  3. "System Information > Rules Update > Manual Update" (Systeminformationen > Regelaktualisierung > Manuelle Aktualisierung). Navigieren Sie zur Aktualisierungsdatei, klicken Sie dann auf "Upload" (Hochladen) und anschließend auf "OK".
Wählen Sie einen Empfänger aus. Öffnen Sie den Richtlinien-Editor. Führen Sie ein Regel-Rollout auf alle Datenquellen aus. Wiederholen Sie den Vorgang für alle Empfänger in der Umgebung. Weitere Informationen hierzu finden Sie unter KB83046.
Richtlinien-Rollouts ausführen "Policy Editor" (Richtlinien-Editor) > Symbol "Rollout". Daraufhin wird die Seite "Rollout" angezeigt. Führen Sie ein Richtlinien-Rollout auf alle Geräte aus. Wenn Sie das Rollout für einen späteren Zeitpunkt planen möchten, klicken Sie auf "Edit" (Bearbeiten).  
ESM: Cluster-Einstellungen schreiben "System Properties > Clustering > Write > Yes" (Systemeigenschaften > Clustering > Schaltfläche "Schreiben" > Ja) und schließen. Der Vorgang kann erst fortgesetzt werden, wenn eine Meldung über den erfolgreichen Verlauf angezeigt wird.

Optimierung

1. Überprüfung von Kennzeichen
  • Überprüfen Sie den Kennzeichenstatus der einzelnen Geräte bzw. sehen Sie nach, was dieser besagt.
  • Informieren Sie sich, warum inaktive Kennzeichen vorhanden sind. Sind diese erwartungsgemäß vorhanden? Wenn nicht, vergewissern Sie sich, dass die Datenquelle Daten erfasst.
  • Informieren Sie sich in diesem Video zum Thema Integritätskennzeichen darüber, welche Auswirkungen diese auf die Leistung von ESM haben können.
2. Dashboard-Ansichten
  • Vergewissern Sie sich, dass Sie Daten empfangen und dass diese richtig aussehen.
    • Erstellen Sie ein Verteilungsdiagramm für die letzten 30 Tage, um zu überprüfen, ob alles normal aussieht.
    • Informieren Sie sich in diesem Video darüber, wie Ansichten erstellt und analysiert werden.
  • Vergewissern Sie sich, dass benutzerdefinierte Ansichten weiterhin vorhanden sind und erwartungsgemäß funktionieren.
  • Legen Sie die Systemstandardansicht unter Berücksichtigung der Effizienz so fest, wie es für Sie am sinnvollsten ist.
    • Wenn Sie möchten, können Sie eine leere Ansicht als Systemstandardansicht festlegen.
    • Probieren Sie anstelle der normalen Standardansicht die Ansicht "Event Summary & Event Distribution" (Ereignisübersicht und Ereignisverteilung) aus (8 statt etwa 30 Abfragen).
    • Überprüfen Sie dies, indem Sie eine "schnelle" Standardübersicht einrichten und sich ab- und wieder anmelden, um den Unterschied zu sehen.
    • Informieren Sie sich in diesem Video darüber, wie Sie schnelle Systemstandardansichten erstellen.
  • Achten Sie darauf, dass "Refresh Views" (Ansichten aktualisieren) deaktiviert ist.
  • Informieren Sie sich in diesem Video zum Thema Dashboard-Ansichten darüber, welche Auswirkungen diese auf die Leistung von ESM haben können.
3. Task-Manager
  • Überprüfen Sie, ob Ansichten mit langer Ladezeit vorhanden sind.
  • Überprüfen Sie in den Details von Abfragen mit langer Ladezeit Dinge wie REGEX oder andere unzureichend optimierte Abfragen.
  • Informieren Sie sich in diesem Video zur Verwendung des Task-Managers darüber, wie Sie die Leistung von ESM optimieren.
4. Alarme
  • Sind Ihre Alarme für kurze präzise Abfragen optimiert?
  • Gelten extrem kurze Zeiten, z. B. 1 Minute? In diesem Fall sollten Sie überlegen, ob ein längerer Zeitraum sinnvoll wäre.
    • Wenn 1 Minute festgelegt ist, prüft das System diesen Alarm 1440 Mal am Tag.
    • Wenn viele Benutzer Abfragen ausführen, kann sich das schnell summieren. Alle Berichte, Ansichten, Alarme usw. konkurrieren um die Systemressourcen.
  • Priorisieren Sie Ihre Alarme:
    • Priorität 1 = 5- bis 10-Minutenintervalle
    • Priorität 2= 20- bis 30-Minutenintervalle
5. Berichte
  • Deaktivieren Sie alle Berichte, die Sie nicht benötigen oder verwenden.
  • Optimieren Sie die Ausführung Ihrer Berichte.
    • Planen Sie deren Ausführung auf einen Zeitpunkt außerhalb der Spitzenzeiten (z. B. 1:00 Uhr, wenn weniger Benutzer in SIEM arbeiten).
    • Staffeln Sie die Ausführung so oft wie möglich (d. h. Berichte mit kurzen Ausführungszeiten zuerst, langsamere später).
6. ELM
  • "ELM Properties > ELM Configuration > Migrate DB" (ELM-Eigenschaften > ELM-Konfiguration > Datenbank migrieren)
    • Ist die richtige Menge Speicherplatz zugeordnet?
    • Befindet sich die Datenbank am richtigen Speicherort?
    • Informieren Sie sich in diesem Video darüber, wie Sie die ELM-Datenbank migrieren.
  • Speicher-Pools
    • Sehen diese in Ordnung aus?
    • Haben Sie genügend Speicherplatz zugeordnet?
    • Müssen Sie Netzwerkspeicher hinzufügen?
    • Informieren Sie sich in diesem Video über ELM-Speicher-Pools.
  • Aufbewahrung
    • "ELM Properties > ELM Management > View Statistics > ELM Usage" (ELM-Eigenschaften > ELM-Verwaltung > Statistik anzeigen > Registerkarte "ELM-Nutzung")
    • Prüfen Sie, wie viel Zeit schätzungsweise verbleibt, bis der Speicher belegt ist.
    • Daraus können Sie die Aufbewahrungszeit pro Volume ermitteln.
    • Informieren Sie sich in diesem Video über ELM-Nutzung und Aufbewahrung.
7. Weitere Ressourcen

Haben Sie weitere Fragen?