¿Listo para actualizar? Empecemos.

Planifique su actualización

Antes de realizar la actualización, siga los siguientes pasos o utilice nuestro asistente de flujo guiado. Para ello haga clic en el icono de robot de la parte inferior derecha y busque "SIEM Upgrade Wizard" (Asistente de actualización de SIEM).

Paso 1

Asegúrese de que su hardware no ha alcanzado el fin del ciclo de vida y que es válido para realizar la actualización a 11.4.x. McAfee recomienda encarecidamente el uso de hardware de generación 5 o posterior para un rendimiento óptimo.

Paso 2

Comience con un ejercicio de planificación detallado y revise los pasos de actualización en la guía de instalación. Si su versión actual es la 10.4 o inferior, compruebe los detalles de requisitos de puertos.

Paso 3:

Evalúe internamente su arquitectura actual de redes y sistemas con los participantes y partes interesadas y asegúrese de que conozcan en detalle la plataforma McAfee ESM gracias a la guía del producto.

Paso 4

Evalúe la configuración del entorno de producción actual, con objeto de proporcionar orientación y recomendaciones para la actualización. Los siguientes pasos se explican en este vídeo.

  • 4.1. Descargue el archivo Upgrade Advisor.
    • Inicie sesión en el sitio de descargas de McAfee con su número de concesión y dirección de correo electrónico.
    • En la página My Products (Mis productos), seleccione SIEM Management Solutions (Soluciones de administración SIEM) en Filters (Filtros).
    • Haga clic en McAfee Enterprise Security Manager
    • Haga clic en el archivo Upgrade Advisor para descargarlo.
  • 4.2. Instale el archivo de información Upgrade Advisor relacionado con la versión a la que quiere actualizar.
  • 4.3. En el menú de navegación,, haga clic en Upgrade Advisor (Asesor de actualización).
  • 4.4. Haga clic en el enlace debajo de la ventana de estado de registro para actualizar la lista de versiones de actualización disponibles.
  • 4.5. Haga clic en Check Upgrade to (Comprobar actualización a) y seleccione una versión de actualización.
  • 4.6. Haga clic en Check (Comprobar).
  • 4.7. Aparece el progreso y el estado en el campo "Log Status" (Estado de registro).

Aparece el estado de registro. Un estado de color verde indica que todas las comprobaciones se realizaron correctamente. El color rojo indica que una comprobación de actualización anterior devolvió errores. Resuelva todos los problemas indicados.

IMPORTANTE: no resolver los problemas antes de iniciar la actualización podría impedir que esta se realizara correctamente.

Espacio de disco

Como regla general todos los dispositivos necesitan tener 55 GB de espacio libre para realizar la actualización.

Para ELM, ELMREC y ENMELM se necesitan 150 GB de espacio libre.

Las máquinas virtuales necesitarán tener 55 GB de espacio libre para realizar la actualización.

Alertas de estado

Por lo general, las alertas amarillas indican inactividad. También pueden indicar alarmas para sincronizar o una acción de escritura pendiente.

Las alertas rojas indican por lo general problemas más serios y le remiten al registro del sistema.

Lo mejor es estar "libre de alertas" para que los problemas serios no queden ocultos por una inactividad del origen de datos.

Estado general

Compruebe la conectividad y asegúrese de que todos los dispositivos tienen un estado correcto.

Borre las consultas de larga duración de los administradores de tareas de ESM.

Realice una comprobación de estado desde la interfaz gráfica de usuario para cada dispositivo, para asegurarse de que se ejecutan los procesos claves del sistema.

Requisitos de puertos

Anote los puertos, IP de origen/destino y protocolos que necesitan que permitan las reglas de firewall.

*Si está actualizando desde las versiones 10.x, es imprescindible que compruebe y conozca los requisitos de puertos para garantizar un proceso de actualización fluido.

No seguir la documentación puede dar lugar a errores en la actualización.

Despliegue

Para actualizar correctamente su sistema, debe seguir tres pasos importantes.

Paso 1

Descargue los archivos de actualización utilizando su número de concesión del sitio de descarga de McAfee.

*Obligatorio: tras descargar los archivos, valide sus sumas de comprobación respecto a las facilitadas en el sitio de descarga de McAfee para garantizar su integridad.

Paso 2

Cargue los archivos al ESM en el mantenimiento de archivos del ESM mediante el procedimiento siguiente.

  1. Vaya a System Properties > File Maintenance (Propiedades del sistema > Mantenimiento de archivos).
  2. En la parte superior, donde dice Select File Type: (Seleccionar tipo de archivo:), elija Software Update Files (Archivos de actualización de software).
  3. Haga clic en el botón de Upload (Cargar).
  4. Examine para ir hasta los archivos de actualización.

Paso 3:

Continúe con la actualización siguiendo los pasos que se indican en la guía de instalación/actualización.

*NOTA IMPORTANTE:
  • asegúrese de que el estado del dispositivo es correcto antes de continuar con el siguiente dispositivo.
  • No seguir la documentación y realizar los requisitos previos a la actualización puede dar lugar a errores en la actualización.

Después de la actualización

Descargar la guía de instalación de McAfee ESM 11.4.x         Vídeo sobre las actividades posteriores a la actualización en detalle

Actividad Detalles Más información
Si actualiza desde las versiones 10.x o anteriores, regenere la clave de todos los dispositivos periféricos. System Properties -> ESM Management -> Key Management -> Regenerate SSH -> Yes (Propiedades del sistema -> Administración de ESM -> Administración de claves -> Regenerar SSH -> Sí), y cierre para finalizar. Esta operación puede tardar aproximadamente 30 minutos; se mostrará un mensaje que indica que la regeneración está en proceso. Esto es absolutamente normal y puede ignorarse.
Escribir configuración en McAfee Event Receiver o la combinación ESM/Event Receiver
  1. En al panel, seleccione el dispositivo del árbol de navegación de sistemas y, a continuación, haga clic en el icono Properties (Propiedades).
  2. Haga clic en la ficha Data Sources -> Write (Orígenes de datos -> Escribir).
  3. Haga clic en la ficha Vulnerability Assessment-> Write (Evaluación de vulnerabilidades -> Escribir)
Una vez completado el proceso, aparecerá el mensaje "Write Successful" (Escritura correcta).
Escribir configuración en McAfee Advanced Correlation Engine (ACE)
  1. En al panel, seleccione el dispositivo del árbol de navegación de sistemas y, a continuación, haga clic en el icono Properties (Propiedades).
  2. Haga clic en Correlation Management -> Write (Administración de correlaciones -> Escribir)
  3. Si se utiliza McAfee ACE en Historical Mode (Modo histórico), haga clic en Historical -> Enable Historical Correlation -> Apply (Histórica -> Activar correlación histórica -> Aplicar). Si ya está seleccionada, anule la selección, vuelva a seleccionarla y luego haga clic en Apply (Aplicar).
 
Aplicar actualización de reglas
  1. Obtenga el archivo más reciente de nuestra página de descargas.
  2. En el árbol de navegación de sistemas, seleccione el dispositivo ESM y, a continuación, haga clic en el icono Properties (Propiedades).
  3. System Information -> Rules Update -> Manual Update (Información del sistema -> Actualización de reglas -> Actualización manual), vaya al archivo de actualización, haga clic en Upload (Cargar) y, a continuación, en OK (Aceptar).
Seleccione un receptor. Abra el editor de directivas. Asigne las reglas en todos los orígenes de datos. Repita estos pasos con cada uno de los receptores del entorno. Consulte el artículo KB83046 para obtener más información.
Asignar directivas Elija Policy Editor (Editor de directivas), haga clic en el icono "Rollout" (Asignar). Aparece la página Rollout (Asignar). Active la casilla Rollout policy to all devices now (Asignar directivas a todos los dispositivos ahora). Para programar la asignación para más adelante, haga clic en Edit (Editar).  
ESM: Escribir configuración de clúster Haga clic en System Properties -> Clustering -> Write -> Yes (Propiedades del sistema -> Agrupación en clústeres -> Escribir-> Sí), y cierre para finalizar. Para continuar, debe aparecer el mensaje de confirmación de que la operación se ha realizado correctamente.

Optimización

1 Comprobar las alertas
  • Verifique cada uno de los dispositivos para conocer el estado/contenido de sus alertas.
  • Si hay alertas inactivas, asegúrese de saber por qué. ¿Es normal? En caso contrario, asegúrese de que el origen de datos recopila datos.
  • Vea este vídeo sobre alertas de estado y su impacto en el rendimiento de ESM.
2 Vistas de panel
  • Verifique que ha recibido datos y que parecen precisos.
    • Cree gráficos de distribución para los últimos 30 días para comprobar que son normales.
    • Vea este vídeo sobre la creación y análisis de vistas.
  • Compruebe las vistas personalizadas; verifique que siguen ahí y que funcionan de la forma esperada.
  • Convierta en su "Vista predeterminada del sistema" lo que tenga más sentido para usted, siempre pensando en la eficacia.
    • Si lo desea, puede dejar esta vista vacía.
    • Pruebe con "Event Summary & Event Distribution" (Resumen de eventos y Distribución de eventos) (8 consultas en lugar de casi 30).
    • Compruébelo definiendo una vista de resumen predeterminado "rápido", cierre la sesión y vuelva a iniciar para ver la diferencia.
    • Vea este vídeo sobre la creación de vistas predeterminadas del sistema rápidas.
  • Asegúrese de que "Refresh Views" (Actualizar vistas) está desactivada.
  • Vea este vídeo sobre vistas de panel y cómo pueden afectar al rendimiento de ESM.
3 Administrador de tareas
  • Compruebe las vistas que tardan mucho en cargar.
  • Vea los detalles de las consultas largas para encontrar cosas como expresiones regulares (RegEx) u otras consultas mal optimizadas.
  • Vea este vídeo sobre cómo utilizar el Administrador de tareas para optimizar el rendimiento de ESM.
4 Alarmas
  • ¿Están optimizadas sus alarmas para consultas cortas y precisas?
  • ¿Tiene condiciones extremadamente cortas, por ejemplo, de 1 minuto? De ser así, plantéese el uso de un período de tiempo más largo.
    • Si está definida en 1 minuto, está pidiendo al sistema que compruebe esta alarma 1440 veces al día.
    • Puede ver cómo esto puede agravarse rápidamente con muchos usuarios ejecutando otras consultas. Cada informe, vista, alarma, etc., compite por recursos del sistema.
  • Priorice sus alarmas.
    • Prioridad 1= intervalos de 5-10 minutos
    • Prioridad 2= intervalos de 20-30 minutos
5 Informes
  • Desactive los informes que no necesite o no utilice.
  • Optimice cuando se ejecuten los informes.
    • Planifique su ejecución durante horas de menor actividad (por ejemplo, a la 1:00, cuando hay menos usuarios en el SIEM)
    • Escalone la ejecución de informes tan a menudo como sea posible. (Por ejemplo, Los más rápidos a primera hora, los lentos la hora siguiente y los más lentos la hora siguiente).
6 ELM
  • ELM Properties > ELM Configuration > Migrate DB (Propiedades de ELM > Configuración de ELM > Migrar base de datos)
    • ¿Está el espacio asignado correctamente?
    • ¿Está la base de datos en la ubicación adecuada?
    • Vea este vídeo sobre la migración de la base de datos de ELM.
  • Grupos de almacenamiento
    • ¿Parecen correctos?
    • ¿Tiene todo el espacio asignado que necesita?
    • ¿Necesita añadir almacenamiento de red?
    • Vea este vídeo sobre los grupos de almacenamiento de ELM.
  • Retención
    • ELM Properties > ELM Management > View Statistics > ELM Usage (Propiedades de ELM > Administración de ELM > Ver estadísticas > Uso de ELM)
    • Compruebe el tiempo restante estimado para agotar el almacenamiento disponible.
    • Esto le indica en volumen cuánto durará la retención.
    • Vea este vídeo sobre el uso y la retención de ELM.
7 Otros recursos

¿Tiene alguna consulta?