Prêt pour la mise à niveau ? Lancez-vous.

Préparez votre mise à niveau

Avant d'effectuer cette mise à niveau, suivez les étapes ci-dessous ou utilisez notre assistant en cliquant sur l'icône du robot en bas à droite et en lançant une recherche sur « SIEM Upgrade Wizard » (Assistant de mise à niveau de SIEM).

Étape 1

Vérifiez que votre matériel n'est pas en fin de vie et peut supporter la mise à niveau vers la version 11.4.x. McAfee recommande vivement d'utiliser du matériel de génération 5 ou ultérieure pour des performances optimales.

Étape 2

Commencez par mener un exercice de planification complet en passant en revue les étapes de mise à niveau du guide d'installation. Si vous utilisez du matériel de version 10.4 ou antérieure, vérifiez la configuration des ports requis.

Étape 3

Évaluez en interne votre architecture réseau et système actuelle et assurez-vous que les participants et les parties prenantes possèdent une bonne compréhension de la plate-forme McAfee ESM à l'aide du guide produit.

Étape 4

Évaluez la configuration actuelle de votre environnement de production afin de bénéficier de conseils et de recommandations pour la mise à niveau. Les étapes suivantes sont présentées dans cette vidéo.

  • 4.1. Téléchargez le fichier Upgrade Advisor.
    • Connectez-vous au site de téléchargement de McAfee avec votre Grant Number et votre adresse e-mail.
    • Sur la page My Products (Mes produits), sélectionnez SIEM Management Solutions (Solutions de gestion SIEM) sous Filters (Filtres).
    • Cliquez sur McAfee Enterprise Security Manager.
    • Cliquez sur le fichier Upgrade Advisor pour le télécharger.
  • 4.2. Installez le fichier d'informations Upgrade Advisor correspondant à la version vers laquelle vous souhaitez effectuer la mise à niveau.
  • 4.3. Dans le menu de navigation , cliquez sur Upgrade Advisor.
  • 4.4. Cliquez sur le lien sous la fenêtre d'état du journal pour mettre à jour la liste des versions disponibles pour la mise à niveau.
  • 4.5. Cliquez sur Check Upgrade to (Vérifier la mise à niveau vers ) et sélectionnez une version pour la mise à niveau.
  • 4.6. Cliquez sur Check (Vérifier).
  • 4.7. La progression et l'état s'affichent dans le champ Log Status (État du journal).

L'état du journal s'affiche. Un indicateur d'état vert indique que toutes les vérifications ont été effectuées avec succès. Un indicateur d'état rouge indique qu'une vérification de la compatibilité d'une mise à niveau antérieure a renvoyé des erreurs. Résolvez tous les problèmes signalés.

IMPORTANT : si vous ne résolvez pas les problèmes avant de lancer la mise à niveau, celle-ci risque d'échouer.

Espace disque

D'une manière générale, tous les équipements doivent disposer d'un espace libre de 55 Go avant la mise à niveau.

ELM, ELMREC et ENMELM nécessitent chacun 150 Go d'espace libre.

Les machines virtuelles ont besoin de 55 Go d'espace libre avant la mise à niveau.

Indicateurs d'intégrité

En général, les indicateurs jaunes correspondent à une inactivité. Ils peuvent également signaler des alarmes à synchroniser ou une action d'écriture en attente.

Les indicateurs rouges correspondent généralement à des événements plus graves et vous renvoient le plus souvent au journal système.

L'idéal est qu'aucun indicateur ne soit affiché afin que l'inactivité d'une source de données ne masque pas un problème grave.

État général

Vérifiez la connectivité et assurez-vous que tous les équipements sont en état de fonctionnement.

Supprimez toutes les requêtes de longue durée dans les gestionnaires de tâches de McAfee ESM.

Effectuez une vérification de l'état de chaque équipement depuis l'interface utilisateur graphique afin de vous assurer que les principaux processus du système sont en cours d'exécution.

Ports requis

Notez les ports, les adresses IP source/cible et les protocoles à faire approuver par les règles de pare-feu.

*Si vous effectuez une mise à niveau depuis une version 10.x, il est indispensable de vérifier et de comprendre les exigences en matière de ports afin que le processus de mise à niveau se déroule sans le moindre accroc.

Le non-respect de la documentation peut entraîner un échec de la mise à niveau.

Déploiement

Pour le bon déroulement de la mise à niveau de votre système, suivez les trois étapes ci-dessous.

Étape 1

Téléchargez les fichiers de mise à niveau à l'aide de votre Grant Number depuis le site de téléchargement de McAfee.

*Obligatoire : après le téléchargement des fichiers, comparez leurs sommes de contrôle avec celles indiquées sur le site de téléchargement de McAfee pour vérifier leur intégrité.

Étape 2

Chargez les fichiers vers McAfee ESM sous File Maintenance (Maintenance des fichiers) en procédant comme suit.

  1. Cliquez sur System Properties (Propriétés du système) > File Maintenance (Maintenance des fichiers).
  2. Dans la partie supérieure, en regard de « Select File Type: » (Sélectionner le type de fichier :), choisissez Software Update Files (Fichiers de mise à jour logicielle).
  3. Cliquez sur le bouton Upload (Charger).
  4. Accédez aux fichiers de mise à niveau.

Étape 3

Poursuivez la mise à niveau en suivant les étapes indiquées dans le Guide d'installation/de mise à niveau.

*REMARQUE IMPORTANTE :
  • Vérifiez que l'équipement fonctionne correctement avant de passer au suivant.
  • Le non-respect de la documentation et des conditions requises avant la mise à niveau peut entraîner l'échec de la mise à niveau.

Après la mise à niveau

Téléchargez le Guide d'installation de McAfee ESM 11.4.x         Vidéo de présentation détaillée des activités postérieures à la mise à niveau

Activité Détails Informations supplémentaires
Modification de la clé de tous les équipements en cas de mise à niveau depuis la version 10.x ou une version antérieure System Properties (Propriétés du système) -> ESM Management (Gestion ESM) -> Key Management (Gestion des clés) -> Regenerate SSH (Régénérer SSH) -> Yes (Oui), et fermez pour terminer. Cette opération peut prendre jusqu'à 30 minutes. Un message indiquant que la modification des clés est en cours s'affiche. Ce message est normal et peut être ignoré.
Écriture des paramètres dans la fenêtre déroulante McAfee Event Receiver ou ESM/Event Receiver
  1. Dans le tableau de bord, sélectionnez l'équipement dans l'arborescence de navigation du système, puis cliquez sur l'icône Properties (Propriétés).
  2. Cliquez sur l'onglet Data Sources (Sources de données) -> Write (Écrire).
  3. Cliquez sur l'onglet Vulnerability Assessment (Évaluation des vulnérabilités) -> Write (Écrire).
Au terme de l'opération, le message « Write Successful » (Écriture réussie) s'affiche.
Écriture des paramètres dans McAfee Advanced Correlation Engine (ACE)
  1. Dans le tableau de bord, sélectionnez l'équipement dans l'arborescence de navigation du système, puis cliquez sur l'icône Properties (Propriétés).
  2. Cliquez sur Correlation Management (Gestion de corrélation) -> Write (Écrire).
  3. Si McAfee ACE est utilisé en mode historique, cliquez sur Historical (Historique) -> Enable Historical Correlation (Activer la corrélation historique) -> Apply (Appliquer). Si cette option est déjà sélectionnée, désélectionnez-la, puis sélectionnez-la de nouveau et cliquez sur Apply (Appliquer).
 
Application de la mise à jour des règles
  1. Procurez-vous le fichier le plus récent depuis notre page de téléchargement.
  2. Dans l'arborescence de navigation du système, sélectionnez l'équipement ESM, puis cliquez sur l'icône Properties (Propriétés).
  3. System Information (Informations système) -> Rules Update (Mise à jour des règles) -> Manual Update (Mise à jour manuelle) -> naviguez jusqu'au fichier de mise à jour et cliquez sur Upload (Charger), puis sur OK.
Sélectionnez un destinataire. Ouvrez l'Éditeur de stratégies. Déployez les règles sur toutes les sources de données. Répétez l'opération pour chaque destinataire de l'environnement. Consultez l'article KB83046 pour plus d'informations.
Déploiement des stratégies Policy Editor (Éditeur de stratégies) -> icône Rollout (Déploiement) -> la page Rollout (Déploiement) s'ouvre -> Rollout policy to all devices now (Déployer la stratégie sur tous les équipements maintenant) -> pour programmer le déploiement à une date ultérieure, cliquez sur Edit (Modifier).  
ESM : écriture des paramètres de cluster System Properties (Propriétés du système) -> Clustering (Mise en cluster) -> bouton Write (Écrire) -> Yes (Oui) et fermez pour terminer l'opération. Un message indiquant que l'opération a réussi doit s'afficher avant de poursuivre.

Optimisation

1. Vérification des indicateurs
  • Vérifiez l'état de l'indicateur de chaque équipement et sa signification.
  • Vous devez comprendre la raison de la présence d'indicateurs d'inactivité. Étaient-ils attendus ? Dans le cas contraire, vérifiez que la source de données collecte des données.
  • Regardez cette vidéo sur les indicateurs d'intégrité et leur impact sur les performances de McAfee ESM.
2. Vues du tableau de bord
  • Vérifiez que vous recevez des données et que celles-ci semblent exactes.
    • Créez un graphique de distribution des 30 derniers jours afin de vérifier que tout est normal.
    • Regardez cette vidéo sur la création et l'analyse des vues.
  • Vérifiez la présence des vues personnalisées et leur bon fonctionnement.
  • Choisissez la vue système par défaut la plus pertinente dans une optique d'efficacité.
    • Vous pouvez définir une vue vide, si vous le souhaitez.
    • Essayez Event Summary & Event Distribution (Synthèse des événements et distribution des événements) au lieu de la vue par défaut normale (8 requêtes au lieu d'environ 30).
    • Pour ce faire, configurez une vue récapitulative par défaut « rapide », déconnectez-vous, puis reconnectez-vous pour voir la différence.
    • Regardez cette vidéo sur la création de vues système par défaut rapides.
  • Vérifiez que l'option Refresh Views (Actualiser les vues) est désactivée.
  • Regardez cette vidéo sur les vues de tableau de bord et leur impact sur les performances de McAfee ESM.
3. Gestionnaire de tâches
  • Recherchez des vues dont le chargement prend du temps.
  • Affichez les détails des requêtes longues afin d'identifier des éléments tels que REGEX ou d'autres requêtes présentant des problèmes d'optimisation.
  • Regardez cette vidéo sur l'utilisation du Gestionnaire de tâches pour optimiser les performances de McAfee ESM.
4. Alarmes
  • Vos alarmes sont-elles optimisées pour des requêtes courtes et précises ?
  • Les délais sont-ils particulièrement courts (1 minute, par exemple) ? Si tel est le cas, pensez à définir un délai plus long.
    • Si ce paramètre est configuré sur 1 minute, vous demandez au système de vérifier cette alarme 1 440 fois par jour.
    • La situation peut vite devenir ingérable si de nombreux utilisateurs lancent des requêtes simultanément, car chaque rapport, vue, alarme, etc., se disputera les ressources système.
  • Priorisez vos alarmes.
    • Priorité 1 = intervalles de 5 à 10 minutes
    • Priorité 2 = intervalles de 20 à 30 minutes
5. Rapports
  • Désactivez les rapports inutiles ou inutilisés.
  • Optimisez le moment d'exécution de vos rapports.
    • Planifiez leur exécution en dehors des heures de pointe (par ex., à 1h00 du matin lorsque les utilisateurs de la solution SIEM sont peu nombreux).
    • Échelonnez aussi souvent que possible (par ex., les rapports rapides d'abord, puis des rapports moins rapides et enfin les plus lents).
6. ELM
  • ELM Properties (Propriétés ELM) > ELM Configuration (Configuration ELM) > Migrate DB (Migrer la base de données)
    • L'espace est-il correctement alloué ?
    • La base de données se trouve-t-elle au bon endroit ?
    • Regardez cette vidéo sur la migration de la base de données de McAfee ELM.
  • Pools de stockage
    • Semblent-ils corrects ?
    • Disposez-vous de tout l'espace alloué nécessaire ?
    • Avez-vous besoin d'un stockage réseau supplémentaire ?
    • Regardez cette vidéo sur les pools de stockage de McAfee ELM.
  • Conservation
    • ELM Properties (Propriétés ELM) > ELM Management (Gestion ELM) > View Statistics (Afficher les statistiques) > onglet ELM Usage (Utilisation de l'ELM)
    • Vérifiez le temps estimé restant avant l'épuisement de l'espace de stockage disponible.
    • Vous connaîtrez ainsi la durée de conservation par volume.
    • Regardez cette vidéo sur l'utilisation de McAfee ELM et la conservation.
7. Autres ressources

Vous avez encore des questions ?