Pronto per l’aggiornamento? Iniziamo.

Preparati per l’aggiornamento

Prima di eseguire l'aggiornamento, segui i passaggi seguenti o utilizza la nostra procedura guidata facendo clic sull'icona del robot in basso a destra e cercando "SIEM Upgrade Wizard” (aggiornamento guidato del SIEM).

Fase 1

Verifica che il tuo hardware non sia alla fine del ciclo di vita e che possa supportare l'aggiornamento alla versione 11.4.x. McAfee consiglia vivamente di utilizzare hardware di quinta generazione o superiore per prestazioni ottimali.

Fase 2

Inizia con una pianificazione esaustiva eseguendo i passaggi di aggiornamento della guida all'installazione. Se stai utilizzando la versione hardware 10.4 o precedente, controlla la configurazione delle porte richieste.

Fase 3

Valuta internamente la tua attuale architettura di rete e di sistema e assicurati che i partecipanti e le parti interessate abbiano una buona conoscenza della piattaforma McAfee ESM utilizzando la guida del prodotto.

Fase 4

Valuta l’attuale configurazione del tuo ambiente di produzione per ottenere consigli e raccomandazioni per l'aggiornamento. Le fasi seguenti le trovi in questo video.

  • 4.1. Scarica il file Upgrade Advisor.
    • Accedi al sito di download di McAfee con il codice di autorizzazione e l’indirizzo email.
    • Nella pagina My Products (I miei prodotti), seleziona SIEM Management Solutions (Soluzioni per la gestione del SIEM) in Filters (Filtri).
    • Fai clic su McAfee Enterprise Security Manager.
    • Fai clic su Upgrade Advisor per scaricarlo.
  • 4.2. Installa il file di informazioni Upgrade Advisor relativo alla versione di cui desideri eseguire l'aggiornamento
  • 4.3. Dal menu di navigazione, fai clic su Upgrade Advisor.
  • 4.4. Fai clic sul collegamento sotto la finestra dello stato del registro per aggiornare l'elenco delle versioni disponibili per l’aggiornamento.
  • 4.5. Fai clic su Check Upgrade to (Controlla l’aggiornamento) e seleziona una versione per l’aggiornamento.
  • 4.6. Fai clic su Check (Controlla).
  • 4.7. L'avanzamento e lo stato vengono visualizzati nel campo Log Status (Stato del registro).

Viene visualizzato lo stato del registro. Un indicatore di stato verde indica che tutti i controlli hanno avuto esito positivo. Un indicatore di stato rosso indica che un controllo di compatibilità da un aggiornamento precedente ha restituito errori. Risolvi tutti i problemi segnalati.

IMPORTANTE: se non risolvi i problemi prima di iniziare l'aggiornamento, l'aggiornamento potrebbe non riuscire.

Spazio su disco

In generale, tutti i dispositivi dovrebbero avere 55 GB di spazio libero prima dell'aggiornamento.

ELM, ELMREC e ENMELM richiedono ciascuno 150 GB di spazio libero.

Le macchine virtuali richiedono 55 GB di spazio libero prima dell'aggiornamento.

Indicatori dell’integrità

Di solito gli indicatori gialli corrispondono all'inattività. Possono anche segnalare allarmi da sincronizzare o un'azione di scrittura in sospeso.

Gli indicatori rossi sono in genere eventi più gravi e molto spesso ti rimandano al registro di sistema.

Idealmente, non viene visualizzato alcun indicatore in modo che l'inattività di un'origine dati non nasconda un problema serio.

Condizione generale

Verifica la connettività e assicurati che tutti i dispositivi riportino lo stato OK.

Rimuovi tutte le richieste a esecuzione prolungata nel gestore delle attività di McAfee ESM.

Esegui un controllo dello stato di ogni dispositivo dall'interfaccia utente grafica per assicurarti che i principali processi di sistema siano in esecuzione.

Requisiti della porta

Prendi nota delle porte, degli indirizzi IP di origine / destinazione e dei protocolli che devono essere approvati dalle regole del firewall.

*Se stai effettuando l'aggiornamento da una versione 10.x, è imperativo controllare e comprendere i requisiti della porta per assicurare un processo di aggiornamento senza problemi.

La mancata osservanza della documentazione potrebbe causare il fallimento dell'aggiornamento.

Distribuzione

Per un corretto aggiornamento del tuo sistema, segui i tre passaggi seguenti.

Fase 1

Scarica i file di aggiornamento utilizzando il codice di autorizzazione dal sito di download di McAfee.

*Obbligatorio: dopo aver scaricato i file, convalida i loro codici di controllo con quelli elencati nel sito di download di McAfee per verificarne l'integrità.

Fase 2

Carica i file su McAfee ESM in File Maintenance (Manutenzione file) utilizzando i passaggi seguenti.

  1. Vai a System Properties (Proprietà del sistema) > File Maintenance (Manutenzione file).
  2. In alto dove dice Select File Type (Seleziona il tipo di file): scegli Software Update Files (File di aggiornamento software).
  3. Fai clic sul bottone Upload (Carica).
  4. Individua i file di aggiornamento.

Fase 3

Continua con l'aggiornamento seguendo i passaggi nella Guida all’installazione e aggiornamento.

*NOTA IMPORTANTE:
  • Verifica che il dispositivo funzioni correttamente prima di passare a quello successivo.
  • La mancata osservanza della documentazione e dei prerequisiti prima dell'aggiornamento può causare il fallimento dell'aggiornamento.

Dopo l’aggiornamento

Scarica la Guida all'installazione di McAfee ESM 11.4.x         Presentazione video dettagliata delle attività successive all'aggiornamento

Attività Dettagli Ulteriori informazioni
Modifica della chiave di tutti i dispositivi durante l'aggiornamento dalla versione 10.x o precedente System Properties (Proprietà dl sistema) -> ESM Management (Gestione di ESM) -> Key Management (Gestione delle chiavi) -> Bottone Regenerate SSH (Rigenera SSH) -> Yes (Sì) e chiudi per terminare Questa operazione può richiedere fino a 30 minuti, visualizzerà un messaggio sulla reimpostazione della chiave in corso, è del tutto normale e può essere ignorata.
Scrivi le impostazioni nella finestra a discesa McAfee Event Receiver o ESM/Event Receiver
  1. Nella dashboard, seleziona il dispositivo nella struttura di navigazione del sistema, quindi fai clic sull'icona Properties (Proprietà)
  2. Fai clic sulla scheda Data Sources (Sorgente dei dati) -> Write (Scrivi)
  3. Fai clic sulla scheda Vulnerability Assessment (Valutazione delle vulnerabilità) -> Write (Scrivi)
Al termine dell'operazione, viene visualizzato il messaggio ‘Write Successful’ ("Scrittura riuscita").
Scrivi le impostazioni in McAfee Advanced Correlation Engine (ACE)
  1. Nella dashboard, seleziona il dispositivo nella struttura di navigazione del sistema, quindi fai clic sull'icona Properties (Proprietà)
  2. Fai clic sulla scheda Correlation Management (Gestione delle correlazioni) -> Write (Scrivi)
  3. Se McAfee ACE viene utilizzato in modalità Historical Mode (Modalità cronologica), fai clic su Historical (Storico) -> Enable Historical Correlation (Abilita correlazione cronologica) -> Apply (Applica). Se è già selezionato, deselezionalo, selezionalo di nuovo, quindi fai clic su Apply (Applica)
 
Applica l'aggiornamento delle regole
  1. Scarica il file più recente dalla nostra pagina di download.
  2. Nella struttura di navigazione del sistema, seleziona il dispositivo ESM, quindi fai clic sull'icona Properties (Proprietà).
  3. System Information (Informazioni del sistema) -> Rules Update (Aggiornamento delle regole) -> Manual Update (Aggiornamento manuale) -> naviga fino al file di aggiornamento, fai clic su Upload (Carica), quindi su OK.
Seleziona un destinatario. Apri l'editor delle policy. Distribuisci le regole a tutte le origini dei dati. Ripeti l'operazione per ogni destinatario nell'ambiente. Vedi l’articolo KB83046 per ulteriori dettagli.
Implementa le policy Policy Editor (Editor delle policy) -> icona Rollout (Implementa) -> compare la pagina Rollout (Implementa) -> Rollout policy to all devices now (Implementa adesso le policy su tutti i dispositivi) -> per schedulare la presentazione in un secondo momento fai clic su Edit (Modifica).  
ESM: scrivi le impostazioni del cluster System Properties (Proprietà del sistema) -> Clustering (Clustering) -> bottone Write (Scrivi) -> Yes (Sì) e chiudi per terminare Dovresti vedere un messaggio che indica che l'operazione è andata a buon fine prima di continuare.

Ottimizzazione

#1 Controlla gli indicatori
  • Verificare lo stato dell'indicatore di ogni dispositivo e il suo significato.
  • È necessario comprendere il motivo della presenza di indicatori di inattività. Erano attesi? In caso contrario, assicurati che l'origine dati raccolga i dati.
  • Guarda questo video sugli indicatori d’integrità e sul loro impatto sulle prestazioni di McAfee ESM.
#2 Visualizzazioni delle dashboard
  • Verifica di ricevere dati e che siano corretti.
    • Crea un grafico di distribuzione per gli ultimi 30 giorni per verificare che sia normale.
    • Guarda questo video sulla creazione e l'analisi delle visualizzazioni.
  • Controlla le visualizzazioni personalizzate, verifica che siano ancora presenti e funzionino come previsto.
  • Scegli la visualizzazione di sistema predefinita più pertinente per l'efficienza.
    • Puoi impostare una visualizzazione vuota, se lo desideri.
    • Prova Event Summary & Event Distribution (Riepilogo eventi e distribuzione eventi) invece della normale visualizzazione predefinita (8 richieste invece di circa 30).
    • A tale scopo, puoi impostare una visualizzazione di riepilogo "rapida" predefinita, disconnettert e quindi accedere di nuovo per vedere la differenza.
    • Guarda questo video sulla creazione di visualizzazioni di sistema predefinite veloci.
  • Assicurati che l’opzione “Refresh Views” (Aggiorna visualizzazioni) sia disabilitata.
  • Guarda questo video sulle visualizzazioni delle dashboard e sul loro impatto sulle prestazioni di McAfee ESM.
#3 Gestore delle attività
  • Cerca le visualizzazioni che richiedono molto tempo per caricarsi.
  • Visualizza i dettagli di richieste lunghe per identificare cose come REGEX o altre richieste con problemi di ottimizzazione.
  • Guarda questo video su come utilizzare il Gestore delle attività per ottimizzare le prestazioni di McAfee ESM.
#4 Allarmi
  • I tuoi allarmi sono ottimizzati per richieste brevi e precise?
  • Le scadenze sono particolarmente brevi (1 minuto, ad esempio)? In tal caso, valuta la possibilità di impostare un limite di tempo più lungo.
    • Se questo parametro è impostato su 1 minuto, si istruisce il sistema a controllare questo allarme 1.440 volte al giorno.
    • La situazione può diventare rapidamente ingestibile se molti utenti lanciano richieste contemporaneamente, perché ogni report, visualizzazione, allarme, ecc., competerà per le risorse di sistema.
  • Dai la priorità ai tuoi allarmi
    • Priorità 1 = intervalli di 5-10 minuti
    • Priorità 2 = intervalli di 20-30 minuti
#5 Report
  • Disabilita i report non necessari o inutilizzati.
  • Ottimizza il tempo di esecuzione dei tuoi report.
    • Pianificali in modo che vengano eseguiti durante le ore non di punta (ad es. 1:00 AM quando ci sono meno utenti nel SIEM)
    • Distribuiscili il più spesso possibile. (cioè, prima quelli più veloci, poi quelli meno veloci e infine quelli più lenti)
#6 ELM
  • ELM Properties (Proprietà di ELM) > ELM Configuration (Configurazione di ELM) > Migrate DB (Migrazione del database)
    • Lo spazio è stato allocato correttamente?
    • Il database è nel posto giusto?
    • Guarda questo video sulla sulla migrazione del database di McAfee ELM.
  • Pool di archiviazione
    • Ti sembrano corrette?
    • Hai tutto lo spazio allocato necessario?
    • Hai bisogno di spazio di archiviazione di rete aggiuntivo?
    • Guarda questo video sui pool di archiviazione di McAfee ELM.
  • Conservazione
    • ELM Properties (Proprietà di ELM) > ELM Management (Gestione di ELM) > View Statistics (Visualizza le statistiche) > scheda ELM Usage (Utilizzo di ELM)
    • Controlla il tempo stimato rimanente per esaurire lo spazio di archiviazione disponibile.
    • Conoscerai così la durata di conservazione in volume.
    • Guarda questo video sulla conservazione e utilizzo di McAfee ELM.
#7 Risorse aggiuntive

Altre domande?