アップグレードの準備はできていますか? では、はじめましょう。

アップグレードの計画

アップグレードを行う前に、以下の手順を実行するか、 右下のロボットアイコンをクリックして、「SIEM Upgrade Wizard (SIEM アップグレード ウィザード)」を検索して、ガイド フロー ウィザードを使用してください。

手順1

ハードウェアのサポートが終了していないこと、また 11.4.x へのアップグレードを実行できるかどうかを確認します。 最適なパフォーマンスのためには、第 5 世代以降のハードウェアを強く推奨します。

手順2

まずはインストールガイドのアップグレード手順を確認して、綿密な計画を立てます。 現在のバージョンが 10.4 またはそれ以前のバージョンの場合は、ポート要件を確認します。

手順3

現行のネットワーク/システム アーキテクチャを社内で評価し、関係者全員が McAfee ESM プラットフォームの概要を理解し、製品ガイドを確認するようにします。

手順4

現在の保護環境を評価し、アップグレードのガイドラインと推奨事項を確認します。 以下の手順はこちらの 動画で説明されています。

  • 4.1. Upgrade Advisor ファイルをダウンロードします。
    • 承認番号とメールアドレスで McAfee ダウンロード サイトにログオンします。
    • [My Products (マイ製品)] ページで、 [Filters (フィルター)] の下の [SIEM Management Solutions (SIEM管理ソリューション)] を選択します。
    • McAfee Enterprise Security Manager をクリックします。
    • Upgrade Advisor ファイルをクリックしてダウンロードします。
  • 4.2. 4.3.にアップグレードにしようとしているバージョンに関係する Upgrade Advisor 情報ファイルをインストールします
  • 。 ナビゲーション メニューから[Upgrade Advisor (アップグレード アドバイザー)]クリックします。
  • 4.4. ログ ステータス ウィンドウの下のリンクをクリックして、利用可能なアップグレード バージョンのリストを更新します。
  • 4.5. [Check Upgrade to (アップグレードにチェック)] をクリックしてアップグレード バージョンを選択します。
  • 4.6. [Check (チェック)] をクリックします。
  • 4.7. [Log Status (ログ ステータス)] フィールドに進捗とステータスが表示されます。

ログ ステータスが表示されます。 すべてのチェックが OK だと緑になります。 過去のアップグレードの互換性チェックでエラーが出た場合は赤になります。 報告されたすべての問題を解決してください。

重要: アップグレードの開始前に問題を解決しないと、アップグレードの失敗につながります。

ディスク容量

一般的に、全デバイスではアップグレード前の状態で 55GB の空き容量が必要です。

ELM、ELMREC、ENMELM はそれぞれ150GBの空き容量が必要です。

仮想マシンは、アップグレード前の状態で 55GB の空き容量が必要です。

ヘルス フラグ

大抵の場合、黄色のフラグはインアクティブを意味します。 同期すべきというアラーム、または書き込みアクションがペンディングということを示すこともあります。

赤いフラグは通常、より深刻な状況を意味し、システムログへ移動します。

ベストプラクティスは「フラグなし」です。データソースがインアクティブであることによって深刻な問題が隠されることがないようにします。

全般ステータス

接続を確認し、全デバイスのステータスが OK であることを確認します。

実行時間の長いクエリは ESM タスクマネージャーでクリアします。

GUI から全デバイスのステータス チェックを行って、システム主要プロセスが実行されていることを確認します。

ポート要件

ファイアウォール ルールで許可されるべきポート、ソース/ターゲット IP、プロトコルに注意してください。

* バージョン 10.x からアップグレードする場合は、スムーズにアップグレードするためにポート要件を確認して理解しておいてください。

ドキュメントに従って実行しない場合、アップグレードの失敗につながります。

配備

システムを正常にアップグレードするには以下の3つの手順を実行します。

手順1

承認番号を用いて、McAfee ダウンロード サイトからアップグレード ファイルをダウンロードします。

*必須: ファイルのダウンロード後、McAfee ダウンロードサイトでチェックサムを検証して整合性を確認します。

手順2

以下の手順に従い、ESM ファイル メンテナンスの下の ESM にファイルをアップロードします。

  1. [System Properties (システム プロパティ)] > [File Maintenance (ファイル メンテナンス)] に行きます。
  2. 上部の [Select File Type (ファイルタイプの選択)] で [Software Update Files (ソフトウェア アップデート ファイル)] を選択します。
  3. [Upload (アップロード)] ボタンをクリックします。
  4. アップロード ファイルを参照します。

手順3

インストール/アップグレード ガイドの手順に沿ってアップグレードを行います。

*重要:
  • 次のデバイスに進む前に、デバイス ステータスが OK であることを確認します。
  • ドキュメントに従わずにアップグレード前要件を実行すると、アップグレードの失敗につながります。

アップグレード後

McAfee ESM 11.4.x インストール ガイドをダウンロード         アップグレード後のアクティビティ詳細動画

アクティビティ 詳細 追加情報
10.x またはそれ以前のバージョンからアップグレードする場合は、すべての周辺デバイスでキーの再生性をします [System Properties (システム プロパティ)] -> [ESM Management (ESM 管理)] -> [Key Management (キー管理)] -> [Regenerate SSH ボタン (SSH ボタンの再生成)] -> [Yes (はい)] の順にクリックし、閉じて終了します この操作には最大30分かかることがあります。キーを再生成中というメッセージが表示されますが、これは正常な処理ですので無視してください。
McAfee Event Receiver または ESM/Event Receiver コンボに設定を書き込みます
  1. ダッシュボード上のシステム ナビゲーション ツリーでデバイスを選択し、[Properties (プロパティ)] アイコンをクリックします
  2. [Data Sources (データソース)] タブをクリック -> [Write (書き込み)]
  3. [Vulnerability Assessment (脆弱性評価)] タブをクリック -> [Write (書き込み)]
完了すると「Write Successful (書き込み完了)」というメッセージが表示されます。
McAfee Advanced Correlation Engine (ACE) に設定を書き込みます
  1. ダッシュボード上のシステム ナビゲーション ツリーでデバイスを選択し、[Properties (プロパティ)] アイコンをクリックします
  2. [Correlation Management (相関管理)] をクリック -> [Write (書き込み)]
  3. McAfee ACE が [Historical Mode (履歴モード)]で使用されている場合は、[Historical (履歴)] -> [Enable Historical Correlation (履歴相関を有効化)] -> [Apply (適用)] の順にクリックします。 すでに選択されている場合は、選択を解除してから再度選択し、[Apply (適用)] をクリックします
 
ルールの更新を適用する
  1. ダウンロードページから最新ファイルを入手します。
  2. システム ナビゲーション ツリーで ESM デバイスを選択し、[Properties (プロパティ)] アイコンをクリックします。
  3. [System Information (システム情報)] -> [Rules Update (ルールの更新)] -> [Manual Update (手動更新)] -> 更新ファイルを参照し、[Upload (アップロード)]をクリックして、[OK]をクリックします。
レシーバーを選択します。 ポリシー エディタを開きます。 全データソースにルールをロールアウトします。 環境内の各レシーバーでこれを繰り返します。 詳細はKB83046をご覧ください。
ロールアウト ポリシー [Policy Editor (ポリシーエディタ)] -> [Rollout (ロールアウト)] アイコン -> [Rollout (ロールアウト)] ページが表示 -> [Rollout policy to all devices now (全デバイスにポリシーをロールアウト)] -> 後でロールアウトするには、[Edit (編集)]をクリックします。  
ESM:クラスタ設定の書き出し [System Properties (システムプロパティ)] -> [Clustering (クラスタリング)] -> [Write (書き込み)] ボタン -> [Yes(はい)] をクリックして閉じて完了します 操作の成功を示すメッセージが表示された場合は続行できます。

最適化

#1 フラグのチェック
  • 個々のデバイスをチェックして、フラグ ステータスとその内容を確認します。
  • 非アクティブ フラグがある場合はその理由を確認します。 非アクティブ フラグがあることを予期していましたか? 予期していなかった場合、データソースがデータを収集できていることを確認します。
  • ヘルス フラグに関するこちらの動画をみて、これが ESM のパフォーマンスにどういった影響を与えるかを確認してください。
#2 ダッシュボード ビュー
  • データが受信できていることとデータの正確性を確認します。
    • 過去30日間の分布図を作成し、正常に見えることを確認します。
    • ビューの作成と分析に関するこちら 動画をご覧ください。
  • カスタムビューが存在していて、予期している通りに機能していることを確認します。
  • 「デフォルトのシステムビュー」は、自分にとって効率的で最も有用なものにしてください。
    • ブランクのビューにすることもできます。
    • 通常のデフォルトビューの代わりに「Event Summary & Event Distribution (イベント サマリーとイベント配布)」を試してください (クエリを30以上ではなく8にする)。
    • 「高速」デフォルト サマリ ビューを設定してこれを確認し、一度ログアウトしてから再度ログインしてこの違いを確認します。
    • 「高速」デフォルト システム ビューの作成に関するこちら 動画をご覧ください。
  • [Refresh Views (ビューの更新)] が無効化されていることを確認します。
  • ダッシュボード ビューに関するこちらの動画をみて、これが ESM のパフォーマンスにどういった影響を与えるかを確認してください。
#3 タスク マネージャ
  • 読み込みに時間がかかっているビューを確認します。
  • 長い時間のかかっているクエリの詳細を表示し、REGEX やその他の最適化が不十分なクエリなどを探します。
  • タスク マネージャを使用して ESM パフォーマンスを最適化する方法については、こちらの動画をご覧ください。
#4 アラーム
  • 短時間で正確なクエリができるようにアラームが最適化されていますか?
  • 1分といったような、非常に短い条件になっていませんか? その場合、時間を長くすることを検討してください。
    • 1分に設定されている場合、アラームを1日に1440回もチェックするようシステムに要求していることになります。
    • 他の多くのユーザーも他のクエリを実行しています。 レポート、ビュー、アラームなどが システム リソースを奪い合うことになります。
  • アラームに優先順位を付ける
    • 優先順位 1 = インターバル 5-10 分
    • 優先順位 2 = インターバル 20-30 分
#5 レポート
  • 不要なレポートや使っていないレポートは無効にします。
  • レポートの実行時間を最適化します。
    • ピーク以外の時間帯に実行するようにスケジュールします (例: SIEM の使用が少ない午前1時にする)
    • できるだけ重ならないようにずらします。 (つまり、 最初の1時間は速いもの、次の1時間は遅いもの、その次の1時間は最も遅いもの)
#6 ELM
  • [ELM Properties (ELM プロパティ)] > [ELM Configuration (ELM 構成)] > [Migrate DB (DB の移行)]
    • スペースは正しく割り当てられていますか?
    • データベースは正しいロケーションにありますか?
    • ELM DB の移行について、こちらの 動画をご覧ください。
  • ストレージ プール
    • これらは正常に見えますか?
    • 必要なスペースが割り当てられていますか?
    • ネットワーク ストレージの追加は必要ですか?
    • ELM ストレージ プールについて、こちらの 動画をご覧ください。
  • 保存
    • [ELM Properties (ELM プロパティ] > [ELM Management (ELM 管理)] > [View Statistics (統計の表示)] > [ELM Usage (ELM 使用)] タブ
    • あとどれくらいの期間でストレージがフルになってしまうかを確認します。
    • それにより、保存期間を量で判別できます。
    • ELM の使用と保存について、こちらの 動画をご覧ください。
#7 その他のリソース

より詳しい情報は?