업그레이드할 준비가 되셨습니까? 시작해 보겠습니다.

업그레이드 계획

업그레이드를 수행하기 전에 아래 단계를 따르거나 오른쪽 아래에 있는 로봇 아이콘을 클릭하고 "SIEM Upgrade Wizard(SIEM 업그레이드 마법사)"를 검색하여 안내형 플로우 마법사를 사용하십시오.

1단계

하드웨어의 수명이 다하지 않았고 11.4.x로 업그레이드를 수행할 수 있는지 확인합니다. McAfee는 최적의 성능을 위해 5세대 하드웨어 이상을 사용할 것을 권장합니다.

2단계

설치 안내서의 업그레이드 단계를 검토하여 철저한 계획 연습을 수행하여 시작합니다. 현재 버전이 10.4 이하인 경우 포트 요구 사항 세부 정보를 확인하십시오.

3단계

현재 네트워크 및 시스템 아키텍처를 내부적으로 평가하고 참가자와 이해 관계자가 제품 안내서를 검토하는 McAfee ESM 플랫폼에 대한 높은 수준의 이해도를 지니고 있는지 확인합니다.

4단계

현재 생산 환경 구성에 대한 평가를 수행하여 업그레이드를 위한 지침 및 권장 사항을 제공합니다. 이 비디오에는 다음 단계가 나와 있습니다.

  • 4.1. Upgrade Advisor 파일을 다운로드합니다.
    • Grant Number 및 이메일 주소를 사용하여 McAfee 다운로드 사이트에 로그온합니다.
    • My Products(내 제품) 페이지에서 Filters(필터) 아래의 SIEM Management Solutions(SIEM 관리 솔루션)를 선택합니다.
    • McAfee Enterprise Security Manager를 클릭합니다.
    • Upgrade Advisor 파일을 클릭하여 다운로드합니다.
  • 4.2. 업그레이드하려는 버전과 관련된 Upgrade Advisor 정보 파일을 설치합니다.
  • 4.3. 탐색 메뉴에서 Upgrade Advisor(업그레이드 어드바이저)를 클릭합니다.
  • 4.4. 사용 가능한 업그레이드 버전 목록을 업데이트하려면 로그 상태 창 아래의 링크를 클릭합니다.
  • 4.5. Check Upgrade to(업그레이드 확인)를 클릭하고 업그레이드 버전을 선택합니다.
  • 4.6. Check(확인)를 클릭합니다.
  • 4.7. 진행률 및 상태는 Log Status(로그 상태) 필드에 나타납니다.

로그 상태가 나타납니다. 녹색 상태는 모든 검사가 정상이었음을 나타냅니다. 빨간색은 이전 업그레이드 호환성 검사에서 오류가 반환되었음을 나타냅니다. 보고된 모든 문제를 해결합니다.

중요 사항: 업그레이드를 시작하기 전에 문제를 해결하지 못하면 업그레이드가 실패할 수 있습니다.

디스크 공간

모든 장치는 일반적으로 업그레이드하기 전에 55GB의 사용 가능한 공간이 확보되어 있어야 합니다.

ELM, ELMREC, ENMELM은 각각 150GB의 여유 공간이 필요합니다.

업그레이드하기 전에 가상 시스템에 55GB의 사용 가능한 공간이 필요합니다.

상태 플래그

일반적으로 노란색 플래그는 비활성을 의미합니다. 동기화할 경보 또는 쓰기 작업이 보류 중임을 나타낼 수도 있습니다.

빨간색 플래그는 일반적으로 더 심각한 상태를 나타내며 일반적으로 시스템 로그로 안내합니다.

모범 사례는 데이터 소스 비활성으로 인해 심각한 문제가 가려지지 않도록 "플래그가 없는 상태"입니다.

일반 상태

연결을 확인하고 모든 장치가 정상 상태를 보고하는지 확인합니다.

ESM 작업 관리자에서 오래 실행 중인 모든 쿼리를 지웁니다.

모든 장치에 대해 GUI에서 상태 점검을 수행하여 시스템의 주요 프로세스가 실행 중인지 확인합니다.

포트 요구 사항

방화벽 규칙에서 허용해야 하는 포트, 소스/대상 IP 및 프로토콜을 주목합니다.

*10.x 버전에서 업그레이드하는 경우 원활한 업그레이드 프로세스를 위해 포트 요구 사항을 확인하고 이해해야 합니다.

설명서를 따르지 않으면 업그레이드가 실패할 수 있습니다.

배포

시스템을 성공적으로 업그레이드하려면 세 가지 주요 단계를 따라야 합니다.

1단계

McAfee 다운로드 사이트에서 Grant Number를 사용하여 업그레이드 파일을 다운로드합니다.

*필수: 파일을 다운로드한 후 McAfee 다운로드 사이트에 제공된 파일과 비교하여 해당 체크섬의 유효성을 검사하여 무결성을 확인합니다.

2단계

아래 단계에 따라 ESM 파일 유지 관리 아래의 ESM에 파일을 업로드합니다.

  1. System Properties(시스템 속성) > File Maintenance(파일 유지 관리)로 이동합니다.
  2. 최상단의 Select File Type(파일 유형 선택)에서 Software Update Files(소프트웨어 업데이트 파일)를 선택합니다.
  3. Upload(업로드) 단추를 클릭합니다.
  4. 업그레이드 파일을 찾습니다.

3단계

설치/업그레이드 안내서의 단계에 따라 업그레이드를 진행합니다.

*중요 참고 사항:
  • 다음 장치로 진행하기 전에 장치 상태가 양호한지 확인하십시오.
  • 설명서를 따르지 않고 업그레이드 사전 요구 사항을 수행하면 업그레이드가 실패할 수 있습니다.

업그레이드 후

McAfee ESM 11.4.x 설치 안내서         상세 업그레이드 사후 작업 비디오를 다운로드합니다

활동 세부 정보 추가 정보
10.x 이하에서 업그레이드하는 경우 모든 주변 장치를 다시 입력합니다 System Properties(시스템 속성) -> ESM Management(ESM 관리) -> Key Management(키 관리) -> Regenerate SSH(SSH 재생성) 단추 -> Yes(예)를 누르고 닫아서 종료 이 작업은 최대 30분이 소요될 수 있으며, 처리 중인 재입력에 대한 메시지가 표시되나, 완전히 정상이며 무시해도 좋습니다.
McAfee Event Receiver 또는 ESM/Event Receiver 콤보에 설정 쓰기
  1. 대시보드에서 시스템 탐색 트리의 장치를 선택한 다음 Properties(속성) 아이콘 클릭
  2. Data Sources(데이터 소스) 탭 -> Write(쓰기) 클릭
  3. Vulnerability Assessment(취약성 평가) 탭 -> Write(쓰기) 클릭
완료되면 'Write Successful(쓰기 성공)' 메시지가 표시됩니다.
McAfee Advanced Correlation Engine(ACE)에 설정 쓰기
  1. 대시보드에서 시스템 탐색 트리의 장치를 선택한 다음 Properties(속성) 아이콘 클릭
  2. Correlation Management(상관 관계 관리) -> Write(쓰기) 클릭
  3. McAfee ACE를 Historical Mode(기록 모드)에서 사용하는 경우 Historical(기록) -> Enable Historical Correlation(기록 상관 관계 활성화) -> Apply(적용)를 클릭합니다. 이미 선택되어 있으면 선택을 취소하고 다시 선택한 다음 Apply(적용)를 클릭합니다.
 
규칙 업데이트 적용
  1. McAfee 다운로드 페이지에서 최신 파일을 가져옵니다.
  2. 시스템 탐색 트리에서 ESM 장치를 선택한 다음 Properties(속성) 아이콘을 클릭합니다.
  3. System Information(시스템 정보) -> Rules Update(규칙 업데이트) -> Manual Update(수동 업데이트) -> 업데이트 파일을 찾고 Upload(업로드)를 클릭한 다음 OK(확인) 클릭
수신기를 선택합니다. 정책 편집기를 엽니다. 모든 데이터 소스에 규칙을 롤아웃합니다. 환경의 각 수신기에 대해 이 과정을 반복합니다. 자세한 내용은 KB83046을 참조하십시오.
롤아웃 정책 Policy Editor(정책 편집기) -> Rollout(롤아웃) 아이콘 -> 롤아웃 페이지 표시 -> Rollout policy to all devices now(지금 모든 장치에 대한 정책 롤아웃) -> 나중에 롤아웃을 예약하려면 Edit(편집)을 클릭합니다.  
ESM: 클러스터 설정 기록 System Properties(시스템 속성) -> Clustering(클러스터링) -> Write(쓰기) 단추 -> Yes(예)를 누르고 닫아서 종료 작업을 계속하려면 성공 메시지가 있어야 합니다.

최적화

#1 플래그 검사
  • 개별 장치를 검사하여 플래그 상태가 무엇인지/표시되는 내용을 확인합니다.
  • 비활성 플래그가 있는 이유를 이해해야 합니다. 예상한 대로입니까? 예상한 바가 아닌 경우, 데이터 소스가 데이터를 수집하고 있는지 확인합니다.
  • 상태 플래그와 상태 플래그가 ESM 성능에 미칠 수 있는 영향에 대한 이 비디오를 시청하십시오.
#2 대시보드 보기
  • 데이터를 수신하고 있으며 데이터가 정확한 것 같은지 확인합니다.
    • 지난 30일 동안 분포도를 만들어 정규 분포를 따르는 것 같은지 확인합니다.
    • 보기 생성 및 분석에 대한 이 비디오를 시청하십시오.
  • 사용자 지정 보기를 확인하고 해당 보기가 그대로 유지되며 예상대로 작동하는지 확인합니다.
  • 효율성 유지를 염두에 두고 가장 적합한 "기본 시스템 보기"를 만듭니다.
    • 원하는 경우 빈 보기로 설정할 수 있습니다.
    • 일반 기본 보기(30~ 대신 8개 쿼리) 대신 Event Summary & Event Distribution(이벤트 요약 및 이벤트 분포)으로 시도합니다.
    • "빠른" 기본 요약 보기를 설정하고 로그아웃했다가 다시 로그인하여 차이점을 확인합니다.
    • 빠른 기본 시스템 보기 생성에 대한 이 비디오를 시청하십시오.
  • "Refresh Views(보기 새로 고침)"가 비활성화되어 있는지 확인합니다.
  • 대시보드 보기와 대시보드 보기가 ESM 성능에 미칠 수 있는 영향에 대한 이 비디오를 시청하십시오.
#3 작업 관리자
  • 로드하는 데 시간이 오래 걸리는 보기를 확인합니다.
  • 긴 쿼리의 세부 정보를 보고 REGEX 또는 최적화되지 않은 다른 쿼리와 같은 항목을 찾으십시오.
  • 작업 관리자를 사용하여 ESM 성능을 최적화하는 방법에 대한 이 비디오를 시청하십시오.
#4 경보
  • 경보가 정밀한 짧은 쿼리에 최적화되어 있습니까?
  • 극도로 짧은 1분 조건을 사용하고 있으십니까? 그렇다면 더 긴 기간을 사용하는 것도 고려해 보십시오.
    • 경보를 1분으로 설정하면 시스템에서 하루에 이 경보를 1440번 확인하도록 요청하게 됩니다.
    • 다른 쿼리를 실행하는 많은 사용자에게서 이 문제가 빠르게 심각해지는 양상을 볼 수 있습니다. 모든 보고서, 보기, 경보 등이 시스템 리소스 경쟁을 벌이고 있습니다.
  • 경보의 우선 순위 지정
    • 우선 순위 1 = 5-10분 간격
    • 우선 순위 2 = 20-30분 간격
#5 보고서
  • 필요하지 않거나 사용하지 않는 보고서를 비활성화합니다.
  • 보고서가 언제 실행될지 최적화합니다.
    • 사용량이 많지 않은 시간에 실행되도록 예약(예: SIEM에서 사용자가 적은 오전 1:00)
    • 가능한 한 자주 스태거합니다. (예: 첫 번째 시간에는 가장 빠른 스태거, 다음 시간에는 느린 스태거, 다음 시간에는 가장 느린 스태거)
#6 ELM
  • ELM Properties(ELM 속성) > ELM Configuration(ELM 구성) > Migrate DB(DB 마이그레이션)
    • 공간이 올바르게 할당되었습니까?
    • 데이터베이스가 올바른 위치에 있습니까?
    • ELM DB 마이그레이션에 대한 이 비디오를 시청하십시오.
  • 스토리지 풀
    • 이것들이 정확한 것 같습니까?
    • 필요한 공간이 모두 할당되어 있습니까?
    • 네트워크 스토리지를 추가해야 합니까?
    • ELM 스토리지 풀에 대한 이 비디오를 시청하십시오.
  • 보존
    • ELM Properties(ELM 속성) > ELM Management(ELM 관리) > View Statistics(통계 보기) > ELM Usage(ELM 사용) 탭
    • 남은 예상 시간을 확인하여 가용 스토리지를 소진합니다.
    • 이는 보존 기간을 볼륨별로 알려줍니다.
    • ELM 사용 및 보존에 대한 이 비디오를 시청하십시오.
#7 추가 리소스

추가 질문이 있습니까?