Preparado para o upgrade? Vamos começar.

Planeje seu upgrade

Antes de realizar o upgrade, siga as etapas abaixo ou use nosso assistente de fluxo orientado clicando no ícone do robô no canto inferior direito e pesquisando por "SIEM Upgrade Wizard" (Assistente de upgrade de SIEM).

Etapa 1

Certifique-se de que seu hardware não esteja no fim da vida útil e seja válido para realizar o upgrade para 11.4.x. A McAfee recomenda fortemente o uso de hardware geração 5 ou superior para um desempenho ideal.

Etapa 2

Comece realizando um exercício de planejamento detalhado revisando as etapas de upgrade no guia de instalação. Se sua versão atual for a 10.4 ou inferior, verifique os detalhes de requisito de portas.

Etapa 3

Avalie internamente sua arquitetura atual de rede e sistemas, e certifique-se de que os participantes e as partes interessadas tenham um entendimento de alto nível sobre a plataforma McAfee ESM lendo o guia de produto.

Etapa 4

Faça uma avaliação da configuração atual de seu ambiente de produção para oferecer orientação e recomendações sobre a atualização. As etapas seguintes são demonstradas neste vídeo.

  • 4.1. Faça download do arquivo do Upgrade Advisor.
    • Entre no site de downloads da McAfee com seu número de concessão e endereço de e-mail.
    • Na página My Products (Meus produtos), selecione SIEM Management Solutions (Soluções de gerenciamento de SIEM) em Filters (Filtros).
    • Clique em McAfee Enterprise Security Manager.
    • Clique no arquivo do Upgrade Advisor para fazer download dele.
  • 4.2. Instale o arquivo de informações do Upgrade Advisor relacionado à versão para a qual você quer atualizar
  • 4.3. No menu de navegação , clique em Upgrade Advisor.
  • 4.4. Click no link abaixo da janela de status do log para atualizar a lista de versões de upgrade disponíveis.
  • 4.5. Clique em Check Upgrade to (Verificar upgrade para) e selecione uma versão de upgrade.
  • 4.6. Clique em Check (Verificar).
  • 4.7. O progresso e o status aparecem no campo Log Status (Status de log).

O status do log é exibido. Um status verde indica que todas as verificações tiveram resultados satisfatórios. Vermelho indica que uma verificação de compatibilidade de upgrade anterior retornou errors. Resolva todos os problemas relatados.

IMPORTANTE: não resolver problemas antes de começar o upgrade pode causar falha no upgrade.

Espaço em disco

Como regra geral, todos os dispositivos precisam ter 55 GB de espaço livre antes da atualização.

ELM, ELMREC e ENMELM exigem 150 GB de espaço livre cada.

As máquinas virtuais precisam de 55 GB de espaço livre antes do upgrade.

Sinalizadores de integridade

Sinalizadores amarelos geralmente indicam inatividade. Também pode indicar alarmes a serem sincronizados ou uma ação de gravação pendente.

Sinalizadores vermelhos indicam condições mais graves e geralmente conduzem ao log do sistema.

A melhor prática é não ter sinalizadores, de modo que problemas graves não sejam ofuscados pela inatividade de uma fonte de dados.

Status geral

Verifique a conectividade e assegure que todos os dispositivos informem o status OK.

Limpe todas as consultas de longa duração nos gerenciadores de tarefas do ESM.

Realize uma verificação de status pela interface gráfica de usuário para cada dispositivo, para garantir que os processos-chave no sistema estejam em execução.

Requisitos de portas

Tome nota das portas, ip de origem/destino e protocolos que precisam ser permitidos pelas regras de firewall.

*Se você estiver atualizando a partir das versões 10.x, é imprescindível que você verifique e entenda os requisitos de portas para garantir um processo de atualização tranquilo.

Não seguir a documentação pode causar falha no upgrade.

Distribuição

Há três etapas importantes para um upgrade bem-sucedido do sistema.

Etapa 1

Faça download de arquivos de upgrade usando seu número de concessão do site de downloads da McAfee.

*Obrigatório: após fazer download dos arquivos, valide suas somas de verificação comparando-as às fornecidas no site de downloads da McAfee para atestar sua integridade.

Etapa 2

Carregue arquivos para o ESM via manutenção de arquivos do ESM seguindo as etapas abaixo.

  1. Acesse System Properties (Propriedades do sistema) > File Maintenance (Manutenção de arquivos).
  2. No topo, onde consta Select Field Type: (Selecione o tipo de arquivo:), escolha Software Update Files (Arquivos de atualização de software).
  3. Clique no botão Upload (Fazer upload).
  4. Navegue até os arquivos de upgrade.

Etapa 3

Continue com o upgrade seguindo as etapas do Guia de instalação/upgrade.

*NOTA IMPORTANTE:
  • Certifique-se de que o status do dispositivo seja OK antes seguir para o próximo dispositivo.
  • Não seguir a documentação e não cumprir os requisitos de pré-atualização pode causar falha no upgrade.

Pós-upgrade

Faça download do Guia de instalação do McAfee ESM 11.4.x         Vídeo detalhado sobre atividades pós-upgrade

Atividade Detalhes Mais informações
Ao realizar upgrade a partir da versão 10.x ou inferior, é preciso gerar novas chaves para todos os dispositivos periféricos System Properties (Propriedades do sistema) -> ESM Management (Gerenciamento do ESM) -> Key Management (Gerenciamento de chaves) -> botão Regenerate SSH (Regenerar SSH) -> Yes (Sim) e feche para concluir A operação pode levar até 30 minutos e exibirá uma mensagem sobre a geração de chaves estar em andamento; isso é completamente normal e pode ser ignorado.
Grave as configurações no McAfee Event Receiver ou no combo ESM/Event Receiver
  1. No dashboard, selecione o dispositivo na árvore de navegação do sistema e clique no ícone Properties (Propriedades)
  2. Clique na guia Data Sources (Fontes de dados) -> Write (Gravar)
  3. Clique na guia Vulnerability Assessment (Avaliação de vulnerabilidade) -> Write (Gravar)
Após a conclusão, você verá a mensagem “Write Successful” (Gravação bem-sucedida).
Grave as configurações no McAfee Advanced Correlation Engine (ACE)
  1. No dashboard, selecione o dispositivo na árvore de navegação do sistema e clique no ícone Properties (Propriedades)
  2. Clique em Correlation Management (Gerenciamento de correlações) -> Write (Gravar)
  3. Se o McAfee ACE estiver sendo usado em Historical Mode (Modo histórico), clique em Historical (Histórico) -> Enable Historical Correlation (Ativar correlação histórica) -> Apply (Aplicar). Se a opção já estiver marcada, desmarque-a, marque-a novamente e clique em Apply (Aplicar)
 
Aplicar atualização de regras
  1. Obtenha o arquivo mais recente em nossa página de downloads.
  2. Na árvore de navegação do sistema, selecione o dispositivo ESM e clique no ícone Properties (Propriedades).
  3. System Information (Informações do sistema) -> Rules Update (Atualização de regras) -> Manual Update (Atualização manual) -> Navegue até o arquivo de atualização, clique em Upload (Carregar) e clique em OK
Selecione um receptor. Abra o Policy Editor (Editor de políticas). Distribua regras para todas as fontes de dados. Repita para cada receptor no ambiente. Consulte KB83046 para mais referências.
Distribuir políticas Policy Editor (Editor de políticas) -> Ícone Rollout (Distribuição) -> A página Rollout (Distribuição) é exibida -> Rollout policy to all devices now (Distribuir política para todos os dispositivos agora) -> Para programar a distribuição para mais tarde, clique em Edit (Editar).  
ESM: gravar configurações de cluster System Properties (Propriedades do sistema) -> Clustering (Clusters) -> botão Write (Gravar) -> Yes (Sim) e feche para concluir A mensagem de sucesso da operação é necessária para continuar.

Otimização

1) Verificar sinalizadores
  • Verifique dispositivos individuais para ver o status do sinalizador/o que ele diz.
  • Verifique a razão de quaisquer sinalizadores inativos. Eles são esperados? Se não forem, certifique-se de que a fonte de dados esteja coletando dados.
  • Assista a este vídeo sobre sinalizadores de integridade e como eles podem afetar o desempenho do ESM.
2) Exibições do dashboard
  • Verifique se você está recebendo dados e se eles são precisos.
    • Crie um gráfico de distribuição dos últimos 30 dias e verifique se ele parece normal.
    • Assista a este vídeo sobre criação e análise de exibições.
  • Verifique as exibições personalizadas; certifique-se de que ainda estejam lá e que funcionem conforme o esperado.
  • Defina como sua “exibição padrão do sistema” o que fizer mais sentido para você, levando a eficiência em consideração.
    • Você pode definir uma exibição vazia, se quiser.
    • Experimente Event Summary & Event Distribution (Resumo de eventos e distribuição de eventos) em vez da exibição padrão normal (8 consultas em vez de aproximadamente 30).
    • Para ver a diferença e constatar isso, configure uma exibição de resumo padrão “rápida”, saia e entre novamente.
    • Assista a este vídeo sobre criação de exibições padrão rápidas do sistema.
  • Certifique-se de que “Refresh Views” (Atualizar exibições) esteja desativado.
  • Assista a este vídeo sobre exibições do dashboard e como elas podem afetar o desempenho do ESM.
3) Gerenciador de tarefas
  • Verifique exibições que demoram muito para carregar.
  • Veja detalhes de consultas longas para encontrar coisas como REGEX ou outras consultas mal otimizadas.
  • Assista a este vídeo sobre como usar o Gerenciador de Tarefas para otimizar o desempenho do ESM.
4) Alarmes
  • Seus alarmes estão otimizados para consultas curtas e precisas?
  • Você tem condições extremamente curtas, 1 minuto? Em caso positivo, considere usar um período de tempo mais longo.
    • Você está pedindo ao sistema para verificar este alarme 1440 vezes por dia se ele estiver definido para 1 minuto.
    • Pense em como isso pode se agravar rapidamente com muitos usuários executando outras consultas. Cada relatório, exibição, alarme, etc. compete pelos recursos do sistema.
  • Priorize seus alarmes
    • Prioridade 1 = intervalos de 5 a 10 minutos
    • Prioridade 2 = intervalos de 20 a 30 minutos
5) Relatórios
  • Desative os relatórios de que não precisar ou que não estiver usando.
  • Otimize quando seus relatórios são executados.
    • Programe-os para execução fora do horário de pico (por exemplo, 1h quando há menos usuários no SIEM)
    • Escalone o máximo possível. (ou seja, os mais rápidos na primeira hora, o lento na próxima hora, o mais lento de todos na hora seguinte)
6) ELM
  • ELM Properties (Propriedades do ELM) > ELM Configuration (Configuração do ELM) > Migrate DB (Migrar banco de dados)
    • O espaço foi alocado corretamente?
    • O banco de dados estão no local certo?
    • Assista a este vídeo sobre Migração de banco de dados do ELM.
  • Pools de armazenamento
    • Eles parecem corretos?
    • Você tem todo o espaço alocado de que precisa?
    • Você precisa adicionar armazenamento de rede?
    • Assista a este vídeo sobre Pools de armazenamento do ELM.
  • Retenção
    • ELM Properties (Propriedades do ELM) > ELM Management (Gerenciamento do ELM) > View Statistics (Ver estatísticas) > guia ELM Usage (Uso do ELM)
    • Verifique o tempo estimado restante para esgotar o armazenamento disponível.
    • Isso diz em volume quanto tempo sua retenção deve durar.
    • Assista a este vídeo sobre Uso e retenção do ELM.
7) Mais recursos

Mais alguma dúvida?