Вы готовы перейти на новую версию? Давайте начнем!

Планирование перехода на новую версию

Перед переходом на новую версию выполните указанные ниже шаги или воспользуйтесь мастером процессов, нажав на иконке робота внизу страницы и выбрав SIEM Upgrade Wizard (Мастер обновления SIEM).

Шаг 1

Убедитесь в том, что ваше аппаратное обеспечение не устарело и является пригодным для обновления до версии 11.4.x. Для обеспечения оптимальной производительности McAfee настоятельно рекомендует аппаратное обеспечение поколения Gen 5 и выше.

Шаг 2

Начините составление подробного плана с изучения шагов по обновлению, приведенных в «Руководстве по установке». Если имеющаяся у вас текущая версия 10.4 или ниже, проверьте требования к портам.

Шаг 3

Выполните внутреннюю оценку текущей архитектуры сети и систем и добейтесь того, чтобы участники процесса и заинтересованные стороны хорошо понимали принципы работы платформы McAfee ESM, ознакомившись с руководством по продукту.

Шаг 4

Проведите оценку текущей конфигурации вашей производственной среды с целью выработать инструкции и рекомендации по переходу на новую версию. Видеоролик демонстрирует следующие шаги.

  • 4.1. Загрузите файл Upgrade Advisor.
    • Зайдите в свою учетную запись на сайте ресурсов для загрузки McAfee, используя свой номер доступа и адрес электронной почты.
    • На странице My Products (Мои продукты) выберите SIEM Management Solutions (Решения по управлению SIEM) в разделе Filters (Фильтры).
    • Нажмите пункт меню McAfee Enterprise Security Manager.
    • Нажмите файл Upgrade Advisor, чтобы загрузить его.
  • 4.2. Установите файл Upgrade Advisor (Помощник по обновлению), относящийся к версии, которую вам требуется обновить.
  • 4.3. В меню навигации нажмите пункт Upgrade Advisor (Помощник по обновлению).
  • 4.4. Нажмите на ссылку под состоянием журнала, чтобы обновить список предлагаемых версий обновления.
  • 4.5. Нажмите пункт меню Check Upgrade to (Проверить обновление до <версии>) и выберите новую версию.
  • 4.6. Нажмите пункт меню Check (Проверить).
  • 4.7. В поле Log Status (Состояние журнала) отобразятся ход процесса и состояние.

Отображается состояние журнала. Индикация состояния в зеленом цвете означает, что все проверки были пройдены успешно. Индикация в красном цвете означает, что при проверке совместимости с предшествующим обновлением возникли ошибки. Устраните все обнаруженные проблемы.

ВАЖНО! Наличие неустраненных проблем перед началом перехода на новую версию может стать причиной неудачного обновления.

Объем места на диске

Согласно общему правилу, перед обновлением любое устройство должно иметь 55 ГБ свободного пространства.

На каждое устройство ELM, ELMREC и ENMELM требуется по 150 ГБ свободного пространства.

На виртуальных машинах перед обновлением требуется 55 ГБ свободного пространства.

Флажки здоровья

Как правило, желтые флажки означают неактивность. Они также могут означать рассинхронизацию оповещений или запись в состоянии ожидания.

Красные флажки, как правило, обозначают более серьезные сбои и обычно требуют просмотра системного журнала.

Наилучшим является полное отсутствие флажков, чтобы неактивность источников данных не смогла скрыть серьезных проблем.

Общее состояние

Проверьте подключение и убедитесь в том, что все устройства показывают статус ОК.

Удалите все долговременные запросы в менеджере задач ESM.

Из графического интерфейса GUI выполните проверку состояния для каждого устройства, чтобы убедиться в функционировании ключевых процессов системы.

Требования к портам

Запишите все порты, исходные и целевые IP-адреса, которые должны пропускаться в соответствии с правилами брандмауэра.

*Если вы выполняете переход с версий 10.x, непременно необходимо изучить и понять требования к портам, чтобы обеспечить бесперебойный процесс обновления.

Несоблюдение содержащихся в документации указаний может стать причиной неудачного обновления.

Развертывание

Чтобы удачно обновить вашу систему, необходимо выполнить три главных шага.

Шаг 1

Используя свой номер доступа, загрузите файлы обновления на сайте ресурсов для загрузки продуктов McAfee.

*Обязательное условие. После загрузки файлов сравните их общее количество и размер с файлами, предлагаемыми на сайте ресурсов для загрузки продуктов McAfee, чтобы убедиться в их целостности и полноте.

Шаг 2

Выгрузите файлы в ESM через функцию обслуживания файлов ESM, выполнив приведенные ниже шаги.

  1. Перейдите в меню System Properties (Свойства системы) > File Maintenance (Обслуживание файлов).
  2. Вверху в меню Select File Type (Выберите тип файла): выберите пункт Software Update Files (Файлы обновления ПО).
  3. Нажмите кнопку Upload (Загрузить).
  4. Укажите путь к файлам обновления.

Шаг 3

Перейдите к процессу обновления, выполняя шаги, указанные в Руководство по установке и обновлению.

*ВАЖНОЕ ПРИМЕЧАНИЕ.
  • Перед тем, как перейти к обновлению следующего устройства, убедитесь в том, что текущее устройство показывает статус ОК.
  • Несоблюдение содержащихся в документации указаний и невыполнение требований по подготовке к обновлению могут стать причиной неудачного обновления.

После обновления

Загрузите «Руководство по установке McAfee ESM 11.4.x»         Видеоролик, подробно демонстрирующий мероприятия после обновления

Действия Сведения Дополнительная информация
При переходе с версий 10.x и ниже, выполните повторную генерацию ключей для периферийных устройств System Properties (Свойства системы) > ESM Management (Управление ESM) > Key Management (Управление ключами) > Кнопка Regenerate SSH (Выполнить повторную генерацию SSH-ключа) > Yes (Да) и закройте, чтобы закончить. Эта операция может занять до 30 минут. При этом отображается сообщение о выполнении процесса повторной генерации ключей. Это абсолютно нормально, и сообщение можно игнорировать.
Прописать настройки для McAfee Event Receiver или комбинации ESM/Event Receiver
  1. На панели в дереве навигации по системе выберите требуемое устройство, затем нажмите на иконку Properties (Свойства).
  2. Нажмите вкладку Data Sources (Источники данных) > Write (Записать)
  3. Нажмите вкладку Vulnerability Assessment (Оценка уязвимостей) > Write (Записать)
По завершении процесса появится сообщение Write Successful (Запись сделана успешно).
Прописать настройки для McAfee Advanced Correlation Engine (ACE)
  1. На панели в дереве навигации по системе выберите требуемое устройство, затем нажмите на иконку Properties (Свойства).
  2. Нажмите Correlation Management (Управление корреляцией) > Write (Записать).
  3. Если McAfee ACE используется в архивном режиме, нажмите Historical (Архивный) > Enable Historical Correlation (Активировать архивную корреляцию) > Apply (Применить). Если эта опция уже выбрана, отмените ее, а затем снова активируйте, нажав пункт Apply (Применить).
 
Применить обновление правил
  1. Загрузите самый актуальный файл на нашем сайте ресурсов для загрузки.
  2. В дереве навигации по системе выберите устройство ESM, затем нажмите на иконку Properties (Свойства).
  3. System Information (Информация о системе) > Rules Update (Обновление правил) > Manual Update (Ручное обновление) > Укажите путь к файлу обновления, нажмите Upload (Загрузить), затем нажмите OК.
Выберите приемник. Откройте редактор политик. Выполните развертывание правил для всех источников данных. Повторите процедуру для каждого приемника в среде. См. KB83046 для получения дополнительной информации.
Выполнить развертывание политик Policy Editor (Редактор политик) > Иконка Rollout (Развертывание) > Отображается страница Rollout (Развертывание) > Rollout policy to all devices now (Выполнить развертывание политики для всех устройств) > Чтобы запланировать развертывание на более позднее время, нажмите Edit (Редактировать).  
ESM: перезаписать настройки кластеров System Properties (Свойства системы) > Clustering (Кластерный анализ) > Кнопка Write (Записать) > Yes (Да) и закройте, чтобы закончить. Чтобы продолжить, необходимо сообщение об успешном выполнении операции.

Оптимизация

#1 Флажки проверки
  • Проверьте конкретные устройства, чтобы просмотреть флажки их состояния/на что они указывают.
  • Убедитесь в том, что вы понимаете, почему некоторые флажки неактивны. Это было ожидаемо? Если нет, то убедитесь в том, что источник данных выполняет сбор данных.
  • Посмотрите видеоролик о флажках здоровья и о том, как они влияют на производительность ESM.
#2 Представления панели
  • Проверьте, получаете ли вы данные, и выглядят ли они достоверными.
    • Составьте график распределения за последние 30 дней и проверьте, что он соответствует норме.
    • Посмотрите видеоролик о создании и анализе представлений.
  • Проверьте настраиваемые представления, убедитесь в их наличии и надлежащем функционировании.
  • Создайте свое собственное представление системы по умолчанию Default System View, включив в него наиболее важные для вас аспекты, не забывая об эффективности.
    • При желании, это представление может быть просто пустым.
    • Вместо нормального представления по умолчанию попробуйте использовать панели Event Summary (Сводка событий) или Event Distribution (Распределение событий) (8 запросов вместо прибл. 30).
    • Это можно сделать, настроив «быстрое» представление сводки по умолчанию из которого можно выходить и снова входить, чтобы увидеть разницу.
    • Посмотрите видеоролик о создании быстрых представлений системы по умолчанию.
  • Проконтролируйте, чтобы опция Refresh Views (Обновить представления) не была активирована.
  • Посмотрите видеоролик, рассказывающий представлениях панелей о том, как они могут повлиять на производительность ESM.
#3 Менеджер задач
  • Проверьте представления, загрузка которых требует долгого времени.
  • Просмотрите подробную информацию по длительным запросам, чтобы определить, не имеются ли в них такие вещи, как REGEX или другие плохо оптимизированные запросы.
  • Посмотрите видеоролик о том, как использовать менеджер задач для оптимизации производительности ESM.
#4 Оповещения
  • Ваши оповещения оптимизированы для кратких и точных запросов?
  • У вас установлены очень частые интервалы, например, 1 минута? Если так, попробуйте увеличить этот период.
    • Вы просите систему проверять это оповещение 1440 раз в день, если интервал установлен на 1 минуту.
    • Очевидно, что если другие пользователи также отправляют множество запросов, ситуация быстро усложнится. Каждый отчет, каждое представление, каждое оповещение и т. д. требует системных ресурсов.
  • Приоритизируйте оповещения
    • Приоритет 1 = интервалы 5-10 минут
    • Приоритет 2 = интервалы 20-30 минут
#5 Отчеты
  • Деактивируйте все отчеты, которые вам не требуются или которые вы не используете.
  • Оптимизируйте момент составления отчетов.
    • Запланируйте их генерирование на время с наименьшей загрузкой (например в 1:00, когда в SIEM наименьшее количество пользователей).
    • Дифференцируйте время их составления, насколько это возможно (т.е.: быстрые — в первый час, медленные — в следующий час, очень медленные — в другой следующий час).
#6 ELM
  • ELM Properties (Свойства ELM) > ELM Configuration (Конфигурация ELM) > Migrate DB (Миграция базы данных)
    • Правильно ли указано место?
    • Находится ли база данных в нужном месте?
    • Посмотрите видеоролик о миграции базы данных ELM.
  • Пулы хранения
    • Выглядят ли они корректно?
    • У вас указано столько пространства, сколько требуется?
    • Вам требуется увеличить объем сетевого пространства для хранения?
    • Посмотрите видеоролик о пулах хранения ELM.
  • Хранение
    • ELM Properties (Свойства ELM) > ELM Management (Управление ELM) > View Statistics (Просмотреть статистику) > Вкладка ELM Usage (Использование ELM)
    • Проверьте расчетное время, оставшееся до окончания имеющегося объема пространства.
    • Исходя из объема оно сообщает, как долго вы еще сможете обеспечивать хранение.
    • Посмотрите видеоролик об использовании и хранении ELM.
#7 Другие ресурсы

У вас остались вопросы?