准备好升级了吗? 我们开始吧!

计划升级

在执行升级之前,请按照以下步骤操作,或者通过点击右下角的机器人图标并搜索“SIEM Upgrade Wizard”(SIEM 升级向导),从而使用我们的引导流向导

步骤 1

确保硬件的使用寿命尚未结束,并且可用于执行到 11.4.x 的升级。 为了提高性能,McAfee 强烈建议使用第 5 代或更高规格的硬件。

步骤 2

通过检查安装指南中的升级步骤,开始进行周密的计划练习。 如果当前版本为 10.4 或更低,请检查端口要求详细信息。

步骤 3

在内部评估当前网络和系统架构,并确保参与者和利益相关方在审阅产品指南时高度了解 McAfee ESM 平台。

步骤 4

执行对当前生产环境配置的评估,为升级提供指导和建议。 本视频演示了以下步骤。

  • 4.1. 下载 Upgrade Advisor 文件。
    • 使用您的授权号和电子邮件地址登录到 McAfee 下载站点。
    • 从 My Products(我的产品)页面,在 Filters(过滤器)下选择 SIEM Management Solutions(SIEM 管理解决方案)
    • 单击 McAfee Enterprise Security Manager
    • 单击 Upgrade Advisor 文件,以便下载。
  • 4.2. 安装与要升级到的版本相关的 Upgrade Advisor 信息文件。
  • 4.3. 从导航菜单中,单击 Upgrade Advisor(升级 Advisor)
  • 4.4. 单击日志状态窗口下的链接,以更新可用升级版本列表。
  • 4.5. 单击 Check Upgrade to(检查升级),并选择一个升级版本。
  • 4.6. 单击 Check(检查)
  • 4.7. 进度和状态会显示在 Log Status(日志状态)字段中。

此时将显示日志状态。 绿色状态表示所有检查正常。 红色状态表示之前的升级兼容性检查返回错误。 解决报告的所有问题。

重要说明:在升级之前不解决问题可能导致升级失败。

磁盘空间

一般来说,在升级之前,必须确保所有设备有 55GB 可用空间。

ELM、ELMREC 和 ENMELM 分别要求有 150GB 可用空间。

在升级之前,虚拟机必须有 55GB 可用空间。

健康状况标记

通常,黄色标记表示不活动。 也可能表示要同步的警报,或者是有挂起的“写入”操作。

一般来说,红色标记表示更严重的状况,通常需要您查看系统日志。

最佳实践是“无标记”,这样不活动的数据源就不会掩盖严重的问题。

一般状态

验证连接性并确保所有设备报告状态正常。

清除 ESM 任务管理器中的所有长运行查询。

从 GUI 为每台设备执行状态检查,确保系统中的关键进程正在运行。

端口要求

记录需要让防火墙规则允许的端口、源/目标 IP 地址以及协议。

*如果从 10.x 版本升级,请务必检查并了解端口要求,以便确保顺利执行升级流程。

不按照文档要求操作可能导致升级失败。

部署

为了成功升级系统,必须遵循三个主要步骤。

步骤 1

使用授权号从 McAfee 下载站点.

下载升级文件。 *强制要求:下载文件后,将文件校验和与 McAfee 下载站点上提供的校验和进行对比,从而验证文件完整性。

步骤 2

按照以下步骤,在 ESM 文件维护下将文件上传到 ESM。

  1. 转到 System Properties(系统属性)> File Maintenance(文件维护)。
  2. 在 Select File Type(选择文件类型)顶部:选择 Software Update Files(软件升级文件)。
  3. 单击 Upload(上传)按钮。
  4. 浏览到升级文件。

步骤 3

按照安装/升级指南中的以下步骤继续升级。

*重要说明:
  • 在继续升级下一台设备之前,确保设备状态正常。
  • 不按照文档要求操作,或者不执行升级前先决条件检查可能导致升级失败。

升级后

下载 McAfee ESM 11.4.x 安装指南         升级后详细活动视频

活动 详细信息 其他信息
如果从 10.x 或更低版本升级,请重新设置所有外围设备的密钥 System Properties(系统属性)-> ESM Management(ESM 管理)-> Key Management(密钥管理)-> Regenerate SSH(重新生成 SSH)按钮 -> Yes(是),然后关闭以完成 此操作可能需要 30 分钟才能完成,它会显示一条相关的以下消息:正在重新设置密钥,完全正常且可忽略。
将设置写入 McAfee Event Receiver 或 ESM/Event Receiver 组合
  1. 在信息显示板上,选择系统导航树中的设备,然后单击 Properties(属性)图标
  2. 单击 Data Sources(数据源)选项卡 -> Write(写入)
  3. 单击 Vulnerability Assessment(漏洞评估)选项卡 -> Write(写入)
完成后,您将看到一条“Write Successful”(写入成功)消息。
将设置写入 McAfee Advanced Correlation Engine (ACE)
  1. 在信息显示板上,选择系统导航树中的设备,然后单击 Properties(属性)图标
  2. 单击 Correlation Management(关联管理) -> Write(写入)
  3. 如果在 Historical Mode(历史模式)下使用 McAfee ACE,单击 Historical(历史)-> Enable Historical Correlation(启用历史关联)-> Apply(应用)。 如果已选择,请取消选择,然后重新选择并单击 Apply(应用)
 
应用规则更新
  1. 从下载页面获取最新文件。
  2. 在系统导航树中,选择 ESM 设备,然后单击 Properties(属性)图标。
  3. System Information(系统信息)-> Rules Update(规则更新)-> Manual Update(手动更新)-> 找到更新文件,单击 Upload(上传),然后单击 OK(确定)
选择接收器。 打开策略编辑器。 将规则推广到所有数据源。 为环境中的每个接收器重复执行上述操作。 如需详细参考信息,请参阅 KB83046
推广规则 Policy Editor(策略编辑器)-> Rollout(推广)图标-> 随即显示 Rollout(推广)页面 -> Rollout policy to all devices now(立即将规则推广到所有设备)-> 要稍后计划推广,请单击 Edit(编辑)。  
ESM:写入群集设置 System Properties(系统属性)-> Clustering(群集)-> Write(写入)按钮 -> Yes(是),然后关闭以完成 需要看到操作成功的消息才能继续。

优化

1 检查标记
  • 检查每台设备,以查看其标记状态/相关消息。
  • 确保理解为何有不活动标记。 是否正常? 如果不正常,请确保数据源正在收集数据。
  • 观看关于健康状况标记的此 视频,了解它们如何影响 ESM 性能。
2 信息显示板视图
  • 验证正在接收数据且数据准确。
    • 创建最近 30 天的分布图以检查数据是否正常。
    • 观看关于创建和分析视图的此视频
  • 检查自定义视图,验证其是否位于原来的位置且可按预期工作。
  • 将对您最有意义视图设置为“默认系统视图”,请记住,效率第一。
    • 如果您愿意,可以将其设置为空白视图。
    • 您可以尝试 Event Summary & Event Distribution(事件摘要与事件分布),而不是标准默认视图(8 条查询,而不是约 30 条)。
    • 通过设置“快速”默认摘要视图,然后注销,再重新登录,您可以查看两者之间的区别,从而检查此设置。
    • 观看关于创建快速默认系统视图的此视频
  • 确保已禁用“Refresh Views”(刷新视图)。
  • 观看关于信息显示板视图的此视频,了解其如何影响 ESM 性能
3 任务管理器
  • 检查视图需要很长时间才能加载完成。
  • 查看长查询的详细信息,查找 REGEX 或其他优化不佳的查询。
  • 观看关于使用任务管理器的此视频,了解如何优化 ESM 性能
4 警报
  • 是否为简短而精确的查询优化了警报?
  • 是否有特别短的条件,比如 1 分钟? 如果是,请考虑使用更长的时间段。
    • 如果设置为 1 分钟,则表示要求系统每天检查此警报 1440 次。
    • 您可以了解它如何与很多运行其他查询的用户快速组合。 每个报告、视图、警报等 都会竞争系统资源。
  • 优化警报
    • 优先级 1 = 5-10 分钟时间
    • 优先级 2 = 20-30 分钟时间
5 报告
  • 禁用不需要或未使用的报告。
  • 优化报告运行时间。
    • 安排报告在非高峰时间运行(例如,凌晨 1 点,此时 SIEM 的中用户较少)
    • 尽可能错峰运行。 (即, 第一小时运行较快的报告,接下来一小时运行较慢的报告,再下来一小时运行最慢的报告)
6 ELM
  • ELM Properties(ELM 属性)> ELM Configuration(ELM 配置 > Migrate DB(迁移数据库)
    • 分配的空间是否正确?
    • 数据库是否位于正确的位置?
    • 观看关于迁移 ELM 数据库的此视频
  • 存储池
    • 是否正确?
    • 是否已分配需要的所有空间?
    • 是否需要添加网络存储空间?
    • 观看关于 ELM 存储池的此视频
  • 保留
    • ELM Properties(ELM 属性)> ELM Management(ELM 管理)> View Statistics(查看统计信息)> ELM Usage(ELM 使用情况)选项卡
    • 检查耗尽可用存储空间的预估剩余时间。
    • 这样可以了解您的保留时间数量。
    • 观看关于 ELM 使用情况与保留的此视频
7 其他资源

还有其他问题?