準備好升級了嗎? 現在就開始吧!

規劃升級

執行升級之前,請依以下步驟操作,或按一下右下角的機器人圖示並搜尋「SIEM Upgrade Wizard (SIEM 升級精靈)」來使用我們的引導式流程精靈

步驟 1

請確保您的硬體的生命週期未結束且可以執行到 11.4.x 的升級。 McAfee 强烈建議使用第 5 代或更高版本的硬體以獲得最佳效能。

步驟 2

檢閲《安裝指南》的升級步驟,以便展開周詳規劃。 如果您的當前版本為 10.4 或更低版本,請查看連接埠需求詳細資料。

步驟 3

内部評估您現有的網路和系統架構,並確保參與者和相關人員對檢閲產品指南的 McAfee ESM 平台具有高層級的瞭解。

步驟 4

對現有生產環境組態進行評估,為您的升級提供指引和建議。 以下步驟在此視訊中進行了演示。

  • 4.1. 下載 Upgrade Advisor 檔案。
    • 使用授權號碼與電子郵件地址登入 McAfee 下載網站。
    • 從 [My Products (我的產品)] 頁面,在 [Filters (篩選器)] 下選取 [SIEM Management Solutions (SIEM 管理解決方案)]
    • 按一下 McAfee Enterprise Security Manager
    • 按一下 Upgrade Advisor 檔案以進行下載。
  • 4.2. 安裝與您期望升級至的版本相關的 Upgrade Advisor 資訊檔案
  • 4.3. 從導覽功能表 中,按一下 [Upgrade Advisor (升級 Advisor)]
  • 4.4. 按一下記錄檔狀態視窗下方的連結以更新可用升級版本清單。
  • 4.5. 按一下 [Check Upgrade to (檢查到 的升級)] 並選取一個升級版本。
  • 4.6. 按一下 [Check (檢查)]
  • 4.7. 進度和狀態會出現在 [Log Status (記錄檔狀態)] 欄位中。

記錄檔狀態會隨即顯示。 狀態為綠色表示所有檢查都沒有問題。 紅色則表示上一個升級相容性檢查傳回錯誤。 解決報出的所有問題。

重要説明:在開始升級前未解決錯誤可能會導致升級失敗。

磁碟空間

一般來説,在升級之前,所有裝置需要具有 55GB 的可用空間。

ELM、ELMREC 和 ENMELM 各需要 150GB 的可用空間。

虛擬機器在升級之前將需要 55GB 的可用空間。

運作狀態旗標

黃色旗標一般表示無活動。 也可能表示將要同步的警示或一個寫入動作待完成。

紅色旗標通常表示更爲嚴重的狀況,通常會讓您查看系統記錄檔。

最佳作法是「無旗標」,這樣嚴重的問題不會被資料來源無活動而掩蓋。

一般狀態

確認連線並確保所有裝置報告狀態都沒有問題。

在 ESM 工作管理員中清除所有長時間執行的查詢。

從 GUI 為每個裝置執行狀態檢查,以確保系統中關鍵的處理序正在執行中。

連接埠需求

對需要被防火墻規則允許的連接埠、來源/目標 IP 以及通訊協定進行備注。

*如果您要從 10.x 版本進行升級,則有必要檢查和瞭解連接埠需求,以確保升級順暢地進行。

不遵循以下説明文件可能會導致升級失敗。

部署

若想成功地升級您的系統,需要遵循三個重要的步驟。

步驟 1

使用您的授權號碼從 McAfee 下載網站下載升級檔案。

*要求:下載檔案之後,對 McAfee 下載網站上提供的檔案驗證總和檢查碼,以確保完整性。

步驟 2

依下面的步驟在 ESM 檔案維護下將檔案上傳至 ESM。

  1. 進入 [System Properties (系統内容)] > [File Maintenance (檔案維護)]。
  2. 在顯示 [Select File Type (選取檔案類型)] 的上方,選擇 [Software Update Files (軟體更新檔案)]。
  3. 按一下 [Upload (上傳)] 按鈕。
  4. 瀏覽至升級檔案。

步驟 3

《安裝/升級指南》中的步驟繼續進行升級。

*重要說明:
  • 請確保裝置狀態正常,然後再繼續下一個裝置。
  • 不遵循説明文件和執行升級前檢查可能會導致升級失敗。

升級後

下載 McAfee ESM 11.4.x 安裝指南         詳細的升級後活動視訊

活動 詳細資料 其他資訊
如果要從 10.x 或更低版本升級,重設所有周邊裝置的金鑰 [System Properties (系統内容)] -> [ESM Management (ESM 管理)] -> [Key Management (金鑰管理)] -> [Regenerate SSH (重新產生 SSH )] 按鈕 -> [Yes (是)] 並關閉以結束 此作業可能需要長達 30 分鐘,將顯示一個正在進行金鑰重設的訊息,這是完全正常的,可以忽略。
將設定寫入 McAfee Event Receiver 或 ESM/Event Receiver 組合
  1. 在儀表板上,選取系統導覽樹狀目錄中的裝置,然後按一下 [Properties (内容)] 圖示
  2. 按一下 [Data Sources (資料來源)] 標籤 -> [Write (寫入)]
  3. 按一下 [Vulnerability Assessment (弱點評估)] 標籤 -> [Write (寫入)]
完成后,您將看到一條「Write Successful (寫入成功)」訊息。
將設定寫入 McAfee Advanced Correlation Engine (ACE)
  1. 在儀表板上,選取系統導覽樹狀目錄中的裝置,然後按一下 [Properties (内容)] 圖示
  2. 按一下 [Correlation Management (關聯性管理)] -> [Write (寫入)]
  3. 如果 McAfee ACE 正在以 [Historical Mode(歷史模式)] 使用,請按一下 [Historical (歷史)] -> [Enable Historical Correlation (啟用歷史關聯性)] -> [Apply (套用)]。 如果已選取,請取消選取,再重新選取,然後按一下 [Apply (套用)]。
 
套用規則更新
  1. 從 [下載] 頁面獲取最新的檔案。
  2. 在系統導覽樹狀目錄中,選取 ESM 裝置,然後按一下 [Properties (内容)] 圖示。
  3. [System Information (系統資訊)] -> [Rules Update (規則更新)] -> [Manual Update (手動更新)] -> 瀏覽至更新檔案,按一下 [Upload (上傳)],然後按一下 [OK (確定)]
選取接收器。 開啟 [原則編輯器]。 將規則推至所有資料來源。 針對環境中的每個接收器重複執行。 請參見 KB83046 獲得進一步的參考。
推出原則 [Policy Editor (原則編輯器)] -> [Rollout (推出) 圖示] -> 顯示 [Rollout (推出)] 頁面-> [Rollout policy to all devices now (立即將原則推至所有裝置)] -> 若要稍後排程推出,請按一下 [Edit (編輯)]。  
ESM:寫出叢集設定 [System Properties (系統内容)] -> [Clustering (叢集)] -> [Write (寫入) 按鈕] -> [Yes (是)] 並關閉以結束 需要作業成功的訊息才能繼續。

最佳化

#1 檢查旗標
  • 檢查個別裝置,以查看其旗標狀態/或顯示了什麽。
  • 確保您瞭解出現任何無活動旗標的原因。 它們是想要的嗎? 如果不是,請確保資料來源正在收集資料。
  • 觀看此視訊,瞭解運作狀態旗標以及它們對 ESM 效能會有什麽影響。
#2 儀表板視圖
  • 確定您正在接收資料且看起來很準確。
    • 建立最近 30 天的分佈圖,看看它是否正常。
    • 觀看此視訊瞭解如何建立和分析視圖
  • 檢查自訂視圖,確認它們還存在且按預期運作。
  • 讓您的「預設系統視圖」對您最有意義,同時牢記效率。
    • 您可以在需要時將此視圖設爲一個空白視圖。
    • 嘗試 [Event Summary & Event Distribution (事件摘要與事件分佈)],而不是標準預設視圖 (8 個查詢,而不是 30~)。
    • 設定一個「快速」預設摘要視圖來進行檢查,登出並重新登入來查看不同之處。
    • 觀看此視訊瞭解如何建立快速預設系統視圖
  • 確保 [Refresh Views (重新整理視圖)] 已停用。
  • 觀看此視訊,瞭解儀表板視圖以及它們對 ESM 效能會有什麽影響
#3 工作管理員
  • [檢查視圖] 需要長時間來載入。
  • 檢視長查詢的詳細資料,找到 REGEX 或其他未最佳化的查詢之類的内容。
  • 觀看此視訊,瞭解如何使用工作管理員最佳化 ESM 效能
#4 警示
  • 您的警示是否已針對短的精確查詢進行最佳化?
  • 您是否遇到 1 分鐘的極短狀況? 如果是,請考量使用一個較長的時間範圍。
    • 如果設爲 1 分鐘,您將要求系統每天檢查此警示 1440 次。
    • 您可以看看它是如何快速地與許多執行其他查詢的使用者進行協調的。 每個報告、視圖、警示等 正在爭奪系統資源。
  • 排列警示的優先順序
    • 優先順序 1 = 5 到 10 分鐘的間隔
    • 優先順序 2 = 20 到 30 分鐘的間隔
#5 報告
  • 停用您不需要或沒有使用的任何報告。
  • 在執行報告時進行最佳化。
    • 排定這些在非尖峰時段執行 (例如凌晨 1:00 點,SIEM 中的使用者很少時)
    • 盡可能地錯開。 (即, 第一小時快速的、第二個小時慢速的、再下一個小時最慢的)
#6 ELM
  • [ELM Properties (ELM 内容)] > [ELM Configuration (ELM 組態)] > [Migrate DB (遷移資料庫)]
    • 空間是否正確地進行了分配?
    • 資料庫是否在正確的位置?
    • 觀看此視訊,瞭解如何遷移 ELM 資料庫
  • 儲存集區
    • 這些看起來合適嗎?
    • 您是否配置了所有需要的空間呢?
    • 您需要新增網路存放裝置嗎?
    • 觀看此視訊,瞭解 ELM 儲存集區
  • 保留
    • [ELM Properties (ELM 内容)] > [ELM Management (ELM 管理)] > [View Statistics (檢視統計資料)] > [ELM Usage (ELM 使用狀況)] 標籤
    • 檢查耗盡可用儲存空間的預計剩餘時間。
    • 這會依磁碟區顯示您的保留期是多久。
    • 觀看此視訊,瞭解 ELM 使用狀況與保留期
#7 其他資源

有其他疑問嗎?