mcafee enterprise security manager 9.5 · cd-rom du produit ou d'un fichier disponible sur le...

Guide Produit

McAfee Enterprise Security Manager 9.5.1

COPYRIGHT

Copyright © 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com

DROITS DE MARQUESIntel et le logo Intel sont des marques commerciales déposées d'Intel Corporation aux États-Unis et/ou dans d'autres pays. McAfee et le logo McAfee,McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global ThreatIntelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfeeTechMaster, McAfee Total Protection, TrustedSource, VirusScan sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc.ou de ses filiales aux États-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs.

INFORMATIONS DE LICENCE

Accord de licenceÀ L'ATTENTION DE TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT L'ACCORD LÉGAL APPROPRIÉ CORRESPONDANT À LA LICENCE QUEVOUS AVEZ ACHETÉE, QUI DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS NE CONNAISSEZ PAS LETYPE DE LICENCE QUE VOUS AVEZ ACQUIS, CONSULTEZ LES DOCUMENTS DE VENTE, D'ATTRIBUTION DE LICENCE OU LE BON DE COMMANDE QUIACCOMPAGNENT LE LOGICIEL OU QUE VOUS AVEZ REÇUS SÉPARÉMENT LORS DE L'ACHAT (SOUS LA FORME D'UN LIVRET, D'UN FICHIER SUR LECD-ROM DU PRODUIT OU D'UN FICHIER DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ LE PACKAGE LOGICIEL). SI VOUSN'ACCEPTEZ PAS TOUTES LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DU LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZRETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LE REMBOURSEMENT INTÉGRAL

2 McAfee Enterprise Security Manager 9.5.1 Guide Produit

http://www.intelsecurity.com

Sommaire

Préface 9Présentation de ce guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Public visé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Accès à la documentation sur le produit . . . . . . . . . . . . . . . . . . . . . . . . . 10Accès aux informations localisées . . . . . . . . . . . . . . . . . . . . . . . . 10Forum aux questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

1 Présentation 13Comment fonctionne McAfee Enterprise Security Manager . . . . . . . . . . . . . . . . . 13Fonctions des équipements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Console ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Utilisation de l'aide ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Forum aux questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Accès aux informations localisées . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

2 Mise en route 19Configuration matérielle et logicielle requise . . . . . . . . . . . . . . . . . . . . . . . 19A propos du mode FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Informations sur le mode FIPS . . . . . . . . . . . . . . . . . . . . . . . . . 21Sélection du mode FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Vérification de l'intégrité FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . 22Ajout d'un équipement dont la clé est activée en mode FIPS . . . . . . . . . . . . . 23Résolution des problèmes liés au mode FIPS . . . . . . . . . . . . . . . . . . . . 26

Configuration évaluée d'après des critères courants . . . . . . . . . . . . . . . . . . . . 26Connexion et déconnexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Personnalisation de la page de connexion . . . . . . . . . . . . . . . . . . . . . . . . 28Mise à jour du logiciel ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Obtention et ajout des informations d'identification pour la mise à jour des règles . . . . . . . . 29Recherche des mises à jour des règles . . . . . . . . . . . . . . . . . . . . . . . . . 30Modification de la langue des journaux des événements . . . . . . . . . . . . . . . . . . 31Connexion d'équipements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Ajout d'équipements dans la console ESM . . . . . . . . . . . . . . . . . . . . . 31Sélection d'un type d'affichage . . . . . . . . . . . . . . . . . . . . . . . . . 32Gestion des types d'affichage personnalisés . . . . . . . . . . . . . . . . . . . . 32Gestion d'un groupe dans un type d'affichage personnalisé . . . . . . . . . . . . . . 33Suppression d'un groupe ou d'un équipement . . . . . . . . . . . . . . . . . . . 33Suppression des équipements en double dans l'arborescence de navigation des systèmes . 34

Préférences de la console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Console ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35Utilisation du thème de couleurs de la console . . . . . . . . . . . . . . . . . . . 36Sélection des paramètres d'affichage de la console . . . . . . . . . . . . . . . . . 36Configuration du délai d'expiration de la console . . . . . . . . . . . . . . . . . . 36Sélection des paramètres utilisateur . . . . . . . . . . . . . . . . . . . . . . . 36Configuration des informations d'identification de l'utilisateur pour McAfee ePO. . . . . . 37

McAfee Enterprise Security Manager 9.5.1 Guide Produit 3

3 Configuration de l'ESM 39Gestion des équipements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Affichage des statistiques sur les équipements . . . . . . . . . . . . . . . . . . . 41Ajout d'équipements dans la console ESM . . . . . . . . . . . . . . . . . . . . . 42A propos des clés d'équipement . . . . . . . . . . . . . . . . . . . . . . . . . 42Mise à jour du logiciel dans un équipement . . . . . . . . . . . . . . . . . . . . 45Organisation de vos équipements . . . . . . . . . . . . . . . . . . . . . . . . 45Gestion de plusieurs équipements . . . . . . . . . . . . . . . . . . . . . . . . 61Gestion des liens URL de tous les équipements . . . . . . . . . . . . . . . . . . . 61Affichage des rapports de synthèse des équipements . . . . . . . . . . . . . . . . 62Affichage d'un journal de système ou d'équipement . . . . . . . . . . . . . . . . . 62Rapports d'état d'intégrité des équipements . . . . . . . . . . . . . . . . . . . . 62Suppression d'un groupe ou d'un équipement . . . . . . . . . . . . . . . . . . . 65Actualisation des équipements . . . . . . . . . . . . . . . . . . . . . . . . . 65

Configuration des équipements . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Fonctions des équipements . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Paramètres Event Receiver . . . . . . . . . . . . . . . . . . . . . . . . . . . 68Paramètres d'Enterprise Log Manager (ELM) . . . . . . . . . . . . . . . . . . . 124Paramètres liés au moteur ACE (Advanced Correlation Engine) . . . . . . . . . . . . 141Paramètres de Application Data Monitor (ADM) . . . . . . . . . . . . . . . . . . 144Paramètres de Database Event Monitor (DEM) . . . . . . . . . . . . . . . . . . 160Paramètres de Distributed ESM (DESM) . . . . . . . . . . . . . . . . . . . . . 167Paramètres ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . . . 168Paramètres de Nitro Intrusion Prevention System (Nitro IPS) . . . . . . . . . . . . 174Paramètres McAfee Vulnerability Manager . . . . . . . . . . . . . . . . . . . . 178Paramètres McAfee Network Security Manager . . . . . . . . . . . . . . . . . . 179

Configuration des services auxiliaires . . . . . . . . . . . . . . . . . . . . . . . . . 181Informations système générales . . . . . . . . . . . . . . . . . . . . . . . . 182Configuration des paramètres du serveur Remedy . . . . . . . . . . . . . . . . . 182Interruption de l'actualisation automatique de l'arborescence des systèmes ESM . . . . . 182Définition des paramètres des messages . . . . . . . . . . . . . . . . . . . . . 183Configuration du protocole NTP dans un équipement . . . . . . . . . . . . . . . . 185Configuration des paramètres réseau . . . . . . . . . . . . . . . . . . . . . . 186Synchronisation de l'heure système . . . . . . . . . . . . . . . . . . . . . . . 193Installation d'un nouveau certificat . . . . . . . . . . . . . . . . . . . . . . . 194Configuration des profils . . . . . . . . . . . . . . . . . . . . . . . . . . . 194Configuration SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194

Gestion de la base de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203Configuration du stockage des données ESM . . . . . . . . . . . . . . . . . . . 203Configuration du stockage des données de machine virtuelle ESM . . . . . . . . . . . 204Augmentation du nombre d'index de cumul disponibles . . . . . . . . . . . . . . . 204Configuration de l'archivage des partitions inactives . . . . . . . . . . . . . . . . 205Configuration des limites de conservation des données . . . . . . . . . . . . . . . 205Définition des limites d'allocation des données . . . . . . . . . . . . . . . . . . 205Gestion des paramètres d'index de base de données . . . . . . . . . . . . . . . . 206Gestion de l'indexation du cumul . . . . . . . . . . . . . . . . . . . . . . . . 206Affichage de l'utilisation de la mémoire de la base de données . . . . . . . . . . . . 206

Gestion des utilisateurs et des groupes . . . . . . . . . . . . . . . . . . . . . . . . 207Ajout d'un utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207Sélection des paramètres utilisateur . . . . . . . . . . . . . . . . . . . . . . 208Configuration de la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . 208Configuration des informations d'identification de l'utilisateur pour McAfee ePO. . . . . . 212Désactivation ou réactivation d'un utilisateur . . . . . . . . . . . . . . . . . . . 212Authentification des utilisateurs auprès d'un serveur LDAP . . . . . . . . . . . . . 212Configuration de groupes d'utilisateurs . . . . . . . . . . . . . . . . . . . . . 213Ajout d'un groupe à accès limité . . . . . . . . . . . . . . . . . . . . . . . . 213

Sommaire


Sauvegarde et restauration des paramètres système . . . . . . . . . . . . . . . . . . . 214Sauvegarde des paramètres ESM et des données système . . . . . . . . . . . . . . 214Restauration des paramètres ESM . . . . . . . . . . . . . . . . . . . . . . . 215Restauration de fichiers de configuration sauvegardés . . . . . . . . . . . . . . . 215Utilisation des fichiers de sauvegarde dans ESM . . . . . . . . . . . . . . . . . . 215Gestion de la maintenance des fichiers . . . . . . . . . . . . . . . . . . . . . 216

ESM redondant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216Configuration d'un ESM redondant . . . . . . . . . . . . . . . . . . . . . . . 217Remplacement d'un ESM redondant . . . . . . . . . . . . . . . . . . . . . . . 218

Gestion de l'ESM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218Gestion des journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220Masquage des adresses IP . . . . . . . . . . . . . . . . . . . . . . . . . . 221Configuration de la journalisation ESM . . . . . . . . . . . . . . . . . . . . . . 221Modification de la langue des journaux des événements . . . . . . . . . . . . . . 221Exportation et restauration des clés de communication . . . . . . . . . . . . . . . 222Régénération de la clé SSH . . . . . . . . . . . . . . . . . . . . . . . . . . 222Gestionnaire de tâches pour les requêtes . . . . . . . . . . . . . . . . . . . . 222Gestion des requêtes en cours d'exécution sur l'ESM . . . . . . . . . . . . . . . . 223Mise à jour d'un ESM principal ou redondant . . . . . . . . . . . . . . . . . . . 223Accès à un équipement à distance . . . . . . . . . . . . . . . . . . . . . . . 224Utilisation des commandes Linux . . . . . . . . . . . . . . . . . . . . . . . . 224Commandes Linux disponibles . . . . . . . . . . . . . . . . . . . . . . . . . 225

Utilisation d'une liste globale de blocage . . . . . . . . . . . . . . . . . . . . . . . . 226Configuration d'une liste globale de blocage . . . . . . . . . . . . . . . . . . . 226

Qu'est-ce que l'enrichissement des données ? . . . . . . . . . . . . . . . . . . . . . . 227Ajout de sources d'enrichissement des données . . . . . . . . . . . . . . . . . . 227Configuration de l'enrichissement des données McAfee Real Time for McAfee ePO

™

. . . . 228Ajout d'une source d'enrichissement de données Hadoop HBase . . . . . . . . . . . 228Ajout d'une source d'enrichissement de données Hadoop Pig . . . . . . . . . . . . . 229Ajout de l'enrichissement des données Active Directory pour les noms d'utilisateur . . . . 230

4 Gestion de Cyber Threat 233Configurer la gestion de Cyber Threat . . . . . . . . . . . . . . . . . . . . . . . . . 233Affichage des résultats du flux Cyber Threat . . . . . . . . . . . . . . . . . . . . . . 234

5 Utilisation des packs de contenu 237Importation de packs de contenu . . . . . . . . . . . . . . . . . . . . . . . . . . . 237

6 Workflow d'alarmes 239Préparation à la création d'alarmes . . . . . . . . . . . . . . . . . . . . . . . . . . 239

Configuration des messages d'alarme . . . . . . . . . . . . . . . . . . . . . . 240Gestion des fichiers audio d'alarme . . . . . . . . . . . . . . . . . . . . . . . 245Gestion de la file d'attente des rapports d'alarme . . . . . . . . . . . . . . . . . 246

Créer des alarmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246Activation ou désactivation de la surveillance des alarmes . . . . . . . . . . . . . . 247Copie d'une alarme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248Création d'alarmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248

Surveillance et réponses aux alarmes . . . . . . . . . . . . . . . . . . . . . . . . . 253Affichage et gestion des alarmes déclenchées . . . . . . . . . . . . . . . . . . . 254Affichage des résultats du flux Cyber Threat . . . . . . . . . . . . . . . . . . . 255Intégration de Threat Intelligence Exchange . . . . . . . . . . . . . . . . . . . 256Gestion de la file d'attente des rapports d'alarme . . . . . . . . . . . . . . . . . 257

Régler les alarmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258Création d'alarmes UCAPL . . . . . . . . . . . . . . . . . . . . . . . . . . . 258Ajout d'alarmes d'événement du programme de surveillance d'état . . . . . . . . . . 261Ajout d'une alarme Concordance de champ . . . . . . . . . . . . . . . . . . . . 271

Sommaire


Ajout d'une alarme à des règles . . . . . . . . . . . . . . . . . . . . . . . . 273Configuration d'une interruption SNMP pour la notification de panne d'alimentation . . . . 273Création d'une interruption SNMP en tant qu'action d'alarme . . . . . . . . . . . . . 274Ajout d'une alarme de notification de panne d'alimentation . . . . . . . . . . . . . 275Gestion des sources de données désynchronisées . . . . . . . . . . . . . . . . . 276

7 Utilisation des événements 279Evénements, flux et journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279

Configuration des téléchargements d'événements, de flux et de journaux . . . . . . . 280Durée maximale de collecte des données . . . . . . . . . . . . . . . . . . . . 280Définition des paramètres de seuil d'inactivité . . . . . . . . . . . . . . . . . . . 280Obtention des événements et des flux . . . . . . . . . . . . . . . . . . . . . . 281Recherche des événements, des flux et des journaux . . . . . . . . . . . . . . . . 281Définition des paramètres de géolocalisation et ASN . . . . . . . . . . . . . . . . 282Obtention des événements et des flux . . . . . . . . . . . . . . . . . . . . . . 282Agrégation des événements ou des flux . . . . . . . . . . . . . . . . . . . . . 282Configuration du transfert des événements . . . . . . . . . . . . . . . . . . . . 284

Gestion des rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290Définition du mois de début des rapports trimestriels . . . . . . . . . . . . . . . . 291Ajout d'un rapport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291Ajout d'une disposition de rapport . . . . . . . . . . . . . . . . . . . . . . . 291Inclusion d'une image dans des PDF et des rapports . . . . . . . . . . . . . . . . 292Ajout d'une condition de rapport . . . . . . . . . . . . . . . . . . . . . . . . 292Affichage des noms d'hôte dans un rapport . . . . . . . . . . . . . . . . . . . . 292

Description des filtres contains et regex . . . . . . . . . . . . . . . . . . . . . . . . 293Utilisation des vues d'ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297

Utilisation des vues ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . 297Affichage des informations sur les sessions . . . . . . . . . . . . . . . . . . . . 298Barre d'outils des vues . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298Vues prédéfinies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299Ajout d'une vue personnalisée . . . . . . . . . . . . . . . . . . . . . . . . . 304Composants de vues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304Utilisation de l'Assistant Requête . . . . . . . . . . . . . . . . . . . . . . . . 315Gestion des vues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318Effectuer une recherche dans la période d'un événement . . . . . . . . . . . . . . 318Affichage des informations sur l'adresse IP d'un événement . . . . . . . . . . . . . 319Modification de la vue par défaut . . . . . . . . . . . . . . . . . . . . . . . . 319Filtrage des vues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320Listes de surveillance . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323Normalisation de chaîne . . . . . . . . . . . . . . . . . . . . . . . . . . . 326

Filtres de type personnalisé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327Création de types personnalisés . . . . . . . . . . . . . . . . . . . . . . . . 329Tableau des types personnalisés prédéfinis . . . . . . . . . . . . . . . . . . . . 329Ajout de types personnalisés d'heure . . . . . . . . . . . . . . . . . . . . . . 333Types personnalisés nom/valeur . . . . . . . . . . . . . . . . . . . . . . . . 333Ajout d'un type personnalisé de groupe nom/valeur. . . . . . . . . . . . . . . . . 333

Affichage de l'heure de l'événement . . . . . . . . . . . . . . . . . . . . . . . . . . 334

8 Gestion des incidents 337Ajout d'un incident . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337Créer un incident à partir d'un événement . . . . . . . . . . . . . . . . . . . . . . . 338Ajout d'événements à un incident existant . . . . . . . . . . . . . . . . . . . . . . . 338Modification ou fermeture d'un incident . . . . . . . . . . . . . . . . . . . . . . . . 338Affichage des détails des incidents . . . . . . . . . . . . . . . . . . . . . . . . . . 339Ajout de niveaux d'état d'incident . . . . . . . . . . . . . . . . . . . . . . . . . . 339Envoi de notifications d'incident par e-mail . . . . . . . . . . . . . . . . . . . . . . . 340

Sommaire


Affichage de tous les incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340Génération des rapports de gestion des incidents . . . . . . . . . . . . . . . . . . . . 341

9 Utilisation d'Asset Manager 343Gestion des actifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344

Définition des anciens actifs . . . . . . . . . . . . . . . . . . . . . . . . . . 344Configuration de la gestion de la configuration . . . . . . . . . . . . . . . . . . . . . 344

Gestion des fichiers de configuration récupérés . . . . . . . . . . . . . . . . . . 345Découverte du réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345

Découverte du réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345Gestion de la liste des exclusions d'IP . . . . . . . . . . . . . . . . . . . . . . 346Découvrir des postes clients . . . . . . . . . . . . . . . . . . . . . . . . . . 346Afficher un mappage du réseau . . . . . . . . . . . . . . . . . . . . . . . . 347Modifier le fonctionnement de la Découverte du réseau. . . . . . . . . . . . . . . . 347

Sources d'actif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347Gestion des sources d'actif . . . . . . . . . . . . . . . . . . . . . . . . . . 347

Gestion des sources d'évaluation des vulnérabilités (VA) . . . . . . . . . . . . . . . . . 348Gestion des zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348

Gestion des zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348Ajout d'une zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349Exportation de paramètres de zone . . . . . . . . . . . . . . . . . . . . . . . 349Importation de paramètres de zone . . . . . . . . . . . . . . . . . . . . . . . 349Ajout d'une sous-zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350

Evaluation des risques, actifs et menaces . . . . . . . . . . . . . . . . . . . . . . . 351Gestion des menaces connues . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352

10 Gestion des stratégies et des règles 353Fonctionnement de l'Editeur de stratégies . . . . . . . . . . . . . . . . . . . . . . . 353Arborescence des stratégies . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354

Gestion des stratégies dans l'Arborescence des stratégies . . . . . . . . . . . . . . 355Types de règle et propriétés correspondantes . . . . . . . . . . . . . . . . . . . . . . 357

Variables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358Règles de préprocesseur . . . . . . . . . . . . . . . . . . . . . . . . . . . 360Règles de pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362Règles approfondies d'inspection des paquets . . . . . . . . . . . . . . . . . . . 363Règles internes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364Règles de filtre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365Règles d'analyseur syslog avancé (ASP) . . . . . . . . . . . . . . . . . . . . . 366Règles de source de données . . . . . . . . . . . . . . . . . . . . . . . . . 367Règles d'événements Windows . . . . . . . . . . . . . . . . . . . . . . . . . 369ADM, règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369Règles DEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370Règles de corrélation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377Affichage des détails des règles de corrélation . . . . . . . . . . . . . . . . . . 378Ajout de règles ADM, de base de données ou de corrélation personnalisées . . . . . . . 378Règles ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385Normalisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385Activation de l'option Copier le paquet . . . . . . . . . . . . . . . . . . . . . . 386

Paramètres de stratégie par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . 386Mode Alertes uniquement . . . . . . . . . . . . . . . . . . . . . . . . . . . 386Configuration du mode Surabonnement . . . . . . . . . . . . . . . . . . . . . 387Affichage du statut de mise à jour des stratégies des équipements . . . . . . . . . . 387

Opérations sur les règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388Gestion des règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388Importation de règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389Importation de variables . . . . . . . . . . . . . . . . . . . . . . . . . . . 390

Sommaire


Exportation de règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390Définir les règles de la liste de blocage automatique . . . . . . . . . . . . . . . . 391Filtrage des règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391Afficher la signature d'une règle . . . . . . . . . . . . . . . . . . . . . . . . 393Récupération des mises à jour des règles . . . . . . . . . . . . . . . . . . . . 393Effacement du statut des règles mises à jour . . . . . . . . . . . . . . . . . . . 394Comparaison de fichiers de règles . . . . . . . . . . . . . . . . . . . . . . . 394Affichage de l'historique des modifications de règle . . . . . . . . . . . . . . . . 395Création d'une liste de surveillance de règles . . . . . . . . . . . . . . . . . . . 395Ajout de règles à une liste de surveillance . . . . . . . . . . . . . . . . . . . . 396

Attribution de marqueurs aux règles ou aux actifs . . . . . . . . . . . . . . . . . . . . 396Modification des paramètres d'agrégation . . . . . . . . . . . . . . . . . . . . . . . 397Action de remplacement pour les règles téléchargées . . . . . . . . . . . . . . . . . . . 398Pondérations de gravité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398

Définition des pondérations de gravité . . . . . . . . . . . . . . . . . . . . . . 399Affichage de l'historique des modifications de stratégie . . . . . . . . . . . . . . . . . . 399Application des modifications de stratégie . . . . . . . . . . . . . . . . . . . . . . . 400Gestion du trafic prioritaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400

Index 401

Sommaire


Préface

Ce guide fournit les informations dont vous avez besoin pour utiliser votre produit McAfee.

Sommaire Présentation de ce guide Accès à la documentation sur le produit

Présentation de ce guideCette section présente le public ciblé par ce guide, les conventions typographiques et les icônesutilisées ainsi que la structure du guide.

Public viséLa documentation McAfee a fait l'objet de recherches attentives et a été rédigée en fonction du publicvisé.

Les informations présentées dans ce guide sont principalement destinées aux personnes suivantes :

• Administrateurs : personnes qui mettent en œuvre et appliquent le programme de sécurité del'entreprise.

• Utilisateurs : personnes qui utilisent l'ordinateur sur lequel le logiciel est exécuté et peuventaccéder à certaines ou toutes ses fonctionnalités.

ConventionsLes conventions typographiques et icônes suivantes sont respectées dans le présent guide.

Titre du manuel, terme,accentuation

Titre d'un manuel, chapitre ou rubrique ; nouveau terme ; accentuation.

Gras Texte mis en évidence de manière particulière.

Entrée utilisateur,code, message

Commandes et autre texte saisi par l'utilisateur ; exemple de code ;message affiché.

Texte d'interface Termes de l'interface du produit, par exemple les options, menus,boutons et boîtes de dialogue.

Lien hypertexte bleu Lien actif vers une rubrique ou un site web externe.

Remarque : Informations complémentaires, par exemple un autremoyen d'accéder à une option.

Conseil : Suggestions et recommandations.


Important/Attention : Conseil important visant à protéger unsystème informatique, l'installation d'un logiciel, un réseau ou desdonnées.

Avertissement : Conseil crucial visant à empêcher les dommagescorporels lors de l'utilisation du matériel informatique.

Accès à la documentation sur le produitDès qu'un produit est distribué, les informations le concernant sont intégrées dans le Centre deconnaissances en ligne de McAfee.

Procédure1 Accédez à l'onglet Centre de connaissances du portail McAfee ServicePortal à l'adresse http://

support.mcafee.com.

2 Dans le volet Base de connaissances, cliquez sur une source de contenu :

• Documentation produit pour rechercher une documentation utilisateur

• Articles techniques pour rechercher des articles de la base de connaissances

3 Sélectionnez Ne pas effacer mes filtres.

4 Entrez un produit, sélectionnez une version, puis cliquez sur Rechercher pour afficher une liste dedocuments.

Procédures• Accès aux informations localisées, page 10

Nous proposons des documents localisés (traduits) relatifs à McAfee ESM, notamment lesnotes de publication, l'aide en ligne, le Guide Produit et le guide d'installation dans leslangues suivantes :

• Forum aux questions, page 11Vous trouverez ci-dessous une liste de questions fréquemment posées (FAQ)accompagnées des réponses correspondantes.

Accès aux informations localiséesNous proposons des documents localisés (traduits) relatifs à McAfee ESM, notamment les notes depublication, l'aide en ligne, le Guide Produit et le guide d'installation dans les langues suivantes :

• Chinois, simplifié • Japonais

• Chinois, traditionnel • Coréen

• Anglais • Portugais, Brésil

• Français • Espagnol

• Allemand

Accès à l'aide en ligne localisée

La modification du paramètre linguistique dans ESM entraîne la modification automatique de la languede l'aide en ligne.

PréfaceAccès à la documentation sur le produit


http://support.mcafee.com

http://support.mcafee.com

1 Connectez-vous à ESM.

2 Dans la barre de navigation de la console ESM, sélectionnez Options.

3 Sélectionnez une langue, puis cliquez sur OK.

4 Cliquez sur l'icône d'aide dans le coin supérieur droit des fenêtres d'ESM ou sélectionnez le menuAide. L'aide s'affiche dans la langue sélectionnée précédemment.

Si elle s'affiche uniquement en anglais, cela signifie que l'aide localisée n'est pas disponible. Uneprochaine mise à jour permettra d'installer l'aide localisée.

Accès à la documentation produit localisée dans le centre de connaissancesKnowledge Center

1 Consultez le centre de connaissances Knowledge Center.

2 Pour rechercher la documentation produit localisée, utilisez les paramètres suivants :

• Termes de recherche : guide produit, guide d'installation ou notes de publication

• Produit : SIEM Enterprise Security Manager

• Version : 9.5.0 ou ultérieure

3 Dans les résultats de la recherche, cliquez sur le titre du document approprié.

4 Dans la page affichant l'icône PDF, faites défiler la page vers le bas jusqu'à ce que les liens delangue apparaissent à droite. Cliquez sur la langue de votre choix.

5 Cliquez sur le lien PDF pour ouvrir la version localisée de la documentation produit.

Voir aussi Utilisation de l'aide ESM, page 16

Forum aux questionsVous trouverez ci-dessous une liste de questions fréquemment posées (FAQ) accompagnées desréponses correspondantes.

Où trouver des informations relatives à ESM dans d'autres langues ?

Nous avons localisé les notes de publication, l'aide en ligne, le Guide Produit et le guided'installation relatifs à ESM dans les langues suivantes :• Chinois simplifié et traditionnel • Japonais

• Anglais • Coréen

• Français • Portugais (Brésil)

• Allemand • Espagnol

Accès aux informations localisées, page 10

Où trouver plus d'informations sur McAfee ESM ?

• Utilisation de l'aide ESM, page 16.

• Consultez le centre de connaissances Knowledge Center.

• Consultez le centre de compétences Expert Center.

• Visionnez les vidéos relatives à McAfee ESM.



https://support.mcafee.com/

https://support.mcafee.com

https://community.mcafee.com/community/business/expertcenter/products/siem

https://www.youtube.com/playlist?list=PLA1uP2u2KA5BpnjGJwnSNku1sXzTqluWC

Quels équipements SIEM sont-ils pris en charge ?

Consultez le site web McAfee ESM.

Comment configurer les sources de données spécifiques ?

Consultez les guides de configuration actuels pour les sources de données, disponibles dans lecentre de connaissances Knowledge Center.

Quels packs de contenu sont-ils disponibles ?

Lisez l'article de la Base de connaissances disponible dans le centre de connaissances KnowledgeCenter .



http://www.mcafee.com/us/resources/data-sheets/ds-siem-supported-devices.pdf

https://support.mcafee.com/ServicePortal/faces/knowledgecenter?s=true&lang=en-us&sm=true&q=Data+Source+Configuration+Guide&mt=2&p=SIEM+Enterprise+Security+Manager&tab=AlRetdl&sb=mostRelevant&sbv=relevance


https://support.mcafee.com/ServicePortal/faces/knowledgecenter?s=true&lang=en-us&sm=true&q=content+pack&mt=2&p=SIEM+Enterprise+Security+Manager&tab=AlRetdl&sb=mostRelevant&sbv=relevance


1 Présentation

McAfee®

Enterprise Security Manager (McAfee ESM) permet aux professionnels de la sécurité et laconformité de collecter, stocker, analyser et contrer les risques et les menaces depuis le mêmeemplacement.

Sommaire Comment fonctionne McAfee Enterprise Security Manager Fonctions des équipements Console ESM Utilisation de l'aide ESM Forum aux questions Accès aux informations localisées

Comment fonctionne McAfee Enterprise Security ManagerMcAfee ESM collecte et agrège les données et les événements des équipements de sécurité, desinfrastructures réseau, des systèmes et des applications. Il analyse ensuite ces données, en lesassociant à des informations contextuelles sur les utilisateurs, les actifs, les vulnérabilités et lesmenaces. Il met en corrélation ces informations pour trouver les incidents importants. Les tableaux debord interactifs et personnalisables vous permettent de consulter des événements particuliers pourfaire des recherches sur des incidents.

ESM comporte trois couches :

• Interface : programme de navigation qui fait l'interface entre l'utilisateur et le système (appeléeconsole ESM).

• Stockage, gestion et analyse de données : équipements qui fournissent tous les services demanipulation des données nécessaires, notamment la configuration, la génération de rapports, lavisualisation et la recherche. ESM (requis), ACE (Advanced Correlation Engine), DESM(Distributed ESM) et ELM (Enterprise Log Manager) exécutent ces fonctions.

• Acquisition des données : équipements qui fournissent les interfaces et les services permettantl'acquisition des données à partir de l'environnement réseau de l'utilisateur. Nitro IPS (IntrusionPrevention System), Event Receiver (récepteur), ADM (Application Data Monitor) et DEM (DatabaseEvent Monitor) exécutent ces fonctions.

1


Toutes les fonctions de commande, contrôle et communication entre les composants sont coordonnéesvia des canaux de communication sécurisés.

Fonctions des équipementsL'ESM vous permet de gérer, d'administrer et d'interagir avec tous les équipements physiques etvirtuels de votre environnement de sécurité.

Voir aussi Paramètres Event Receiver, page 68Paramètres d'Enterprise Log Manager (ELM), page 124Paramètres de Application Data Monitor (ADM), page 144Paramètres de Database Event Monitor (DEM), page 160Paramètres liés au moteur ACE (Advanced Correlation Engine), page 141Paramètres de Distributed ESM (DESM), page 167Paramètres ePolicy Orchestrator, page 168Paramètres de Nitro Intrusion Prevention System (Nitro IPS), page 174

1 PrésentationFonctions des équipements


Console ESMLa console ESM vous permet de visualiser en temps réel l'activité de vos équipements ainsi qued'accéder rapidement aux notifications d'alarme et aux incidents attribués.

1 Barre de navigation du système : accès aux fonctions de configuration générales.

2 Icônes : accès aux pages fréquemment utilisées.

3 Barre d'outils des actions : sélection des fonctions nécessaires à la configuration de chaqueéquipement.

4 Volet de navigation du système : affichage des équipements du système.

5 Volet des alarmes et des incidents : affichage des notifications des alarmes et des incidentsouverts attribués.

6 Volet des vues : événements, flux et données de journal.

7 Barre d'outils des vues : créer, modifier et gérer les vues.

8 Volet des filtres : appliquer un filtrage aux vues de données relatives aux événements ou auxflux.

PrésentationConsole ESM 1


Utilisation de l'aide ESMAvez-vous des questions concernant l'utilisation d'ESM ? Utilisez l'aide en ligne comme sourced'informations contextuelles. Vous y trouverez des informations conceptuelles, des supports deréférence et des instructions pas à pas concernant l'utilisation d'ESM.

Avant de commencerFacultatif : Accès aux informations localisées, page 10.

Procédure1 Pour accéder à l'aide ESM, effectuez l'une des actions suivantes :

• Sélectionnez l'option de menu Aide | Sommaire de l'aide.

• Cliquez sur le point d'interrogation situé en haut à droite des écrans ESM pour accéder à l'aidecontextuelle propre à cet écran.

2 Dans la fenêtre de l'aide :

• Pour rechercher un mot dans l'aide, utilisez le champ Recherche. Les résultats s'affichent endessous du champ Recherche. Cliquez sur le lien approprié pour afficher la rubrique d'aide dansle volet de droite.

• Pour consulter une liste séquentielle des rubriques d'aide, utilisez l'onglet Sommaire (table desmatières).

• Pour rechercher un terme spécifique dans l'aide, utilisez l'Index. Les mots clés sont classés dansl'ordre alphabétique. Vous pouvez ainsi faire dérouler la liste pour rechercher le mot clé de votrechoix. Cliquez sur le mot clé pour afficher la rubrique d'aide.

• Pour imprimer la rubrique d'aide actuelle (sans les barres de défilement), cliquez sur l'icône del'imprimante en haut à droite de la rubrique d'aide.

• Pour rechercher les liens vers les rubriques d'aide associées, faites défiler vers le bas la page dela rubrique d'aide.

Voir aussi Accès aux informations localisées, page 10

Forum aux questionsVous trouverez ci-dessous une liste de questions fréquemment posées (FAQ) accompagnées desréponses correspondantes.

Où trouver des informations relatives à ESM dans d'autres langues ?

Nous avons localisé les notes de publication, l'aide en ligne, le Guide Produit et le guided'installation relatifs à ESM dans les langues suivantes :• Chinois simplifié et traditionnel • Japonais

• Anglais • Coréen

• Français • Portugais (Brésil)

• Allemand • Espagnol

Accès aux informations localisées, page 10

Où trouver plus d'informations sur McAfee ESM ?

1 PrésentationUtilisation de l'aide ESM


• Utilisation de l'aide ESM, page 16.

• Consultez le centre de connaissances Knowledge Center.

• Consultez le centre de compétences Expert Center.

• Visionnez les vidéos relatives à McAfee ESM.

Quels équipements SIEM sont-ils pris en charge ?

Consultez le site web McAfee ESM.

Comment configurer les sources de données spécifiques ?

Consultez les guides de configuration actuels pour les sources de données, disponibles dans lecentre de connaissances Knowledge Center.

Quels packs de contenu sont-ils disponibles ?

Lisez l'article de la Base de connaissances disponible dans le centre de connaissances KnowledgeCenter .

Accès aux informations localiséesNous proposons des documents localisés (traduits) relatifs à McAfee ESM, notamment les notes depublication, l'aide en ligne, le Guide Produit et le guide d'installation dans les langues suivantes :

• Chinois, simplifié • Japonais

• Chinois, traditionnel • Coréen

• Anglais • Portugais, Brésil

• Français • Espagnol

• Allemand

Accès à l'aide en ligne localisée

La modification du paramètre linguistique dans ESM entraîne la modification automatique de la languede l'aide en ligne.

1 Connectez-vous à ESM.

2 Dans la barre de navigation de la console ESM, sélectionnez Options.

3 Sélectionnez une langue, puis cliquez sur OK.

4 Cliquez sur l'icône d'aide dans le coin supérieur droit des fenêtres d'ESM ou sélectionnez le menuAide. L'aide s'affiche dans la langue sélectionnée précédemment.

Si elle s'affiche uniquement en anglais, cela signifie que l'aide localisée n'est pas disponible. Uneprochaine mise à jour permettra d'installer l'aide localisée.

PrésentationAccès aux informations localisées 1


https://support.mcafee.com

https://community.mcafee.com/community/business/expertcenter/products/siem

https://www.youtube.com/playlist?list=PLA1uP2u2KA5BpnjGJwnSNku1sXzTqluWC

http://www.mcafee.com/us/resources/data-sheets/ds-siem-supported-devices.pdf





Accès à la documentation produit localisée dans le centre de connaissancesKnowledge Center

1 Consultez le centre de connaissances Knowledge Center.

2 Pour rechercher la documentation produit localisée, utilisez les paramètres suivants :

• Termes de recherche : guide produit, guide d'installation ou notes de publication

• Produit : SIEM Enterprise Security Manager

• Version : 9.5.0 ou ultérieure

3 Dans les résultats de la recherche, cliquez sur le titre du document approprié.

4 Dans la page affichant l'icône PDF, faites défiler la page vers le bas jusqu'à ce que les liens delangue apparaissent à droite. Cliquez sur la langue de votre choix.

5 Cliquez sur le lien PDF pour ouvrir la version localisée de la documentation produit.

Voir aussi Utilisation de l'aide ESM, page 16

1 PrésentationAccès aux informations localisées


https://support.mcafee.com/

2 Mise en route

Vérifiez que votre environnement ESM est prêt et à jour.

Sommaire Configuration matérielle et logicielle requise A propos du mode FIPS Configuration évaluée d'après des critères courants Connexion et déconnexion Personnalisation de la page de connexion Mise à jour du logiciel ESM Obtention et ajout des informations d'identification pour la mise à jour des règles Recherche des mises à jour des règles Modification de la langue des journaux des événements Connexion d'équipements Préférences de la console

Configuration matérielle et logicielle requiseVotre système doit être conforme à la configuration matérielle et logicielle requise minimale.

Configuration système requise

• Processeur : classe P4 (autre que Celeron) ou supérieure (Mobile/Xeon/Core 2, Core i3/5/7) ouclasse AMD AM2 ou supérieure (Turion 64/Athlon 64/Opteron 64, A4/6/8)

• RAM : 1,5 Go

• Système d'exploitation Windows : Windows 2000, Windows XP, Windows 2003 Server,Windows Vista, Windows 2008 Server, Windows Server 2012, Windows 7, Windows 8, Windows 8.1

• Navigateur : Internet Explorer 9 ou ultérieur, Mozilla Firefox 9 ou ultérieur, Google Chrome 33 ouultérieur

• Flash Player : version 11.2.x.x ou ultérieure

Les fonctionnalités d'ESM affichent des fenêtres pop-up lors du chargement ou du téléchargement desfichiers. Désactivez le blocage des fenêtres pop-up pour l'adresse IP ou le nom d'hôte de votre ESM.

Configuration requise pour une machine virtuelle

• Processeur : 8 cœurs 64 bits, Dual Core 2/Nehalem ou supérieur ou AMD Dual Athlon 64/DualOpteron 64 ou supérieur

• RAM : selon le modèle (4 Go ou supérieur)

2


• Espace disque : selon le modèle (250 Go ou supérieur)

• ESXi 5.0 ou ultérieur

• Configuration standard ou légère : vous devez choisir la configuration requise pour le disque dur devotre serveur. La configuration requise minimale est de 250 Go, sauf si la capacité de la machinevirtuelle achetée est supérieure. Consultez les spécifications de votre machine virtuelle.

La machine virtuelle ENMELM utilise de nombreuses fonctionnalités qui ont besoin de ressources enprocesseur et RAM. Si l'environnement ESXi partage les ressources processeur et RAM requises avecd'autres machines virtuelles, cela aura des conséquences sur les performances de la machinevirtuelle ENMELM. Veillez à inclure les besoins en ressources processeur et RAM dans la configurationrequise.

A propos du mode FIPSLa norme FIPS (Federal Information Processing Standard) est constituée de normes annoncéespubliquement, qui sont développées par le gouvernement fédéral des Etats-Unis. Si vous devezrespecter ces normes, vous devez utiliser ce système en mode FIPS.

Le mode FIPS doit être sélectionné la première fois que vous vous connectez au système et il ne peutpas être modifié par la suite.

Voir aussi Informations sur le mode FIPS, page 21

Sommaire Informations sur le mode FIPS Sélection du mode FIPS Vérification de l'intégrité FIPS Ajout d'un équipement dont la clé est activée en mode FIPS Résolution des problèmes liés au mode FIPS

2 Mise en routeA propos du mode FIPS


Informations sur le mode FIPSEn raison de la réglementation FIPS, certaines fonctionnalités ESM ne sont pas disponibles, certainesfonctionnalités disponibles ne sont pas conformes et d'autres fonctionnalités ne sont disponibles qu'enmode FIPS. Ces fonctionnalités sont notées tout au long du document et répertoriées ici.

Statut de lafonctionnalité

Description

Fonctionnalitéssupprimées

• Récepteurs haute disponibilité.

• Terminal GUI (interface graphique utilisateur).

• Communication avec l'équipement qui utilise le protocole SSH.

• Dans la console de l'équipement, le shell racine est remplacé par un menu degestion des équipements.

Fonctionnalitésdisponibles uniquementen mode FIPS

• Il existe quatre rôles d'utilisateur qui ne se chevauchent pas : Utilisateur,Utilisateur avec pouvoir, Administrateur d'audit et Administrateur de clé et certificat.

• Toutes les pages Propriétés sont pourvues de l'option Auto-test qui vous permetde vérifier que le système fonctionne correctement en mode FIPS.

• En cas d'échec FIPS, un indicateur de statut est ajouté à l'arborescence denavigation des systèmes pour refléter cet échec.

• Toutes les pages Propriétés sont pourvues de l'option Afficher, qui ouvre la pageJeton d'identité FIPS lorsque vous cliquez dessus. Elle affiche une valeur qui doitêtre comparée à la valeur affichée dans ces sections du document afin quevous vous assuriez que le mode FIPS n'a pas été compromis.

• Dans Propriétés du système | Utilisateurs et groupes | Privilèges | Modifier le groupe, la pageinclut le privilège Auto-test du chiffrement FIPS, qui octroie aux membres de groupel'autorisation d'exécuter des auto-tests FIPS.

• Lorsque vous cliquez sur Importer la clé ou Exporter la clé dans Propriétés IPS | Gestiondes clés, vous êtes invité à sélectionner le type de clé que vous souhaitezimporter ou exporter.

• Dans l'Assistant Ajout d'équipement, le protocole TCP est toujours défini sur leport 22. Le port SSH peut être modifié.

Sélection du mode FIPSLors de la première connexion au système, vous devez décider si le système doit fonctionner en modeFIPS ou non. Une fois cette sélection effectuée, il n'est pas possible de la modifier.

ProcédurePour consulter la définition des options, cliquez sur ? dans l'interface.

1 Lors de votre première connexion à ESM :

a Dans le champ Nom de l'utilisateur, entrez NGCP.

b Dans le champ Mot de passe, entrez security.4u.

Vous êtes invité à changer votre mot de passe.

2 Entrez et confirmez le nouveau mot de passe.

Mise en routeA propos du mode FIPS 2


3 Dans Activer FIPS, cliquez sur Oui.

Le message d'avertissement Activer FIPS vous demande de confirmer que vous souhaitez fairefonctionner ce système en mode FIPS de façon définitive.

4 Cliquez sur Oui pour confirmer votre choix.

Vérification de l'intégrité FIPSSi votre système fonctionne en mode FIPS, FIPS 140-2 requiert la vérification régulière de l'intégritélogicielle. Cette vérification doit être effectuée sur le système et sur chaque équipement.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système et assurez-vousque l'option Informations système est sélectionnée.

2 Effectuez l'une des actions suivantes :

Dans cechamp...

Procédez ainsi...

Statut FIPS Afficher les résultats du dernier auto-test FIPS effectué sur l'ESM.

Test ouAuto-testFIPS

Exécuter les auto-tests FIPS qui permettent de vérifier l'intégrité des algorithmes utilisés dansl'exécutable de chiffrement. Vous pouvez consulter les résultats dans le Journal des messages.

Si un auto-test FIPS échoue, FIPS est compromis ou une défaillance de l'équipement s'est produite.Contactez le Support technique McAfee.

Afficher ouIdentité FIPS

Ouvrez la page Jeton d'identité FIPS pour exécuter la vérification de l'intégrité logicielle au démarrage.Comparez la valeur ci-dessous à la clé publique qui s'affiche sur cette page :

Si cette valeur ne correspond pas à la clé publique, FIPS est compromis. Contactez le Support techniqueMcAfee.



Ajout d'un équipement dont la clé est activée en mode FIPS En mode FIPS, deux méthodes permettent d'ajouter à un ESM un équipement dont la clé a déjà étéactivée. Cette terminologie ainsi que les extensions de fichier vous sont utiles lorsque vous suivez cesprocédures.

Terminologie

• Clé d'équipement : contient les droits de gestion dont dispose un ESM pour un équipement. Elle n'estpas utilisée pour la cryptographie.

• Clé publique : clé de communication SSH publique d'ESM, qui est stockée dans la table des clésautorisées d'un équipement.

• Clé privée : clé de communication SSH privée d'ESM, qui est utilisée par l'exécutable SSH dansun ESM pour établir la connexion SSH avec un équipement.

• ESM principal : ESM qui a été utilisé à l'origine pour enregistrer l'équipement.

• ESM secondaire : ESM supplémentaire qui communique avec l'équipement.

Extensions des différents fichiers d'exportation

• .exk : contient la clé d'équipement.

• .puk : contient la clé publique.

• .prk : contient la clé privée et la clé d'équipement.

Sauvegarde et restauration des informations d'un équipement enmode FIPSCette méthode permet de sauvegarder et de restaurer les informations de communication d'unéquipement sur l'ESM.

Elle est principalement destinée à être utilisée en cas de défaillance nécessitant le remplacementd'ESM. Si les informations de communication ne sont pas exportées avant la défaillance, il estimpossible de rétablir la communication avec l'équipement. Cette méthode exporte et importe lefichier .prk.

La clé privée de l'ESM principal est utilisée par l'ESM secondaire pour établir initialement unecommunication avec l'équipement. Une fois la communication établie, l'ESM secondaire copie sa clépublique dans la table des clés autorisées de l'équipement. L'ESM secondaire efface alors la clé privéede l'ESM principal et initie une communication avec sa propre paire de clés publiques ou privées.



Action Etapes

Exporter lefichier .prk àpartir de l'ESMprincipal

1 Dans l'arborescence de navigation des systèmes de l'ESM principal, sélectionnezl'équipement pourvu des informations de communication que vous souhaitezsauvegarder, puis cliquez sur l'icône Propriétés.

2 Sélectionnez Gestion des clés, puis cliquez sur Exporter la clé.

3 Sélectionnez Sauvegarder la clé privée SSH, puis cliquez sur Suivant.

4 Tapez et confirmez un mot de passe, puis définissez la date d'expiration.

Une fois la date d'expiration passée, la personne qui importe la clé ne peut pascommuniquer avec l'équipement tant qu'aucune autre clé n'a été exportée avecune date d'expiration future. Si vous sélectionnez Ne jamais expirer, la clé n'expirejamais si elle est importée dans un autre ESM.

5 Cliquez sur OK, sélectionnez l'emplacement d'enregistrement du fichier .prk créépar l'ESM, puis déconnectez-vous de l'ESM principal.

Ajouter unéquipement àl'ESM secondaireet importer lefichier .prk

1 Dans l'arborescence de navigation des systèmes de l'équipement secondaire,sélectionnez le nœud de niveau Système ou Groupe auquel vous souhaitezajouter l'équipement.

2 Dans la barre d'outils Actions, cliquez sur Ajouter un équipement.

3 Sélectionnez le type d'équipement à ajouter, puis cliquez sur Suivant.

4 Entrez le nom de l'équipement qui est unique dans ce groupe, puis cliquez surSuivant.

5 Entrez l'adresse IP cible de l'équipement et le port de communication FIPS, puiscliquez sur Suivant.

6 Cliquez sur Importer la clé, sélectionnez le fichier .prk précédemment exporté, puiscliquez sur Charger.

Tapez le mot de passe spécifié lors de l'exportation initiale de cette clé.

7 Déconnectez-vous de l'ESM secondaire.

Activation de la communication avec plusieurs équipements ESM enmode FIPSVous pouvez permettre à plusieurs ESM de communiquer avec le même équipement. Pour cela,exportez et importez les fichiers .puk et .exk.

Cette méthode utilise deux processus d'exportation et d'importation. L'ESM principal est d'abord utilisépour importer le fichier .puk exporté depuis l'équipement ESM secondaire et envoyer la clé publique del'ESM secondaire vers l'équipement. Cela permet aux deux équipements ESM de communiquer avecl'équipement. Ensuite, le fichier .exk de l'équipement est exporté depuis l'ESM principal et importévers l'ESM secondaire, ce qui permet à l'ESM secondaire de communiquer avec l'équipement.



Action Etapes

Exporter lefichier .puk à partirde l'ESMsecondaire

1 Dans la page Propriétés du système de l'ESM secondaire, sélectionnez Gestion ESM.

2 Cliquez sur Exporter SSH, puis sélectionnez l'emplacement d'enregistrement dufichier .puk.

3 Cliquez sur Enregistrer, puis déconnectez-vous.

Importer lefichier .puk dansl'ESM principal

1 Dans l'arborescence de navigation des systèmes de l'ESM principal,sélectionnez l'équipement que vous souhaitez configurer.

2 Cliquez sur l'icône Propriétés, puis sélectionnez Gestion des clés.

3 Cliquez sur Gérer les clés SSH.

4 Cliquez sur Importer, sélectionnez le fichier .puk, puis cliquez sur Charger.

5 Cliquez sur OK, puis déconnectez-vous de l'ESM principal.

Exporter lefichier .exk del'équipement àpartir de l'ESMprincipal

1 Dans l'arborescence de navigation des systèmes de l'ESM principal,sélectionnez l'équipement que vous souhaitez configurer.

2 Cliquez sur l'icône Propriétés, puis sélectionnez Gestion des clés.

3 Cliquez sur Exporter la clé, sélectionnez la clé de l'équipement de sauvegarde,puis cliquez sur Suivant.

4 Tapez et confirmez un mot de passe, puis définissez la date d'expiration.

Une fois la date d'expiration passée, la personne qui importe la clé ne peut pascommuniquer avec l'équipement tant qu'aucune autre clé n'a été exportéeavec une date d'expiration future. Si vous sélectionnez Ne jamais expirer, la clén'expire jamais si elle est importée dans un autre ESM.

5 Sélectionnez les privilèges du fichier .exk, puis cliquez sur OK.

6 Sélectionnez l'emplacement d'enregistrement de ce fichier, puisdéconnectez-vous de l'ESM principal.

Importer lefichier .exk dansl'ESM secondaire

1 Dans l'arborescence de navigation des systèmes de l'équipement secondaire,sélectionnez le nœud de niveau Système ou Groupe auquel vous souhaitezajouter l'équipement.

2 Dans la barre d'outils Actions, cliquez sur Ajouter un équipement.

3 Sélectionnez le type d'équipement à ajouter, puis cliquez sur Suivant.

4 Entrez le nom de l'équipement propre à ce groupe, puis cliquez sur Suivant.

5 Cliquez sur Importer la clé, puis naviguez jusqu'au fichier .exk.

6 Cliquez sur Charger, puis entrez le mot de passe qui a été spécifié lors del'exportation initiale de cette clé.

7 Déconnectez-vous de l'ESM secondaire.



Résolution des problèmes liés au mode FIPSDes problèmes peuvent se produire lorsque ESM fonctionne en mode FIPS.

Problème Description et résolution

Communicationimpossible avecl'ESM

• Consultez l'écran LCD à l'avant de l'équipement. Si un message indique unEchec FIPS, contactez le support technique McAfee.

• Déterminez si l'interface HTTP présente une condition d'erreur en consultantla page web d'auto-test FIPS de l'ESM dans un navigateur.- Si le chiffre unique 0 s'affiche, indiquant l'échec de l'auto-test FIPS surl'équipement, redémarrez l'équipement ESM pour essayer de corriger leproblème. Si la condition d'échec persiste, contactez le support techniquepour obtenir d'autres instructions.

- Si le chiffre unique 1 s'affiche, le problème de communication n'est pas dûà un échec FIPS. Pour connaître la procédure de résolution, contactez lesupport technique.

Communicationimpossible avecl'équipement

• Si un indicateur d'état s'affiche à côté de l'équipement dans l'arborescencede navigation du système, placez le curseur dessus. Si le message Echec FIPSs'affiche, contactez le support technique McAfee via le portail de support.

• Suivez les instructions relatives au problème Communication impossibleavec l'ESM.

Erreur Le fichier n'estpas valide lors del'ajout d'unéquipement

Vous ne pouvez pas exporter une clé d'un équipement qui n'est pas en modeFIPS pour l'importer sur un équipement qui est en mode FIPS. De même, vousne pouvez pas exporter une clé d'un équipement qui est en mode FIPS pourl'importer sur un équipement qui n'est pas en mode FIPS. Cette erreurs'affiche si vous essayez de faire ces opérations.

Configuration évaluée d'après des critères courantsL'appliance McAfee doit être installée, configurée et utilisée d'une façon spécifique afin d'être conformeà la configuration évaluée d'après des critères courants. N'oubliez pas les exigences suivantes lorsquevous configurez votre système.

Type Exigences

Physique L'appliance McAfee doit être :• Protégée contre toute modification physique non autorisée.

• Localisée dans des installations à accès contrôlé, ce qui empêche tout accès physiquenon autorisé.

Utilisationprévue

L'appliance McAfee doit :• Avoir accès à l'ensemble du trafic réseau afin d'exécuter ses fonctions.

• Etre managée pour permettre des modifications d'adresse dans le trafic réseausurveillé par la cible d'évaluation (Target of Evaluation).

• Etre adaptée au trafic réseau qu'elle surveille.

2 Mise en routeConfiguration évaluée d'après des critères courants


Type Exigences

Personnel • Une ou plusieurs personnes compétentes doivent être affectées pour gérer l'applianceMcAfee et la sécurité des informations qu'elle contient. L'assistance sur site liée àl'installation et à la configuration et la formation sur site relative à l'utilisation del'appliance sont fournies par les ingénieurs McAfee pour chaque client McAfee.

• Les administrateurs autorisés sont consciencieux, très prudents et cordiaux ; ilssuivent et respectent les instructions de la documentation relative à l'applianceMcAfee.

• L'appliance McAfee doit être accessible uniquement aux utilisateurs autorisés.

• Les personnes en charge de l'appliance McAfee doivent veiller à ce que toutes lesinformations d'identification d'accès soient protégées par les utilisateurs d'unemanière cohérente avec la sécurité informatique.

Autre • N'appliquez pas les mises à jour logicielles à l'appliance McAfee, car cela entraîneraitune configuration autre que la configuration évaluée d'après des critères courants.Pour obtenir une mise à jour certifiée, contactez le support technique McAfee.

• Sur un équipement Nitro IPS, l'activation des paramètres Temporisateur de surveillance etForcer le contournement de la page Paramètres de l'interface réseau entraîne une configurationdifférente de la configuration évaluée d'après des critères courants.

• Sur un équipement Nitro IPS, l'utilisation d'un paramètre du mode Surabonnementautre que le paramètre abandonner entraîne une configuration différente de laconfiguration évaluée d'après des critères courants.

• L'activation de la fonctionnalité Sécurité de connexion avec un serveur RADIUS entraîneune communication sécurisée. L'environnement informatique assure la transmissionsécurisée des données entre la cible d'évaluation et les entités et sources externes.Les services d'authentification externes peuvent être fournis par un serveur RADIUS.

• L'utilisation de la fonctionnalité Smart Dashboard de la console de pare-feu CheckPoint nefait pas partie de la cible d'évaluation.

• L'utilisation de Snort Barnyard ne fait pas partie de la cible d'évaluation.

• L'utilisation du client MEF ne fait pas partie de la cible d'évaluation.

• L'utilisation de Remedy Ticket System ne fait pas partie de la cible d'évaluation.

Connexion et déconnexionAprès avoir installé et configuré les équipements, vous pouvez vous connecter à la console ESM pourla première fois.


1 Ouvrez un navigateur web sur l'ordinateur client et accédez à l'adresse IP que vous avez définielors de la configuration de l'interface réseau.

2 Cliquez sur Connexion, sélectionnez la langue de la console, puis entrez le nom d'utilisateur et le motde passe par défaut.

• Nom de l'utilisateur par défaut : NGCP

• Mot de passe par défaut : security.4u

Mise en routeConnexion et déconnexion 2


3 Cliquez sur Connexion, lisez l'accord de licence utilisateur final, puis cliquez sur Accepter.

4 Modifiez votre nom d'utilisateur et votre mot de passe, puis cliquez sur OK.

5 Indiquez si vous souhaitez activer le mode FIPS.

Si vous devez utiliser le mode FIPS, activez-le dès votre première connexion au système afin quetoutes les opérations effectuées par la suite avec les équipements McAfee soient en mode FIPS. Ilest conseillé de ne pas activer pas le mode FIPS si vous n'avez pas l'obligation de l'utiliser. Pour plusd'informations, voir A propos du mode FIPS.

6 Suivez les instructions pour obtenir votre nom d'utilisateur et votre mot de passe, qui sontnécessaires pour accéder aux mises à jour des règles.

7 Effectuez la configuration initiale de l'ESM :

a Sélectionnez la langue à utiliser pour les journaux système.

b Sélectionnez le fuseau horaire correspondant à cet ESM ainsi que le format de date à utiliseravec ce compte, puis cliquez sur Suivant.

c Définissez les paramètres sur les pages de l'assistant Configuration ESM initiale. Cliquez sur l'icône

Afficher l'aide présente sur chaque page d'instructions.

8 Cliquez sur OK, puis cliquez sur les liens pour obtenir de l'aide sur les procédures à suivre ouconnaître les nouvelles fonctionnalités disponibles dans cette version de ESM.

9 Lorsque vous avez terminé votre session de travail, déconnectez-vous avec l'une des méthodessuivantes :

• Si aucune page n'est ouverte, cliquez sur Déconnexion dans la barre de navigation du systèmesituée dans l'angle supérieur droit de la console.

• Si des pages sont ouvertes, fermez le navigateur.

Voir aussi A propos du mode FIPS, page 20

Personnalisation de la page de connexionVous pouvez personnaliser la page de connexion pour ajouter du texte, par exemple les stratégies desécurité de l'entreprise ou un logo.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système | Paramètrespersonnalisés.


2 Mise en routePersonnalisation de la page de connexion


Pour... Procédez ainsi...

Ajouter un textepersonnalisé

1 Cliquez dans la zone de texte en haut de la page.

2 Tapez le texte que vous souhaitez ajouter à la page Connexion.

3 Sélectionnez Inclure du texte dans l'écran de connexion.

Ajouter une imagepersonnalisée

1 Cliquez sur Sélectionner une image.

2 Chargez l'image que vous souhaitez utiliser.

3 Sélectionnez Inclure une image dans l'écran de connexion.

Si l'ancien logo est toujours affiché dans la page Connexion après lechargement d'un nouveau logo personnalisé, effacez le cache de votrenavigateur.

Supprimer une imagepersonnalisée

Cliquez sur Supprimer l'image. Le logo par défaut est affiché.

Mise à jour du logiciel ESMAccédez aux mises à jour logicielles à partir du serveur de mises à jour ou auprès d'un ingénieurchargé de la sécurité, puis chargez-les dans ESM.

Pour mettre à jour l'ESM principal ou redondant, voir Mise à jour d'un ESM principal ou redondant.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surGestion ESM.

2 Dans l'onglet Maintenance, cliquez sur Mettre à jour ESM.

3 Sélectionnez le fichier à utiliser pour mettre à jour l'ESM, puis cliquez sur OK.

L'ESM redémarre et toutes les sessions en cours sont déconnectées lors de l'installation de la mise àjour.

Voir aussi Mise à jour d'un ESM principal ou redondant, page 223

Obtention et ajout des informations d'identification pour lamise à jour des règles

ESM fournit les mises à jour des stratégies, des analyseurs syntaxiques et des règles dans le cadre devotre contrat de maintenance. Vous avez un délai de 30 jours avant que vos informationsd'identification permanentes deviennent nécessaires.

Mise en routeMise à jour du logiciel ESM 2



1 Pour obtenir vos informations d'identification, envoyez un e-mail à l'adresse [email protected] indiquant les informations suivantes :

• Numéro Grant Number McAfee

• Nom du compte

• Adresse

• Nom du contact

• Adresse e-mail du contact

2 Lorsque vous recevez votre ID client et votre mot de passe envoyé par McAfee, sélectionnezPropriétés du système | Informations système | Mise à jour des règles dans l'arborescence de navigation dusystème.

3 Cliquez sur Informations d'identification, puis entrez l'ID de client et le mot de passe.

4 Cliquez sur Valider.

Recherche des mises à jour des règlesLes signatures des règles utilisées par un équipement Nitro IPS pour examiner le trafic réseau sontmises à jour en continu par l'équipe de gestion des signatures de McAfee et elles sont disponibles entéléchargement sur le serveur central de McAfee. Vous pouvez récupérer ces mises à jour de règlesautomatiquement ou manuellement.


1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système et vérifiez queInformations système est sélectionné.

2 Dans le champ Mises à jour des règles, vérifiez que votre licence n'a pas expiré.

Si la licence a expiré, consultez Obtention et ajout des informations d'identification pour la mise àjour des règles.

3 Si votre licence est valide, cliquez sur Mise à jour des règles.

4 Sélectionnez l'une des options suivantes :

• Intervalle de vérification automatique pour configurer le système de façon à vérifier les mises à jourautomatiquement selon la fréquence que vous sélectionnez

• Vérifier maintenant pour rechercher les mises à jour maintenant.

• Mise à jour manuelle pour mettre à jour les règles depuis un fichier local

5 Cliquez sur OK.

Voir aussi Obtention et ajout des informations d'identification pour la mise à jour des règles, page 29

2 Mise en routeRecherche des mises à jour des règles


Modification de la langue des journaux des événementsLors de votre première connexion à ESM, vous avez sélectionné la langue à utiliser pour les journauxdes événements, par exemple le journal du programme de surveillance d'état et le journal del'équipement. Vous pouvez changer ce paramètre de langue.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système | Gestion ESM.

2 Cliquez sur Paramètres régionaux système, sélectionnez une langue dans la liste déroulante, puis cliquezsur OK.

Connexion d'équipementsConnectez les équipements physiques et virtuels à McAfee ESM pour permettre l'analyse temps réel, lasurveillance des applications et des base de données, la corrélation avancée basée sur les règles et surles risques et la génération de rapports de conformité.

Lorsque vous augmentez le nombre d'équipements sur votre système, organisez-les de façon logique.Par exemple, si vous avez des succursales dans différents emplacements géographiques, vous pouvezafficher les équipements en fonction des zones où ils se trouvent. Vous pouvez utiliser les affichagesprédéfinis ou bien concevoir des affichages personnalisés. Pour organiser les équipements de façonplus spécifique, vous pouvez également les grouper dans chaque affichage personnalisé.

Sommaire Ajout d'équipements dans la console ESM Sélection d'un type d'affichage Gestion des types d'affichage personnalisés Gestion d'un groupe dans un type d'affichage personnalisé Suppression d'un groupe ou d'un équipement Suppression des équipements en double dans l'arborescence de navigation des systèmes

Ajout d'équipements dans la console ESMAprès avoir installé et configuré les équipements physiques et virtuels, vous devez les ajouter à laconsole ESM.

Avant de commencerInstallez et configurez les équipements (voir le Guide d'installation de McAfee EnterpriseSecurity Manager).

Procédure1 Dans l'arborescence de navigation du système, cliquez sur ESM local ou un groupe.

2 Dans la barre d'outils Actions, cliquez sur l'icône Ajouter un équipement .

3 Sélectionnez le type d'équipement que vous souhaitez ajouter, puis cliquez sur Suivant.

4 Dans le champ Nom d'équipement, entrez un nom unique dans ce groupe, puis cliquez sur Suivant.

Mise en routeModification de la langue des journaux des événements 2


5 Indiquez les informations demandées :

• Pour les équipements McAfee ePO : sélectionnez un récepteur, entrez les informationsd'identification requises pour la connexion à l'interface web, puis cliquez sur Suivant. Entrez lesparamètres à utiliser pour la communication avec la base de données.

Sélectionnez Requérir l'authentification utilisateur pour limiter l'accès aux seuls utilisateurs disposantd'un nom d'utilisateur et d'un mot de passe pour l'équipement.

• Pour tous les autres équipements : entrez l'adresse IP ou l'URL cible de l'équipement, puis unnuméro de port SSH cible valide à utiliser avec l'adresse IP.

6 Indiquez si vous souhaitez ou non utiliser les paramètres NTP (Network Time Protocol) dansl'équipement, puis cliquez sur Suivant.

7 Si vous disposez d'une clé que vous souhaitez importer, sélectionnez Importer la clé (option nondisponible dans l'équipement ELM ou dans l'équipement combiné Récepteur/Log Manager) ; dans lecas contraire, cliquez sur Activer la clé de l'équipement.

Les clés d'équipement qui ont été exportées à l'origine à partir d'un ESM antérieur à la version 8.3xne sont pas compatibles avec le modèle de communication de la version 8.4.0. Dès la mise à niveau,vous devez réactiver la clé de l'équipement. Pour accéder à un équipement des versions 9.0.0 ouultérieures, vous devez réexporter sa clé depuis un ESM, version 8.5.0 ou ultérieure. Veillez à définirles privilèges requis pour l'équipement, par exemple le privilège Configurer les équipements virtuels.

8 Entrez le mot de passe de cet équipement, puis cliquez sur Suivant.

ESM teste la communication de l'équipement et indique le statut de la connexion.

Sélection d'un type d'affichageChoisir la manière d'afficher les équipements dans l'arborescence de navigation du système.

Avant de commencerPour sélectionner un affichage personnalisé, vous devez d'abord l'ajouter au système (voirGestion des types d'affichage personnalisés).

Procédure1 Sur le volet de navigation du système, cliquez sur la flèche déroulante du champ Type d'affichage.

2 Sélectionnez l'un des types d'affichage.

L'organisation des équipements dans l'arborescence de navigation est modifiée pour refléter le typeque vous avez sélectionné pour la session de travail actuelle.

Gestion des types d'affichage personnalisésVous pouvez définir l'organisation des équipements dans l'arborescence de navigation du système enajoutant, en modifiant ou en supprimant des types d'affichage personnalisés.


1 Sur le volet de navigation du système, cliquez sur la flèche déroulante Type d'affichage.

2 Effectuez l’une des procédures suivantes :

2 Mise en routeConnexion d'équipements



Ajouter un type d'affichagepersonnalisé

1 Cliquez sur Ajouter un affichage.

2 Renseignez les champs, puis cliquez sur OK.

Modifier un type d'affichagepersonnalisé

1 Cliquez sur l'icône Modifier située à côté du type d'affichage àmodifier.

2 Effectuez les modifications, puis cliquez sur OK.

Supprimer un typed'affichage personnalisé Cliquez sur l'icône Supprimer située à côté du type d'affichage à

supprimer.

Gestion d'un groupe dans un type d'affichage personnaliséVous pouvez utiliser des groupes dans un type d'affichage personnalisé pour organiser voséquipements en groupements logiques.

Avant de commencerAjoutez un type d'affichage personnalisé (voir Gestion des types d'affichage personnalisés).


1 Sur le volet de navigation du système, cliquez sur la liste déroulante Type d'affichage.

2 Sélectionnez l'affichage personnalisé, puis effectuez l'une des procédures suivantes :


Ajouter unnouveau groupe

1Cliquez sur un nœud Système ou Groupe, puis sur l'icône Ajouter un groupe dans la barre d'outils Actions.

2 Remplissez les champs, puis cliquez sur OK.

3 Dans l'affichage, effectuez un glisser-déplacer des équipements pour lesajouter au groupe.

Si l'équipement fait partie d'une arborescence dans l'affichage, un nœudEquipement en double est créé. Vous pouvez alors supprimer le doublon dansl'arborescence des systèmes.

Modifier ungroupe Sélectionnez le groupe, cliquez sur l'icône Propriétés , puis apportez les

modifications à la page Propriétés de groupe.

Supprimer ungroupe

Sélectionnez le groupe, puis cliquez sur l'icône Supprimer le groupe . Le groupeet les équipements qu'il contient sont supprimés de l'affichage personnalisé,mais les équipements ne sont pas supprimés du système.

Voir aussi Gestion des types d'affichage personnalisés, page 32

Suppression d'un groupe ou d'un équipementSi un équipement ne fait plus partie du système ou si vous n'utilisez plus un groupe, vous devez lessupprimer de l'arborescence de navigation des systèmes.

Mise en routeConnexion d'équipements 2



1 Surlignez le nœud correspondant à l'élément que vous souhaitez supprimer, puis cliquez sur l'icôneSupprimer dans la barre d'outils Actions.

2 Lorsque vous êtes invité à confirmer, cliquez sur OK.

Suppression des équipements en double dans l'arborescence denavigation des systèmesLes nœuds Equipement en double peuvent s'afficher dans l'arborescence de navigation des systèmeslorsque vous effectuez un glisser-déplacer des équipements depuis une arborescence des systèmesvers un groupe ou si vous avez configuré des groupes avant de mettre à niveau le logiciel ESM. Il estconseillé de les supprimer pour éviter toute confusion.



2 Cliquez sur l'icône Modifier située en regard de l'affichage qui inclut les équipements en double.

3 Désélectionnez les équipements en double, puis cliquez sur OK.

Les équipements qui possédaient des doublons sont désormais répertoriés uniquement dans leursgroupes affectés.

Préférences de la consoleVous pouvez personnaliser plusieurs fonctionnalités de la console ESM en modifiant le thème decouleur, le format de date et d'heure, la valeur de l'expiration et plusieurs paramètres par défaut. Vous

2 Mise en routePréférences de la console


pouvez également configurer les informations d'identification de McAfee®

ePolicy Orchestrator®

(McAfeeePO

™

) .

Console ESMLa console ESM vous permet de visualiser en temps réel l'activité de vos équipements ainsi qued'accéder rapidement aux notifications d'alarme et aux incidents attribués.

1 Barre de navigation du système : accès aux fonctions de configuration générales.

2 Icônes : accès aux pages fréquemment utilisées.

3 Barre d'outils des actions : sélection des fonctions nécessaires à la configuration de chaqueéquipement.

4 Volet de navigation du système : affichage des équipements du système.

5 Volet des alarmes et des incidents : affichage des notifications des alarmes et des incidentsouverts attribués.

6 Volet des vues : événements, flux et données de journal.

7 Barre d'outils des vues : créer, modifier et gérer les vues.

8 Volet des filtres : appliquer un filtrage aux vues de données relatives aux événements ou auxflux.

Mise en routePréférences de la console 2


Utilisation du thème de couleurs de la consolePersonnaliser la console ESM en sélectionnant un thème de couleurs existant ou en définissant unthème de couleurs personnalisé. Vous pouvez également modifier ou supprimer des thèmes decouleurs personnalisés.


1 Dans la barre de navigation de la console ESM, cliquez sur Options.

2 Sélectionnez un thème de couleurs existant, ou bien ajoutez, modifiez ou supprimez un thèmepersonnalisé.

3 Si vous cliquez sur Ajouter ou Modifier, sélectionnez les couleurs du thème personnalisé, puis cliquezsur OK.

Si vous avez ajouté un nouveau thème, une miniature de vos couleurs est ajoutée à la sectionSélectionnez un thème.

4 Cliquez sur OK pour enregistrer vos paramètres.

Sélection des paramètres d'affichage de la consoleDéfinir les paramètres par défaut des vues sur la console ESM.Cette page vous permet de définir le système pour effectuer les actions suivantes :

• Mettre à jour automatiquement les données sur une vue ouverte

• Changer les vues qui s'ouvrent par défaut lorsque vous démarrez le système

• Changer les vues qui s'ouvrent lorsque vous sélectionnez Synthèse sur une vue d'événements ou deflux


1 Dans la barre de navigation de la console ESM, cliquez sur Options.

2 Sur la page Vues, sélectionnez vos préférences, puis cliquez sur OK.

Configuration du délai d'expiration de la consoleLa session actuelle de la console ESM reste ouverte tant que des activités sont effectuées. Vouspouvez définir le délai d'inactivité au bout duquel la session est fermée.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système | Sécurité deconnexion.

2 Dans Valeur du délai d'expiration de l'interface utilisateur, sélectionnez le nombre de minutes d'inactivité, puiscliquez sur OK.

Si vous sélectionnez zéro (0), la console reste ouverte indéfiniment.

Sélection des paramètres utilisateurLa page Paramètres utilisateur permet de modifier plusieurs paramètres par défaut. Vous pouvez modifierle fuseau horaire, le format de la date, le mot de passe, l'affichage par défaut et la langue de la



console. Vous pouvez également activer et désactiver l'affichage des sources de données désactivées,de l'onglet Alarmes et de l'onglet Incidents.


1 Dans la barre de navigation du système de la console ESM, cliquez sur Options.

2 Vérifiez que Paramètres utilisateur est sélectionné.

3 Modifiez les paramètres selon les besoins, puis cliquez sur OK.

L'affichage de la console est modifié en fonction de vos paramètres.

Configuration des informations d'identification de l'utilisateurpour McAfee ePO.Vous pouvez restreindre l'accès à un équipement McAfee ePO en configurant les informationsd'identification de l'utilisateur.

Avant de commencerL'équipement McAfee ePO ne doit pas être configuré pour requérir l'authentificationutilisateur globale (voir Authentification des équipements McAfee ePO).


1 Dans la barre de navigation de la console ESM, cliquez sur Options, puis sélectionnez Informationsd'identification ePO.

2 Cliquez sur l'équipement, puis cliquez sur Modifier.

Si la colonne de l'état de l'équipement indique Non requis, l'équipement est configuré pourl'authentification utilisateur globale. Vous pouvez changer l'état sur la page Connexion de l'équipement(voir Modification de la connexion à ESM).

3 Entrez le nom d'utilisateur et le mot de passe, testez la connexion, puis cliquez sur OK.

Pour accéder à cet équipement, les utilisateurs doivent entrer le nom d'utilisateur et le mot de passeque vous avez ajoutés.

Mise en routePréférences de la console 2


3 Configuration de l'ESM

ESM gère les données, les paramètres, les mises à jour et la configuration. Il communique avecplusieurs équipements simultanément. Lors de la création de l'environnement ESM, analysez en détailles besoins et les objectifs de conformité de votre organisation afin de prendre en charge le cycle devie de la gestion de la sécurité de votre organisation.

Sommaire Gestion des équipements Configuration des équipements Configuration des services auxiliaires Gestion de la base de données Gestion des utilisateurs et des groupes Sauvegarde et restauration des paramètres système ESM redondant Gestion de l'ESM. Utilisation d'une liste globale de blocage Qu'est-ce que l'enrichissement des données ?

Gestion des équipementsL'arborescence de navigation d'un système affiche les équipements ajoutés au système. Vous pouvezexécuter des fonctions sur un ou plusieurs équipements et organiser les équipements selon les

3


besoins. Vous pouvez également afficher des rapports sur l'état d'intégrité lorsque les systèmes sontmarqués afin de résoudre les problèmes existants.

Tableau 3-1 Description des fonctionnalités

Cette fonctionnalité... Vous permet de...

1 Barre d'outils des actions Sélectionner une action à exécuter sur les équipements del'arborescence de navigation du système.

Icône des propriétés Configurer les paramètres du système ou de l'équipementsélectionné dans l'arborescence de navigation des systèmes.

Icône d'ajout d'équipements Ajouter des équipements à l'arborescence de navigation dusystème.

Indicateurs d'état d'intégrité Afficher les alertes d'état d'équipement.

Gestion multi-équipement Démarrer, arrêter, redémarrer et mettre à jour plusieurséquipements particuliers.

Obtenir les événements et les

flux

Récupérer les événements et les flux relatifs aux équipements quevous sélectionnez.

Supprimer un équipement Supprimer l'équipement sélectionné.

Actualiser Actualiser les données de tous les équipements.

3 Configuration de l'ESMGestion des équipements


Tableau 3-1 Description des fonctionnalités (suite)

Cette fonctionnalité... Vous permet de...

2 Type d'affichage Choisir la manière d'organiser les équipements dans l'arborescence.ESM comporte trois types prédéfinis :• Affichage physique : les équipements sont affichés de façon

hiérarchique. Le premier niveau est celui des nœuds du système(affichage physique, ESM local et équipement de base de l'ESMlocal). Le deuxième niveau est constitué des équipementsparticuliers et tous les autres niveaux contiennent les sources quevous ajoutez aux équipements (source de données, équipementvirtuel et autres). Les équipements de base sontautomatiquement ajoutés sous les nœuds ESM local, source dedonnées, équipement virtuel et serveur de base de données. Ilscomportent une icône grisée et sont placés entre parenthèses.

• Affichage par type d'équipement : les équipements sontregroupés par type d'équipement (Nitro IPS, ADM, DEM).

• Affichage par zone : les équipements sont organisés enfonction de la zone où ils se trouvent, que vous définissez avec lafonctionnalité Gestion des zones.

Vous pouvez également ajouter des types d'affichage personnalisés(consultez la section Organisation de vos équipements).

3 Recherche rapide Effectuer une recherche rapide pour trouver un équipement dansl'arborescence de navigation du système.

4 Arborescence de navigationdu système

Affichage des équipements du système.

Voir aussi Organisation de vos équipements, page 45Rapports d'état d'intégrité des équipements, page 62Gestion de plusieurs équipements, page 61

Affichage des statistiques sur les équipementsAffichez les informations relatives aux équipements, notamment aux processeurs, à la mémoire et auxfiles d'attente.

Avant de commencerVérifiez que vous avez l'autorisation Gestion des équipements.


1 Dans l'arborescence de navigation des systèmes, sélectionnez l'équipement approprié, puis cliquez

sur l'icône Propriétés .

2 Cliquez sur Gestion dans l'équipement, puis sur Afficher les statistiques.

Les statistiques de l'équipement s'affichent sous forme d'un graphique et sont actualisées toutes les10 minutes. L'affichage des données requiert des données sur une période d'au moins 30 minutes.Chaque type de mesure contient plusieurs mesures, certaines sont activées par défaut. Cliquez surAffiché pour activer les mesures. La quatrième colonne indique l'échelle de la mesure correspondante.

Configuration de l'ESMGestion des équipements 3


Ajout d'équipements dans la console ESMAprès avoir installé et configuré les équipements physiques et virtuels, vous devez les ajouter à laconsole ESM.

Avant de commencerInstallez et configurez les équipements (voir le Guide d'installation de McAfee EnterpriseSecurity Manager).

Procédure1 Dans l'arborescence de navigation du système, cliquez sur ESM local ou un groupe.

2 Dans la barre d'outils Actions, cliquez sur l'icône Ajouter un équipement .

3 Sélectionnez le type d'équipement que vous souhaitez ajouter, puis cliquez sur Suivant.

4 Dans le champ Nom d'équipement, entrez un nom unique dans ce groupe, puis cliquez sur Suivant.

5 Indiquez les informations demandées :

• Pour les équipements McAfee ePO : sélectionnez un récepteur, entrez les informationsd'identification requises pour la connexion à l'interface web, puis cliquez sur Suivant. Entrez lesparamètres à utiliser pour la communication avec la base de données.

Sélectionnez Requérir l'authentification utilisateur pour limiter l'accès aux seuls utilisateurs disposantd'un nom d'utilisateur et d'un mot de passe pour l'équipement.

• Pour tous les autres équipements : entrez l'adresse IP ou l'URL cible de l'équipement, puis unnuméro de port SSH cible valide à utiliser avec l'adresse IP.

6 Indiquez si vous souhaitez ou non utiliser les paramètres NTP (Network Time Protocol) dansl'équipement, puis cliquez sur Suivant.

7 Si vous disposez d'une clé que vous souhaitez importer, sélectionnez Importer la clé (option nondisponible dans l'équipement ELM ou dans l'équipement combiné Récepteur/Log Manager) ; dans lecas contraire, cliquez sur Activer la clé de l'équipement.

Les clés d'équipement qui ont été exportées à l'origine à partir d'un ESM antérieur à la version 8.3xne sont pas compatibles avec le modèle de communication de la version 8.4.0. Dès la mise à niveau,vous devez réactiver la clé de l'équipement. Pour accéder à un équipement des versions 9.0.0 ouultérieures, vous devez réexporter sa clé depuis un ESM, version 8.5.0 ou ultérieure. Veillez à définirles privilèges requis pour l'équipement, par exemple le privilège Configurer les équipements virtuels.

8 Entrez le mot de passe de cet équipement, puis cliquez sur Suivant.

ESM teste la communication de l'équipement et indique le statut de la connexion.

A propos des clés d'équipementPour qu'ESM communique avec un équipement, il doit chiffrer toutes les communications à l'aide de laclé de communication qui a été créée lors de l'activation de la clé de l'équipement.

Il est conseillé d'exporter la nouvelle clé vers un autre fichier chiffré par mot de passe. Vous pouvezensuite l'importer pour l'exporter vers un autre équipement ou pour restaurer la communication avecl'équipement en cas d'urgence.

Tous les paramètres sont stockés dans ESM, ce qui signifie que la console ESM prend en charge lesclés gérées dans ESM et qu'elle n'a pas besoin d'importer une clé d'équipement si ESM communiquedéjà avec succès avec l'équipement.



Exemple : vous pouvez exécuter une sauvegarde de vos paramètres (qui contient les clés del'équipement) le lundi, puis réactiver la clé de l'un de vos équipements le mardi. Si vous vous rendezcompte le mercredi que vous devez restaurer les paramètres du lundi, vous devez importer la clécréée le mardi à l'issue de la restauration des paramètres. Même si la restauration a rétabli lesparamètres du lundi de la clé de l'équipement, l'équipement écoute toujours uniquement le trafic codéà l'aide de la clé du mardi. Cette clé doit être importée pour que la communication avec l'équipementsoit possible.

Il est conseillé de ne pas importer de clé d'équipement dans un ESM distinct. La clé exportée permetde réinstaller un équipement dans l'ESM de gestion de l'équipement, pour les rôles appropriés degestion des équipements. Si vous importez un équipement dans un deuxième ESM, plusieursfonctionnalités de l'équipement ne seront pas utilisables, notamment les paramètres de gestion desstratégies, de journalisation et de gestion ELM, de source de données et d'équipement virtuel. Lesadministrateurs d'équipement peuvent remplacer les paramètres de l'équipement à partir d'unautre ESM. Il est conseillé d'utiliser un ESM unique pour gérer les équipements avec lesquels il estconnecté. Un équipement DESM peut gérer la collecte des données des équipements connectés à unautre ESM.

Activation de la clé d'un équipementAprès que vous avez ajouté un équipement dans ESM, vous devez activer sa clé afin de permettre lescommunications. L'activation de la clé de l'équipement renforce la sécurité en ignorant l'ensemble dessources externes de communication.


1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur

l'icône Propriétés .

2 Cliquez sur Gestion des clés | Activer la clé de l'équipement.

Si une connexion est établie avec l'équipement et si celui-ci peut communiquer avec l'ESM,l'Assistant Activation de clé d'équipement s'ouvre.

3 Tapez un nouveau mot de passe pour l'équipement, puis cliquez sur Suivant.

4 Cliquez sur Exporter la clé, puis remplissez la page Exporter la clé ou cliquez sur Terminer si vous nesouhaitez pas procéder à l'exportation maintenant.

Exportation d'une cléAprès avoir activé la clé d'un équipement, exportez-la vers un fichier.

Si votre système fonctionne en mode FIPS, ne suivez pas cette procédure. Pour connaître la procédureà suivre, voir Ajout d'un équipement dont la clé est activée en mode FIPS.




2 Cliquez sur Gestion des clés | Exporter la clé.



3 Définissez les paramètres de la page Exporter la clé, puis cliquez sur OK.

ESM crée le fichier de clés exportées et vous demande si vous souhaitez l'exporter.

4 Cliquez sur Oui, puis sélectionnez l'emplacement d'enregistrement du fichier.

Il est conseillé d'exporter une copie de sauvegarde personnelle de la clé de l'équipement qui soitdéfinie sur Ne jamais expirer et qui inclue tous les privilèges.

Importation d'une cléImportez une clé pour restaurer les paramètres précédents d'ESM ou pour l'utiliser dans une autreconsole ESM ou dans une console héritée.

Si la version de l'équipement est 9.0 ou ultérieure, vous ne pouvez importer une clé qu'à partird'un ESM version 8.5 ou ultérieure.




2 Cliquez sur Gestion des clés | Importer la clé.

3 Localisez et sélectionnez le fichier de clés enregistré.

4 Cliquez sur Charger, puis tapez le mot de passe qui a été défini lors de l'exportation de cette clé.

Si l'importation de la clé est réussie, une page en affiche le statut.

Gérer les clés SSHLes équipements peuvent disposer de clés de communication SSH pour les systèmes avec lesquels ilsdoivent communiquer en toute sécurité. Pour arrêter la communication avec ces systèmes, supprimezla clé correspondante.




2 Cliquez sur Gestion des clés, puis sur Gérer les clés SSH.

La page Gérer les clés SSH dresse la liste des ID de l'ESM avec lesquels l'équipement communique.

3 Pour arrêter la communication avec l'un des systèmes répertoriés, surlignez l'ID correspondant,puis cliquez sur Supprimer.

4 Confirmez la suppression, puis cliquez sur OK.



Mise à jour du logiciel dans un équipementSi le logiciel de votre équipement est obsolète, chargez-en une nouvelle version depuis un fichierd'ESM ou de votre ordinateur local.

Avant de commencerSi vous possédez votre système depuis plus de 30 jours, vous devez obtenir et installer vosinformations d'identification permanentes pour accéder aux mises à jour (consultez lasection Obtention et ajout des informations d'identification pour la mise à jour des règles).

Si vous devez respecter les réglementations FIPS et Critères courants, ne mettez pas à jourl'ESM de cette manière. Pour obtenir une mise à jour certifiée, contactez le supporttechnique McAfee.




2 Cliquez sur Gestion | Mettre à jour l'équipement.

3 Sélectionnez une mise à jour dans le tableau ou cliquez sur Parcourir pour la localiser dans votresystème local.

L'équipement redémarre avec la version du logiciel mis à jour.

Organisation de vos équipementsL'arborescence de navigation du système répertorie les équipements du système. Vous pouvez choisirla manière de les afficher à l'aide de la fonctionnalité de sélection du type d'affichage.

Au fur et à mesure que vous augmentez le nombre d'équipements sur votre système, il est utile de lesorganiser de façon logique afin de les trouver facilement lorsque vous en avez besoin. Par exemple, sivous avez des succursales dans différents emplacements géographiques, il peut être pratiqued'afficher les équipements en fonction des zones où ils se trouvent.

Vous pouvez utiliser les trois affichages prédéfinis ou définir des affichages personnalisés. Danschaque affichage personnalisé, vous pouvez ajouter des groupes pour organiser les équipements dansdes catégories plus précises.

Configuration du contrôle du trafic réseau sur un équipement Vous pouvez définir la valeur maximale de sortie des données pour le récepteur et les équipementsACE, ELM, Nitro IPS, ADM et DEM.

Cette fonctionnalité est utile si la bande passante est limitée et si vous souhaitez contrôler la quantitéde données envoyées par chacun de ces équipements. Vous pouvez définir la valeur en kilobits (Kb),mégabits (Mb) et gigabits (Gb) par seconde.

Soyez prudent lors de la configuration de cette fonctionnalité, car la limitation du trafic peut provoquerune fuite de données.




1 Dans l'arborescence de navigation des systèmes, sélectionnez l'équipement, puis cliquez sur l'icône

Propriétés .

2 Cliquez sur l'option Configuration de l'équipement, cliquez sur Interfaces, puis sur l'onglet Trafic.

Le tableau affiche les contrôles existants.

3 Pour ajouter des contrôles à un équipement, cliquez sur Ajouter, entrez l'adresse réseau et lemasque réseau, définissez le débit, puis cliquez sur OK.

Si vous définissez le masque sur la valeur zéro (0), toutes les données envoyées sont contrôlées.

4 Cliquez sur Appliquer.

La vitesse du trafic sortant de l'adresse réseau que vous avez définie est contrôlée.

Configuration de l'équipementLa page Configuration de chaque équipement fournit des options permettant de configurer lesparamètres d'équipement, tels que l'interface réseau, les notifications SNMP, les paramètres NTP et lajournalisation ELM.

Configuration des interfaces réseauLes paramètres d'interface déterminent la façon dont ESM se connecte à l'équipement. Vous devez lesdéfinir pour chaque équipement.




2 Cliquez sur l'option Configuration de l'équipement, puis sur Interfaces.

3 Entrez les données demandées, puis cliquez sur Appliquer.

Toutes les modifications sont diffusées sur l'équipement et entrent immédiatement en vigueur. Dèsl'application des modifications, l'équipement est réinitialisé, ce qui provoque la perte de toutes lessessions actuelles.

Gestion des interfaces réseauLa communication avec un équipement peut avoir lieu à l'aide des interfaces publiques et privées deschemins d'accès de trafic. En d'autres termes, l'équipement est invisible sur le réseau, car il nenécessite pas d'adresse IP.

Interface de gestion

Les administrateurs réseau peuvent également configurer une interface de gestion avec uneadresse IP destinée à la communication entre ESM et l'équipement. Les fonctionnalités suivantes d'unéquipement requièrent l'utilisation d'une interface de gestion :

• Contrôle total des cartes réseau de contournement

• Utilisation de la synchronisation de l'heure des serveurs NTP



• Syslog généré par l'équipement

• Notifications SNMP

Les équipements sont pourvus au moins d'une interface de gestion, qui leur attribue une adresse IP.Pourvu d'une adresse IP, l'équipement est directement accessible à ESM sans diriger la communicationvers une autre adresse IP cible ou un autre nom d'hôte.

Ne connectez pas l'interface réseau de gestion à un réseau public, car elle sera visible sur le réseaupublic, et sa sécurité pourrait être compromise.

Un équipement s'exécutant en mode Nitro IPS doit disposer de deux interfaces pour chaque chemind'accès du trafic réseau. Pour le mode IDS, l'équipement doit posséder un minimum dedeux interfaces réseau. Vous pouvez configurer plusieurs interfaces réseau de gestion dansl'équipement.

Carte d'interface réseau de contournementUn équipement en mode de contournement permet la transmission de tout le trafic, y compris le traficmalveillant. Dans des circonstances normales, vous pouvez avoir une perte de connexion de une àtrois secondes lorsque l'équipement passe en mode de contournement et de 18 secondes lorsqu'il lequitte. La connexion à certains commutateurs, comme certains modèles de Cisco Catalyst, peutmodifier ces valeurs. Le cas échéant, vous pouvez avoir une perte de connexion de 33 secondeslorsque l'équipement passe en mode de contournement et lorsqu'il le quitte.

Si vous êtes dans le cas où le rétablissement des communications dure 33 secondes, vous pouvezactiver rapidement le port sur le port de commutateur, puis définir manuellement la vitesse et leduplex pour faire repasser les temps en mode normal. Veillez à définir l'ensemble des quatre ports(celui du commutateur, les deux de Nitro IPS et celui de l'autre équipement) sur le même paramètre,faute de quoi vous pourriez faire face à un problème de négociation en mode de contournement (voirConfiguration des cartes d'interface réseau de contournement).

Les options de contournement disponibles dépendent du type de carte d'interface réseau decontournement de l'équipement : type 2 ou 3.

Ajout d'itinéraires statiquesUn itinéraire statique est un ensemble d'instructions relatives à la procédure à suivre pour atteindre unhôte ou un réseau qui n'est pas disponible via la passerelle par défaut.




2 Cliquez sur Configuration | Interfaces.

3 En regard de la table Itinéraires statiques, cliquez sur Ajouter.

4 Entrez les informations, puis cliquez sur OK.

Carte d'interface réseau de contournementDans des circonstances normales, vous pouvez avoir une perte de connexion de une à trois secondeslorsque l'équipement passe en mode de contournement et de 18 secondes lorsqu'il le quitte. Laconnexion à certains commutateurs, comme certains modèles de Cisco Catalyst, peut modifier cesvaleurs. Le cas échéant, vous pouvez avoir une perte de connexion de 33 secondes lorsquel'équipement passe en mode de contournement et lorsqu'il le quitte.



Si vous êtes dans le cas où le rétablissement des communications dure 33 secondes, vous pouvezactiver rapidement le port sur le port de commutateur, puis définir manuellement la vitesse et leduplex pour faire repasser les temps en mode normal. Veillez à définir l'ensemble des quatre ports(celui du commutateur, les deux de Nitro IPS et celui de l'autre équipement) sur le même paramètre,faute de quoi vous pourriez faire face à un problème de négociation en mode de contournement.


Configuration des cartes d'interface réseau de contournementSur les équipements IPS, vous pouvez définir les paramètres des cartes d'interface de contournementpour autoriser l'ensemble du trafic.

Les équipements ADM et DEM sont toujours en mode IDS. Vous pouvez afficher leur type d'interfaceréseau de contournement mais pas modifier leurs paramètres.





3 Dans la page Paramètres de l'interface réseau, accédez à la section Configuration de la carte d'interface réseau decontournement située dans sa partie inférieure.

4 Afficher le type et l'état ou, sur un équipement IPS, modifier les paramètres.

5 Cliquez sur OK.

Ajout de réseaux locaux virtuels et d'aliasAjoutez des réseaux locaux virtuels (VLAN) et des alias à une interface ACE ou ELM. Si vous disposezd'un équipement réseau comprenant plusieurs adresses IP, des paires d'adresse IP et de masqueréseau sont affectées aux alias ajoutés.


1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, cliquez sur l'icône

Propriétés , puis sur Configuration de l'équipement.

2 Dans la section Interfaces de l'onglet Réseau, cliquez sur Configuration, puis sur Avancé.

3 Cliquez sur Ajouter un réseau local virtuel (VLAN), entrez les informations demandées, puis cliquez sur OK.

4 Sélectionnez le réseau local virtuel auquel vous souhaitez ajouter l'alias, puis cliquez sur Ajouter unalias.

5 Saisissez les informations demandées, puis cliquez sur OK.



Configuration des notifications SNMPPour configurer des notifications SNMP générées par l'équipement, vous devez définir les interruptionsà envoyer et leurs destinations.

Si vous configurez SNMP sur un récepteur haute disponibilité, les interruptions du récepteur principalsortent via l'adresse IP partagée. Par conséquent, lorsque vous configurez les écouteurs, vous devez enconfigurer un pour l'adresse IP partagée.




2 Cliquez sur Configuration | SNMP.

3 Définissez les paramètres, puis cliquez sur OK.

Configuration du protocole NTP dans un équipementSynchronisez l'heure de l'équipement avec ESM à l'aide d'un serveur NTP (Network Time Protocol).




2 Cliquez sur Configuration | NTP.

3 Renseignez les informations demandées, puis cliquez sur OK.

Procédures

• Affichage du statut des serveurs NTP, page 185Affichez le statut de tous les serveurs NTP dans ESM.

Synchronisation d'un équipement avec ESMSi vous devez remplacer votre ESM, importez la clé de chaque équipement afin de restaurer lesparamètres. Si vous ne disposez pas de sauvegarde de base de données actuelle, vous devezégalement synchroniser les paramètres de source de données, d'équipement virtuel et de serveur debase de données avec ESM afin qu'ils puissent reprendre l'extraction des événements.




2 Cliquez sur Configuration | Synchroniser l'équipement.

3 Lorsque la synchronisation est terminée, cliquez sur OK.

Configuration de la communication avec ELMSi vous envoyez les données depuis cet équipement vers ELM, les champs IP ELM et Synchroniser ELMs'affichent dans la page Configuration de l'équipement, vous permettant ainsi de mettre à jourl'adresse IP et de synchroniser ELM avec l'équipement.






2 Cliquez sur Configuration, puis effectuez l'une des actions suivantes :

Cliquez sur... Pour...

IP ELM Mettre à jour l'adresse IP de l'ELM auquel l'équipement est lié. Vous devezprocéder ainsi si vous modifiez l'adresse IP d'ELM ou si vous modifiez l'interfacede gestion d'ELM via la voie de communication de cet équipement avec ELM.

Synchroniser ELM Synchroniser ELM avec l'équipement si l'un d'eux a été remplacé. Si vous utilisezcette fonctionnalité, la communication SSH entre les deux équipements estrétablie à l'aide de la clé du nouvel équipement avec les paramètres précédents.

Définition du pool de journalisation par défautSi votre système contient un équipement ELM, vous pouvez configurer un équipement afin que lesdonnées d'événement qu'il reçoit soient envoyées vers l'équipement ELM. Pour ce faire, vous devezconfigurer le pool de journalisation par défaut.

L'équipement n'envoie pas d'événement à ELM tant que sa période d'agrégation n'a pas expiré.




2 Cliquez sur Configuration | Journalisation.

3 Sélectionnez les options appropriées dans les pages qui s'ouvrent.

Vous êtes informé de l'activation de la journalisation des données de cet équipement dans ELM.

Informations et paramètres généraux des équipementsChaque équipement possède une page qui contient des informations générales sur celui-ci, parexemple son numéro de série et sa version de logiciel. Vous pouvez également définir des paramètrespour l'équipement. Vous pouvez par exemple sélectionner la zone et synchroniser l'horloge.

Affichage des journaux de messages et des statistiques d'équipementVous pouvez afficher les messages générés par le système, afficher les statistiques sur lesperformances de l'équipement ou télécharger un fichier .tgz contenant les informations de statutd'équipement.






2 Cliquez sur Gestion de l'équipement, puis sélectionnez l'une des options suivantes :

Option Description

Afficher le journal Cliquez pour afficher les messages qui ont été enregistrés par le système.Cliquez sur Télécharger tout le fichier pour télécharger les données dans un fichier.

Afficher les statistiques Cliquez pour afficher les statistiques relatives aux performances del'équipement, par exemple l'interface Ethernet, ifconfig et le filtre iptables.

Données d'équipement Cliquez pour télécharger un fichier .tgz contenant des données sur l'état devotre équipement. Vous pouvez utiliser cette option lorsque vous contactez lesupport technique McAfee pour résoudre un problème sur votre système.

Mise à jour du logiciel dans un équipementSi le logiciel de votre équipement est obsolète, chargez-en une nouvelle version depuis un fichierd'ESM ou de votre ordinateur local.

Avant de commencerSi vous possédez votre système depuis plus de 30 jours, vous devez obtenir et installer vosinformations d'identification permanentes pour accéder aux mises à jour (consultez lasection Obtention et ajout des informations d'identification pour la mise à jour des règles).

Si vous devez respecter les réglementations FIPS et Critères courants, ne mettez pas à jourl'ESM de cette manière. Pour obtenir une mise à jour certifiée, contactez le supporttechnique McAfee.




2 Cliquez sur Gestion | Mettre à jour l'équipement.

3 Sélectionnez une mise à jour dans le tableau ou cliquez sur Parcourir pour la localiser dans votresystème local.

L'équipement redémarre avec la version du logiciel mis à jour.

Entrée de commandes Linux pour un équipementUtilisez l'option Terminal pour entrer des commandes Linux sur un équipement. Cette fonctionnalité estdestinée aux utilisateurs expérimentés et elle ne doit être utilisée qu'en cas d'urgence et selon lesinstructions du support technique McAfee.

Comme cette option n'est pas conforme à FIPS, elle est désactivée en mode FIPS.






2 Cliquez sur Gestion | Terminal.

3 Entrez le mot de passe système, puis cliquez sur OK.

4 Entrez les commandes Linux, exportez les fichiers ou transférez-les.

5 Cliquez sur Fermer.

Octroi de l'accès à votre systèmeSi vous passez un appel téléphonique au support technique McAfee, vous devrez peut-être octroyerl'accès à l'ingénieur du support technique afin qu'il puisse voir votre système.




2 Cliquez sur Gestion de l'équipement | Connecter.

Le bouton est remplacé par le bouton Déconnecter, et votre adresse IP est indiquée.

3 Indiquez l'adresse IP à l'ingénieur du support technique.

Il se peut que vous deviez fournir des informations supplémentaires telles que le mot de passe.

4 Cliquez sur Déconnecter pour mettre un terme à la connexion.

Surveillance du traficSi vous devez surveiller le trafic d'un équipement DEM, ADM ou IPS, vous pouvez utiliser Vidage TCPpour télécharger une instance du programme Linux s'exécutant sur cet équipement.




2 Cliquez sur Gestion de l'équipement.

3 Dans la section Vidage TCP de la page, exécutez la procédure pour télécharger l'instance.

Affichage des informations de l'équipementAffichez les informations générales relatives à un équipement. Ouvrez la page Informations de l'équipementpour consulter l'ID de système, le numéro de série, le modèle, la version, la build, etc.






2 Consultez les informations disponibles, puis cliquez sur OK.

Démarrage, arrêt, redémarrage ou actualisation d'un équipementDémarrez, arrêtez, redémarrez ou actualisez un équipement dans la page Informations.




2 Vérifiez que l'option Informations de l'équipement est sélectionnée, puis cliquez sur Démarrer, Arrêter,Redémarrer ou Actualiser.

Modification du nom d'équipementLorsque vous ajoutez un équipement à l'arborescence des systèmes, vous lui attribuez un nom, quis'affiche dans l'arborescence. Ce nom, le nom du système, l'URL et la description peuvent êtremodifiés.




2 Cliquez sur Nom et description, puis modifiez le nom, le nom du système, l'URL et la description ouaffichez le numéro ID d'équipement.

3 Cliquez sur OK.

Ajouter un lien URLPour afficher les informations de l'équipement dans une URL, vous pouvez configurer le lien dans lapage Nom et description de chaque équipement. Lorsqu'il est ajouté, ce lien est accessible dans les vuesAnalyse d'événement et Analyse de flux de chaque équipement en cliquant sur l'icône Lancer l'URL de

l'équipement située en bas des composants de vue.




2 Cliquez sur Nom et description, puis entrez l'URL.

3 Cliquez sur OK pour enregistrer les modifications.



Modification de la connexion à ESMSi vous ajoutez un équipement à l'ESM, vous devez configurer sa connexion avec l'ESM. Vous pouvezmodifier l'adresse IP et le port, puis désactiver la communication SSH et vérifier l'état de la connexion.

La modification de ces paramètres n'a pas d'incidence sur l'équipement proprement dit. Elle concerneuniquement la façon dont l'ESM communique avec l'équipement.




2 Cliquez sur Connexion, puis apportez les modifications.


Evénements, flux et journauxLes équipements IPS et ADM ainsi que le récepteur collectent des événements, des flux et desjournaux, les équipements ACE et DEM collectent des événements et des journaux et leséquipements ELM collectent des journaux. Définissez chaque équipement pour qu'il effectue cetterecherche automatiquement ou manuellement. Par ailleurs, vous pouvez agréger les événements oules flux générés par un équipement.

Configuration des téléchargements d'événements, de flux et de journauxRecherchez manuellement les événements, les flux et les journaux ou définissez l'équipement pourqu'il procède automatiquement à cette recherche.




2 Cliquez sur Evénements, flux et journaux, Evénements et journaux ou Journaux.

3 Configurez les téléchargements, puis cliquez sur Appliquer.

Définition des paramètres de géolocalisation et ASNL'option Géolocalisation indique l'emplacement géographique réel des ordinateurs connectés àInternet. Le Numéro de système autonome (ASN) est un numéro qui est affecté à un systèmeautonome et qui identifie de façon unique chaque réseau sur Internet.

Ces deux types de données peuvent vous aider à identifier l'emplacement physique d'une menace. Lesdonnées de géolocalisation sources et de destination peuvent être collectées pour des événements.




2 Cliquez sur Evénements, flux et journaux ou Evénements et journaux, puis sur Géolocalisation.

3 Sélectionnez les options appropriées pour générer les informations nécessaires, puis cliquez sur OK.



Vous pouvez filtrer les données d'événement à l'aide de ces informations.

Agrégation des événements ou des fluxUn événement ou un flux peut potentiellement être généré des milliers de fois. Au lieu de vous forcerà examiner des milliers d'événements identiques, l'agrégation vous permet de les afficher sous laforme d'un événement ou d'un flux unique accompagné d'un nombre indiquant le nombred'occurrences.

L'agrégation permet d'utiliser l'espace disque de façon plus efficace à la fois sur l'équipement et surl'ESM, car elle permet d'éviter le stockage de chaque paquet. Cette fonctionnalité s'appliqueuniquement aux règles pour lesquelles l'agrégation est activée dans l'Editeur de stratégie.

Adresse IP source et de destination

Les valeurs non définies ou agrégées des adresses IP sources et de destination s'affichent sous laforme « :: » et non sous la forme « 0.0.0.0 » dans tous les ensembles de résultats. Par exemple :

• ::ffff:10.0.12.7 est inséré sous la forme 0:0:0:0:0:FFFF:A00:C07 (A00:C07 is 10.0.12.7).

• ::0000:10.0.12.7 équivaut à 10.0.12.7.

Evénements et flux agrégés

Les événements et flux agrégés utilisent les champs de début, de fin et de totalité pour indiquer ladurée et la valeur de l'agrégation. Exemple : si un même événement se produit 30 fois au cours des10 premières minutes après midi, le champ Première fois contient l'heure 12:00 (heure de la premièreinstance de l'événement), le champ Dernière fois contient l'heure 12:10 (heure de la dernière instance del'événement) et le champ Total contient la valeur 30.

Vous pouvez modifier les paramètres d'agrégation des événements ou des flux par défaut pourl'ensemble de l'équipement. S'il s'agit d'événements, vous pouvez ajouter des exceptions auxparamètres de l'équipement pour les règles individuelles (voir Gestion des exceptions à l'agrégationd'événements).

L'agrégation dynamique est également activée par défaut. Si elle est sélectionnée, elle remplace lesparamètres de l'agrégation de Niveau 1 et augmente les paramètres des Niveau 2 et Niveau 3. Elle récupèreles enregistrements en fonction du paramètre de récupération des événements, flux et journaux. S'ilest défini sur la récupération automatique, l'équipement compresse un enregistrement uniquementjusqu'à sa première extraction par ESM. S'il est défini sur la récupération manuelle, un enregistrementest compressé jusqu'à 24 heures ou tant qu'aucun nouvel enregistrement n'a été extraitmanuellement, et ce, quel que soit ce premier événement. Si la durée de la compression atteint lalimite de 24 heures, un nouvel enregistrement est extrait, et la compression commence dans cenouvel enregistrement.

Modification des paramètres d'agrégation des événements ou des fluxL'agrégation des événements et l'agrégation des flux sont activées par défaut. Elles sont définies surElevée. Vous pouvez modifier les paramètres comme il vous convient. Les performances de chaqueparamètre sont décrites dans la page Agrégation.

Avant de commencerPour modifier ces paramètres, vous devez avoir des privilèges Administrateur de stratégie etGestion des équipements ou bien Administrateur de stratégie et Règles personnalisées.

L'agrégation des événements est disponible uniquement pour les équipements ADM, IPS et pour lerécepteur alors que l'agrégation des flux est disponible pour l'équipement IPS et le récepteur.






2 Cliquez sur Agrégation d'événements ou Agrégation des flux.


Gestion des exceptions à l'agrégation d'événementsVous pouvez afficher la liste des exceptions à l'agrégation d'événements qui ont été ajoutées ausystème. Vous pouvez également modifier ou supprimer une exception.




2 Cliquez sur Agrégation d'événements, puis sur Afficher en bas de l'écran.

3 Apportez les modifications nécessaires, puis cliquez sur Fermer.

Ajout d'exceptions aux paramètres d'agrégation des événementsLes paramètres d'agrégation s'appliquent à tous les événements générés par un équipement. Vouspouvez créer des exceptions pour chaque règle si les paramètres généraux ne s'appliquent pas auxévénements générés par la règle.


1 Sur le volet des vues, sélectionnez un événement généré par la règle pour laquelle vous souhaitezajouter une exception.

2Cliquez sur l'icône Menu , puis sélectionnez Modifier les paramètres d'agrégation.

3 Sélectionnez les types de champ que vous souhaitez agréger dans les listes déroulantes Champ 2 etChamp 3.

Les champs sélectionnés dans Champ 2 et Champ 3 doivent être de types différents, sinon une erreurest générée. Lorsque vous sélectionnez ces types de champ, la description de chaque niveaud'agrégation est modifiée pour refléter vos sélections. Les limites de temps de chaque niveaudépend des paramètres d'agrégation des événements que vous avez définis pour l'équipement.

4 Cliquez sur OK pour enregistrer les paramètres, puis cliquez sur Oui pour continuer.

5 Désélectionnez les équipements sur lesquels vous ne souhaitez pas déployer les modifications.

6 Cliquez sur OK pour déployer les modifications sur les équipements sélectionnés.

La colonne Statut indique le statut de la mise à jour au fur et à mesure du déploiement desmodifications.



Equipements virtuelsVous pouvez ajouter des équipements virtuels à certains modèles d'équipement Nitro IPS et ADM poursurveiller le trafic, comparer des modèles de trafic et générer des rapports.

Objectifs et avantages

Les équipements virtuels peuvent être utilisés dans différents buts :

• Comparer les modèles de trafic aux ensembles de règles. Par exemple, pour comparer le trafic webaux règles web, vous pouvez configurer un équipement virtuel qui recherche uniquement les portsde trafic web, puis configurer une stratégie dans laquelle vous pouvez activer ou désactiverdifférentes règles.

• Génération de rapports. Cette utilisation est similaire au filtrage automatique.

• Surveiller plusieurs circuits de trafic en même temps. L'utilisation d'un équipement virtuel vouspermet d'utiliser différentes stratégies pour les circuits de trafic et trier les différents trafics dansdifférentes stratégies.

Nombre maximal d'équipements par modèle

Le nombre d'équipements virtuels que vous pouvez ajouter à un équipement ADM ou Nitro IPS dépenddu modèle de l'équipement :

Nombre d'équipements maximal Modèle

2 APM-1225NTP-1225

APM-1250

NTP-1250

4 APM-2230NTP-2230

NTP-2600

APM-3450

NTP-3450

8 NTP-2250

NTP-4245

NTP-5400

0 APM-VM

NTP-VM

Comment les règles sont-elles utilisées

Les règles de sélection sont utilisées en tant que filtres pour déterminer les paquets qu'un équipementvirtuel doit traiter.

Pour qu'un paquet concorde avec une règle de sélection, tous les critères de filtre définis par cetterègle doivent concorder. Si les informations du paquet concordent avec tous les critères de filtre d'unerègle de sélection, elles sont traitées par l'équipement virtuel qui contient la règle de sélectionconcordante. Sinon, elles sont transmises à l'équipement virtuel suivant de la liste. Si aucune règle desélection ne concorde sur les équipements virtuels, les informations sont traitées par l'équipementADM ou Nitro IPS lui-même (configuration par défaut).



Points à noter concernant les équipements virtuels IPv4 :

• Tous les paquets d'une connexion sont triés uniquement en fonction du premier paquet de laconnexion. Si le premier paquet d'une connexion concorde avec une règle de sélection du troisièmeéquipement virtuel de la liste, tous les paquets suivants de cette connexion sont transmis à cetroisième équipement, même si les paquets concordent avec un équipement virtuel placé avantdans la liste.

• Les paquets non valides (un paquet qui n'établit pas de connexion ou ne fait pas partie d'uneconnexion établie) sont transmis à l'équipement de base. Par exemple, un équipement virtuelrecherche les paquets dont le port source ou destination est 80. Si un paquet avec port source oudestination 80 est non valide, il est transmis à l'équipement de base au lieu de l'équipement virtuelqui recherche le trafic du port 80. Par conséquent, il peut vous sembler que des événementstransmis à l'équipement de base auraient dû être transmis à un équipement virtuel.

L'ordre des règles de sélection est important, car lors de la première concordance entre un paquet etune règle, ce paquet est automatiquement acheminé vers cet équipement virtuel pour être traité. Parexemple, vous ajoutez quatre règles de sélection et la quatrième est le filtre qui se déclenche le plusfréquemment. Cela signifie que chaque paquet doit passer par les autres filtres de cet équipementvirtuel avant d'accéder à la règle de sélection la plus fréquemment déclenchée. Pour améliorerl'efficacité du traitement, placez le filtre le plus fréquemment déclenché en première position et pas endernière position.

Ordre des équipements virtuels

L'ordre dans lequel les équipements virtuels sont vérifiés est important, car les paquets arrivant surl'équipement ADM ou Nitro IPS sont comparés aux règles de sélection de chaque équipement virtueldans l'ordre dans lequel les équipements virtuels sont configurés. Le paquet est comparé aux règlesde sélection du deuxième équipement virtuel uniquement s'il ne correspond à aucune règle desélection du premier équipement virtuel.

• Pour changer la position d'un équipement ADM, accédez à la page Modifier l'équipement virtuel (PropriétésADM | Equipements virtuels | Modifier) et utilisez les flèches pour choisir l'ordre approprié.

• Pour changer la position d'un équipement Nitro IPS, utilisez les flèches de la page Equipements virtuels(Propriétés IPS | Equipements virtuels).

Equipements virtuels ADM

Les équipements virtuels ADM surveillent le trafic sur une interface. Vous pouvez avoir jusqu'à quatrefiltres d'interface ADM sur votre système. Chaque filtre ne peut être appliqué qu'à un seul équipementvirtuel ADM à la fois. Si un filtre est attribué à un équipement virtuel ADM, il ne s'affiche dans la listedes filtres disponibles qu'après avoir été supprimé de cet équipement.

Les paquets non valides (un paquet qui n'établit pas de connexion ou ne fait pas partie d'uneconnexion établie) sont transmis à l'équipement de base. Par exemple, un équipement virtuel ADMrecherche les paquets dont le port source ou destination est 80. Si un paquet avec port source oudestination 80 est non valide, il est transmis à l'équipement de base au lieu de l'équipement virtuelADM qui recherche le trafic du port 80. Par conséquent, les événements que vous voyez surl'équipement de base peuvent sembler avoir été transmis à un équipement virtuel ADM.

Gestion des règles de sélectionLes règles de sélection sont utilisées comme filtres pour déterminer les paquets qu'un équipementvirtuel doit traiter. Vous pouvez ajouter, modifier et supprimer les règles de sélection.

L'ordre des règles de sélection est important, car lors de la première concordance entre un paquet etune règle, ce paquet est automatiquement acheminé vers cet équipement virtuel pour être traité.




1Sélectionnez un nœud d'équipement IPS ou ADM, puis cliquez sur l'icône Propriétés .

2 Cliquez sur Equipements virtuels, puis sur Ajouter.

La fenêtre Ajouter un équipement virtuel s'affiche.

3 Vous pouvez ajouter, modifier ou supprimer les règles de sélection dans la table, ainsi que modifierleur ordre.

Ajout d'un équipement virtuelVous pouvez ajouter un équipement virtuel à certains équipements ADM et IPS, en définissant lesrègles de sélection qui déterminent les paquets que chaque équipement doit traiter.

Avant de commencerVérifiez qu'il est possible d'ajouter des équipements virtuels à l'équipement sélectionné(consultez la section A propos des équipements virtuels).


1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement ADM ou IPS, puis

cliquez sur l'icône Propriétés .

2 Cliquez sur Equipements virtuels | Ajouter.

3 Entrez les informations demandées, puis cliquez sur OK.

4 Cliquez sur Ecrire pour ajouter les paramètres à l'équipement.

Gestion des types d'affichage personnalisésVous pouvez définir l'organisation des équipements dans l'arborescence de navigation du système enajoutant, en modifiant ou en supprimant des types d'affichage personnalisés.


1 Sur le volet de navigation du système, cliquez sur la flèche déroulante Type d'affichage.



Ajouter un type d'affichagepersonnalisé

1 Cliquez sur Ajouter un affichage.

2 Renseignez les champs, puis cliquez sur OK.

Modifier un type d'affichagepersonnalisé

1 Cliquez sur l'icône Modifier située à côté du type d'affichage àmodifier.


Supprimer un typed'affichage personnalisé Cliquez sur l'icône Supprimer située à côté du type d'affichage à

supprimer.



Sélection d'un type d'affichageChoisir la manière d'afficher les équipements dans l'arborescence de navigation du système.

Avant de commencerPour sélectionner un affichage personnalisé, vous devez d'abord l'ajouter au système (voirGestion des types d'affichage personnalisés).

Procédure1 Sur le volet de navigation du système, cliquez sur la flèche déroulante du champ Type d'affichage.

2 Sélectionnez l'un des types d'affichage.

L'organisation des équipements dans l'arborescence de navigation est modifiée pour refléter le typeque vous avez sélectionné pour la session de travail actuelle.

Gestion d'un groupe dans un type d'affichage personnaliséVous pouvez utiliser des groupes dans un type d'affichage personnalisé pour organiser voséquipements en groupements logiques.

Avant de commencerAjoutez un type d'affichage personnalisé (voir Gestion des types d'affichage personnalisés).



2 Sélectionnez l'affichage personnalisé, puis effectuez l'une des procédures suivantes :


Ajouter unnouveau groupe

1Cliquez sur un nœud Système ou Groupe, puis sur l'icône Ajouter un groupe dans la barre d'outils Actions.

2 Remplissez les champs, puis cliquez sur OK.

3 Dans l'affichage, effectuez un glisser-déplacer des équipements pour lesajouter au groupe.

Si l'équipement fait partie d'une arborescence dans l'affichage, un nœudEquipement en double est créé. Vous pouvez alors supprimer le doublon dansl'arborescence des systèmes.

Modifier ungroupe Sélectionnez le groupe, cliquez sur l'icône Propriétés , puis apportez les

modifications à la page Propriétés de groupe.

Supprimer ungroupe

Sélectionnez le groupe, puis cliquez sur l'icône Supprimer le groupe . Le groupeet les équipements qu'il contient sont supprimés de l'affichage personnalisé,mais les équipements ne sont pas supprimés du système.

Voir aussi Gestion des types d'affichage personnalisés, page 32



Suppression des équipements en double dans l'arborescence de navigationdes systèmesLes nœuds Equipement en double peuvent s'afficher dans l'arborescence de navigation des systèmeslorsque vous effectuez un glisser-déplacer des équipements depuis une arborescence des systèmesvers un groupe ou si vous avez configuré des groupes avant de mettre à niveau le logiciel ESM. Il estconseillé de les supprimer pour éviter toute confusion.



2 Cliquez sur l'icône Modifier située en regard de l'affichage qui inclut les équipements en double.

3 Désélectionnez les équipements en double, puis cliquez sur OK.

Les équipements qui possédaient des doublons sont désormais répertoriés uniquement dans leursgroupes affectés.

Gestion de plusieurs équipementsL'option Gestion multi-équipement vous permet de démarrer, arrêter et redémarrer plusieurs équipementsen même temps, ainsi que de mettre à jour leurs logiciels.


1 Dans l'arborescence de navigation du système, sélectionnez les équipements que vous souhaitezgérer.

2Cliquez sur l'icône Gestion multi-équipement dans la barre d'outils des actions.

3 Sélectionnez l'opération à effectuer et les équipements sur lesquels l'effectuer, puis cliquez surDémarrer.

Gestion des liens URL de tous les équipementsVous pouvez configurer un lien pour chaque équipement afin d'afficher les informations del'équipement dans une URL.

Avant de commencerConfigurez l'URL du site de l'équipement.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surParamètres personnalisés | Liens d'équipement.

2 Pour ajouter ou modifier une URL, surlignez l'équipement, cliquez sur Modifier, puis entrez l'URL.

Le champ URL ne peut pas contenir plus de 512 caractères.

3 Cliquez sur OK.



Vous pouvez accéder à l'URL en cliquant sur l'icône Lancer l'URL de l'équipement en bas des vues Analysed'événement et Analyse de flux de chaque équipement.

Affichage des rapports de synthèse des équipementsLes rapports de synthèse des équipements indiquent les types et le nombre d'équipements sur l'ESMainsi que l'heure du dernier événement reçu sur chacun d'eux. Vous pouvez exporter ces rapports auformat CSV (valeurs séparées par une virgule).


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surInformations système | Afficher les rapports.

2 Afficher ou exporter le rapport Nombre de types d'équipement et Heure de l'événement.

3 Cliquez sur OK.

Affichage d'un journal de système ou d'équipementLes journaux de système et d'équipement indiquent les événements qui se sont produits sur leséquipements. Vous pouvez afficher la page de synthèse, qui indique le nombre d'événements etl'heure du premier et du dernier événement sur ESM ou l'équipement, ou bien afficher la liste détailléedes événements sur la page Journal système ou Journal de l'équipement.


1 Afficher une synthèse des données d'événement :

• Données système : dans Propriétés du système, cliquez sur Journal système.

• Données d'équipement : sur la page Propriétés de l'équipement, cliquez sur Journal de l'équipement.

2 Pour afficher le journal des événements, entrez une période, puis cliquez sur Afficher.

La page Journal système ou Journal de l'équipement affiche tous les événements générés durant la périodeque vous avez indiquée.

Rapports d'état d'intégrité des équipementsDes indicateurs d'état d'intégrité blancs (informatifs), jaunes (état d'inactivité ou d'équipement) ou

rouges (critiques) s'affichent en regard des nœuds système, groupe ou équipement dansl'arborescence de navigation des systèmes lorsqu'un rapport d'état d'intégrité est disponible. Si vous



cliquez sur l'indicateur, la page Alertes de statut d'équipement indique les options permettent d'afficher lesinformations et de résoudre les problèmes.

Un indicateursur ce typede nœud...

Ouvre...

Système ougroupe

La page Synthèse des alertes de statut d'équipement, qui est une synthèse des alertesrelatives à l'état des équipements associés au système ou au groupe. Elle peutafficher les alertes d'état suivantes :• Partition supprimée : une table de base de données contenant les données

d'événement, de flux ou de journal a atteint sa taille maximale et a supprimé unepartition pour ajouter de l'espace pour les nouveaux enregistrements. Les donnéesd'événement, de flux et de journal peuvent être exportées afin d'éviter une pertepermanente.

• Espace disque : un disque dur est plein ou sur le point de manquer d'espace. Il peuts'agir du disque dur d'ESM, de l'ESM redondant ou du point de montage àdistance.

• Critique : l'équipement ne fonctionne pas correctement et doit être réparé.

• Avertissement : un élément de l'équipement ne fonctionne pas comme il le devrait.

• Informations : l'équipement fonctionne correctement, mais son niveau de statut achangé.

• Désynchronisé : les paramètres d'équipement virtuel, de source de données ou duserveur de base de données d'ESM sont désynchronisés avec ce qui résideréellement sur l'équipement.

• Renouvelé : comme la table des journaux de cet équipement manquait d'espace, elles'est renouvelée. En d'autres termes, les nouveaux journaux sont écrits au-dessusdes anciens.

• Inactif : l'équipement n'a pas généré d'événements ou de flux au cours de lapériode de seuil d'inactivité.

• Inconnu : ESM n'a pas pu se connecter à l'équipement.

Les indicateurs Partition supprimée, Espace disque, Renouvelé et Informations peuvent êtreeffacés en activant les cases à cocher situées en regard et en cliquant sur Effacer lasélection ou Effacer tout.

Equipement La page Alertes de statut d'équipement, qui dispose de boutons qui vous renvoient vers lesemplacements appropriés pour résoudre le problème. Elle peut inclure les boutonssuivants :• Journal : la page Journal système (pour ESM local) ou Journal de l'équipement affiche une

synthèse de toutes les actions qui ont eu lieu dans le système ou l'équipement.

• Equipements virtuels, Sources de données, Sources VA ou Serveurs de base de données : répertorieles équipements de ce type dans le système, ce qui vous permet de vérifier lesproblèmes.

• Inactif : la page Seuil d'inactivité affiche les paramètres de seuil pour tous leséquipements. Cet indicateur montre que l'équipement n'a pas généré d'événementau cours de l'intervalle de temps spécifié.

Un indicateur informatif s'affiche lorsqu'un sous-système récupère d'un statut d'avertissement oucritique. Le tableau ci-après répertorie les descriptions de chaque type d'indicateur informatif.



Statut Description et instructions

Mode de contournement La carte d'interface réseau (NIC) est en mode de contournement. Lesmotifs possibles sont l'échec d'un processus système critique, ladéfinition manuelle de l'équipement en mode de contournement ouun autre échec. Pour que l'équipement quitte le mode decontournement, sélectionnez Propriétés | Configuration | Interfaces.

Non-exécution du programmed'inspection approfondie despaquets

Le programme d'inspection approfondie des paquets connaît undysfonctionnement. Il devrait pouvoir récupérer sans intervention.Dans le cas contraire, redémarrez l'équipement.

Non-exécution du programmed'agrégation des alertes depare-feu (ngulogd)

Le programme d'agrégation des alertes de pare-feu connaît undysfonctionnement. Il devrait pouvoir récupérer sans intervention.Dans le cas contraire, redémarrez l'équipement.

Non-exécution de la base dedonnées

Le serveur McAfee Extreme Database (EDB) connaît undysfonctionnement. Le redémarrage de l'équipement devrait résoudrele problème, mais il se peut que la base de données doive êtrereconstruite.

Mode Surabonnement Si l'activité du réseau surveillé est supérieure à la capacité de gestionde Nitro IPS, il se peut que des paquets de réseau ne soient pasinspectés. Le programme de surveillance d'état génère une alerte quiindique que Nitro IPS est surchargé. Par défaut, la valeur du modesurabonnement est définie sur abandonner. Pour modifier cettevaleur, sélectionnez Editeur de stratégies, cliquez sur Variable dans le voletTypes de règle, développez la variable packet_inspection, puis sélectionnezHériter pour la variable OVERSUBSCRIPTION_MODE. Les valeurs Pass(Transmettre) et Drop (Abandonner) sont autorisées pour cettevariable.

Non-exécution du canal decontrôle

Le processus qui assure le fonctionnement du canal decommunication avec ESM a échoué. Un redémarrage de l'équipementpeut résoudre le problème.

Non-exécution desprogrammes RDEP ou Syslog

En cas de dysfonctionnement lié au sous-système qui gère lessources de données tierces (par exemple Syslog ou SNMP), unealerte critique est générée. Une alerte de niveau avertissement estgénérée si le collecteur n'a pas reçu de données de la source dedonnées tierce pendant un certain laps de temps. Cela indique que lasource de données est peut-être à l'arrêt ou qu'elle n'envoie pas dedonnées au récepteur comme prévu.

Echec de communication duprogramme de surveillanced'état avec le programmed'inspection approfondie despaquets

Le programme de surveillance d'état ne peut pas communiquer avecle programme d'inspection approfondie des paquets pour récupérerson statut. Il se peut que le programme d'inspection ne s'exécute paset que le trafic réseau ne passe pas via Nitro IPS. La réapplication dela stratégie peut résoudre le problème.

Non-exécution del'enregistreur d'événementssystème

L'enregistreur d'événements système ne répond pas. Un redémarragede l'équipement peut résoudre le problème.

Espace libre faible dans lapartition du disque dur

La quantité d'espace disque libre est très faible.

Alerte de vitesse deventilateur

Les ventilateurs tournent très lentement ou pas du tout. Tant qu'ilsn'ont pas été remplacés, conservez l'équipement dans une pièce à airconditionné afin d'empêcher tout dommage.

Alerte de température La température des composants essentiels est supérieure à uncertain seuil. Conservez l'équipement dans une pièce à airconditionné afin de prévenir tout dommage irréversible. Vérifiez querien ne bloque la circulation de l'air dans l'équipement.

Erreurs réseau Des erreurs réseau ou des collisions excessives se sont produites surle réseau. Cela peut être causé par un domaine de collision importantou des câbles réseau incorrects.



Statut Description et instructions

Problème lié à un point demontage à distance

Un problème lié à un point de montage à distance existe.

Espace disque disponiblefaible du point de montage àdistance

L'espace disque disponible du point de montage à distance est faible.

Les collecteurs de toutes lessources de données n'ont pasreçu de communicationprovenant d'une source dedonnées pendant aumoins 10 minutes.

Le récepteur n'a pas reçu de communication d'une source de donnéespendant au moins 10 minutes.

Non-exécution du collecteurdes sources de données

Il existe un dysfonctionnement lié au sous-système qui gère lessources de données tierces spécifiques (par exemple Syslogou SNMP). Le collecteur n'a pas reçu de données de la source dedonnées tierce pendant une certaine durée. La source de données estpeut-être à l'arrêt ou elle n'envoie pas de données au récepteurcomme prévu.

Impossible pour leprogramme de surveillanced'état d'obtenir un statutvalide d'un sous-système

Le programme de surveillance d'état n'a pas pu obtenir un statutvalide d'un sous-système.

Récupération dusous-système depuis unstatut d'avertissement oucritique

Si le programme de surveillance d'état est démarré et arrêté, unealerte informative est générée. S'il a des problèmes pourcommuniquer avec les autres sous-systèmes des équipements, unealerte est également générée. L'affichage du journal des événementspeut fournir des détails sur les motifs des alertes d'avertissement etcritiques.

Suppression d'un groupe ou d'un équipementSi un équipement ne fait plus partie du système ou si vous n'utilisez plus un groupe, vous devez lessupprimer de l'arborescence de navigation des systèmes.


1 Surlignez le nœud correspondant à l'élément que vous souhaitez supprimer, puis cliquez sur l'icôneSupprimer dans la barre d'outils Actions.

2 Lorsque vous êtes invité à confirmer, cliquez sur OK.

Actualisation des équipementsVous pouvez manuellement mettre à jour les équipements du système afin que leurs informationscorrespondent à celles de l'ESM.

•Sur la barre d'outils des actions, cliquez sur l'icône Actualiser les équipements .



Configuration des équipementsConnectez les équipements physiques et virtuels à McAfee ESM pour permettre l'analyse temps réel, lasurveillance des applications et des base de données, la corrélation avancée basée sur les règles et surles risques et la génération de rapports de conformité.

Sommaire Fonctions des équipements Paramètres Event Receiver Paramètres d'Enterprise Log Manager (ELM) Paramètres liés au moteur ACE (Advanced Correlation Engine) Paramètres de Application Data Monitor (ADM) Paramètres de Database Event Monitor (DEM) Paramètres de Distributed ESM (DESM) Paramètres ePolicy Orchestrator Paramètres de Nitro Intrusion Prevention System (Nitro IPS) Paramètres McAfee Vulnerability Manager Paramètres McAfee Network Security Manager

3 Configuration de l'ESMConfiguration des équipements


Fonctions des équipementsL'ESM vous permet de gérer, d'administrer et d'interagir avec tous les équipements physiques etvirtuels de votre environnement de sécurité.

Voir aussi Paramètres Event Receiver, page 68Paramètres d'Enterprise Log Manager (ELM), page 124Paramètres de Application Data Monitor (ADM), page 144Paramètres de Database Event Monitor (DEM), page 160Paramètres liés au moteur ACE (Advanced Correlation Engine), page 141Paramètres de Distributed ESM (DESM), page 167Paramètres ePolicy Orchestrator, page 168Paramètres de Nitro Intrusion Prevention System (Nitro IPS), page 174

Configuration de l'ESMConfiguration des équipements 3


Paramètres Event ReceiverEvent Receiver permet de collecter des données d'événements de sécurité et de flux de réseau à partir desources de différents fournisseurs, notamment des pare-feu, des réseaux privés virtuels (VPN), desrouteurs, des équipements Nitro IPS/IDS, NetFlow, sFlow, etc.

Le récepteur Event Receiver permet de collecter ces données et de les normaliser dans une solutioncentralisée simple à gérer. Cela vous permet de visualiser l'ensemble des équipements des différentsfournisseurs tels que Cisco, Check Point et Juniper, ainsi que de collecter des données d'événements etde flux issues d'équipements Nitro IPS et de routeurs qui envoient des flux de données au récepteur.

Les récepteurs haute disponibilité peuvent être utilisés en mode principal et secondaire, chaquerécepteur pouvant remplir la fonction de récepteur de secours pour l'autre. Le récepteursecondaire (B) surveille le récepteur principal (A) en continu et les nouvelles informations deconfiguration ou de stratégie sont envoyées aux deux équipements. Lorsque le récepteur B identifieune défaillance du récepteur A, il déconnecte du réseau la carte d'interface réseau de la source dedonnées du récepteur A, puis il prend le rôle de récepteur principal. Il remplit le rôle de récepteurprincipal jusqu'à votre intervention manuelle pour restaurer le récepteur A dans le rôle de récepteurprincipal.

Affichage des événements en flux continuLa Visionneuse en flux continu affiche la liste des événements au fur et à mesure qu'ils sont générés parMcAfee ePO, McAfee

®

Network Security Manager, le récepteur, la source de données, la source dedonnées enfant ou le client que vous avez sélectionné. Vous pouvez filtrer la liste et sélectionner unévénement à afficher dans une vue.


1 Dans l'arborescence de navigation du système, sélectionnez l'équipement à afficher, puis cliquez

sur l'icône Afficher les événements en flux continu dans la barre d'outils des actions.

2 Cliquez sur Démarrer pour lancer l'affichage en flux continu et sur Arrêter pour l'arrêter.

3 Sélectionnez l'une des actions disponibles dans la visionneuse.


Récepteurs haute disponibilitéLes récepteurs haute disponibilité sont utilisés en mode principal et secondaire : le récepteursecondaire peut rapidement prendre en charge les fonctions du récepteur principal en cas dedéfaillance de celui-ci. La continuité de la collecte des données est ainsi mieux assurée qu'avec un seulrécepteur.

La fonctionnalité de récepteurs haute disponibilité n'est pas conforme à FIPS. Si vous devez respecterles réglementations FIPS, n'utilisez pas cette fonctionnalité.

Cette configuration est constituée de deux récepteurs : l'un d'eux est le récepteur principal (ou lerécepteur principal préféré) et l'autre le récepteur secondaire. Le récepteur secondaire surveille lerécepteur principal en continu. Si le récepteur secondaire identifie une défaillance du récepteurprincipal, il arrête le récepteur principal et il prend son rôle.

Une fois réparé, le récepteur principal prend le rôle de récepteur secondaire ou il reprend le rôle derécepteur principal. Cela est déterminé par l'option sélectionnée dans le champ Equipement principal préférésur l'onglet Récepteur haute disponibilité (voir Configuration des récepteurs haute disponibilité.



La fonctionnalité de haute disponibilité peut être mise en place avec les modèles de récepteursuivants :

• ERC-1225-HA • ERC-1250-HA

• ERC-2230-HA • ERC-1260-HA

• ERC-2250-HA • ERC-2600-HA

• ERC-4245-HA • ERC-4600-HA

• ERC-4500-HA

Ces modèles incluent un port IPMI (Intelligent Platform Management Interface) et au moins 4 cartesd'interface réseau (NIC), qui sont nécessaires pour la fonctionnalité de haute disponibilité (voir Portsréseau d'un récepteur haute disponibilité).

Les cartes IPMI empêchent les deux cartes d'interface réseau DS d'utiliser les adresses IP et MACpartagées en même temps en arrêtant le récepteur défaillant. Les cartes IPMI sont raccordées à l'aided'un câble croisé ou droit à l'autre récepteur. Les récepteurs sont raccordés à l'aide d'un câble croiséou droit à la carte d'interface réseau de pulsation. Une carte d'interface réseau permet lacommunication avec l'ESM, et l'autre carte d'interface réseau de source de données permet la collectedes données.

Lorsque le récepteur principal fonctionne correctement et que le récepteur secondaire est en modesecondaire, voici ce qui se produit :

• Les récepteurs communiquent en continu via la carte d'interface réseau de pulsation dédiée et lacarte d'interface réseau de gestion.

• Tous les certificats reçus, tels que OPSEC ou Estreamer, sont transmis à l'autre récepteur.

• Toutes les sources de données utilisent la carte d'interface réseau de source de données.

• Chaque récepteur surveille et indique sa propre intégrité. Cela inclut notamment l'intégrité interne(par exemple les erreurs de disque), les blocages de base de données et la perte de liaison sur lescartes d'interface réseau.

• L'ESM communique avec les récepteurs à intervalle régulier pour déterminer leur statut et leurintégrité.

• Toute nouvelle information de configuration est envoyée aux deux récepteurs (principal etsecondaire).

• L'ESM envoie la stratégie aux deux récepteurs (principal et secondaire).

• Une opération de type arrêt, redémarrage, terminal, appel à distance est appliquée à chaquerécepteur de façon indépendante.

Les sections suivantes indiquent ce qui se produit en cas de problème avec un récepteur hautedisponibilité.

Défaillance du récepteur principal

Le récepteur secondaire est chargé d'identifier la défaillance du récepteur principal. Il doit identifier ladéfaillance rapidement et avec précision pour éviter la fuite de données. Lors d'un basculement, toutesles données ultérieures au dernier envoi de données par le récepteur principal à ESM et ELM sontperdues. La quantité de données perdues dépend du débit du récepteur principal et de la fréquence àlaquelle ESM extrait les données du récepteur. Il est important d'équilibrer ces processus concurrentspour optimiser la disponibilité des données.



En cas de défaillance totale du récepteur principal (absence d'alimentation, défaillance processeur), iln'y a aucune communication de pulsation avec le récepteur principal. Corosync reconnaît la perte decommunication et marque le récepteur principal comme défaillant. Pacemaker, situé sur le récepteursecondaire, demande à la carte IPMI du récepteur principal d'éteindre le récepteur principal. Lerécepteur secondaire adopte les adresses IP et MAC partagées, puis il démarre tous les collecteurs.

Défaillance du récepteur secondaire

Lorsque le récepteur secondaire ne répond plus à la communication de pulsation, il est considérécomme défaillant. Cela signifie que les tentatives du système pour communiquer avec le récepteur viales interfaces de gestion et de pulsation ont échoué durant une période définie.

Si le récepteur principal n'obtient pas les signaux de pulsation et d'intégrité, corosync marque lerécepteur secondaire comme défaillant et Pacemaker l'éteint en utilisant la carte IPMI du récepteursecondaire.

Problème lié à l'intégrité du récepteur principal

L'intégrité du récepteur principal peut être gravement compromise. L'intégrité est gravementcompromise par exemple en cas d'absence de réponse de la base de données ou d'une interface desource de données, ou lorsque le nombre d'erreurs disque est excessif.

Lorsque le récepteur principal détecte une alerte healthmon pour l'une de ces conditions, il arrête lesprocessus corosync et pacemaker et définit une alerte healthmon. L'arrêt de ces processus entraîne letransfert vers le récepteur secondaire des tâches de collecte de données.

Problème lié à l'intégrité du récepteur secondaire

Si l'intégrité du récepteur secondaire est compromise, voici ce qui se produit :

• Le récepteur secondaire signale les problèmes d'intégrité à l'ESM lors de l'interrogation et il arrêteles processus corosync et pacemaker.

• Si le récepteur secondaire fait encore partie du cluster, il se retire automatiquement du cluster et ildevient indisponible en cas de défaillance du récepteur principal.

• Le problème d'intégrité est analysé et une tentative de réparation est effectuée.

• Si le problème d'intégrité est résolu, le récepteur est remis à l'état de fonctionnement normal via laprocédure Remise en service.

• Si le problème d'intégrité n'est pas résolu, la procédure de Remplacement d'un récepteur défaillantest effectuée.

Remise en service

Lorsqu'un récepteur est remis en service après une défaillance (par exemple, redémarrage après unecoupure d'alimentation, réparation de matériel ou du réseau), voici ce qui se produit :

• Les récepteurs en mode haute disponibilité n'effectuent pas la collecte des données au démarrage.Ils restent en mode secondaire jusqu'à ce qu'ils soient placés en mode principal.

• L'équipement principal préféré prend le rôle d'équipement principal et commence à utiliserl'adresse IP de la source de données partagée pour collecter les données. Si aucun équipementprincipal préféré n'est défini, l'équipement qui est en mode principal commence à utiliser la sourcede données partagée et collecte les données.

Pour obtenir des informations sur cette procédure, voir Remplacement d'un récepteur défaillant.



Mise à niveau d'un récepteur haute disponibilité

La procédure de mise à niveau d'un récepteur haute disponibilité met à niveau les deux récepteurs, encommençant par le récepteur secondaire. Cette procédure est effectuée comme suit :

1 Le fichier tarball de mise à niveau est chargé sur l'ESM et appliqué au récepteur secondaire.

2 Vous permutez les rôles du récepteur principal et du récepteur secondaire, via la procédure dePermutation des rôles des récepteurs haute disponibilité, afin que le récepteur mis à niveaudevienne le récepteur principal et que celui qui n'a pas été mis à niveau devienne le récepteursecondaire.

3 Le fichier tarball de mise à niveau est appliqué au nouveau récepteur secondaire.

4 Vous permutez à nouveau le récepteur principal et le récepteur secondaire, en suivant la procédurede Permutation des rôles des récepteurs haute disponibilité, afin de rétablir le rôle initial de chaquerécepteur.

Lors de la mise à niveau, il est conseillé de ne pas définir de récepteur principal préféré. Consultez

Si votre récepteur haute disponibilité est configuré avec un récepteur principal préféré, il est conseilléde changer ce paramètre avant d'effectuer la mise à niveau. Sur l'onglet Récepteur haute disponibilité (voirConfiguration des récepteurs haute disponibilité), sélectionnez Aucun dans le champ Equipement principalpréféré. Cela vous permet d'utiliser l'option Reprise automatique, laquelle n'est pas disponible si unéquipement principal préféré est défini. Après la mise à niveau des deux récepteurs, vous pouvez ànouveau définir l'équipement principal préféré.

Ports réseau sur les récepteurs haute disponibilitéCes schémas montrent comment connecter les ports réseau sur un récepteur haute disponibilité.

Etablissement d'une connexion entre les récepteurs 1U HA



1 IPMI principale 4 IPMI secondaire

2 Gestion 2 5 Pulsation (HB)

3 Gestion 1 6 Gestion 3

Etablissement d'une connexion entre les récepteurs 2U HA

1 IPMI 5 Gestion 4 (eth3)

2 Gestion 2 (eth1) 6 Gestion 5 (eth4)

3 Gestion 1 (eth0) 7 Gestion 6 (eth5)

4 Gestion 3 (eth2)

Configuration des récepteurs haute disponibilitéDéfinir les paramètres des récepteurs haute disponibilité.

Avant de commencerAjoutez le récepteur qui joue le rôle d'équipement principal (consultez la section Ajoutd'équipements à la console ESM). Il doit comporter au moins trois cartes d'interfaceréseau.

La fonctionnalité de récepteurs haute disponibilité n'est pas conforme à FIPS. Si vous devezrespecter les réglementations FIPS, n'utilisez pas cette fonctionnalité.




1 Dans l'arborescence de navigation du système, sélectionnez le récepteur à utiliser comme

équipement haute disponibilité principal, puis cliquez sur l'icône Propriétés .

2 Cliquez sur Configuration du récepteur, puis sur Interface.

3 Cliquez sur l'onglet Récepteur haute disponibilité, puis sélectionnez Configurer la haute disponibilité.


Cela lance la procédure de configuration : attribution de la clé au récepteur secondaire, mise à jour dela base de données, application de globals.conf et synchronisation des deux récepteurs.

Réinitialisation de l'équipement secondaireSi le récepteur secondaire est mis hors service pour une raison ou une autre, réinitialisez-le après saréinstallation.


1 Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur pour le récepteurprincipal, puis cliquez sur Configuration du récepteur | Interface | Récepteur haute disponibilité.

2 Vérifiez que l'adresse IP correcte est indiquée dans le champ IP de gestion secondaire.

3 Cliquez sur Réinitialiser secondaire.

L'ESM exécute les étapes nécessaires pour réinitialiser le récepteur.

Réinitialisation des équipements haute disponibilitéSi vous devez réinitialiser des récepteurs haute disponibilité à l'état dans lequel ils se trouvaient avantd'être configurés pour la haute disponibilité, vous pouvez le faire sur la console ESM ou, en casd'échec de la communication avec les récepteurs, via le menu de l'écran LCD.

• Effectuez l’une des procédures suivantes :




Réinitialiser unrécepteur sur laconsole ESM

1 Dans l'arborescence de navigation du système, sélectionnez Propriétés derécepteur, puis cliquez sur Configuration du récepteur | Interface.

2 Désélectionnez Configurer la haute disponibilité, puis cliquez sur OK

3 Cliquez sur Oui sur la page d'avertissement, puis sur Fermer.

Les deux récepteurs redémarrent après un délai d'environ cinq minutes etles valeurs initiales des adresses MAC sont restaurées.

Réinitialiser lerécepteur principalet secondaire sur lemenu de l'écranLCD

1 Dans le menu LCD du récepteur, appuyez sur X.

2 Appuyez sur la flèche vers le bas pour afficher Disable HA (Désactiver lahaute disponibilité).

3 Appuyez sur la flèche vers la droite une fois pour afficher Disable Primary(Désactiver principal) sur l'écran LCD.

4 Pour réinitialiser le récepteur principal, appuyez sur la coche.

5 Pour réinitialiser le récepteur secondaire, appuyez une fois sur la flèchevers le bas, puis sur la coche.

Permutation des rôles des récepteurs haute disponibilitéLa procédure de basculement vous permet d'inverser les rôles du récepteur principal et du récepteursecondaire.

Cette action est utile notamment pour mettre à niveau un récepteur, préparer un récepteur à renvoyerau fabricant ou déplacer les câbles d'un récepteur. La permutation permet de limiter la perte dedonnées.

Lorsqu'un collecteur (notamment l'équipement McAfee ePO) est associé à un récepteur hautedisponibilité, en cas de défaillance de ce récepteur, le collecteur ne peut pas communiquer avec luijusqu'à ce que la nouvelle adresse MAC du récepteur soit l'adresse IP partagée, qui est attribuée durantle basculement. Selon la configuration du réseau, le délai peut être de quelques minutes à plusieursjours.


1 Dans l'arborescence de navigation du système, sélectionnez le récepteur haute disponibilité

principal, puis cliquez sur l'icône Propriétés .

2 Sélectionner Haute disponibilité | Reprise automatique. Voici ce qui se produit :

• L'ESM indique au récepteur secondaire de démarrer en utilisant l'adresse IP de source dedonnées partagée et de collecter les données.

• Le récepteur secondaire envoie une commande CRM (Cluster Resource Manager) pour changerles adresses IP et MAC partagées, puis il démarre les collecteurs.

• L'ESM extrait toutes les données d'alerte et de flux du récepteur principal.

• L'ESM marque le récepteur secondaire comme récepteur principal, et le récepteur principalcomme récepteur secondaire.



Mise à niveau des récepteurs haute disponibilitéLa procédure de mise à niveau des récepteurs haute disponibilité met à niveau les deux récepteursl'un après l'autre, en commençant par le récepteur secondaire.

Avant de lancer la mise à niveau, consultez la procédure Vérification du statut de haute disponibilité desrécepteurs pour préparer les récepteurs haute disponibilité à la mise à niveau. Si vous ne faites pascette vérification, la mise à niveau de l'équipement peut engendrer des problèmes et des temps d'arrêt.




2 Mettez à niveau le récepteur secondaire :

a Cliquez sur Gestion du récepteur, puis sélectionnez Secondaire.

b Cliquez sur Mettre à jour l'équipement, recherchez ou sélectionnez le fichier à utiliser, puis cliquez surOK.

Le récepteur redémarre et la version du logiciel est mise à jour.

c Dans Propriétés de récepteur, cliquez sur Haute disponibilité | Remettre en service.

d Sélectionnez le récepteur secondaire, puis cliquez sur OK.

3 Faites passer le récepteur secondaire dans la fonction de récepteur principal en cliquant sur Hautedisponibilité | Reprise automatique.

4 Mettez à niveau le nouveau récepteur secondaire en effectuant à nouveau l'étape 2.

Vérification du statut de haute disponibilité des récepteursDéterminer le statut d'une paire de récepteurs haute disponibilité avant d'effectuer une mise à niveau.




2 Dans les champs Statut et Statut secondaire, vérifiez que le statut est OK ; Statut de la haute disponibilité : enligne.



3 Connectez-vous via Secure Shell (SSH) à chacun des récepteurs haute disponibilité et exécutez lacommande ha_status sur les deux récepteurs via l'interface de ligne de commande. Lesinformations obtenues indiquent le statut de ce récepteur et le statut de l'autre récepteurdéterminé par ce récepteur. Ces informations sont du type suivant :

OK

hostname=McAfee1

mode=primary

McAfee1=online

McAfee2=online

sharedIP=McAfee1

stonith=McAfee2

corosync=running

hi_bit=no

4 Vérifiez les points suivants dans les informations ci-dessus :

• La première ligne de la réponse est OK.

• Le nom d'hôte Hostname est identique au nom d'hôte indiqué sur la ligne de commande, sauf lenuméro de modèle du récepteur.

• Mode est le mode principal si la valeur de sharedIP est le nom d'hôte de ce récepteur, sinon ils'agit du mode secondaire.

• Les deux lignes suivantes indiquent les noms d'hôte des récepteurs de la paire hautedisponibilité, ainsi que le statut d'exécution de chaque récepteur. Le statut des deux est online(en ligne).

• corosync= indique le statut d'exécution de corosync, qui doit être running (en coursd'exécution).

• La valeur de hi_bit est no sur un récepteur et yes sur l'autre récepteur. Peu importe que cesoit l'un ou l'autre.

Vérifiez qu'un seul des récepteurs haute disponibilité est défini avec la valeur hi_bit. Si les deuxrécepteurs haute disponibilité sont définis sur la même valeur, appelez le Support technique deMcAfee avant d'effectuer la mise à niveau afin de corriger l'erreur de configuration de ceparamètre.

5 Connectez-vous via Secure Shell (SSH) à chacun des récepteurs haute disponibilité et exécutez lacommande ifconfig sur les deux récepteurs via l'interface de ligne de commande.



6 Vérifiez les points suivants dans les données générées :

• Les adresses MAC sur eth0 et eth1 sont uniques sur les deux récepteurs.

• L'adresse IP partagée du récepteur principal est sur eth1 et le récepteur secondaire n'a pasd'adresse IP sur eth1.Si les deux récepteurs haute disponibilité sont définis sur la même valeur, appelez le supporttechnique McAfee avant d'effectuer la mise à niveau afin de corriger l'erreur de configuration dece paramètre.

Cela permet de déterminer si le système est fonctionnel et de vérifier l'absence d'adresse IP endouble. Si c'est le cas, vous pouvez mettre à niveau les équipements.

Remplacement d'un récepteur défaillantSi un récepteur secondaire rencontre un problème d'intégrité impossible à résoudre, il peut êtrenécessaire de le remplacer. Lorsque vous recevez le nouveau récepteur, installez-le en suivant lesprocédures du McAfee ESM Setup and Installation Guide (Guide de configuration et d'installation deMcAfee ESM). Si les adresses IP sont définies et les câbles sont branchés, vous pouvez remettre lerécepteur dans le cluster haute disponibilité.


1 Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur pour le récepteurhaute disponibilité, puis cliquez sur Configuration du récepteur | Interface.

2 Cliquez sur l'onglet Récepteur haute disponibilité, puis vérifiez que l'option Configurer la haute disponibilité estsélectionnée.

3 Vérifiez que les adresses IP sont correctes, puis cliquez sur Réinitialiser secondaire.

Le nouveau récepteur est remis dans le cluster et le mode haute disponibilité est activé.

Dépannage d'un récepteur défaillantEn cas de défaillance d'un récepteur dans une configuration haute disponibilité, pour une raison ouune autre, l'écriture des données des sources de données, des paramètres globaux, des paramètresd'agrégation, etc. semble échouer et une erreur SSH s'affiche.

En fait, les paramètres sont déployés sur le récepteur opérationnel, mais une erreur s'affiche, car il nepeut pas effectuer la synchronisation avec le récepteur défaillant. Toutefois, la stratégie n'est pasdéployée. Dans cette situation, vous avez les options suivantes :

• Attendre jusqu'à ce que le récepteur secondaire soit à nouveau disponible et synchronisé pourdéployer la stratégie.

• Supprimer le récepteur du mode haute disponibilité, ce qui engendre un temps d'arrêt dedeux à cinq minutes du cluster haute disponibilité durant lequel aucun événement n'est collecté.

Archivage des données brutes du récepteur Configurer le récepteur pour transférer une sauvegarde des données brutes vers votre équipement destockage afin de les stocker à long terme.Les trois types de stockage pris en charge par ESM sont : SMB/CIFS (Server Message Block/CommonInternet File System), NFS (Network File System) et le Transfert Syslog. SMB/CIFS et NFS permettentde stocker (sous forme de fichiers de données) une sauvegarde de toutes les données brutesenvoyées au récepteur par les sources de données qui utilisent les protocoles de type email, estream,http, SNMP, SQL, syslog et agent distant. Ces fichiers de données sont envoyés à l'archive toutes lescinq minutes. Le Transfert Syslog envoie les données brutes des protocoles syslog (sous forme de fluxcontinu de messages syslog combinés) à l'équipement configuré dans la section Transfert Syslog de la



page Paramètres d'archivage des données . Le récepteur peut transférer des données à un seul type destockage à la fois. Vous pouvez configurer les trois types, mais activer un seul type pour l'archivagedes données.

Cette fonctionnalité ne prend pas en charge les types de source de données Netflow, sflow et IPFIX.

Configuration des paramètres d'archivagePour stocker les données brutes des messages Syslog, vous devez configurer les paramètres utiliséspar le récepteur pour l'archivage.


1 Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur, puis cliquez surConfiguration du récepteur | Archivage des données.

2 Sélectionnez le type de partage et entrez les informations demandées.

Le port 445 doit être ouvert sur le système contenant le partage CIFS pour permettre la connexionau partage CIFS. De même, le port 135 doit être ouvert sur le système contenant le partage SMBpour permettre la connexion au partage SMB.

3 Lorsque vous avez terminé et souhaitez appliquer les modifications à l'équipement récepteur,cliquez sur OK.

Affichage des événements sources d'un événement de corrélationVous pouvez afficher les événements sources d'un événement de corrélation sur la vue Analysed'événement.

Avant de commencerUne source de données de corrélation doit être préalablement présente sur l'ESM (voirSource de données de corrélation et Ajout d'une source de données).


1 Dans l'arborescence de navigation du système, développez le récepteur, puis cliquez sur Moteur decorrélation.

2 Dans la liste des vues, cliquez sur Vues des événements, puis sélectionnez Analyse d'événement.

3 Sur la vue Analyse d'événement, cliquez sur le signe plus (+) dans la première colonne à côté del'événement de corrélation.

Un signe + s'affiche si l'événement de corrélation comporte des événements sources.

Les événements sources sont répertoriés sous l'événement de corrélation.

Affichage des statistiques de débit du récepteurAfficher les statistiques d'utilisation du récepteur, notamment les débits entrants (collecteur) etsortants (analyse syntaxique) des sources de données durant les 10 dernières minutes, la dernièreheure et les dernières 24 heures.

Avant de commencerVérifiez que vous avez les privilèges Gestion des équipements.




1 Dans l'arborescence de navigation des systèmes, sélectionnez un récepteur, puis cliquez sur l'icône

Propriétés .

2 Cliquez sur Gestion du récepteur | Afficher les statistiques | Débit.

3 Consultez les statistiques du récepteur.

Si des débits entrants dépassent le débit de sortie de 15 %, le système ajoute à la ligne unindicateur de type critique (les dernières 24 heures) ou avertissement (la dernière heure).

4 Filtrez la source des données en sélectionnant Tout, Critique ou Avertissement.

5 Sélectionnez l'unité dans laquelle afficher les données : nombre de kilo-octets (Ko) ou nombred'enregistrements.

6 Pour actualiser les données automatiquement toutes les 10 secondes, sélectionnez l'optionActualisation automatique.

7 Triez les données en cliquant sur le titre de colonne souhaité.

Sources de données de récepteurMcAfee Event Receiver permet de collecter des données d'événement de sécurité et de flux de réseauà partir de sources de divers fournisseurs, notamment des pare-feu, des réseaux privés virtuels(VPN), des routeurs, des équipements Nitro IPS/IDS, NetFlow, sFlow, etc. Les sources de donnéespermettent de gérer la collecte des données d'événement et de journaux effectuée par le récepteur.Vous devez ajouter des sources de données et définir leurs paramètres afin qu'elles collectent lesdonnées dont vous avez besoin.

La page Sources de données est le point de départ de la gestion des sources de données de votreéquipement récepteur. Elle vous permet d'ajouter, de modifier et de supprimer des sources dedonnées, ainsi que de les importer, les exporter et les faire migrer. Vous pouvez également ajouter dessources de données enfants et clientes.

Ajout d'une source de donnéesConfigurer les paramètres des sources de données que vous ajoutez au récepteur pour collecter desdonnées.


1 Dans l'arborescence de navigation du système, sélectionnez le récepteur auquel ajouter la source

de données, puis cliquez sur l'icône Propriétés .

2 Dans Propriétés de récepteur, cliquez sur Sources de données | Ajouter.

3 Sélectionnez le fournisseur et le modèle.

Les champs à renseigner dépendent de vos sélections.


La source de données est ajoutée à la liste des sources de données du récepteur, ainsi qu'àl'arborescence de navigation du système, sous le récepteur que vous avez sélectionné.



Traitement de la source de données avec l'interruption SNMPLa fonctionnalité d'interruption SNMP permet à une source de données d'accepter lesinterruptions SNMP standard issues de tout équipement réseau géré capable d'envoyer desinterruptions SNMP.

Les interruptions standard sont les suivantes :

• Echec d'authentification • Liaison défaillante

• Démarrage à froid • Liaison active et démarrage à chaud

• Perte voisin EGP

Pour envoyer des interruptions SNMP via IPv6, vous devez indiquer l'adresse IPv6 en tant qu'adresse deconversion IPv4. Par exemple, la conversion de 10.0.2.84 en IPv6 est du type suivant :

2001:470:B:654:0:0:10.0.2.84 ou 2001:470:B:654::A000:0254.

Si vous sélectionnez Interruption SNMP, trois options sont disponibles :

• Si aucun profil n'a été sélectionné auparavant, la boîte de dialogue Profils de source de données SNMP quis'ouvre vous permet de sélectionner le profil à utiliser.

• Si un profil a été sélectionné auparavant, la boîte de dialogue Profils de source de données SNMP s'ouvre.Pour modifier le profil, cliquez sur la flèche vers le bas dans le champ Profils système, puissélectionnez un nouveau profil.

• Si un profil a été sélectionné auparavant et vous souhaitez le modifier, mais que la liste déroulantede la boîte de dialogue Profils de source de données SNMP n'inclut pas le profil souhaité, créez un profil desource de données SNMP.

Gestion des sources de donnéesVous pouvez ajouter, modifier, supprimer, importer, exporter et faire migrer des sources de données,ainsi qu'ajouter des sources de données enfants et clientes, sur la page Sources de données.


1 Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur, puis cliquez surSources de données.

2 Affichez la liste des sources de données présentes sur le récepteur et utilisez les optionsdisponibles pour les gérer.

3 Cliquez sur Appliquer ou sur OK.

SIEM CollectorSIEM Collector envoie des journaux d'événements Windows à un récepteur, via une connexion chiffrée.

En l'absence de SIEM Collector, la collecte d'événements Windows est limitée à l'utilisation duprotocole WMI ou d'un agent tiers. Dans de nombreux environnements, la stratégie de sécurité bloquel'accès au système pour vous empêcher d'utiliser WMI.

Le trafic WMI est en texte clair et ne permet l'accès qu'aux journaux écrits dans le journal desévénements Windows. Vous ne pouvez pas accéder aux fichiers journaux créés par d'autres services,tels que DNS, DHCP et IIS, ou en utilisant un autre agent tiers.

En utilisant SIEM Collector de façon autonome ou dans le cadre d'une implémentation McAfee ePolicyOrchestrator existante, vous pouvez ajouter la fonctionnalité WMI aux agents McAfee existants.



Vous pouvez également utiliser SIEM Collector comme concentrateur pour collecter des journauxd'autres systèmes, via RPC, sans ajouter le package SIEM Collector à chaque système.

Les autres fonctionnalités sont notamment :

• Plug-in pour la collecte de base de données SQL définie par l'utilisateur (prend en chargeSQL Server et Oracle).

• Plug-in pour l'analyse syntaxique d'événements Windows exportés au format .evt ou .evtx.

• Plug-in pour la prise en charge de l'audit C2 de SQL Server (format .trc).

Intégration de données VAVulnerability Assessment (VA) de l'équipement DEM et du récepteur vous permet d'intégrer desdonnées qui peuvent être récupérées auprès de nombreux fournisseurs VA.

Vous pouvez utiliser ces données de plusieurs façons :

• Augmenter la gravité d'un événement en fonction de la vulnérabilité connue du poste client à cetévénement.

• Définir le système pour qu'il mémorise automatiquement les actifs et leurs attributs (systèmed'exploitation et services détectés).

• Créer et manipuler l'appartenance aux groupes d'actifs définis par l'utilisateur.

• Accéder aux informations de synthèse et détaillées des actifs du réseau.

• Modifier la configuration de l'Editeur de stratégie, par exemple activer les signatures MySQL si un actifexécutant MySQL est découvert.

Vous pouvez accéder aux données VA générées par le système dans les vues prédéfinies ou dans lesvues personnalisées que vous créez. Les vues prédéfinies sont les suivantes :

• Vues des tableaux de bord | Tableau de bord des vulnérabilités des actifs

• Vues de la conformité | PCI | Test des processus et systèmes de sécurité | 11.2 Analyse des vulnérabilités du réseau

• Vues de gestion | Vuln critique sur actifs régulés

Pour créer une vue personnalisée, consultez Ajout d'une vue personnalisée.

Si vous créez une vue qui inclut le composant Nombre total de vulnérabilités Nombre ou Numérotation, il se peutque le nombre de vulnérabilités affiché soit supérieur au nombre réel. Cela est dû au fait que le fluxMcAfee Threat Intelligence Services (MTIS) ajoute des menaces en fonction de la vulnérabilité d'originefournie par la source VA (voir Evaluation des risques, actifs et menaces).

L'équipe McAfee chargée des règles gère un fichier de règles qui mappe un ID de signature McAfeeavec un numéro VIN, avec une ou plusieurs références, avec un ID CVE (Common Vulnerabilities andExposure), un ID BugTraq, un IP OSVBD (Open Source Vulnerability Database) et/ou un ID Secunia.Comme ces fournisseurs indiquent les ID CVE et BugTraq dans leurs vulnérabilités, ces ID sont inclusdans cette version.

Définition d'un profil système VALors de l'ajout d'une source eEye REM, la page Ajouter une source Vulnerability Assessment vous permetd'utiliser un profil système précédemment défini. Pour utiliser cette fonctionnalité, vous devez d'aborddéfinir le profil.




1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement DEM ou un récepteur,

puis cliquez sur l'icône Propriétés .

2 Cliquez sur Vulnerability Assessment | Ajouter.

3 Dans le champ Type de source VA, sélectionnez eEye REM.

4 Cliquez sur Utiliser le profil système.

5 Cliquez sur Ajouter, puis sélectionnez Vulnerability Assessment dans le champ Type de profil.

6 Dans le champ Agent de profil, sélectionnez la version SNMP de ce profil.

Les champs de la page sont activés en fonction de la version sélectionnée.


Ajout d'une source VAPour communiquer avec des sources VA, vous devez ajouter la source au système, configurer lesparamètres de communication du fournisseur VA, planifier les paramètres pour indiquer la fréquencede récupération des données et modifier les calculs de gravité des événements.


1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement DEM ou un récepteur,


2 Cliquez sur Vulnerability Assessment.

3 Ajoutez, modifiez, supprimez ou récupérez les sources VA et écrivez les éventuelles modificationsdans l'équipement.


Récupération des données VAUne fois une source ajoutée, vous pouvez récupérer les données VA. Deux méthodes permettent derécupérer les données VA d'une source : méthode planifiée ou immédiate. Les deux types derécupération peuvent être effectuées sur l'ensemble des sources VA, à l'exception d'eEye REM, laquellerécupération doit être planifiée.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés DEM ou Propriétés de récepteur,puis cliquez sur Vulnerability Assessment.

2 Sélectionnez la source VA, puis sélectionnez l'une des options.




Procéder à unerécupération immédiate

• Cliquez sur Récupérer.

Le travail s'exécute en arrière-plan et vous êtes informé en cas de réussite dela récupération (consultez la section Résolution des problèmes liés à larécupération VA en cas d'échec).

Planifier unerécupération

1 Cliquez sur Modifier.

2 Dans le champ Planifier la récupération des données VA, sélectionnez la fréquence.

3 Cliquez sur OK.

4 Dans la page Vulnerability Assessment, cliquez sur Ecrire pour écrire lesmodifications dans l'équipement.

3 Cliquez sur OK.

4Pour afficher les données, cliquez sur l'icône de lancement rapide d'Asset Manager , puis surl'onglet Vulnerability Assessment.

Résolution des problèmes liés à la récupération VAVous êtes informé en cas d'échec de la récupération des données VA. Quelques-unes des raisonspouvant expliquer l'échec de la récupération sont indiquées ci-après.

Cette ressource... Provoque...

Nessus, OpenVAS etRapid7 Metasploit Pro

• Un répertoire vide.

• Une erreur dans les paramètres.

• Des données obsolètes dans le répertoire puisqu'elles ont déjà étérécupérées.

Qualys, FusionVM etRapid7 Nexpose

Des données obsolètes dans le répertoire puisqu'elles ont déjà étérécupérées.

Nessus Si vous avez écrasé un fichier Nessus existant lors du chargement d'unnouveau fichier Nessus sur votre site FTP, la date du fichier reste identique.Par conséquent, si vous effectuez une récupération VA, aucune donnée n'estretournée, car les données sont perçues comme étant anciennes. Pouréviter cette situation, supprimez l'ancien fichier Nessus du site FTP avant decharger le nouveau ou utilisez un autre nom pour le fichier que vouschargez.

Fournisseurs VA disponiblesESM peut s'intégrer à ces fournisseurs VA.

fournisseur VA Version

Digital Defense Frontline 5.1.1.4

eEye REM (REM Events Server) 3.7.9.1721



fournisseur VA Version

eEye Retina

La source VA eEye Retina est similaire à la source dedonnées Nessus. Vous pouvez choisir d'utiliser scp,ftp, nfs ou cifs pour capturer les fichiers .rtd. Vousdevez copier manuellement les fichiers .rtd dans unpartage scp, ftp ou nfs pour les extraire. Lesfichiers .rtd sont situés normalement dans lerépertoire Retina Scans.

5.13.0, audits : 2400

McAfee Vulnerability Manager 6.8, 7.0

Critical Watch FusionVM 4-2011.6.1.48

LanGuard 10.2

Lumension Prise en charge de PatchLink SecurityManagement Console, versions 6.4.5 etultérieures

nCircle 6.8.1.6

Nessus Prise en charge de Tenable Nessus,versions 3.2.1.1 et 4.2 et des formats defichier NBE, .nessus (XMLv2) et .nessus(XMLv1). Prise en charge également duformat XML d'OpenNessus 3.2.1.

NGS

OpenVAS 3.0, 4.0

Qualys

Rapid7 Nexpose

Rapid7 Metasploit Pro

Vous pouvez déduire la gravité d'un exploit Metasploitqui commence par le nom Nexpose en ajoutant unesource VA Rapid7 au même récepteur. Si elle ne peutpas être déduite, la gravité par défaut est 100.

4.1.4-Update 1, format de fichier XML

Saint

Création automatique de sources de donnéesVous pouvez configurer le récepteur de façon à créer des sources de données automatiquement, enutilisant les 5 règles standard du récepteur ou bien des règles que vous créez.

Avant de commencerVérifiez que la vérification automatique est sélectionnée dans la boîte de dialogueEvénements, flux et journaux (Propriétés système | Evénements, flux et journaux) ou cliquez sur l'icône

Obtenir les événements et les flux dans la barre d'outils des actions pour extraire lesévénements et/ou les flux.




1 Dans Propriétés de récepteur, cliquez sur Sources de données | Mémoriser automatiquement

2 Dans la fenêtre Mémoriser automatiquement, cliquez sur Configurer

3 Dans la fenêtre Editeur de règles d'ajout automatique, vérifiez que l'option Activer la création automatique estsélectionnée, puis sélectionnez les règles d'ajout automatique que le récepteur doit utiliser pourcréer automatiquement des sources de données.

4 Cliquez sur Exécuter pour appliquer les règles sélectionnées aux données mémoriséesautomatiquement existantes, puis cliquez sur Fermer.

Ajout de nouvelles règles de création automatiqueVous pouvez ajouter des règles personnalisées que le récepteur va utiliser pour créerautomatiquement des sources de données.


1 Dans Propriétés de récepteur, cliquez sur Sources de données | Mémoriser automatiquement | Configurer | Ajouter

2 Dans la boîte de dialogue Configurer une règle d'ajout automatique, ajoutez les données nécessaires àdéfinir la règle, puis cliquez sur OK.

La nouvelle règle est ajoutée à la liste des règles d'ajout automatique dans la boîte de dialogue Editeurde règles d'ajout automatique. Vous pouvez ensuite la sélectionner pour que les sources de données soientcréées lorsque les données automatiquement mémorisées correspondent aux critères définis dans larègle.

Définition du format de la date des sources de donnéesSélectionner le format des dates incluses aux sources de données.


1 Dans l'arborescence de navigation du système, sélectionnez le récepteur, puis cliquez sur l'icône

Ajouter une source de données .

2 Cliquez sur Avancé, puis effectuez une sélection dans le champ Ordre de date :• Par défaut : le format de date par défaut est appliqué (le mois avant le jour). Lorsque vous utilisez

des sources de données clientes, les clients qui utilisent ce paramètre héritent du format dedate de la source de données parente.

• Le mois avant le jour : le mois est indiqué avant le jour (04/23/2014).

• Le jour avant le mois : le jour est indiqué avant le mois (23/04/2014).

3 Cliquez sur OK.



Sources de données désynchroniséesLa configuration de différents paramètres peut entraîner la désynchronisation entre une source dedonnées et ESM. Lorsqu'une source de données désynchronisée génère un événement, un indicateurrouge s'affiche à côté du récepteur dans l'arborescence de navigation des systèmes.

Vous pouvez également configurer une alarme qui vous avertit lorsque cela se produit. Vous pouvezensuite gérer les sources de données désynchronisées en accédant à la page Delta pour la date/heure (voirGestion des sources de données désynchronisées).

Les événements désynchronisés peuvent être des anciens événements ou des événements futurs.

Les sources de données peuvent être désynchronisées avec ESM pour différentes raisons.

1 Le paramètre du fuseau horaire de l'ESM est incorrect (voir Sélection des paramètres utilisateur).

2 Vous avez défini l'heure dans un fuseau horaire incorrect lors de l'ajout de la source de données(voir Ajout d'une source de données).

3 Le système est actif depuis une longue période et l'heure n'est plus synchronisée.

4 Vous avez configuré le système de cette manière intentionnellement.

5 Le système n'est pas connecté à Internet.

6 L'événement est désynchronisé lors de sa réception sur le récepteur.

Voir aussi Ajout d'une source de données, page 79Gestion des sources de données désynchronisées, page 86Sélection des paramètres utilisateur, page 36

Gestion des sources de données désynchroniséesConfigurez une alarme qui vous avertit lorsque les sources de données désynchronisées génèrent desévénements. Vous pouvez ainsi consulter une liste des sources de données, modifier leurs paramètreset exporter cette liste.

Avant de commencerVérifiez que vous disposez des droits administrateur ou faites partie d'un groupe d'accèsdisposant des privilèges de gestion des alarmes.

Cet outil de diagnostic détermine à quel moment une source de données collecte des événementsanciens ou futurs. Dans ce cas, un indicateur rouge s'affiche à côté du récepteur.




1 Dans l'arborescence de navigation des systèmes, sélectionnez le système, puis cliquez sur l'icône

Propriétés .

2 Configurez une alarme qui vous avertit lorsque le récepteur reçoit un événement généré par unesource de données désynchronisée avec ESM.

a Cliquez sur Alarmes | Ajouter, entrez les informations requises sur l'onglet Synthèse, puis cliquez surCondition.

b Sélectionnez Delta pour l'événement dans le champ Type, sélectionnez la fréquence à laquelle ESMdoit vérifier les sources de données désynchronisées, puis sélectionnez la différence de temps àappliquer pour le déclenchement de l'alarme.

c Renseignez les informations dans les autres onglets.

3 Affichez, modifiez ou exportez les sources de données désynchronisées.

a Dans l'arborescence de navigation des systèmes, cliquez sur le récepteur, puis cliquez sur l'icônePropriétés.

b Cliquez sur Gestion du récepteur, puis sélectionnez Delta pour la date/heure.

Ajout d'une source de données enfantVous pouvez ajouter des sources de données enfant pour organiser vos sources de données.



2 Dans le tableau des sources de données, cliquez sur la source de données à laquelle vous souhaitezajouter une source de données enfant.

3 Cliquez sur Ajouter un enfant, puis remplissez les champs de la même manière que pour une source dedonnées parent.

4 Cliquez sur OK.

La source de données enfant est ajoutée sous la source de données parent dans le tableau ainsi quedans l'arborescence de navigation du système.



Sources de données clientesVous pouvez étendre le nombre de sources de données autorisées sur un récepteur en ajoutant dessources de données clientes. Pour les sources de données avec collecteur syslog, ASP, CEF, MEF, NPPet WMI, vous pouvez ajouter jusqu'à 65 534 clients de source de données.

Si la source de données est déjà un parent ou un enfant, ou si elle est une source de données WMI etUtiliser un appel de procédure distante (RPC) est sélectionné, cette option n'est pas disponible.

Vous pouvez ajouter plusieurs sources de données clientes avec la même adresse IP etutiliser le numéro de port pour les différencier. Cela vous permet de séparer vos données enutilisant un port différent pour chaque type de données, puis transférer les données enutilisant le même port.

Lorsque vous ajoutez une source de données cliente (voir Sources de données clientes etAjout d'une source de données cliente), vous choisissez d'utiliser le port de la source dedonnées parente ou un autre port.

Caractéristiques des sources de données clientes :

• Elles n'ont pas de droits VIPS, Stratégie ou Agent.

• Elles ne s'affichent pas dans le tableau Sources de données.

• Elles s'affichent dans l'arborescence de navigation du système.

• Elles partagent la même stratégie et les mêmes droits que la source de données parente.

• Elles doivent être dans le même fuseau horaire, car elles utilisent la configuration du parent.

Les sources de données WMI clientes peuvent avoir des fuseaux horaires indépendants, car le fuseauhoraire est déterminé par la requêtes envoyée au serveur WMI.

Ajout d'une source de données clienteAjouter un client à une source de données existante pour augmenter le nombre de sources dedonnées autorisées sur le récepteur.

Avant de commencerAjoutez la source de données au récepteur (consultez la section Ajout d'une source dedonnées).



2 Sélectionnez la source de données à laquelle vous souhaitez ajouter le client, puis cliquez surClients.

La page Clients de source de données répertorie les clients actuellement inclus à la source de donnéessélectionnées.

3 Cliquez sur Ajouter, renseignez les informations demandées, puis cliquez sur OK.

Les événements sont transmis à la source de données (parente ou cliente) la plus spécifique. Parexemple, vous avez deux sources de données clientes : une avec l'adresse IP 1.1.1.1 et l'autre avecl'adresse IP 1.1.1.0/24, qui couvre un intervalle. Les deux sont du même type. Si un événementcorrespond à 1.1.1.1, il est transmis au premier client, car celui-ci est plus spécifique.



Recherche d'un clientLa page Clients de source de données répertorie tous les clients du système. Comme vous pouvez avoir plusde 65 000 clients, la fonctionnalité de recherche peut vous être utile pour trouver un client particulier.


1 Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur, puis cliquez surSources de données | Clients.

2 Entrez les informations à rechercher, puis cliquez sur Rechercher.

Importation d'une liste de sources de donnéesL'option Importer de la page Sources de données vous permet d'importer une liste de sources de donnéesenregistrée au format .csv. Cela vous évite d'ajouter, de modifier ou de supprimer individuellementchaque source de données.

Vous pouvez utiliser cette option dans deux cas :

• Pour importer des données de sources de données brutes copiées d'un récepteur situé dans unemplacement sécurisé vers un récepteur situé dans un emplacement non sécurisé. Si tel est le cas,consultez la section Déplacement de sources de données.

• Pour modifier les sources de données sur un récepteur, en ajoutant des sources de données à laliste existante, en modifiant des sources de données existantes ou en supprimant des sources dedonnées existantes. Pour effectuer cela, suivez les étapes ci-dessous.


1 Exporter une liste de sources de données actuellement sur le récepteur.

a Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur, puis cliquez surSources de données.

b Cliquez sur Exporter, puis cliquez sur Oui pour confirmer le téléchargement.

c Sélectionnez l'emplacement du téléchargement, au besoin modifiez le nom du fichier, puiscliquez sur Enregistrer.

La liste des sources de données existantes est enregistrée.

d Accédez à ce fichier et ouvrez-le.

La feuille de calcul qui s'ouvre contient les données des sources de données actuellement sur lerécepteur (voir Champs de la feuille de calcul d'importation de sources de données).

2 Ajoutez, modifiez ou supprimez les sources de données de la liste.

a Dans la colonne A, indiquez l'action à effectuer sur la source de données : add (ajouter), edit(modifier) ou remove (supprimer).

b Si vous ajoutez ou modifiez des sources de données, entrez les informations dans les colonnesde la feuille de calcul.

Vous ne pouvez pas modifier la stratégie ni le nom de la source de données.

c Enregistrez les modifications effectuées dans la feuille de calcul.

Vous ne pouvez pas modifier une source de données pour la convertir en source de données clienteni vice versa.



3 Importez la liste vers le récepteur.

a Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur, puis cliquez surSources de données.

b Cliquez sur Importer, puis sélectionnez le fichier et cliquez sur Charger.

Vous ne pouvez pas modifier la stratégie ni le nom de la source de données.

La page Importer des sources de données qui s'ouvre indique les modifications effectuées sur la feuillede calcul.

c Pour importer les modifications, cliquez sur OK.

Les modifications qui sont dans un format valide sont ajoutées.

d En cas d'erreurs liées au format des modifications, un Journal des messages décrit les erreurs.

e Cliquez sur Télécharger tout le fichier, puis cliquez sur Oui

f Sélectionnez l'emplacement d'enregistrement du téléchargement, au besoin modifiez le nom dufichier, puis cliquez sur Enregistrer.

g Ouvrez le fichier téléchargé.

Il répertorie les sources de données qui présentent des erreurs.

h Corrigez les erreurs, puis enregistrez et fermez le fichier.

i Fermez le Journal des messages et la page Importer des sources de données, puis cliquez sur Importer etsélectionnez le fichier que vous avez enregistré.

Importer des sources de données répertorie les sources de données que vous avez corrigées.

j Cliquez sur OK.

Champ de la feuille de calcul d'importation de sources de donnéesLa feuille de calcul que vous utilisez pour importer des sources de données comporte plusieurscolonnes : certaines sont requises et d'autres sont utilisées uniquement pour des types de sources dedonnées particuliers.

Champs requis pour toutes les sources de données

Colonne Description Détails

op Opération à effectuer surla source de données

Entrez l'une des fonctions suivantes dans la colonne op :

• add = ajouter une nouvelle source de données.

• edit : modifier une source de données existante.

• remove : supprimer sans réaffectation.

Si cette colonne est laissée vide, aucune action n'est effectuéesur la source de données.

rec_id ID de récepteur Ce numéro d'ID de récepteur est indiqué sur la page Nom etdescription du récepteur.

dsname Nom de la source dedonnées

Il doit être unique sur le récepteur.



Champs utilisés pour toutes les sources de données


ip Adresse IP validepour la source dedonnées

• Elle est requise sauf si protocol = corr

• La validation est effectuée uniquement pour les sources dedonnées activées. Valeurs exclues :

• protocol : cifs, nfs, ftp, scp, http

• Collector = curl ou mount

• SNMPTrap - non valide si d'autres source de donnéesutilisent des concordances IPAddress et d'interruption SNMP.

• nfxsql - non valide si la combinaison IPAddress, dbname etport est trouvée.

• netflow ou opsec - non valide si la combinaison IPAddress etport est trouvée.

• mef est le collecteur (si parser = mef, collector = mefautomatiquement), non valide si mef et protocol sonttrouvés.

modèle L'entrée doit être une concordance exacte, excepté pour lesclients avec MatchByFlag = 1 (concordance par IPAddress)

fournisseur L'entrée doit être une concordance exacte, excepté pour lesclients avec MatchByFlag = 1 (concordance par IPAddress)

parent_id ID de la source dedonnées parente

Requis si agent ou client. Si cet ID est un nom, une rechercheest effectuée pour trouver le parent de la source de donnéesportant ce nom qui est un enfant du récepteur indiqué.

child_type Type d'enfant desource de données

Requis : 0 = n'est pas un enfant, 1 = agent, 2 = client

match_type Concordance client Requis lors de l'ajout ou la modification de sources de données :1 = concordance par adresse IP, 2 = concordance par type detiers

analysesyntaxique

Indicateurd'activation desource de données

Indicateur d'activation (yes/no), valeur par défaut : yes

Champs utilisés par les sources de données qui ne sont pas des clients


snmp_trap_id ID de profil pour interruptionsnmp

Valeur par défaut : 0.

elm_logging Consignation vers elm (yes/no) Valeur par défaut : no.

pool Nom du pool Elm Valeur par défaut : vide

meta-vendor Valeur par défaut : vide

meta-product Valeur par défaut : vide

meta_version Valeur par défaut : vide

url URL des détails sur l'événement Valeur par défaut : vide




parser Méthode d'analyse syntaxique duformat des données

Valeur par défaut : Default.

collector Méthode de récupération desdonnées

Valeur par défaut : Default. Si parser = mef, collectorest défini sur mef. Scp, http, ftp, nfs, cifs : ok si leformat de fichier plat est pris en charge pour leprotocole.

Champs requis si format = CEF ou MEF


chiffrer Indicateur dechiffrement desource de données

Valeur par défaut = F Egalement utilisé si Format = Default, Retrieval =mef et Protocol = gsyslog. Le chiffrement doit être le même pour tousles mef ayant la même adresse IP.

hostname Nom d'hôte ou IDd'hôte

Valeur par défaut : vide Facultatif si Protocol = gsyslog ou syslog : ildoit être unique. Facultatif si Protocol = nas.

agréger Relais Syslog Les valeurs valides sont les suivantes : vide et syslogng. Valeur pardéfaut : vide Egalement utilisé si Format = Default, Retrieval = Default etProtocol = gsyslog.

tz_id ID de fuseau horaire Valeur par défaut : vide Egalement utilisé si Format = Default et sil'une des conditions suivantes est vraie :

• Protocol = syslog et Model est différent de Adiscon Windows Events.

• Protocol = nfxsql.

• Protocol = nfxhttp.

• Protocol = email.

• Protocol = estream.

Egalement utilisé pour la prise en charge de certains fichiers plats

Autres champs


profile_id Nom ou ID de profil Valeur par défaut : vide Si le nom du profil nepermet pas de trouver l'enregistrement duprofil, une erreur est consignée.

exportMcAfeeFile Indicateur de transportde source de données

Valeur par défaut : no Si la valeur est "yes",cette source de données est incluse dans letransport de source de données.

exportProfileID Nom du profil departage distant

Valeur par défaut : vide

mcafee_formated_file Indicateur d'analysesyntaxique de fichier dedonnées brutes

Valeur par défaut : no Si la valeur est "yes",la méthode d'analyse syntaxique utilise lefichier de données brutes.

mcafee_formated_file_xsum Indicateur d'utilisationde somme de contrôle

Valeur par défaut : no Si la valeur est "yes",la somme de contrôle est utilisée avantl'analyse syntaxique du fichier de donnéesbrutes.

mcafee_formated_file_ipsid ID Nitro IPS d'origine Requis en cas d'utilisation du fichier dedonnées brutes.




zoneID Nom de la zone Valeur par défaut : vide

policy_name Nom ou ID de stratégie Valeur par défaut : vide Utilisé uniquementlors de l'ajout de nouvelles sources dedonnées. Cette valeur n'est pas mise à jourlors d'une opération de modification.

Champs validés pour les protocoles indiqués

Le champ Protocol (Protocole) est déterminé par les champs Vendor (Fournisseur) et Model (Modèle),sauf si format = Default ou CEF et Retrieval (Récupération) est différent de Default ou MEF. Alors protocolest la valeur Retrieval. Ces champs sont validés pour le protocole indiqué, si aucun profil n'est indiqué.

Tableau 3-2 Champs Netflow : à partir de la colonne AF


netflow_port Valeur par défaut : 9993

netflow_repeat_enabled Transfert activé Valeur par défaut : F

netflow_repeat_ip Adresse IP de transfert Requis si repeat_enabled = T. Valeur par défaut :vide

netflow_repeat_port Port de transfert Valeur par défaut : 9996

Tableau 3-3 Champs rdep : à partir de la colonne AJ


rdep_sdee_username Requis

rdep_sdee_password Requis

rdep_sdee_interval Valeur par défaut : 60 (en secondes)

Tableau 3-4 Champs opsec : à partir de la colonne AM


opsec_parent Indicateur de parent(type d'équipement)

Requis (T/F). T = la source de données est unparent. F = la source de données n'est pas unparent

opsec_authentication Utiliser l'indicateurd'authentification

Utilisé si parent = T, valeur par défaut : F

opsec_appname Nom de l'application Requis si authentication = T, facultatif si F,valeur par défaut : vide

opsec_actkey Clé d'activation Requis si authentication = T, facultatif si F,valeur par défaut : vide

opsec_parent_id Nom du parent de lasource de données

Nom du parent - requis si parent = F. Uneerreur est consignée si le nom de la source dedonnées parente ne permet pas de trouver lasource de données parente.

opsec_port Utilisé si parent = T, valeur par défaut : 18184

opsec_encryption Utiliser l'indicateur dechiffrement

Utilisé si parent = T, valeur par défaut : F



Tableau 3-4 Champs opsec : à partir de la colonne AM (suite)


opsec_comm_method Méthode decommunication

Utilisé si parent = T, valeur par défaut : videDoit être une valeur valide :

• '' (vide) • sslca

• asym_sslca • sslca_clear

• asym_sslca_comp

• sslca_comp

• asym_sslca_rc4 • sslca_rc4

• asym_sslca_rc4_comp

• "sslca_rc4_comp"

• ssl_clear

opsec_server_entity_dn Nom unique de l'entitéserveur

Valeur par défaut : vide Utilisé si parent = TRequis si DeviceType = Log Server/CLM ouSecondary SMS/CMA.

opsec_collect_audit_events Type de collecte opsec :événements d'audit

Utilisé si parent = T, valeur par défaut : yes

opsec_collect_log_events Type de collecte opsec :événements dejournalisation

Utilisé si parent = T, valeur par défaut : yes

opsec_type Type d'équipement Requis. Valeurs valides pour ce champ :

Valeur Nom dans la liste déroulanteThin Client

0 SMS/CMA

1 Equipement de sécurité

2 Log Server/CLM

3 Secondary SMS/CMA

Tableau 3-5 Champs wmi : à partir de la colonne AY


wmi_use_rpc Utiliser l'indicateur RPC Valeur par défaut : no.

wmi_logs Journaux des événements Valeur par défaut : SYSTEM,APPLICATION,SECURITY.

wmi_nbname Nom NetBIOS Requis si Retrieval = Default, sinon facultatif. Valeur pardéfaut : vide

wmi_username Nom d'utilisateur Requis si Retrieval = Default, sinon facultatif. Valeur pardéfaut : vide

wmi_password Mot de passe Requis si Retrieval = Default, sinon facultatif. Valeur pardéfaut : vide

wmi_interval Valeur par défaut : 600.

wmi_version Valeur par défaut : 0.



Tableau 3-6 Champs gsyslog : à partir de la colonne BF


gsyslog_autolearn Indicateur de prise en charge desmessages Syslog génériques

Valeurs valides : T, F, COUNT. Valeur pardéfaut = F

gsyslog_type Affectation de règle générique Requis si autolearn = T, sinon facultatif. Valeurpar défaut : 49190.

gsyslog_mask Utilisé si Retrieval = Default. Valeur par défaut :0.

Tableau 3-7 Champ corr : colonne BI


corr_local Indicateur d'utilisation desdonnées locales

Valeur par défaut = F Si le modèle (model) du récepteur estERC-VM-25 ou ERC-VM-500, la source de données n'est pasajoutée. Sinon, aucune autre source de données ne peututiliser ce protocole.

Tableau 3-8 Champs sdee : à partir de la colonne BJ


sdee_username Requis

sdee_password Requis

sdee_uri Valeur par défaut : cgi-bin/sdee-server

sdee_interval Valeur par défaut : 600 seconds.

sdee_port Valeur par défaut : 443.

sdee_proxy_port Valeur par défaut : 8080.

sdee_use_ssl Valeur par défaut : T.

sdee_proxy_ip Requis si use_proxy = T. Valeur par défaut : vide

sdee_proxy_username Requis si use_proxy = T. Valeur par défaut : vide

sdee_proxy_password Requis si use_proxy = T. Valeur par défaut : vide

sdee_use_proxy Valeur par défaut = F

Tableau 3-9 Champs mssql : à partir de la colonne BU


mssql_parent Type de périphérique Valeur par défaut : T. Serveur = T. Managed device = F

mssql_port Utilisé si parent = T Valeur par défaut : 1433.

mssql_interval Utilisé si parent = T Valeur par défaut : 600 seconds.

mssql_username Requis si parent = T. Valeur par défaut : vide

mssql_password Requis si parent = T. Valeur par défaut : vide

mssql_parent_id Nom du parent Requis si parent = F. Une erreur est consignée si le nom duparent ne permet pas de trouver la source de données.

Tableau 3-10 Champs syslog : à partir de la colonne CA


syslog_untrust_iface Interface la moinsfiable

Requis si Vendor = CyberGuard.

syslog_burb Nom de la bulleInternet

Requis si Vendor = McAfee et Model = McAfeeFirewall Enterprise



Tableau 3-10 Champs syslog : à partir de la colonne CA (suite)


syslog_sg_mc Indicateur de centrede gestion

Facultatif si Vendor = Stonesoft Corporation, valeurpar défaut : no

syslog_nsm Indicateur degestionnaire desécurité

Facultatif si Vendor = Juniper Networks et Model =Netscreen Firewall/Security Manager ouNetscreen IDP, valeur par défaut : no

syslog_wmi_syslog_format Facultatif si Vendor = Microsoft et Model = AdisconWindows Events, valeur par défaut : 0

syslog_wmi_version Facultatif si Vendor = Microsoft et Model = AdisconWindows Events, valeur par défaut : Windows2000

syslog_aruba_version Facultatif si Vendor = Aruba, valeur par défaut :332

syslog_rev_pix_dir Inverser les valeursdu réseau

Facultatif si Vendor = Cisco et Model = PIX/ASA ouFirewall Services Module, valeur par défaut : no

syslog_aggregate Relais Syslog Valeurs valides : vide et Vendor. Valeur pardéfaut : vide

syslog_require_tls T/F Indique si TLS est utilisé pour cette source dedonnées.

syslog_syslog_tls_port Port à utiliser pour TLS syslog si en coursd'utilisation.

syslog_mask Masque pourl'adresse IP

(Facultatif) Vous permet d'appliquer un masque àune adresse IP afin qu'une plage d'adresses IPpuisse être acceptée. La valeur zéro (0) dans lechamp signifie qu'aucun masque n'est utilisé.Valeur par défaut : 0.



Tableau 3-11 Champs nfxsql : à partir de la colonne CM


nfxsql_port La valeur par défaut dépend des valeurs de vendor(fournisseur) et model (modèle) :

Par défaut Fournisseur Modèle

9117 EnterasysNetworks

Dragon Sensor ou DragonSquire

1433 IBM ISS Real Secure DesktopProtector ou ISS RealSecure Network ou ISSReal Secure Server Sensor

1433 McAfee ePolicy Orchestrator ouePolicy OrchestratorFirewall ou ePolicyOrchestrator Host IPS

3306 Symantec Symantec Mail Security forSMTP

1433 Websense Websense Enterprise

1433 Microsoft Operations Manager

1433 NetIQ NetIQ Security Manager

1433 Trend Micro Control Manager

1433 Zone Labs Integrity Server

1433 Cisco Security Agent

1127 Sophos Sophos Antivirus

1433 Symantec Symantec AntivirusCorporate Edition Server

443 Tous les autres

nfxsql_userid Requis

nfxsql_password Requis

nfxsql_dbname Nom de la basede données

(Facultatif) Valeur par défaut : vide.

nfxsql_splevel Niveau du ServicePack

Utilisé si Vendor = IBM et Model = ISS Real Secure Desktop Protector ouISS Real Secure Network ou ISS Real Secure Server Sensor. Valeur pardéfaut : SP4.

nfxsql_version (facultative)

• Valeur par défaut = 9i si Vendor = Oracle et Model = Oracle Audits.

• Valeur par défaut = 3.6 si Vendor = McAfee et Model = ePolicyOrchestrator ou ePolicy Orchestrator Firewall ou ePolicyOrchestrator Host IPS.

nfxsql_logtype Type dejournalisation

Requis si Vendor = Oracle et Model = Oracle Audits (FGA, GA ou lesdeux).

nfxsql_sid SID de la base dedonnées

Facultatif si Vendor = Oracle et Model = Oracle Audits. Valeur pardéfaut : vide



Tableau 3-12 Champs nfxhttp : à partir de la colonne CU


nfxhttp_port Valeur par défaut : 433.

nfxhttp_userid Requis

nfxhttp_password Requis

nfxhttp_mode Valeur par défaut : secure.

Tableau 3-13 Champs email : à partir de la colonne CY


email_port Valeur par défaut : 993.

email_mailbox Protocole de messagerie Valeur par défaut : imap pop3

email_connection Type de connexion Valeur par défaut : ssl clear.

email_interval Valeur par défaut : 600 seconds.

email_userid Requis

email_password Requis

Tableau 3-14 Champs estream : à partir de la colonne DE


Ces champs sont inclus à la feuille de calcul. Toutefois, un fichier de certification étant requis, ils sontactuellement ignorés.

jestream_port Valeur par défaut : 993.

jestream_password Requis

jestream_estreamer_cert_file Requis

jestream_collect_rna

Tableau 3-15 Champs file source : à partir de la colonne DI


Utilisés pour les protocoles cifs, ftp, http, nfs, scp.

fs_record_lines Nombre de lignes parenregistrement

Utilisé si flat file support (prise en charge de fichier plat).Valeur par défaut : 1.

fs_file_check Intervalle Valeur par défaut : 15 minutes.

fs_file_completion Valeur par défaut : 60 seconds.

fs_share_path Valeur par défaut : vide

fs_filename Expression générique Requis

fs_share_name Requis si Protocol = cifs ou nfs (sinon, non utilisé).

fs_username Utilisé si Protocol = cifs, ftp ou scp. Valeur par défaut :vide

fs_password Utilisé si Protocol = cifs, ftp ou scp. Valeur par défaut :vide

fs_encryption Utilisé si Protocol = ftp ou http. Valeur par défaut : no.Egalement utilisé si flat file support et Protocol = ftp



Tableau 3-15 Champs file source : à partir de la colonne DI (suite)


fs_port Utilisé si Protocol = ftp, valeur par défaut : 990. Si Protocol= http, valeur par défaut : 443. Egalement utilisé si flatfile support et Protocol = ftp Valeur par défaut : 80.

fs_verify_cert Vérifier le certificat SSL Utilisé si Protocol = ftp ou http. Valeur par défaut : no.Egalement utilisé si flat file support et Protocol = ftp

fs_compression Utilisé si Protocol = scp ou sftp. Valeur par défaut : no.

fs_login_timeout Utilisé si Protocol = scp. Valeur par défaut : 1 second.

fs_copy_timeout Utilisé si Protocol = scp. Valeur par défaut : 1 second.

fs_wmi_version Utilisé si flat file support et Vendor = Microsoft et Model =Adiscon Windows Events. Valeur par défaut : Windows 2000.

fs_aruba_version Utilisé si flat file support et Vendor = Aruba Valeur pardéfaut : 332.

fs_rev_pix_dir Inverser les valeurs duréseau

Utilisé si flat file support et Vendor = Cisco et Model = PIX/ASAou Firewall Services Module. Valeur par défaut : no.

fs_untrust_iface Interface la moins fiable Requis si flat file support et Vendor = CyberGuard

fs_burb Nom de la bulle Internet Requis si flat file support et Vendor = McAfee et Model =McAfee Firewall Enterprise.

fs_nsm Indicateur degestionnaire de sécurité

Facultatif si flat file support et Vendor = Juniper Networks etModel =Netscreen Firewall/Security Manager ou Netscreen IDP.Valeur par défaut : no.

fs_autolearn Prendre en charge lesmessages Sysloggénériques

Facultatif si flat file support et Retrieval = gsyslog. Valeursvalides : T, F, COUNT. Valeur par défaut = F

fs_type Affectation de règlegénérique

Requis si autolearn = T, sinon facultatif. Valeur pardéfaut : 49190.

fs_binary Valeur par défaut : no.

fs_protocol Valeur par défaut : ' : utilisé si parser = Default et collector = nfsFile Source.

fs_delete_files

Tableau 3-16 Champs sql_ms : à partir de la colonne EH


sql_ms_port Valeur par défaut : 1433.

sql_ms_userid Requis

sql_ms_password Requis

sql_ms_dbname Nom de la base de données

Tableau 3-17 Champ nas : colonne EL


nas_type Valeur par défaut : 49190 (Défini par l'utilisateur 1). Ce champ est utiliséuniquement pour les sources de données McAfee/PluginProtocol.

Tableau 3-18 Champ ipfix : colonne EM


ipfix_transport Requis. Valeurs valides : TCP et UDP. Valeur par défaut : TCP.



Tableau 3-19 Champs snmp : à partir de la colonne EN


snmp_authpass Mot de passed'authentification

Requis si :

• traptype = v3trap et secLevel = authPriv ou authNoPriv.

• traptype = v3inform et secLevel = authPriv ou authNoPriv.

snmp_authproto Protocoled'authentification

Valeurs valides : MD5 ou SHA1. Requis si :

• traptype = v3trap et secLevel = authPriv ou authNoPriv.

• traptype = v3inform et secLevel = authPriv ou authNoPriv othertraptypes. Valeur par défaut : MD5.

snmp_community Nom de la communauté Requis si traptype = v1trap, v2trap, v2inform.

snmp_engineid Requis si traptype = v3trap

snmp_privpass Mot de passe deconfidentialité

Requis si :

• traptype = snmpv3trap et secLevel = authPriv

• traptype = snmpv3inform et secLevel = authPriv

snmp_privproto Protocole deconfidentialité

Les valeurs valides sont les suivantes : DES et AES.Requis si :

• traptype = snmpv3trap et secLevel = authPriv

• traptype = snmpv3inform et secLevel = authPriv

Autres types traptypes, valeur par défaut = DES.

snmp_seclevel Niveau de sécurité Les valeurs valides sont les suivantes : noAuthNoPriv,authNoPriv et authPriv.

Requis si traptype = v3trap or v3inform.

Autres types traptypes, valeur par défaut = noAutNoPriv.

snmp_traptype Requis. Les valeurs valides sont les suivantes : v1trap,v2trap, v2inform, v3trap et v3inform.

snmp_username Requis si traptype = snmpv3 or snmpv3inform.

type Affectation de règle pardéfaut

Requis. Valeur par défaut : 49190.

snmp_version Automatiquement rempli.

Tableau 3-20 sql_ws : à partir de la colonne EY


sql_ws_port (Facultatif) La valeur par défaut dépend devendor (fournisseur). Valeur par défaut deWebsense = 1433.

sql_ws_userid Requis

sql_ws_password Requis

sql_ws_dbname (Facultatif) Valeur par défaut : vide.

sql_ws_db_instance Nom de l'instance de base dedonnées

Requis



Tableau 3-21 sql : à partir de la colonne FD


sql_port Port utilisé pour la connexion à la base dedonnées

sql_userid ID d'utilisateur de base de données

sql_password Mot de passe de base de données

sql_dbinstance Nom de l'instance de base de données

sql_config_logging Valeurs valides : 0 (pour SQL ServerExpress Database) et 1 (pour SQL Database)

sql_protocol Si la valeur de sql_config_logging = 1,cette valeur = gsql.

sql_dbname Nom de la base de données

Tableau 3-22 oracleidm : à partir de la colonne FK


oracleidm_port Port utilisé pour la connexion à la base de données Oracle IdentifyManager

oracleidm_userid ID d'utilisateur pour la base de données Oracle Identify Manager

oracleidm_password Mot de passe pour la base de données Oracle Identify Manager

oracleidm_ip_address Adresse IP pour la base de données Oracle Identify Manager

oracleidm_dpsid Nom TNS de la connexion en cours d'utilisation

Tableau 3-23 text : à partir de la colonne FP


Champs utilisés pour la source de données ePolicy Orchestrator.

text_dbinstance Instance de base de données dans laquelle la base de données ePolicyOrchestrator est en cours d'exécution

text_dbname Nom de la base de données ePolicy Orchestrator

text_password Mot de passe pour la base de données ePolicy Orchestrator

text_port Port utilisé pour la connexion à la base de données ePolicy Orchestrator

text_userid ID d'utilisateur pour la base de données ePolicy Orchestrator

Tableau 3-24 gsql : à partir de la colonne FU


gsql_port (Facultatif) La valeur par défaut dépend devendor (fournisseur). Valeur par défaut deWebsense = 1433.

gsql_userid Requis

gsql_password Requis

gsql_dbname (Facultatif) Valeur par défaut : vide.

gsql_db_instance Nom de l'instance de base dedonnées

Requis

gsql_nsmversion Version NSM Requis. Si laissé vide, valeur par défaut : version6.x.



Migration de sources de données vers un autre récepteurVous pouvez réallouer ou redistribuer des sources de données entre des récepteurs du mêmesystème.Cela est particulièrement utile lorsque vous achetez un nouveau récepteur et souhaitez équilibrer lessources de données et les données associées entre les deux récepteurs, ou bien lorsque vous achetezun récepteur de remplacement plus grand et souhaitez transférer les sources de données entre lerécepteur actuel et le nouveau récepteur.


1 Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur pour le récepteurcontenant les sources de données, puis cliquez sur Sources de données.

2 Sélectionnez les sources de données à migrer, puis cliquez sur Migrer.

3 Sélectionnez le nouveau récepteur dans le champ Récepteur de destination, puis cliquez sur OK.

Déplacement de sources de données vers un autre systèmePour déplacer des sources de données d'un récepteur vers un autre système, vous devez sélectionnerles sources de données à déplacer, enregistrer ces sources de données et leurs données brutes dansun emplacement à distance, puis les importer vers l'autre récepteur.

Avant de commencerPour utiliser cette fonction, vous devez avoir des droits de gestion des équipements sur lesdeux récepteurs.

Utilisez cette procédure pour déplacer des sources de données d'un récepteur situé dans unemplacement sécurisé vers un récepteur situé dans un emplacement non sécurisé.

L'exportation d'informations de sources de données est soumise à quelques limites :



• Vous ne pouvez pas transférer des sources de données de flux (par exemple, IPFIX, NetFlow ousFlow).

• Les événements sources des événements corrélés ne s'affichent pas.

• Si vous effectuez une modification sur les règles de corrélation du second récepteur, le moteur decorrélation ne traite pas ces règles. Lors du transfert des données de corrélation, il insère cesévénements à partir du fichier.


Sélectionnez lessources de données etl'emplacement àdistance

1 Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur,puis cliquez sur Source de données.

2 Sélectionnez la source de données, puis cliquez sur Modifier.

3 Cliquez sur Avancé, puis sélectionnez Exporter vers NitroFile.

Les données sont exportées vers un emplacement à distance et configurées avecle profil.

4 Cliquez sur OK.

Dorénavant, les données brutes générées par cette source de données sontcopiées sur l'emplacement de partage à distance.

Créer un fichier dedonnées brutes

1 Accédez à l'emplacement de partage à distance où sont enregistrées lesdonnées brutes.

2 Enregistrez les données brutes générées dans un emplacement qui vouspermette de déplacer le fichier vers le second récepteur (par exemple un lecteuramovible que vous pouvez déplacer dans l'emplacement non sécurisé).

Créer un fichier dedescription dessource de données

1 Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur,puis cliquez sur Source de données | Importer.

2 Recherchez le fichier de sources de données que vous avez déplacé et cliquezsur Charger.

3 Dans la liste Profil de partage à distance, sélectionnez l'emplacement où vous avezenregistré les fichiers de données brutes. Si le profil ne figure pas dans la liste,cliquez sur Profil de partage à distance et ajoutez le profil.

4 Cliquez sur OK.

Les sources de données sont ajoutées au second récepteur et elles accèderont auxdonnées brutes via le profil de partage à distance.

Importer des donnéesbrutes et des fichiersde sources dedonnées

1 Dans l'arborescence de navigation du système, accédez à Sources de données sur lesecond récepteur, puis cliquez sur Importer.

2 Recherchez le fichier de sources de données que vous avez déplacé et cliquezsur Charger. La page Importer des sources de données répertorie les sources de donnéesà importer.

3 Dans la liste Profil de partage à distance, sélectionnez l'emplacement où vous avezenregistré les fichiers de données brutes. Si le profil ne figure pas dans la liste,cliquez sur Profil de partage à distance et ajoutez le profil (consultez la sectionConfiguration des profils).

4 Cliquez sur OK.



Configuration de la mémorisation automatique de sources de donnéesConfigurer ESM pour mémoriser automatiquement des adresses IP.

Avant de commencerVérifiez que les ports sont définis pour Syslog, MEF et les flux (consultez la sectionConfiguration des interfaces réseau).

Le pare-feu du récepteur s'ouvre durant la configuration, ainsi le système peut mémoriser unensemble d'adresses IP inconnues. Vous pouvez ensuite les ajouter au système en tant que sources dedonnées.

Lorsque vous effectuez la mise à niveau, les résultats de la mémorisation automatique sont supprimésde la page Mémoriser automatiquement. Si vous n'avez pas effectué d'action pour certains résultats demémorisation automatique avant la mise à niveau, vous devez exécuter la mémorisation automatiqueaprès la mise à niveau pour collecter à nouveau ces résultats.


1 Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur, puis cliquez surSources de données | Mémoriser automatiquement.

2 Définissez les paramètres nécessaires, puis cliquez sur Fermer.

Affichage des fichiers générés par des sources de donnéesPour afficher les fichiers générés par des sources de données, accédez à la page Afficher les fichiers. Vousne pouvez pas les afficher sur un vue ESM.


1 Dans l'arborescence de navigation du système, sélectionnez la source de données McAfee.

2 Sur la barre d'outils des actions, cliquez sur l'icône Afficher les fichiers .


• Entrez un nom de fichier dans le champ Filtre de nom de fichier pour trouver un fichier particulier.

• Modifiez les paramètres du champ Période pour afficher uniquement les fichiers générés durantune période.

• Cliquez sur Actualiser pour mettre à jour la liste de fichiers.

• Sélectionnez un fichier dans la liste, puis cliquez sur Télécharger pour télécharger le fichier.

4 Cliquez sur Annuler pour fermer la page.

Types de source de données définis par l'utilisateurLe tableau ci-dessous répertorie les types définis par l'utilisateur ainsi que le nom ou l'entréecorrespondant, qui s'affichent dans l'éditeur de sources de données.

ID Modèle del'équipement

Fournisseur Protocole Préfixe du nom derègle

Type d'éditeurde règle

49190 Défini par l'utilisateur 1 N/D syslog UserDefined1_ Generic





ID Modèle del'équipement

Fournisseur Protocole Préfixe du nom derègle

Type d'éditeurde règle








Sources de données prises en chargeMcAfee développe régulièrement la prise en charge de nouvelles sources de données. Les récepteurspeuvent contenir jusqu'à 2000, 200 ou 50 sources de données.

Pour consulter les guides de configuration actuels pour les sources de données, accédez au centre deconnaissances Knowledge Center.

Vous pouvez associer jusqu'à 2000 sources de données aux équipements suivants :

• ERC-1225 • ENMELM-5600

• ERC-1250 • ENMELM-5750

• ERC-2230 • ENMELM-6000

• ERC-2250 • ELMERC-2230

• ERC-2600 • ELMERC-2250

• ERC-3450 • ELMERC-2600

• ERC-4245 • ELMERC-4245

• ERC-4600 • ELMERC-4600

• ENMELM-2250 • ESMREC-4245



• ENMELM-5205

ERC-110 permet seulement 50 sources de données et tous les autres peuvent en contenir jusqu'à 200.

Correspondance des plages de sources de données :

• Types de source de données : 1–48,999

• Types définis par l'utilisateur : 49,001–49,999

• Réservé à McAfee (par exemple, les ensembles de règles) : 50,001–65,534

Si vous utilisez McAfee Firewall Enterprise Event Reporter (ERU), seules les sources de données McAfeesont disponibles.





Configuration de sources de données spécifiquesCertaines sources de données requièrent davantage d'informations et des paramètres de configurationspéciaux.Pour plus de détails, consultez les sections suivantes :

• Check Point • BigFix

• IBM Internet Security SystemsSiteProtector

• Common Event Format

• McAfee ePolicy Orchestrator • ArcSight

• ePolicy Orchestrator 4.0 • Security Device Event Exchange (SDEE)

• NSM-SEIM • Analyseur syntaxique de fichiers Syslogavancé

• Prise en charge des relais Syslog • Journal des événements WMI

• Adiscon

Vous pouvez également consulter les guides de configuration actuels pour ces sources de données,disponibles dans le centre de connaissances Knowledge Center.

Journal des événements WMIWMI est l'implémentation Microsoft de WBEM (Web-Based Enterprise Management) telle que définiepar l'organisme de normalisation DMTF (Distributed Management Task Force).Il s'agit de la principale technologie de gestion utilisée sur les systèmes d'exploitation Windows pourpartager des informations de gestion entre les applications de gestion. WMI est notamment très utilepour obtenir les données de gestion des ordinateurs distants.

WMI n'est pas conforme à FIPS Si vous devez respecter les réglementations FIPS, n'utilisez pas cettefonctionnalité.

Les journaux d'événements WMI sont configurés en tant que source de données et envoyés via lerécepteur. Le récepteur interroge le serveur Windows selon un intervalle défini et il collecte lesévénements. Le collecteur WMI peut collecter des événements de tout journal d'événements del'équipement Windows. Par défaut, le récepteur collecte des journaux de sécurité, d'administration etd'événements. Vous pouvez entrer d'autres fichiers journaux, par exemple d'un Service d'annuaire oud'Exchange. Les données des journaux d'événements sont collectées dans les données de paquet etvous pouvez les consulter dans les détails du tableau des événements.

Vous devez avoir des privilèges d'administrateur ou d'opérateur de sauvegarde pour accéder auxjournaux des événements WMI, sauf si vous utilisez Windows 2008 ou 2008 R2 à condition que lasource de données et l'utilisateur soient correctement configurés (consultez la section Configuration del'extraction de journaux de sécurité Windows).

Les équipements supplémentaires suivants sont pris en charge par la source de données WMI :

• McAfee Antivirus • Microsoft SQL Server

• Windows • RSA Authentication Manager

• Microsoft ISA Server • Symantec Antivirus

• Microsoft Active Directory • Microsoft Exchange

Pour obtenir des instructions sur la configuration de Syslog WMI via Adiscon, voir Configurationd'Adiscon.



Lorsque vous configurez une source de données WMI, le fournisseur (vendor) est Microsoft et le modèle(model) est WMI Event Log.

Configuration de l'extraction des journaux de sécurité WindowsSi vous utilisez Windows 2008 ou 2008 R2, les utilisateurs peuvent extraire les journaux de sécuritéWindows sans avoir des droits d'administrateur si la source de données WMI Event Log (Journal desévénements WMI) et l'utilisateur sont correctement configurés.


1 Créez un nouvel utilisateur sur le système Windows 2008 ou 2008 R2 sur lequel vous souhaitezpermettre la consultation des journaux d'événements.

2 Affectez l'utilisateur au groupe Lecteurs des journaux d'événements sur le système Windows.

3 Créez une nouvelle source de données WMI Event Log (Journal des événements) Microsoft surMcAfee Event Receiver, en entrant les informations d'identification de l'utilisateur créé à l'étape 1(consultez la section Ajout d'une source de données).

4 Sélectionnez la case Utiliser un appel de procédure distante (RPC), puis cliquez sur OK

Source de données de corrélationUne source de données de corrélation analyse les données issues d'un ESM, détecte les schémassuspects dans un flux de données, génère des alertes de corrélation qui représentent ces schémas etinsère ces alertes dans la base de données d'alertes du récepteur.

Un schéma suspect est représenté par des données interprétées par des règles de stratégie decorrélation, que vous pouvez créer et modifier. Les règles de ce type sont différentes et séparées desrègles Nitro IPS ou de pare-feu et leur fonctionnement est défini par des attributs.

Vous pouvez configurer une seule source de données de corrélation sur un récepteur, de façonsimilaire à la configuration de syslog ou OPSEC. Une fois que vous avez configuré la source dedonnées de corrélation d'un récepteur, vous pouvez déployer la stratégie par défaut de la corrélation,modifier les règles de base de cette stratégie par défaut de la corrélation ou ajouter des règlespersonnalisées et des composants, puis déployer la stratégie. Vous pouvez activer ou désactiverchaque règle et définir la valeur de chacun des paramètres de la règle définis par l'utilisateur. Pourobtenir des informations détaillées sur la stratégie de corrélation, voir Règles de corrélation.

Lorsque vous ajoutez une source de données de corrélation, le fournisseur est McAfee et le modèle estCorrelation Engine.

Si la source de données de corrélation est activée, l'ESM envoie des alertes au moteur de corrélationsur le récepteur.



Correspondance de la gravité et des actionsL'utilisation des paramètres de la gravité est légèrement différente de l'utilisation des paramètres desactions. L'objectif est d'établir une correspondance entre une valeur d'un message syslog et une valeurqui s'adapte au schéma du système.

• severity_map : la gravité est indiquée sous forme de valeur comprise entre 1 (gravité la plusfaible) et 100 (gravité la plus élevée) attribuée aux événements qui concordent avec la règle. Danscertains cas, l'équipement qui envoie le message peut indiquer la gravité sous forme de nombrecompris entre 1 et 10 ou de texte (élevée, moyenne, faible). Dans ce cas, la gravité ne peut pasêtre capturée et il est nécessaire de créer un mappage. Par exemple, voici un message issu deMcAfee IntruShield qui indique la gravité sous forme de texte.<113>Apr 21 07:16:11 SyslogAlertForwarder: Attack NMAP: XMAS Probe (Medium)\000

La syntaxe d'une règle qui utilise la mise en correspondance de la gravité serait du type suivant (lamise en correspondance de la gravité est mise en caractères gras uniquement pour l'identifier danscet exemple) :

alert any any any -> any any (msg:"McAfee Traffic"; content:"syslogalertforwarder";severity_map:High=99,Medium=55,Low=10; pcre:"(SyslogAlertForwarder)\x3a\s+Attack\s+([^\x27]+)\x27([^\x28]+)\x28"; raw; setparm:application=1; setparm:msg=2;setparm:severity=3; adsid:190; rev:1;)

severity_map : High=99,Medium=55,Low=10. Cela permet de faire correspondre le texte à unnombre dans un format que nous pouvons utiliser.

setparm : severity=3. Indique de prendre la troisième capture et de définir sa valeur égale à lagravité. Tous les modificateurs setparm fonctionnent de cette manière.

• action_map : utilisé comme la gravité. L'action représente l'action qui a été effectuée parl'équipement tiers. L'objectif avec l'action est de créer un mappage utile pour l'utilisateur final. Parexemple, voici un message d'échec de connexion issu d'OpenSSH.Dec 6 10:27:03 nina sshd[24259]: Failed password for root from 10.0.12.20 port49547 ssh2

alert any any any -> any any (msg:"SSH Login Attempt"; content:"sshd";action_map:Failed=9,Accepted=8;

pcre:"sshd\x5b\d+\x5d\x3a\s+((Failed|Accepted)\s+password)\s+for\s+((invalid|illegal)\s+user\s+)?(\S+)\s+from\s+(\S+)(\s+(\S+)\s+port\s+(\d+))?"; raw;setparm:msg=1; setparm:action=2; setparm:username=5; setparm:src_ip=6; adsid:190;rev:1;)

L'action (Failed) est mappée à un nombre. Ce nombre représente les différentes actions que nouspouvons utiliser sur notre système. La liste ci-dessous indique les types d'action qui peuvent êtreutilisés.

• 0 = nul • 20 = arrêter

• 1 = transmettre • 21 = constaté

• 2 = rejeter • 22 = approuvé

• 3 = abandonner • 23 = non approuvé

• 4 = sdrop • 24 = faux positif

• 5 = alerte • 25 = alerte-rejeter

• 6 = par défaut • 26 = alerte-abandonner



• 7 = erreur • 27 = alerte-sdrop

• 8 = opération réussie • 28 = redémarrer

• 9 = échec • 29 = bloquer

• 10 = urgence • 30 = nettoyer

• 11 = critique • 31 = nettoyage-échec

• 12 = avertissement • 32 = continuer

• 13 = informations • 33 = infecté

• 14 = déboguer • 34 = déplacer

• 15 = intégrité • 35 = déplacer-échec

• 16 = ajouter • 36 = quarantaine

• 17 = modifier • 37 = quarantaine-échec

• 18 = supprimer • 38 = supprimer-échec

• 19 = démarrer • 39 = refusé

Dans cet exemple, Failed est mappé avec 9 dans le message syslog, ce que le système signalecomme un échec (Failure).

Voici la structure détaillée d'une règle.

Alert any any any -> any any (msg:”Login Attempt”; content:”sshd”; action_map orseverity_map (si nécessaire); pcre:”your regular expression goes here”; raw;setparm:data_tag_goes_here; adsid:190; rev:1;)

Analyseur syntaxique de fichiers Syslog avancéL'analyseur syntaxique de fichiers Syslog avancé (ASP) permet d'analyser la syntaxe des données desmessages Syslog en fonction de règles définies par l'utilisateur. Les règles indiquent à l'analyseurcomment reconnaître un message donné et où se trouvent les données d'événement dans cemessage, par exemple les ID de signature, les adresses IP, les ports, les noms d'utilisateur et lesactions.

Cet analyseur peut être utilisé pour les équipements Syslog qui ne sont pas spécifiquement identifiéssur la page Ajouter une source de donnée ou lorsque l'analyseur propre à la source n'interprète pascorrectement les messages ou n'interprète pas intégralement les points de données relatifs auxévénements reçus. Il est également idéal pour trier des sources de journalisation complexes telles quedes serveurs Linux et UNIX. Pour utiliser cette fonctionnalité, vous devez écrire des règlespersonnalisées pour votre environnement Linux ou UNIX (consultez la section Ajout d'une règle ASPpersonnalisée).

Vous pouvez ajouter une source de données ASP au récepteur en sélectionnant Syslog commefournisseur (consultez la section Ajout d'une source de données). Une fois que vous avez effectuécela, suivez les instructions du fabricant de l'équipement pour configurer votre équipement Syslog defaçon à envoyer des données Syslog à l'adresse IP du récepteur.



Lorsque vous ajoutez une source ASP, vous devez appliquer une stratégie avant de collecter lesdonnées d'événement. Si vous activez la Prise en charge des messages Syslog génériques, vous pouvezappliquer une stratégie sans utiliser de règles et commencer à collecter des données d'événementsgénériques.

Certaines sources de données, telles que les serveurs Linux et UNIX, peuvent générer de grandesquantités de données non uniformes pouvant affecter la capacité du récepteur à regroupercorrectement des occurrences d'événements similaires. Cela peut donner l'impression d'avoir unegrande variété d'événements différents alors qu'en réalité le même événement est simplement répété,mais avec différentes données Syslog envoyées au récepteur.

L'ajout de règles à votre analyseur ASP vous permet d'optimiser l'exploitation des donnéesd'événement. L'analyseur ASP utilise un format très similaire à Snort.

ACTION Protocol Src_ip Src_port -> Dst_ip Dst_port (keyword: option; keyword:option;...;)

Lors de la concaténation d'une valeur de littéral avec une sous-capture PCRE dans la version 9.0.0 etultérieure, placez les littéraux entre guillemets s'ils contiennent des espaces ou d'autres caractères, etlaissez les références de sous-capture PCRE sans guillemets.

Les règles sont définies comme suit.

Section Champ Description

En-tête derègle

L'en-tête de règle contient l'action d'alerte et le format any any any. Larègle est la suivante :

ALERT any any any -> any any

Action Que faire avec l'événement en cas de concordance. Les options sont lessuivantes :

• ALERT : journaliser l'événement

• DROP : journaliser l'événement, mais ne pas le transférer

• SDROP : ne pas journaliser ni transférer l'événement

• PASS : transférer si défini, mais ne pas journaliser

Protocole Si l'événement définit un protocole, filtrer la concordance en fonction duprotocole.

Src/Dst IP Si l'événement définit une adresse IP source ou de destination, filtrer laconcordance en fonction de cette adresse.

Src/Dst Port Si l'événement définit un port source ou destination, filtrer la concordanceen fonction de ce port.

Corps de larègle

Le corps de la règle contient la plupart des critères de concordance. Ildéfinit la manière d'effectuer l'analyse syntaxique des données et deconsigner les données dans la base de données ESM. Les éléments ducorps de la règle sont définis dans des paires mot clé-option. Certainsmots clés ne sont pas suivis d'une option.

msg (Requis) Message à associer à cette règle. Cette chaîne s'affiche dansESM Thin Client pour la génération de rapports, sauf si elle est remplacéepar un message pcre/setparm détecté (consultez la section ci-dessous).msg indique d'abord le nom de la catégorie, puis le message réel (msg :"category rule message").

content (Facultatif : un ou plusieurs) Le mot-clé content est un qualificateur detexte non générique pour pré-filtrer les événements qui passent par le jeude règles, qui peut également contenir des espaces (par exemple,content: "search 1"; content "something else")



Section Champ Description

procname Sur de nombreux systèmes UNIX et Linux, le nom du processus (et l'IDde processus) fait partie de l'en-tête de message Syslog normalisé. Lemot-clé procname peut être utilisé pour filtrer les concordancesd'événement pour la règle. Il permet d'exclure ou de filtrer lesconcordances d'événement lorsque deux processus sur un serveur Linuxou UNIX ont des textes de message identiques ou similaires.

adsid ID de source de données à utiliser. Cette valeur remplace l'Affectation de règlepar défaut dans l'éditeur de source de données.

sid ID de signature de la règle. ID de concordance utilisé dans ESM ThinClient, sauf s'il est remplacé par un sid pcre/setparm détecté.

rev Révision de la règle. Permet de suivre les modifications.

gravité Valeur comprise entre 1 (gravité la plus faible) et 100 (gravité la plusélevée) attribuée aux événements qui concordent avec la règle.

pcre Le mot-clé PCRE (Perl Compatible Regular Expression) est la concordanced'une expression régulière compatible Perl avec les événements entrants.Le mot-clé PCRE est délimité par des guillemets et toute occurrence de "/"est traitée comme un caractère normal. Le contenu entre parenthèses estconservé pour l'utilisation du mot-clé setparm. Le mot-clé PCRE peut êtremodifié par les mots-clés nocase, nomatch, raw et setparm.

nocase Fait concorder le contenu PCRE quelle que soit la casse.

nomatch Inverse la concordance PCRE (équivalent à !~ en Perl).

raw Compare le mot-clé PCRE à l'ensemble du message Syslog, y compris lesdonnées d'en-tête (installation, démon, date, hôte/IP, nom et ID duprocessus). En principe, l'en-tête n'est pas utilisé dans la concordancePCRE.

setparm Peut se produire plusieurs fois. Un nombre est attribué à chaqueensemble de parenthèses du mot-clé PCRE, par ordre d'occurrence. Cesnombres peuvent être attribués aux marqueurs de données (parexemple : setparm:username=1). Le texte capturé est placé dans lepremier ensemble de parenthèses et il est attribué au marqueur dedonnées du nom d'utilisateur. Les marqueurs reconnus sont répertoriéesdans le tableau ci-dessous.

Marqueur Description

* sid Ce paramètre capturé remplace le sid de la règle qui concorde.

* msg Ce paramètre capturé remplace le message ou le nom de la règle qui concorde.

* action Ce paramètre capturé indique quelle action a effectué l'équipement tiers.

* protocol

* src_ip Remplace l'IP de la source Syslog qui est l'IP source par défaut d'un événement.

* src_port

* dst_ip

* dst_port

* src_mac

* dst_mac

* dst_mac

* genid Permet de modifier le sid stocké dans la base de données, qui est utilisé pour lesconcordances Snort non McAfee dans les pré-processeurs Snort.

* url Réservé, mais pas encore utilisé.




* src_username Premier nom d'utilisateur ou nom d'utilisateur source.

* username Autre nom pour src_username.

* dst_username Deuxième nom d'utilisateur ou nom d'utilisateur de destination.

* domain

* hostname

* application

* severity Doit être un nombre entier.

* action map Vous permet d'établir une correspondance entre les actions spécifiques de votreproduit et les actions McAfee. La mise en correspondance des actions tient comptede la casse. Exemple : alert any any any -> any any (msg:"OpenSSH AcceptedPassword"; content:"Accepted password for "; action_map:Accepted=8,Blocked=3; pcre:"(Accepted)\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;)). Pour plusd'informations, voir Correspondance de la gravité et des actions.

* severity map Vous permet d'établir une correspondance entre les gravités spécifiques de votreproduit et les gravités McAfee. La mise en correspondance des gravités tientcompte de la casse, comme pour les actions. Exemple : alert any any any -> anyany (msg:"OpenSSH Accepted Password"; content:"Accepted password for ";severity_map:High=99, Low=25, 10=99, 1=25; pcre:"(Accepted)\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)";setparm:action=1; sid:31; rev:1;))pri(?:\x3d|\x3a)\s*(?:p\x5f)?([^\x2c]+). Pourplus d'informations, voir Correspondance de la gravité et des actions.

* var Autre façon d'utiliser setparms. Toutefois, il est préférable de créer une valeur àpartir de captures de plusieurs PCRE. Vous pouvez créer plusieurs PCRE quicapturent uniquement une petite partie de votre chaîne plutôt qu'un grand PCREavec plusieurs captures. Voici un exemple représentant la capture du nomd'utilisateur et du domaine, ainsi que la création d'une adresse e-mail pour lestockage dans le champ objectname.

• Syntaxe = var:field=${PCRE:Capture}

• PCRE = pas le PCRE lui-même, mais le numéro du pcre. Si votre règle comportedeux PCRE, vous auriez un PCRE égal à 1 ou 2.

• Capture = pas le PCRE lui-même, mais le numéro (première, deuxième outroisième capture [1,2,3]).

• Exemple de message : Un homme nommé Jim travaille pour McAfee.

• PCRE : (Jim).*?(McAfee)

• Règle : alert any any any -> any any (msg:"Var User Jim"; content:"Jim";pcre:"(Jim)"; pcre:"(McAfee)"; var:src_username=${1:1}; var:domain=${2:1};var:objectname=${1:1}@${2:1}.com raw; classtype:unknown; adsid:190; sev:25; sid:610061000; rev:1; normID:1209008128; gensys:T;)

• Utilisateur source mis en correspondance : Jim

• Domaine mis en correspondance : McAfee

• objectname mis en correspondance : [email protected]

* sessionid Il s'agit d'un nombre entier.

* commandname Il s'agit d'une valeur de chaîne.

* objectname Il s'agit d'une valeur de chaîne.




* event_action Ce marqueur permet de définir une action par défaut. Vous ne pouvez pas utiliserevent_action et action_map dans la même règle. Par exemple, si vous avez unévénement pour une connexion réussie, vous pouvez utiliser le marqueurevent_action et définir l'action par défaut sur la réussite (par exemple,event_action:8;).

* firsttime_fmt Permet de définir la première occurrence de l'événement. Voir la liste des formats.

* lasttime_fmt Permet de définir la dernière occurrence de l'événement. Voir la liste des formats.Vous pouvez l'utiliser avec setparm ou var (var:firsttime="${1:1}" ousetparm:lasttime="1"). Par exemple :

alert any any any -> any any (msg:"SSH Login Attempt"; content:"content";firsttime_fmt:"%Y-%m-%dT%H:%M:%S.%f"; lasttime_fmt:"%Y-%m-%dT%H:%M:%S.%f" pcre:"PCRE goes here; raw; setparm:firsttime=1;setparm:lasttime=1; adsid:190; rev:1;)

Pour plus d'informations sur les formats pris en charge, voir http://pubs.opengroup.org/onlinepubs/009695399/functions/strptime.html

%Y - %d - %m %H : %M : %S

%m - %d - %Y %H : %M : %S

%b %d %Y %H : %M : %S

%b %d %Y %H - %M - %S

%b %d %H : %M : %S %Y

%b %d %H - %M - %S %Y

%b %d %H : %M : %S

%b %d %H - %M - %S

%Y %H : %M : %S

%Y %H - %M - %S

%m - %d - %Y

%H : %M : %S

%H - %M - %S

%Y est l'année en 4 chiffres

%m est le numéro du mois (1-12)

%d est la date (1-31)

%H indique les heures (1-24)

%M indique les minutes (0-60)

%S indique les secondes (0-60)

%b est l'abréviation du mois (dec, jan)

Voici un exemple de règle qui identifie un mot de passe basé sur la connexion OpenSSH et extrait del'événement l'adresse IP, l'adresse IP source, le port source et le nom d'utilisateur :

alert any any any -> any any (msg:"OpenSSH Accepted Password";content:"Acceptedpassword for ";pcre:"Accepted\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)";setparm:username=1;setparm:src_ip=2;setparm:src_port=3;sid:31;rev:1;)

Pour accéder aux ressources en ligne relatives à PCRE, consultez http://perldoc.perl.org/perlre.html.



Ajout d'une source de données ASP avec un codage différentESM lit les données codées avec UTF-8. Si une source de données ASP (analyseur syslog avancé)génère des données avec un codage différent, vous devez l'indiquer lors de l'ajout de la source dedonnées.


1 Dans l'arborescence de navigation du système, cliquez sur le récepteur, puis sur l'icône Ajouter une

source de données .

2 Sélectionnez Générique dans le champ Fournisseur de la source de données, puis Analyseur syslog avancé dans lechamp Modèle de source de données.

3 Entrez les informations demandées et sélectionnez le codage correct dans le champ Codage.

Les données de cette source de données sont mises dans un format qui permet au récepteur de leslire lorsqu'il les reçoit.

Security Device Event Exchange (SDEE)Le format SDEE constitue une méthode standard qui permet de représenter des événements généréspar différents types d'équipements de sécurité. La spécification SDEE indique que les événementsSDEE sont transférés via le protocole HTTP ou HTTPS. Les serveurs HTTP qui utilisent le format SDEEpour fournir les informations des événements aux clients sont appelés fournisseurs SDEE, tandis queles déclencheurs de requêtes HTTP sont appelés clients SDEE.

Cisco a défini plusieurs extensions à la norme SDEE et a créé la norme CIDEE. Le récepteur peut jouerle rôle d'un client SDEE qui demande les données CIDEE générées par les systèmes de prévention desintrusions de Cisco.

Contrairement à certains autres types de sources de données pris en charge par le récepteur, leformat SDEE utilise un modèle d'extraction (pull) plutôt qu'un modèle de diffusion (push). Cela signifieque le récepteur contacte régulièrement le fournisseur SDEE et demande les nouveaux événementsgénérés depuis la dernière extraction d'événements. Lors de chaque demande d'événements auprèsdu fournisseur SDEE, les événements sont traités et stockés dans la base de données d'événement durécepteur, puis ils peuvent être récupérés par l'ESM.

Vous pouvez ajouter un fournisseur SDEE à un récepteur en tant que source de données ensélectionnant Cisco comme fournisseur et IOS IPS (SDEE) comme modèle de source de données(consultez la section Ajout d'une source de données).

Le récepteur peut extraire les informations ci-dessous à partir d'un événement SDEE/CIDEE :

• Adresses IP source et de destination

• Ports source et de destination

• Protocole

• Heure de l'événement

• Nombre d'événements (CIDEE fournit un type d'agrégation d'événements qui est reconnu par lerécepteur)

• ID signature et sous-ID



• L'ID d'événement ESM est calculé à partir de l'ID de signature SDEE et l'ID de sous-signatureCIDEE ID avec la formule suivante :

ID ESMI = (ID SDEE * 1000) + Sous-ID CIDEE

Par conséquent, si l'ID de signature SDEE est 2000 et l'ID de sous-signature CIDEE est 123, l'IDd'événement ESMI serait 2000123.

• Réseau local virtuel (VLAN)

• Gravité

• Description de l'événement

• Contenu du paquet (si disponible).

Lorsque le récepteur se connecte au fournisseur SDEE pour la première fois, la date et l'heureactuelles constituent le point de départ de la demande d'événements. Lors des connexions suivantes,tous les événements générés depuis la précédente extraction réussie sont demandés.

Configuration d'ePolicy Orchestrator 4.0Désormais, la source de données McAfee Event Receiver pour ePolicy Orchestrator prend en chargeePolicy Orchestrator 4.0. ePolicy Orchestrator 4.0 stocke les événements dans la base de donnéesSQL Server. La source de données ePolicy Orchestrator se connecte à cette base de données SQLServer via JDBC pour extraire les informations d'événements. Vous devez créer un nom d'utilisateur(ID) et un mot de passe dans la base de données ePolicy Orchestrator à utiliser avec la source dedonnées de ePolicy Orchestrator.


1 Connectez-vous au serveur de base de données ePolicy Orchestrator.

2 Lancez SQL Server Enterprise Manager en sélectionnant Démarrer | Tous les programmes | Microsoft SQL Server |Enterprise Manager.

3 Développez le nœud racine de la Console plusieurs fois pour afficher les éléments situés sous ledossier Sécurité.

4 Cliquez avec le bouton droit sur l'icône Connexions, puis sélectionnez Nouvelle connexion dans le menu.

5 Sur la page Propriétés de connexion à SQL Server - Nouvelle connexion, indiquez les informations suivantes surl'onglet Général :

a Dans le champ Nom, entrez le nom d'utilisateur à utiliser pour la connexion entre la source dedonnées de ePolicy Orchestrator et la base de données ePolicy Orchestrator (par exemple,nfepo).

b Dans Authentification, sélectionnez Mot de passe d'authentification SQL Server, puis entrez le mot de passe.

c Dans Valeurs par défaut, sélectionnez la base de données ePolicy Orchestrator (ePO4_<nom_hôte>)dans la liste déroulante Base de données.

Si vous laissez la Base de données par défaut comme base de données maître, la source de données deePolicy Orchestrator ne peut pas extraire les événements.

6 Dans l'onglet Accès à la base de données, sélectionnez l'option Autoriser associée à la base de donnéesePolicy Orchestrator.



7 Pour Autoriser dans Rôle de base de données, sélectionnez db_datareader, puis cliquez sur OK

8 Confirmez le nouveau mot de passe, puis cliquez sur OK.

Ajout d'une source de données ArcSightAjouter des sources de données pour un équipement ArcSight.


1 Dans l'arborescence de navigation du système, sélectionnez le nœud Récepteur.

2 Cliquez sur l'icône Ajouter une source de données dans la barre d'outils des actions.

3 Sélectionnez ArcSight dans le champ Fournisseur de la source de données, puis sélectionnez CEF (CommonEvent Format) dans le champ Modèle de source de données.

4 Entrez un nom pour la source de données, puis entrez l'adresse IP ArcSight.

5 Remplissez les autres champs (consultez la section Ajout d'une source de données).

6 Cliquez sur OK.

7 Configurez une source de données pour chaque source qui transfère des données à l'équipementArcSight.

La syntaxe des données reçues d'ArcSight est analysée pour permettre l'affichage des données sur laconsole ESM.

CEF (Common Event Format)Actuellement, ArcSight convertit les événements de 270 sources de données au format d'événementcommun appelé CEF (Common Event Format) en utilisant des connecteurs intelligents. Le format CEFest une norme d'interopérabilité pour les équipements qui génèrent des événements ou des journaux.Il contient les informations essentielles des équipements et facilite l'analyse syntaxique et l'utilisationdes événements.

Il n'est pas nécessaire que le message relatif à un événement soit explicitement généré par leproducteur de l'événement. La mise en forme du message est effectuée avec un préfixe communcomposé de champs délimités par une barre verticale (|). Le préfixe est obligatoire et tous les champsdéfinis doivent être présents. Des champs supplémentaires sont définis dans l'extension. Le format estle suivant :

CEF:Version|Fournisseur d'équipement|Produit équipement|Version d'équipement|IDClasseEvénementEquipement|Nom|Gravité|Extension

La partie Extension du message est un espace réservé pour des champs supplémentaires. Voici ladéfinition des champs du préfixe :

• Version : nombre entier qui indique la version du format CEF. Les consommateurs de l'événementutilisent cette information pour déterminer ce que représentent les champs. Actuellement, seule laversion 0 (zéro) est établie dans le format ci-dessus. L'expérience peut montrer que d'autreschamps doivent être ajoutés au préfixe, ce qui requiert la modification du numéro de version.L'ajout de nouveaux formats est géré via l'organisme de normalisation.

• Fournisseur d'équipement, Produit équipement et Version d'équipement : chaînes qui identifient de façon uniquele type de l'équipement qui est à l'origine de l'envoi. Deux produits ne peuvent pas utiliser la mêmepaire équipement-fournisseur et équipement-produit. Aucune autorité centrale ne gère ces paires.Les producteurs d'événements doivent veiller à attribuer des paires de noms uniques.



• IDClasseEvénementEquipement : identificateur unique par événement-type. Il peut s'agir d'une chaîne oud'un nombre entier. IDClasseEvénementEquipement identifie le type d'événement signalé. Dans lecadre d'un système de détection des intrusions (IDS), un IDClasseEvénementEquipement estattribué à chaque signature ou règle qui détecte certaines activités. Cet identificateur estobligatoire pour d'autres types d'équipement également, car il aide les moteurs de corrélation àgérer les événements.

• Nom : chaîne représentant une description de l'événement lisible par l'utilisateur. Le nom del'événement ne doit pas contenir d'informations spécifiquement mentionnées dans d'autreschamps. Par exemple : « Port scan from 10.0.0.1 targeting 20.1.1.1 » n'est pas un nomd'événement approprié. Il doit être : « Port scan » Les autres informations sont redondantes etpeuvent provenir des autres champs.

• Gravité : nombre entier qui indique l'importance de l'événement. Seuls les nombres 0 à 10 sontautorisés, où 10 indique l'événement le plus important.

• Extension : ensemble de paires clé-valeur. Les clés font partie d'un ensemble prédéfini. La normepermet d'inclure des clés supplémentaires comme décrit plus loin. Un événement peut contenirtout nombre de paires clé-valeur dans n'importe quel ordre, séparées par un espace. Si un champcontient un espace, par exemple un nom de fichier, cela est accepté et journalisé tel quel. Parexemple :

fileName=c:\Program Files\ArcSight is a valid token.

Voici un exemple de message :

Sep 19 08:26:10 zurich CEF:0|security|threatmanager|1.0|100|worm successfully stopped|10|src=10.0.0.1 dst=2.1.2.2 spt=1232

Si vous utilisez NetWitness, votre équipement doit être correctement configuré pour envoyer le CEF aurécepteur. Par défaut, le format CEF est du type suivant lors de l'utilisation de NetWitness :

CEF:0|Netwitness|Informer|1.6|{name}|{name}|Medium | externalId={#sessionid}proto={#ip.proto} categorySignificance=/Normal categoryBehavior=/Authentication/VerifycategoryDeviceGroup=/OS categoryOutcome=/Attempt categoryObject=/Host/Application/Service act={#action} deviceDirection=0 shost={#ip.host} src={#ip.src}spt={#tcp.srcport} dhost={#ip.host} dst={#ip.dst} dport={#tcp.dstport}duser={#username} dproc=27444 fileType=security cs1={#did} cs2={#password} cs3=4 cs4=5cn1={#rid} cn2=0 cn3=0

Pour obtenir le format correct, vous devez remplacer « dport » par « dpt ».

Configuration d'AdisconSyslog WMI est pris en charge via Adiscon.

La chaîne au format ci-dessous doit être utilisée dans Event Reporter pour que la source de donnéesd'événement Windows Microsoft Adiscon fonctionne correctement :

%sourceproc%,%id%,%timereported:::uxTimeStamp%,%user%,%category%,%Param0%;%Param1%;%Param2%;%Param3%;%Param4%;%Param5%;%Param6%;%Param7%;%Param8%;%Param9%;%Param10%;%Param11%;%Param12%;%Param13%;%Param14%;%Param15%



Prise en charge des relais SyslogLe transfert d'événements au récepteur depuis divers équipements via un serveur de relais Syslogrequiert des étapes supplémentaires.

Vous devez ajouter une seule source de données de relais Syslog pour accepter le flux de données etles sources de données supplémentaires. Cela permet au récepteur de répartir le flux de donnéesentre les sources de données d'origine. Sylog-ng et Splunk sont pris en charge. Ce scénario estreprésenté dans le diagramme suivant :

1 Equipement Cisco ASA 5 Source de données 1 : relais Syslog

2 Equipement SourceFire Snort 6 Source de données 2 : Cisco ASA

3 Equipement TippingPoint 7 Source de données 3 : sourceFire Snort

4 Relais Syslog 8 Source de données 4 : TippingPoint

En suivant cet exemple de scénario, vous devez configurer la source de données de relais Syslog (5)pour recevoir le flux de données du relais Syslog (4), en sélectionnant syslog dans le champ RelaisSyslog. Une fois la source de données de relais Syslog configurée, ajoutez les sources de données pourchaque équipement particulier (6, 7, et 8), en sélectionnant Aucun dans le champ Relais Syslog, car cetéquipement n'est pas un serveur de relais Syslog.

La fonctionnalité Chargement de messages Syslog ne fonctionne pas dans une configuration de relais Syslog.

L'en-tête du message Syslog doit être configuré pour qu'il soit du type suivant : 1 <123> 345 Oct 712:12:12 2012 mcafee.com httpd[123]

où

1 = version syslog (facultatif)

345 = longueur du message Syslog (facultatif)

<123> = installation (facultatif)

Oct 7 12:12:12 2012 = date ; des centaines de formats sont pris en charge (obligatoire)

mcafee.com nom d'hôte ou adresse IP (ipv4 ou ipv6) (obligatoire)

httpd = nom de l'application (facultatif)

[123] PID de l'application (facultatif)

: = le signe deux-points (facultatif)

Le nom d'hôte et les champs de données peuvent s'afficher dans n'importe quel ordre. Une adresseIPv6 peut être mise entre crochets [ ].



Exécution de l'outil de configuration NSM-SIEMAvant de configurer une source de données NSM, vous devez exécuter l'outil de configurationNSM-SIEM.


1 Téléchargez l'outil de configuration.

a Accédez au site web de téléchargement de produits McAfee.

b Dans la zone de recherche Télécharger mes produits, entrez le numéro de client (Grant Number) quivous a été fourni.

c Cliquez sur Recherche. Les fichiers de mise à jour des produits se trouvent sous le lien detéléchargements MFE <nom produit> <version>.

d Lisez l'Accord de licence utilisateur final McAfee (EULA) et cliquez sur J'accepte.

e Téléchargez les fichiers de l'Outil de configuration NSM-SIEM.

2 Exécutez l'outil de configuration sur le serveur NSM.

L'outil doit trouver le chemin d'accès par défaut de NSM. S'il ne le trouve pas, sélectionnez-le.

3 Entrez l'utilisateur NSM SQL, ainsi que le mot de passe et le nom de la base de données saisis lorsde l'installation de NSM.

4 Entrez le nom d'utilisateur et le mot de passe SIEM sur la source de données, ainsi que l'adresse IPdu récepteur où est ajoutée la source de données.

Ces informations sont saisies sur l'écran de la source de données.

Configuration d'ePolicy OrchestratorVous pouvez configurer plusieurs sources de données ePolicy Orchestrator pour les faire pointer vers lamême adresse IP avec différents noms dans le champ du nom de la base de données.

Cela vous permet de configurer autant de sources de données ePolicy Orchestrator que vous souhaitezet de les faire pointer vers une autre base de données de votre serveur central. Dans les champs IDd'utilisateur et Mot de passe indiquez les informations d'accès à la base de données ePolicy Orchestrator,puis dans le champ Version indiquez la version de l'équipement ePolicy Orchestrator. Le numéro de portpar défaut est 1433.

Le Nom de la base de données est requis. Si le nom de la base de données contient un tiret, vous devezmettre le nom entre crochets (par exemple, [ePO4_WIN-123456]).

L'option Requête ePO vous permet d'effectuer une requête sur l'équipement ePolicy Orchestrator et decréer des sources de données clientes. Si l'option par défaut Faire concorder par type est sélectionnée dansle champ Utiliser les sources de données clientes et que vous cliquez sur Requête ePO, une requête est envoyéeà l'équipement ePolicy Orchestrator et tous les produits ePolicy Orchestrator pris en charge sontajoutés en tant que sources de données clientes.

Les produits suivants sont pris en charge s'ils sont entièrement intégrés à ePolicy Orchestrator :

• ANTISPYWARE • MNAC

• DLP • POLICYAUDITOR

• EPOAGENT • SITEADVISOR

• GSD • VIRUSCAN



• GSE • SOLIDCORE

• HOSTIPS

Si l'option Faire concorder par IP est sélectionnée, une requête est envoyée à l'équipement ePolicyOrchestrator et celui-ci crée des sources de données clientes pour tous les postes clients de la base dedonnées ePolicy Orchestrator. Si le nombre de postes clients de la base de données ePolicyOrchestrator est supérieur à 256, plusieurs sources de données sont créées avec des clients.

Les données d'évaluation des risques par McAfee sont acquises à partir des serveurs ePolicyOrchestrator. Vous pouvez définir plusieurs serveurs ePolicy Orchestrator à partir desquels acquérirdes données McAfee Risk Advisor. Les données McAfee Risk Advisor sont acquises via une requête debase de données issue de la base de données SQL Server ePolicy Orchestrator. La requête de base dedonnées génère une liste de résultats indiquant l'adresse IP et le score de réputation, ainsi que desvaleurs constantes pour la réputation élevée ou faible. Les listes ePolicy Orchestrator et McAfee RiskAdvisor sont fusionnées et le score le plus élevé est attribué aux adresses IP en double. Cette listefusionnée est envoyée, avec les valeurs faibles et élevées, à tous les équipements ACE pourl'évaluation des champs IP source (SrcIP) et IP destination (DstIP).

Lorsque vous ajoutez une source de données ePolicy Orchestrator et cliquez sur OK pour l'enregistrer,un message vous demande si vous souhaitez utiliser cette source de données pour configurer lesdonnées McAfee Risk Advisor. Si vous cliquez sur Oui, une règle d'enrichissement des données et deuxrègles de score ACE (le cas échéant) sont créées et déployées. Pour les afficher, consultez les pagesActiver l'enrichissement des données et Score de la corrélation des risques. Pour utiliser les règles de score, vousdevez créer un gestionnaire de corrélation des risques (voir Ajout d'un gestionnaire de corrélation desrisques).

IBM Internet Security System SiteProtectorLe récepteur peut récupérer des événements issus d'un serveur SiteProtector ISS (Internet SecuritySystems) en effectuant une requête sur le serveur Microsoft SQL Server de la base de donnéesSiteProtector qui stocke ses événements.

Contrairement à certains autres types de sources de données pris en charge par le récepteur, larécupération d'événements sur un serveur SiteProtector est effectuée en utilisant un modèled'extraction (pull) plutôt qu'un modèle de diffusion (push). Cela signifie que le récepteur contacterégulièrement la base de données SiteProtector et demande les nouveaux événements qui ont étégénérés depuis la dernière extraction d'événements. Après chaque extraction d'événements duserveur SiteProtector, les événements sont traités et stockés dans la base de données d'événement durécepteur, puis ils peuvent être récupérés par l'ESM.

Deux options de type d'équipement sont disponibles : Serveur et Equipement managé. La configurationd'une source de données avec le type d'équipement Serveur sélectionné est la condition minimalepour la collecte d'événements sur un serveur SiteProtector.

Une fois que vous avez configuré une source de données de serveur SiteProtector, tous lesévénements collectés issus du serveur SiteProtector s'affichent comme appartenant à cette source dedonnées, quel que soit l'actif qui a signalé l'événement au serveur SiteProtector. Pour identifier lesévénements en fonction de l'actif qui a signalé l'événement à SiteProtector, vous pouvez configurerd'autres sources de données SiteProtector en sélectionnant le type d'équipement Equipement managé.

L'option Avancé au bas de la page vous permet de définir une URL qui permet de lancer des URLparticulières lors de la visualisation de données d'événement. Vous pouvez également définir unfournisseur, un produit et une version à utiliser pour le transfert d'événements au format CEF(Common Event Format). Ces paramètres sont facultatifs.



Pour que le récepteur interroge la base de données SiteProtector pour récupérer les événements,l'installation de Microsoft SQL Server hébergeant la base de données utilisée par SiteProtector doitaccepter les connexions du protocole TCP/IP.

Pour savoir comment activer ce protocole et définir le port utilisé pour ces connexions (le port pardéfaut est 1433), consultez la documentation de Microsoft SQL Server.

Lorsque le récepteur se connecte pour la première fois à la base de données SiteProtector, lesnouveaux événements générés après l'heure actuelle sont récupérés. Lors des connexions suivantes, ilrécupère tous les événements qui se sont produits après la précédente récupération réussie.

Le récepteur extrait les informations suivantes d'un événement SiteProtector :

• Adresses IP source et de destination (IPv4) • Nombre d'événements

• Ports source et de destination • Réseau local virtuel (VLAN)

• Protocole • Gravité

• Heure de l'événement • Description de l'événement

Configuration de Check PointConfigurer des sources de données qui couvrent Provider 1, Check Point High Availability et la plupartdes environnements Check Point standards.

La première étape consiste à ajouter la source de données Check Point parente (consultez la sectionAjout d'une source de données). Vous devez ajouter une source de données pour le serveur dejournaux si la source de données parente ne remplit pas la fonction de serveur de journaux et si vousavez un serveur de journaux dédié. Ajoutez également des sources de données enfants selon lesbesoins. Dans le cas d'un environnement à haute disponibilité, vous devez ajouter une source dedonnées enfant pour chaque SMS/CMA secondaire.


1 Ajouter une source de données parente pour votre SMS/CMA où est stocké l'application ou lecertificat OPSEC, ou bien, dans le cas d'un récepteur haute disponibilité, votre SMS/CMA principal.

OPSEC n'est pas conforme à FIPS Si vous devez respecter les réglementations FIPS, n'utilisez pascette fonctionnalité (consultez la section Annexe A).

2 Cliquez sur Options.

3 Sur la page Paramètres avancés, sélectionnez la méthode de communication, puis entrez le Nom unique del'entité serveur de cette source de données.

4 Cliquez deux fois sur OK.

5 Procédez comme suit, si nécessaire :



Erreur Action à effectuer

SIC Error for lea (Erreur SICpour lea) : Client could notchoose an authenticationmethod for service lea (leclient n'a pas pu choisirde méthoded'authentification pourlea)

1 Vérifiez que vous avez sélectionné les paramètres corrects pour Utiliserl'authentification et Utiliser le chiffrement lorsque vous avez ajouté la sourcede données Check Point.

Si vous avez sélectionné Utiliser l'authentification uniquement, le clientOPSEC tente de communiquer avec le serveur de journaux enutilisant « sslca_clear ». Si vous avez sélectionné Utiliser l'authentificationet Utiliser le chiffrement, le client OPSEC tente de communiquer avec leserveur de journaux en utilisant « sslca ». Si vous n'avez sélectionnéni l'un ni l'autre, le client OPSEC tente de communiquer avec leserveur de journaux en utilisant « none ».

2 Vérifiez que dans l'application OPSEC que vous utilisez pourcommuniquer avec le serveur de journaux Check Point, LEA estsélectionné dans la section Client Entities (Entités client).

3 Si la vérification de ces deux étapes est correcte, recherchez le fichiersic_policy.conf sur votre installation du serveur de journauxCheck Point. Par exemple, sur un système R65 Linux, le fichier setrouve dans /var/opt/CPshrd-R65/conf.

4 Lorsque vous déterminez la méthode de communication (méthoded'authentification dans le fichier) qui autorise la méthode decommunication LEA sur le serveur de journaux, sélectionnez cetteméthode de communication sur la page Paramètres avancés dans Méthodede communication.

SIC Error for lea (Erreur SICpour lea) : Peer sent wrong DN(l'homologue a envoyé un nomunique (DN) incorrect) : <dnattendu>

• Indiquez une chaîne pour la zone de texte Nom unique de l'entité serveur enentrant la chaîne qui représente « <dn attendu> » dans le messaged'erreur.

Une alternative consiste à chercher le nom unique du serveur dejournaux Check Point en cherchant l'objet réseau du serveur dejournaux Check Point sur l'interface utilisateur Smart Dashboard.

Le nom unique (DN) de SMS/CMA est similaire au nom unique del'application OPSEC, il suffit de remplacer la première entrée parCN=cp_mgmt. Prenons par exemple une application OPSEC avec le nomunique (DN) CN=mcafee_OPSEC,O=r75..n55nc3. Le nom unique (DN)de SMS/CMA serait CN=cp_mgmt,O=r75..n55nc3. Le nom unique (DN)du serveur de journaux serait du type CN=CPlogserver,O=r75..n55nc3.

6 Ajoutez une source de données enfant pour chaque pare-feu, serveur de journaux ou SMS/CMAsecondaire géré par la source de données parente que vous configurez (consultez la section Ajoutd'une source de données enfant).

Le type d'équipement pour toutes les sources de données pare-feu/passerelle est Equipement de sécurité.La Console de rapport parente est par défaut la source de données parente.

Jeux de règles McAfeeCe tableau répertorie les jeux de règles McAfee ainsi que les identificateurs des sources de donnéesexternes.

ID de source dedonnées

Nom d'affichage RSID correspondant Plage de règles

50201 Pare-feu 0 2,000,000–2,099,999

50202 Pare-feu personnalisé 0 2,200,000–2,299,999

50203 Signatures personnalisées 0 5,000,000–5,999,999



ID de source dedonnées

Nom d'affichage RSID correspondant Plage de règles

50204 Interne 0 3,000,000–3,999,999

50205 Vulnérabilité et exploit 2 N/D

50206 Contenu adulte 5 N/D

50207 Chat 8 N/D

50208 Stratégie 11 N/D

50209 Peer to Peer 14 N/D

50210 Multimédia 17 N/D

50211 Alpha 25 N/D

50212 Virus 28 N/D

50213 Perimeter Secure Application 31 N/D

50214 Passerelle 33 N/D

50215 Logiciel malveillant (malware) 35 N/D

50216 SCADA 40 N/D

50217 MCAFEESYSLOG 41 N/D

Sources d'actifs de récepteurUn actif est un équipement du réseau qui dispose d'une adresse IP. L'onglet Actif dans Asset Manager vouspermet de créer des actifs, de modifier leurs marqueurs, de créer des groupes d'actifs, d'ajouter dessources d'actif et d'attribuer un actif à un groupe d'actifs. Il permet également de gérer les actifs issusdes fournisseurs de VA.

La fonctionnalité Sources d'actif dans Propriétés de récepteur vous permet de récupérer des données de votreannuaire Active Directory, le cas échéant. Une fois cette procédure effectuée, vous pouvez filtrer lesdonnées d'événement en sélectionnant les utilisateurs ou les groupes récupérés dans les champs defiltrage de vues Utilisateur source et Utilisateur de destination. Cette procédure améliore votre aptitude àfournir des données de conformité pour les exigences telles que PCI. Un ESM peut avoir une seulesource d'actif. Les récepteurs peuvent avoir plusieurs sources d'actif.

Si deux sources de découverte d'actifs (par exemple Vulnerability Assessment et Découverte duréseau) trouvent le même actif, l'actif ajouté au tableau est celui qui a été découvert par la méthodede découverte ayant la priorité la plus élevée. Si deux sources de découverte ont la même priorité,celle qui a découvert l'actif en dernier a la priorité sur celle qui l'a découvert en premier.

Ajout d'une source d'actifPour récupérer les données d'un annuaire Active Directory, vous devez configurer un récepteur.


1 Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur, puis cliquez surSources d'actif.

2 Cliquez sur Ajouter, puis indiquez les informations demandées.

3 Cliquez sur OK, puis sur Ecrire sur la page Sources d'actif.



Paramètres d'Enterprise Log Manager (ELM)ELM prend en charge le stockage et la gestion des données de journal, la génération des rapportscorrespondants et l'accès aux données de journal.

Les données reçues par l'ELM sont organisées en pools de stockage, chacun étant composéd'équipements de stockage. Une durée de conservation est appliquée à chaque pool de stockage : lesdonnées du pool sont conservées pendant la période définie. Il est nécessaire de stocker les journauxdurant différentes périodes pour répondre aux diverses exigences des réglementations dugouvernement, de l'industrie et des entreprises.

ELM permet de configurer des travaux de recherche et de vérification de l'intégrité. Chacun de cestravaux accède aux journaux stockés et récupère ou vérifie les données que vous définissez dans letravail. Vous pouvez ensuite afficher les résultats et exporter les informations.

Les informations fournies s'appliquent à tous les modèles d'équipement ELM suivants :

• ENMELM-5205 (équipement combiné ESM/Log Manager)



• ELM-5205

• ELM-5510

• ELM-5750

• ELMERC-4245 (équipement combiné Récepteur/Log Manager)

• ELMERC-2250 (équipement combiné Récepteur/Log Manager)

• LMERC-2230 (équipement combiné Récepteur/Log Manager)

Pour configurer un ELM, vous devez connaître :

• Les sources qui stockent des journaux dans ELM

• Les pools de stockage qui sont requis et la durée de conservation de leurs données

• Les équipements de stockage qui sont requis pour stocker les données

En général, il est simple d'identifier les sources qui stockent des journaux sur l'ELM, ainsi que les poolsde stockage requis. Il est plus difficile de déterminer les équipements de stockage nécessaires austockage des données. Pour le savoir, voici la meilleure façon de procéder :

1 Effectuez une estimation des besoins de stockage.

Depuis la version 9.0.0, les pools de stockage ELM requièrent 10 % de l'espace alloué pour la miseen miroir de la surcharge. Tenez compte de ces 10 % lors du calcul de l'espace nécessaire.

2 Configurez les équipements de stockage ELM pour satisfaire aux besoins estimés.

3 Obtenez des journaux sur l'ELM durant une période courte.

4 Utilisez les informations des statistiques de stockage ELM pour modifier la configuration deséquipements de stockage afin de répondre aux besoins réels de stockage des données.



Préparation du stockage des données dans ELMVous devez prendre plusieurs mesures pour configurer un ELM afin qu'il stocke des données.

Etape Action Description

1 Définir lesdurées deconservationdes données

En fonction des exigences de l'installation ELM, vous pouvez définirdifférentes durées de conservation des données. Les durées deconservation courantes des données sont les suivantes :• SOX : 7 ans

• PCI : 1 an

• GLBA : 6 ans

• Directive européenne de conservation des données : 2 ans

• Basel II : 7 ans

• HIPAA : 6 ou 7 ans

• NERC : 3 ans

• FISMA : 3 ans

2 Définir lessources desdonnées dejournal

L'objectif ici est de définir l'ensemble des sources des journaux qui sontstockés dans ELM et d'estimer la taille moyenne des journaux (en octets) etle nombre moyen de journaux générés par jour, et ce pour chaque source.Il doit s'agir uniquement d'une estimation. Il est peut-être plus faciled'estimer la taille moyenne des journaux (en octets) et le nombre moyende journaux générés par jour pour les types de source (par exemple lepare-feu, le routeur, Nitro IPS, ADM, DEM, ELM), puis d'estimer le nombrede sources pour chaque type. Comme l'étape suivante nécessitel'association de chaque source à une durée de conservation définie àl'étape 1, veillez à la prendre en compte lors de l'estimation des types desource (par exemple, pare-feu SOX, PCI DEM).

3 Définir les poolsde stockage

En fonction des exigences de l'installation ELM, associez chaque source dejournaux, ou source, à une durée de conservation des données endéfinissant l'ensemble des pools de stockage requis pour l'installation ELM.




4 Estimer lesbesoins en tailledes pools destockage

Estimez les besoins de stockage de chaque pool de stockage à l'aide del'une des équations suivantes :• Utilisation des sources individuelles :

IRSGB = 0,1*(DRTD*SUM(DSAB*DSALPD))/(1 024*1 024*1 024)

Où

IRSGB = Stockage requis initial en gigaoctets

DRTD = Durée de conservation des données en jours

SUM() = Somme de toutes les sources de données

DSAB = Nombre d'octets moyen de source de données par journal

DSALPD = Moyenne des journaux de source de données par jour

• Utilisation des types de source :IRSGB = 0,1*(DRTD*SUM(NDS*DSTAB*DSTALPD))/(1 024*1 024*1 024)

Où

IRSGB = Stockage requis initial en gigaoctets


NDS = Nombre de sources de données d'un type donné

SUM() = Somme de tous les types de source de données

DSTAB = Nombre d'octets moyen de type de source de données parjournal

DSTALPD = Moyenne des journaux de type de source de données par jour

5 Créer deséquipements destockage initial

Créez un ou plusieurs équipements de stockage ELM afin qu'ils soientsuffisamment importants pour stocker chaque valeur IRSGB de données(consultez la section Ajout d'un équipement de stockage à lier à un pool destockage).

6 Créer des poolsde stockage

Pour chaque pool de stockage défini à l'étape 3, créez un pool destockage ELM en utilisant la durée de conservation associée de l'étape 1,les valeurs IRSGB associées de l'étape 4 et les équipements de stockageassociés de l'étape 5 (consultez la section Ajout ou modification d'un poolde stockage).

7 Démarrer lajournalisationdes données

Configurez des sources pour qu'elles envoient leurs journaux vers ELM etlaissez-les procéder ainsi pendant un ou deux jours.

8 Affiner lesestimations desbesoins en tailledes pools destockage

Pour chaque pool de stockage créé à l'étape 6, affinez l'estimation de sesbesoins de stockage en vous appuyant sur l'équation suivante :

RSGB = 1,1*DRTD*SPABRPD/(1 024*1 024*1 024)

Où

RSGB = Stockage requis en gigaoctets


SPABRPD = Valeur du débit d'octets moyen quotidien du pool de stockage àpartir de son rapport statistique




9 Modifier oucréer deséquipements destockage

Pour chaque valeur RSGB de l'étape 8, modifiez ou créez des équipementsde stockage ELM afin qu'ils soient suffisamment importants pour stocker lavaleur RSGB de données.

10 Modifier lespools destockage

Si nécessaire, modifiez chaque pool de stockage créé à l'étape 6 enajoutant les équipements de stockage créés à l'étape 9 ou augmentezl'allocation des équipements de stockage existante.

Configuration du stockage ELMPour stocker des journaux, l'ELM doit avoir accès à un équipement de stockage au moins.

Les besoins de stockage d'une installation ELM sont fonction du nombre de sources de données, deleurs caractéristiques de journalisation et de leurs exigences en termes de durée de conservation desdonnées. Les besoins de stockage varient au fil du temps, car tous sont susceptibles de changer aucours de la vie d'une installation ELM.

Pour plus d'informations sur l'estimation et l'ajustement des besoins de stockage de votre système,consultez la section Paramètres ELM.

Terminologie relative au stockage ELM

Passez en revue ces termes à utiliser avec le stockage ELM :

• Equipement de stockage : équipement de stockage de données accessible à un ELM. Certainsmodèles ELM offrent un équipement de stockage intégré, d'autres offrent une fonctionnalité deconnexion SAN, et d'autres encore proposent les deux. Tous les modèles ELM offrent unefonctionnalité de connexion NAS.

• Allocation de stockage : quantité spécifique de stockage de données d'un équipement destockage donné (par exemple, 1 To sur un équipement de stockage NAS).

• Durée de conservation des données : durée de stockage d'un journal.

• Pool de stockage : une ou plusieurs allocations de stockage, qui spécifient ensemble la quantitétotale de stockage, associée à une durée de conservation des données qui spécifie le nombremaximal de jours pendant lesquels un journal doit être stocké.

• Source de journalisation : toute source de journal stocké par un ELM.

Types d'équipement de stockage ELM

Lorsque vous ajoutez un équipement de stockage dans un ELM, vous devez sélectionner le typed'équipement dont il s'agit. Lorsque vous ajoutez ou modifiez un équipement, vous devez garder àl'esprit quelques éléments.



Typed'équipement

Détails

NFS Pour modifier le point de montage à distance de l'équipement de stockage quicontient la base de données de gestion ELM, utilisez l'option Migrer la base de donnéespour déplacer la base de données vers un autre équipement de stockage (voir lasection Migration de la base de données ELM). Vous pouvez ensuite modifier entoute sécurité le champ Point de montage à distance et déplacer de nouveau labase de données vers l'équipement de stockage mis à jour.

CIFS • L'utilisation du type de partage CIFS avec les versions de serveur Sambaultérieures à la version 3.2 peut provoquer la fuite de données.

• Lorsque vous vous connectez à un partage CIFS, n'utilisez pas de virgules dansvotre mot de passe.

• Si vous utilisez un ordinateur Windows 7 en tant que partage CIFS, consultez lasection Désactivation du partage de fichiers Groupe résidentiel.

iSCSI • Lorsque vous vous connectez à un partage iSCSI, n'utilisez pas de virgules dansvotre mot de passe.

• Si vous essayez de relier plusieurs équipements à un nom IQN, cela peutentraîner la fuite de données et d'autres problèmes de configuration.

SAN L'option SAN est disponible uniquement si une carte SAN est installée dans ELM etsi des volumes SAN sont disponibles.

Local virtuel Cette option n'est disponible que si un équipement local virtuel a été ajouté àl'ELM virtuel. Vous devez formater l'équipement avant de l'utiliser pour lestockage (voir la section Configuration du lecteur local virtuel pour le stockagedes données).

Désactivation du partage de fichiers Groupe résidentielWindows 7 nécessite que vous utilisiez le partage de fichiers Groupe résidentiel, qui fonctionne avecles autres ordinateurs Windows 7, mais pas avec Samba. Pour utiliser un ordinateur Windows 7 entant que partage CIFS, vous devez désactiver le partage de fichiers Groupe résidentiel.


1 Ouvrez le Panneau de configuration Windows 7, puis sélectionnez Centre Réseau et partage.

2 Cliquez sur Modifier les paramètres de partage avancés.

3 Cliquez sur le profil Résidentiel ou professionnel et assurez-vous qu'il est étiqueté en tant que votre profilactuel.

4 Activez la découverte du réseau, le partage de fichiers et d'imprimantes, et le dossier Public.

5 Accédez au dossier que vous souhaitez partager à l'aide de CIFS (essayez d'abord le dossierPublic), puis cliquez dessus avec le bouton droit.

6 Sélectionnez Propriétés, puis cliquez sur l'onglet Partage.

7 Cliquez sur Partage avancé, puis sélectionnez Partager ce dossier.

8 (Facultatif) Modifiez le nom du partage, puis cliquez sur Autorisations.

Vérifiez que les autorisations dont vous disposez sont définies comme vous le souhaitez (une cochedans Modification = accessible en écriture). Si vous avez activé des partages protégés par un motde passe, vous devez modifier des paramètres ici pour vous assurer que votre utilisateur Ubuntuest inclus dans l'autorisation.



Ajout d'un équipement de stockage à lier à un pool de stockage Pour ajouter un équipement de stockage à la liste des emplacements de stockage, vous devez définirses paramètres.

Si vous modifiez un équipement de stockage, vous pouvez augmenter sa taille, mais pas la réduire. Unéquipement ne peut pas être supprimé s'il stocke des données.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM, puis cliquez sur Pools destockage.

2 Cliquez sur Ajouter en regard du tableau supérieur.

3 Dans la page Ajouter un équipement de stockage, renseignez les informations demandées.

4 Cliquez sur OK pour enregistrer les paramètres.

L'équipement est ajouté à la liste des équipements de stockage ELM disponibles.

Vous pouvez modifier ou supprimer les équipements de stockage dans le tableau de la page Pools destockage.

Ajout ou modification d'un pool de stockageUn pool de stockage inclut une ou plusieurs allocations de stockage ainsi qu'une durée de conservationdes données. Ajoutez-les dans ELM pour définir l'emplacement de stockage des journaux ELM et ladurée pendant laquelle ces derniers doivent être conservés.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM, puis cliquez sur Pool destockage.

2 Cliquez sur les options Ajouter ou Modifier situées en regard du tableau inférieur, puis renseignez oumodifiez les informations demandées.

3 Cliquez sur OK.

Vous pouvez modifier les paramètres une fois qu'ils ont été enregistrés et vous pouvez supprimer unpool de stockage tant que ni les équipements qui lui sont alloués ni le pool proprement dit ne stockentde données.

Déplacement d'un pool de stockageVous pouvez déplacer un pool de stockage d'un équipement à un autre.

Avant de commencerConfigurez l'équipement de stockage dans lequel vous souhaitez déplacer le pool destockage en tant que miroir de l'équipement qui contient actuellement le pool (consultez lasection Ajout d'un équipement de stockage des données ELM en miroir).




1 Dans l'arborescence de navigation des systèmes, sélectionnez l'équipement ELM qui contient le

pool de stockage, puis cliquez sur l'icône Propriétés .

2 Cliquez sur Pools de stockage.

3 Dans la table Pools de stockage, cliquez sur les équipements en miroir répertoriés dans le pool àdéplacer.

4 Cliquez sur Modifier, puis, dans la liste déroulante Equipements de stockage de données, sélectionnezl'équipement qui met en miroir le pool de stockage à déplacer.

Il est désormais le principal équipement de stockage de données.

5 Pour mettre en miroir le nouvel équipement de stockage de données, sélectionnez un équipementdans la liste déroulante Equipement de stockage de données en miroir, puis cliquez sur OK.

Réduction de la taille d'allocation du stockageSi un équipement de stockage est plein en raison de l'espace alloué aux pools de stockage, il se peutque vous deviez réduire la quantité d'espace définie pour chaque allocation. Ceci peut s'avérernécessaire pour allouer de l'espace sur cet équipement pour davantage de pools de stockage.

Si la réduction de la taille de l'allocation affecte des données, celles-ci sont déplacées vers d'autresallocations du pool si de l'espace est disponible. En cas d'indisponibilité, les données les plus anciennessont supprimées.



2 Dans la table inférieure, sélectionnez le pool à réduire, puis cliquez sur Réduire la taille.

3 Entrez la quantité souhaitée de réduction du stockage, puis cliquez sur OK.

Mise en miroir du stockage des données ELMVous pouvez configurer un second équipement de stockage ELM pour mettre en miroir les donnéescollectées dans l'équipement principal.

Si l'équipement principal s'arrête pour une raison quelconque, l'équipement de sauvegarde continuede stocker les données à mesure qu'elles entrent. Lorsque l'équipement principal revient en ligne, ilest automatiquement synchronisé avec l'équipement de sauvegarde, puis reprend le stockage desdonnées à mesure qu'elles arrivent. S'il s'arrête définitivement, vous pouvez réaffecter l'équipementde sauvegarde pour qu'il devienne l'équipement principal dans ESM, puis désigner un autreéquipement et le mettre en miroir.

Lorsque l'un des équipements s'arrête, un indicateur d'état d'intégrité s'affiche en regard del'équipement ELM dans l'arborescence de navigation des systèmes.

Un pool de stockage en miroir peut perdre sa connexion avec son équipement de stockage pour lesraisons suivantes :



• Le serveur de fichiers ou le réseau existant entre ELM et le serveur de fichiers ont cessé defonctionner.

• Le serveur de fichiers ou le réseau sont arrêtés à des fins de maintenance.

• Un fichier d'allocation a été supprimé accidentellement.

En cas de problème avec le miroir, les équipements de stockage affichent une icône

d'avertissement dans la table Pools de stockage. Vous pouvez alors utiliser la fonction Reconstruire pourle réparer.

Ajout d'un équipement de stockage des données ELM en miroirTout équipement de stockage qui a été ajouté à la liste des équipements disponibles et qui dispose del'espace nécessaire peut être utilisé pour mettre en miroir les données enregistrées sur un équipementde stockage ELM.

Avant de commencerAjoutez les deux équipements que vous souhaitez mettre en miroir à ESM.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM, puis cliquez sur Pools destockage.

2 Cliquez sur Ajouter en regard du tableau inférieur.

3 Dans la page Ajouter un pool de stockage, entrez les informations demandées, puis cliquez sur Ajouterpour sélectionner l'équipement de stockage et l'équipement de mise en miroir.

Un équipement peut être affecté à plusieurs pools à la fois.

4 Cliquez deux fois sur OK.

Reconstruction d'un pool de stockage en miroirSi un pool de stockage en miroir perd sa connexion avec ses équipements de stockage, vous pouvezutiliser la fonction Reconstruire pour le réparer.



2 Pointez avec la souris sur les équipements en miroir qui affichent une icône d'avertissement.

Une info-bulle vous informe de la reconstruction de l'allocation ELM ou indique que l'équipement enmiroir doit être reconstruit.

3 Pour reconstruire les équipements en miroir, cliquez sur les équipements, puis sur Reconstruire.

A l'issue du processus, vous êtes informé de la réussite de la reconstruction de l'allocation.

Désactivation d'un équipement de mise en miroirPour arrêter d'utiliser un équipement comme équipement de mise en miroir de pool de stockage, vousdevez sélectionner un autre équipement pour le remplacer ou sélectionner Aucun.




1 Dans l'arborescence de navigation des systèmes, sélectionnez l'ELM qui contient actuellement le

pool de stockage de mise en miroir, puis cliquez sur l'icône Propriétés .

2 Cliquez sur Pools de stockage, puis sélectionnez les équipements en miroir dans la table Pool de stockageet cliquez sur Modifier.

3 Effectuez l'une des procédures suivantes :

• Si l'équipement sélectionné dans le champ Equipement de stockage de données en miroir est celui quevous souhaitez désactiver, cliquez sur la flèche déroulante de ce champ, puis sélectionnez unautre équipement pour mettre en miroir l'équipement de stockage de données ou sélectionnezAucun.

• Si l'équipement sélectionné dans le champ Equipements de stockage de données est celui que voussouhaitez désactiver, cliquez sur la flèche déroulante de ce champ, puis sélectionnez un autreéquipement à utiliser comme équipement de stockage de données.


L'équipement n'est plus un équipement de mise en miroir, mais il reste affiché dans la table Equipementde stockage.

Configuration du stockage externe des donnéesQuatre types de stockage externe peuvent être configurés pour stocker les données ELM : iSCSI, SAN,DAS et le volume local virtuel. Lorsque vous connectez ces types de stockage externe à l'ELM, vouspouvez les configurer pour stocker des données issues de l'ELM.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM, puis cliquez sur Stockagede données.

Le système affiche tous les équipements de stockage disponibles dans les onglets appropriés.

2 Cliquez sur l'onglet iSCSI, SAN, DAS ou Local virtuel, puis suivez les étapes requises.


Ajout d'un équipement iSCSIPour utiliser un équipement iSCSI comme stockage ELM, vous devez configurer des connexions avecl'équipement.



2 Dans l'onglet iSCSI, cliquez sur Ajouter.



3 Entrez les informations demandées, puis cliquez sur OK.

Si la connexion est établie, l'équipement et ses noms IQN sont ajoutés à la liste Configuration iSCSIainsi qu'à la liste Type d'équipement de la page Ajouter un équipement de stockage (voir Ajout d'unéquipement de stockage).

Si un nom IQN commence à stocker des journaux ELM, la cible iSCSI ne peut pas être supprimée.En raison de cette limitation, veillez à configurer votre cible iSCSI avec suffisamment d'espace pourle stockage ELM.

4 Avant d'utiliser un nom IQN pour le stockage ELM, sélectionnez-le dans la liste, puis cliquez surFormat.

5 Pour vérifier son statut lors de son formatage, cliquez sur Vérifier le statut.

6 Pour découvrir ou redécouvrir les noms IQN, cliquez sur l'équipement iSCSI, puis sur Découvrir.

Les tentatives d'affectation de plusieurs équipements à un nom IQN peuvent entraîner une fuite dedonnées.

Formatage d'un équipement de stockage SAN pour y stocker les données ELMSi votre système dispose d'une carte SAN, vous pouvez l'utiliser pour y stocker les données ELM.

Avant de commencerInstallez une carte SAN sur votre système (reportez-vous à la section Installation de lacarte réseau SAN qLogic 2460 ou 2562 dans le Guide d'installation de McAfee ESM oucontactez le support technique McAfee).



2 Cliquez sur l'onglet SAN, puis vérifiez l'état des volumes SAN qui ont été détectés.

• Format requis : le volume doit être formaté et n'est pas affiché dans la liste des volumesdisponibles de la page Ajouter un équipement de stockage.

• Formatage : le volume est en cours de formatage et n'est pas affiché dans la liste des volumesdisponibles.

• Prêt : le volume est formaté et possède un système de fichiers connu. Ces volumes peuvent êtreutilisés pour stocker les données ELM.

3 Si un volume n'est pas formaté et si vous souhaitez y stocker des données, cliquez dessus, puis surFormater.

Lorsque vous formatez un volume, toutes les données stockées sont supprimées.

4 Pour vérifier si le formatage est terminé, cliquez sur Actualiser.

Si le formatage est terminé, le statut est modifié et défini sur Prêt.

5 Pour afficher les détails d'un volume en bas de la page, cliquez sur le volume.

A présent, vous pouvez configurer le volume SAN formaté en tant qu'équipement de stockage pour lestockage ELM.



Affectation d'un équipement DAS pour le stockage des donnéesVous pouvez affecter des équipements DAS disponibles pour y stocker des données ELM.

Avant de commencerConfigurez des équipements DAS.


1 Dans l'arborescence de navigation des systèmes, sélectionnez l'ELM auquel vous allez affecter

l'équipement DAS, puis cliquez sur l'icône Propriétés .

Dans un équipement tout-en-un, vous pouvez affecter DAS à ESM en sélectionnant ESM, puis encliquant sur l'icône Propriétés.

2 Cliquez sur Stockage de données, puis sur l'onglet DAS.

La table DAS répertorie les équipements qui sont disponibles pour le stockage.

3 Dans la table, cliquez sur l'un des équipements qui n'a pas été affecté pour le stockage desdonnées ELM ou ESM.

4 Dans la page d'avertissement, cliquez sur Affecter, puis sur Oui.

Une fois que vous avez affecté un équipement, vous ne pouvez pas en changer.

ELM redémarre.

Configuration du lecteur local virtuel pour le stockage des donnéesDétectez un équipement de stockage virtuel sur l'ELM virtuel, puis formatez-le. Vous pouvez ensuitel'utiliser pour la migration de bases de données et les pools de stockage.

Avant de commencerAjoutez un équipement de stockage local virtuel à l'ELM virtuel depuis son environnementvirtuel. Pour ajouter du stockage, consultez la documentation relative à l'environnement demachine virtuelle.

Environnements virtuels pris en charge

• VMware

• KVM

• Amazon Web Service

Formats de lecteur pris en charge

• SCSI

• SATA

IDE n'est pas pris en charge.




1 Dans l'arborescence de navigation des systèmes, sélectionnez l'ELM virtuel, cliquez sur l'icône

Propriétés , puis sur Stockage de données.

Une icône de chargement s'affiche lorsque le système renvoie tous les équipements de stockagedisponibles. Si le système comprend un ESM redondant, les équipements s'affichent dans l'ongletRedondant.

Les partitions racine et de démarrage ne sont pas disponibles comme des alternatives de stockageviables.

2 Cliquez sur l'onglet Local virtuel, puis sélectionnez un équipement dans la liste des équipementsvirtuels disponibles.

L'onglet Local virtuel est uniquement disponible si le système détecte le stockage virtuel.

3 Si la colonne Etat affiche Format requis, cliquez sur Format pour formater l'équipement au format defichier ext4.

La colonne affiche désormais l'état Prêt.

Vous pouvez désormais utiliser cet équipement pour la migration de bases de données et les pools destockage.

Redondance des ELMVous pouvez mettre en place la redondance pour la journalisation en ajoutant un ELM de secours àl'ELM autonome actuel de votre système.Pour activer la redondance, définissez l'adresse IP et les autres informations réseau sur les deux ELM(voir Configuration de la redondance des ELM). L'ELM de secours doit être associé à des équipementsde stockage afin d'obtenir un espace de stockage total suffisant correspondant au stockage del'ELM actif. Une fois la configuration effectuée, les paramètres des deux ELM sont synchronisés et l'ELMde secours assure la synchronisation des données entre les deux équipements.

Si vous utilisez la redondance des ELM, vous pouvez effectuer différentes actions avec les ELM :permuter, remettre en service, supprimer, suspendre et afficher l'état. Toutes les actions sontaccessibles sur la page Propriétés ELM | Redondance des ELM .

PermuterSi l'ELM principal devient inactif ou doit être remplacé, sélectionnez Permuter les ELM. L'ELM de secoursdevient actif et le système lui associe tous les équipements de journalisation. Les actions dejournalisation et de configuration sont verrouillées lors de la permutation.

Remettre en serviceSi l'ELM de secours devient inactif, vous devez le remettre en service lorsqu'il est à nouveaudisponible. Si aucune modification n'est détectée dans les fichiers de configuration, la redondance estappliquée comme précédemment. Si des différences sont détectées dans les fichiers, la redondanceest appliquée aux pools de stockage exempts de problème, et une erreur indique qu'un ou plusieurspools sont exclus de la redondance. Vous devez corriger ces pools manuellement.

Si l'ELM de secours est remplacé ou reconfiguré, le système le détecte et il vous invite à réactiver laclé de cet ELM. L'ELM actif synchronise ensuite tous les fichiers de configuration sur l'ELM de secourset la redondance est appliquée comme précédemment.



SuspendreVous pouvez suspendre la communication avec l'ELM de secours s'il devient ou va devenir inactif pourune raison ou une autre. Toutes les communications sont interrompues et les notifications d'erreurliées à la redondance sont masquées. Lorsque l'ELM de secours est disponible, suivez la procédure deremise en service.

Désactiver la redondance sur l'ELMPour désactiver la redondance des ELM, sélectionnez Supprimer. L'ELM actif enregistre une copie desfichiers de configuration de la redondance. Si ce fichier de sauvegarde est détecté lors de l'activationde la redondance des ELM, vous devez indiquer si vous souhaitez restaurer les fichiers deconfiguration enregistrés.

Afficher l'étatPour afficher les informations d'état de la synchronisation des données entre l'ELM actif et l'ELM desecours, sélectionnez Etat.

Configuration de la redondance des ELMSi vous avez un équipement ELM autonome sur votre système, vous pouvez mettre en place laredondance pour la journalisation en ajoutant un ELM de secours.

Avant de commencerVous devez au préalable installer un ELM autonome (voir le Guide d'installation de McAfeeEnterprise Security Manager 9.5.0) et l'ajouter à la console ESM (voir Ajout d'équipementsdans la console ESM). Vous devez également installer un ELM de secours mais sansl'ajouter dans la console. Assurez-vous que l'ELM de secours ne contient pas de données. Sivous devez rétablir les paramètres d'usine, contactez le support technique McAfee.


1Dans l'arborescence de navigation des systèmes, cliquez sur l'ELM, puis sur l'icône Propriétés .

2 Dans la page Propriétés ELM, cliquez sur Redondance des ELM, puis sur Activer.

3 Entrez l'adresse IP et le mot de passe de l'ELM de secours, puis cliquez sur OK.

4 Dans la page Propriétés ELM, cliquez sur Pools de stockage et vérifiez que l'onglet Actif est sélectionné.

5 Ajoutez des équipements de stockage sur l'ELM actif (voir Ajout d'un équipement de stockage à lierà un pool de stockage).

6 Cliquez sur l'onglet Veille, puis ajoutez les équipements de stockage nécessaires pour obtenir unespace de stockage total suffisant correspondant au stockage de l'ELM actif.

7 Ajoutez un ou plusieurs pools de stockage à chaque ELM (voir Ajout ou modification d'un pool destockage).

La configuration sur les deux ELM est maintenant synchronisée et l'ELM de secours assure lasynchronisation des données entre les deux équipements.

Gestion de la compression ELMCompressez les données entrant dans ELM pour libérer de l'espace disque ou traiter davantage dejournaux par seconde.Les trois options sont Faible (par défaut), Moyen et Elevé. Ce tableau affiche les détails de chaque niveau.



Niveau Taux de compression Pourcentage decompression maximale

Pourcentage maximal dejournaux traités par seconde

Faible 14:1 72% 100%

Moyen 17:1 87% 75%

Elevé 20:1 100% 50%

Les taux de compression réels varient en fonction du contenu des journaux.

• Si la libération de l'espace disque vous préoccupe davantage que le nombre de journaux que vouspouvez traiter par seconde, sélectionnez la compression élevée.

• Si le traitement d'un plus grand nombre de journaux par seconde vous préoccupe davantage que lalibération de l'espace disque, sélectionnez la compression faible.

Définition de la compression ELMSélectionnez le niveau de compression des données entrant dans ELM pour libérer de l'espace disqueou traiter davantage de journaux.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM, puis cliquez surConfiguration ELM | Compression.

2 Sélectionnez le niveau de compression ELM, puis cliquez sur OK.

Vous êtes averti de la mise à jour du niveau.

Affichage des résultats d'une recherche ou d'une vérification de l'intégritéLorsqu'un travail de recherche ou de vérification de l'intégrité est terminé, vous pouvez en afficher lesrésultats.

Avant de commencerExécutez un travail de recherche ou de vérification de l'intégrité qui produit des résultats.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM.

2 Cliquez sur Données, puis sur l'onglet Rechercher dans les journaux et fichiers ou Vérification de l'intégrité.

3 Surlignez le travail que vous souhaitez afficher dans la table Résultats de la recherche, puis cliquez surAfficher.

La page Résultats de recherche ELM affiche les résultats du travail.

Si vous supprimez simultanément plusieurs lecteurs supplémentaires de la machine virtuelle dans ESM,toutes les recherches ELM risquent d'être perdues. Pour éviter la perte des résultats, exportez lesrésultats de la recherche ELM.

Sauvegarde et restauration d'ELMEn cas de défaillance du système ou de fuite de données, vous devez sauvegarder les paramètresactuels des équipements ELM. Tous les paramètres de configuration, notamment ceux de la base de



données de journalisation ELM, sont enregistrés. Les journaux réels qui sont stockés dans ELM ne sontpas sauvegardés.

Il est conseillé de mettre en miroir la base de données de gestion ELM et les équipements qui stockentles données de journal dans ELM. La fonctionnalité de mise en miroir fournit une sauvegarde desdonnées de journal en temps réel.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM.

2 Vérifiez que l'option Informations ELM est sélectionnée, puis cliquez sur Sauvegarde et restauration.



Sauvegarder ELM maintenant Indiquez les informations demandées, puis cliquez surSauvegarder maintenant.

Sauvegarder automatiquement lesparamètres ELM

Sélectionnez la fréquence et indiquez les informations.

Restaurer la sauvegardemaintenant

Cliquez sur Restaurer une sauvegarde maintenant. La base dedonnées ELM est restaurée vers les paramètres d'unesauvegarde précédente.

Restauration des données de base de données de gestion et de journal ELMPour remplacer un équipement ELM, restaurez les données de base de données de gestion et dejournal dans le nouvel équipement ELM. Pour que cette procédure fonctionne, les données de base dedonnées et de journal doivent être mises en miroir.

Pour restaurer les données d'un ancien ELM dans un nouvel ELM, ne créez pas d'ELM à l'aide del'Assistant Ajout d'équipement.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM pour l'ELM qui doit êtreremplacé.

Une page d'avertissement vous informe que le système ne peut pas localiser l'ELM.

2 Fermez la page d'avertissement, puis cliquez sur Connexion.

3 Entrez l'adresse IP du nouvel ELM, puis cliquez sur Gestion des clés | Activer la clé de l'équipement.

Lorsque l'activation de la clé du nouvel équipement est effectuée, une notification vous l'indique.

4 Entrez le mot de passe que vous souhaitez associer à cet équipement, puis cliquez sur Suivant.

5 Cliquez sur Informations ELM | Sauvegarde et restauration | Restaurer ELM.

6 Resynchronisez la journalisation de chaque équipement avec ELM en cliquant sur Synchroniser ELMdans la page Propriétés | Configuration de chaque équipement.

Les données de base de données de gestion et de journal ELM sont restaurées dans le nouvel ELM. Ceprocessus peut prendre plusieurs heures.



Affichage de l'utilisation du stockage ELML'affichage de l'utilisation du stockage dans ELM peut vous aider à prendre les décisions appropriéesrelatives à l'allocation de l'espace dans l'équipement.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM, puis cliquez surGestion ELM.

2 Cliquez sur Afficher l'utilisation.

La page Statistiques d'utilisation s'ouvre et affiche les statistiques correspondant à l'équipement et auxpools de stockage d'ELM.

3 Cliquez sur OK.

Migration de la base de données ELMLa base de données de gestion ELM stocke les enregistrements qui effectuent le suivi des journauxenvoyés vers ELM. La quantité d'espace disque disponible dans votre équipement ELM pour stocker labase de données de gestion dépend du modèle.

Si vous ajoutez d'abord l'équipement, le système vérifie s'il possède un espace disque suffisant pour lestockage des enregistrements. Dans le cas contraire, vous êtes invité à définir un autre emplacementpour le stockage de la base de données de gestion. Si l'équipement dispose d'un espace disquesuffisant, mais que vous préférez enregistrer la base de données dans un autre emplacement, vouspouvez utiliser l'option Migrer la base de données de la page Propriétés ELM pour configurer cet emplacement.

L'option Migrer la base de données peut être utilisée à tout moment. Néanmoins, si vous migrez la base dedonnées de gestion une fois qu'elle contient des enregistrements, la session ELM est placée en attentependant plusieurs heures tant que la migration n'est pas terminée, en fonction du nombred'enregistrements contenus. Il est conseillé de définir cet autre emplacement si vous configurezd'abord l'équipement ELM.

Définition d'un autre emplacement de stockagePour stocker des enregistrements de base de données de gestion ELM dans un emplacement autrequ'ELM, vous devez définir un autre emplacement de stockage. Vous pouvez également sélectionnerun second équipement pour mettre en miroir ce qui est stocké.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM, puis cliquez surConfiguration ELM | Migrer la base de données.

2 Sélectionnez l'équipement de stockage ainsi qu'un équipement mis en miroir.

3 Cliquez sur OK.

Remplacement d'une base de données de gestion ELM en miroirSi un équipement de stockage de base de données de gestion en miroir rencontre un problème, vousdevez peut-être le remplacer.




1 Dans l'arborescence de navigation des systèmes, sélectionnez l'équipement ELM et l'équipement destockage de base de données de gestion qui rencontre le problème, puis cliquez sur l'icône

Propriétés .

2 Cliquez sur Configuration ELM, puis sélectionnez Migrer la base de données.

3 Dans le champ Equipements de stockage de données, sélectionnez l'équipement indiqué dans la listedéroulante Equipement de stockage de données en miroir.

4 Sélectionnez un nouvel équipement dans le champ Equipement de stockage de données en miroir ousélectionnez Aucun pour arrêter la mise en miroir.

Si l'équipement souhaité n'est pas répertorié dans la liste déroulante, ajoutez-le d'abord à la tableEquipement de stockage.

Récupération des données ELMPour récupérer les données d'ELM, vous devez créer des travaux de recherche et de vérification del'intégrité dans la page Données.

Un travail de vérification de l'intégrité vérifie si les fichiers que vous définissez ont été modifiés depuisleur stockage d'origine. Ce travail peut vous avertir en cas de modification non autorisée des fichierscritiques du système ou de contenu. Les résultats de cette vérification affichent les fichiers qui ont étémodifiés. Si aucun fichier n'a été modifié, une notification vous indique la réussite de la vérification.

Le système est limité à un total de 50 travaux de recherche et de vérification de l'intégrité simultanés.Si plus de 50 travaux sont exécutés sur le système, vous êtes informé que votre recherche ne peutpas être effectuée. Vous pouvez supprimer des recherches existantes sur le système afin que lanouvelle recherche soit effectuée. Si le système n'en contient pas, l'administrateur système supprimeles travaux de recherche et de vérification de l'intégrité initiés par d'autres utilisateurs afin que votrerecherche soit effectuée.

Une fois que vous avez lancé une recherche, elle est exécutée jusqu'à ce qu'elle soit terminée ouqu'elle atteigne l'une des limites que vous avez définies, même si vous fermez la page Données. Vouspouvez revenir à cet écran pour vérifier l'état, qui s'affiche dans la table Résultats de la recherche.

Création d'un travail de recherchePour rechercher dans ELM des fichiers qui concordent avec vos critères, vous devez définir un travailde recherche dans la page Données. Aucun champ de cet écran n'est obligatoire, mais mieux vousdéfinissez votre recherche, plus vous êtes susceptible de récupérer les données nécessaires en unminimum de temps.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM, puis cliquez surDonnées.

2 Dans l'onglet Rechercher dans les journaux et fichiers, renseignez les informations demandées, puis cliquezsur Rechercher.

Création d'un travail de vérification de l'intégritéPour vérifier si des fichiers ont été modifiés depuis leur stockage d'origine, créez un travail devérification de l'intégrité dans la page Données. Aucun champ de l'onglet Vérification de l'intégrité n'est



obligatoire, mais si vous définissez une recherche précise, la vérification de l'intégrité des donnéessera plus rapide.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM, puis cliquez surDonnées.

2 Cliquez sur l'onglet Vérification de l'intégrité, sélectionnez les options requises, puis cliquez sur Rechercher.

Paramètres liés au moteur ACE (Advanced Correlation Engine)McAfee Advanced Correlation Engine (ACE) identifie et évalue les événements de menace en tempsréel, en utilisant à la fois la logique basée sur des règles et la logique basée sur les risques.

Identifiez ce que vous souhaitez évaluer (utilisateurs ou groupes, applications, serveurs ousous-réseaux particuliers) ainsi que les alertes ACE en cas de menace pour l'actif. Les pistes d'audit etla consultation des historiques prennent en charge les analyses, la conformité et l'ajustement desrègles.

Configurez ACE en utilisant les modes temps-réel et historique :

• Mode temps réel : les événements sont analysés à mesure qu'ils sont collectés afin de permettrela détection des menaces et des risques immédiats.

• Mode historique : permet la consultation des données disponibles collectées via l'un des moteursde corrélation ou des deux afin de détecter les menaces et les risques antérieurs. Si ACE découvreune nouvelle attaque « jour zéro », il détermine si votre organisation a été exposée à cette attaquepar le passé, pour permettre la détection des menaces émergentes.

Les équipements ACE complètent les fonctionnalités de corrélation des événements existantes d'ESMen fournissant deux moteurs de corrélation dédiés. Configurez chaque équipement ACE avec sespropres paramètres de stratégie, connexion et récupération des événements et des journaux ainsi queses gestionnaires des risques.

• Corrélation des risques : génère le score des risques en fonction d'une corrélation sans règles.La corrélation basée sur des règles ne détecte que les modèles de menace connus. Pour êtreefficace, elle requiert donc le réglage constant des signatures ainsi que des mises à jourfréquentes. La corrélation sans règles remplace la détection par une configuration unique : vousidentifiez ce qui est important pour votre activité (par exemple, une application ou un serviceparticulier, un groupe d'utilisateurs ou des types de données spécifiques). La Corrélation des risqueseffectue alors le suivi de toutes les activités associées à ces éléments en créant un score desrisques dynamique qui augmente ou diminue en fonction de l'activité en temps réel.

Lorsque le score des risques dépasse un certain seuil, ACE génère un événement et vous avertit del'intensification des conditions liées aux menaces. Ou bien, le moteur de corrélation traditionnelbasé sur des règles peut utiliser l'événement comme condition d'un incident plus ample. ACEconserve une piste d'audit complète des scores des risques afin de permettre l'analyse et l'examende toutes les conditions de menace dans le temps.

• Corrélation basée sur des règles : détecte les menaces en utilisant la corrélation traditionnellepour analyser les informations collectées en temps réel. ACE met en corrélation tous les journaux,événements et flux de réseau avec les informations contextuelles telles que les identités, les rôles,les vulnérabilités, etc. pour détecter les modèles indiquant une menace plus importante.

Les récepteurs Event Receiver permettent de prendre en charge la corrélation basée sur des règlesà l'échelle du réseau. ACE enrichit cette fonctionnalité en fournissant une ressource de traitementdédiée pour mettre en corrélation des volumes de données plus importants, soit en complétant lesrapports de corrélation existants ou bien en transférant complètement la charge.



Configurez chaque équipement ACE avec ses propres paramètres de stratégie, connexion etrécupération des événements et des journaux ainsi que ses gestionnaires des risques.

Sélection du type de données ACEESM collecte aussi bien les données d'événement que de flux. Sélectionnez les données à envoyer àACE. Par défaut, il s'agit uniquement des données d'événement.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ACE, puis cliquez surConfiguration ACE.

2 Cliquez sur Données, puis sélectionnez Données d'événement, Données de flux ou les deux.

3 Cliquez sur OK.

Ajout d'un gestionnaire de corrélationPour utiliser la corrélation des règles ou des risques, vous devez ajouter des gestionnaires decorrélation des règles ou des risques.

Avant de commencerUn équipement ACE doit être installé sur l'ESM (voir Ajout d'équipements à la consoleESM).


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ACE.

2 Cliquez sur Gestion de la corrélation, puis sur Ajouter.

3 Sélectionnez le type de gestionnaire à créer, puis cliquez sur OK.

Pour plus d'informations sur les types de gestionnaires, reportez-vous à la section Paramètres liésau moteur ACE (Advanced Correlation Engine).

4 Saisissez les informations demandées, puis cliquez sur Terminer.

Ajout d'un gestionnaire de corrélation des risquesVous devez ajouter des gestionnaires pour vous aider à calculer les niveaux de risque des champs quevous désignez.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ACE, puis cliquez sur Gestionde la corrélation des risques.

2 Cliquez sur Ajouter, puis renseignez les informations demandées dans chaque onglet.

3 Cliquez sur Terminer, puis sur Ecrire pour écrire les gestionnaires dans l'équipement.

Ajout d'un score de corrélation des risquesVous devez ajouter des instructions conditionnelles qui affectent un score à un champ ciblé.




1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ACE, puis cliquez sur Score dela corrélation des risques.

2 Cliquez sur Ajouter, puis renseignez les informations demandées.

3 Cliquez sur OK.

Utilisation de la corrélation historiqueL'option Corrélation historique vous permet de mettre en corrélation des événements passés.

Si une nouvelle vulnérabilité est découverte, il est important de vérifier les événements historiques etles journaux pour voir si votre système a été exploité dans le passé. La fonctionnalité de relecturefacile du réseau d'ACE permet de lire les événements historiques par le biais du moteur de corrélationsans règles Corrélation des risques et du moteur de corrélation standard des événements basé sur desrègles. Vous pouvez ainsi examiner les événements historiques par rapport au paysage des menacesactuel. Cela peut être utile dans les situations suivantes :

• Vous n'avez pas configuré de corrélation au moment du déclenchement de certains événements etvous remarquez que leur mise en corrélation risque d'avoir révélé des informations importantes.

• Vous configurez une nouvelle corrélation basée sur les événements déclenchés dans le passé etsouhaitez la tester afin de vérifier qu'elle fournit les résultats souhaités.

Tenez compte des faits suivants lorsque vous utilisez la corrélation historique :

• La corrélation en temps réel est interrompue tant que vous n'avez pas désactivé la corrélationhistorique.

• La distribution des risques est faussée par l'agrégation des événements.

• Si vous replacez le gestionnaire des risques en corrélation des risques en temps réel, les seuilsdoivent être paramétrés.

Pour configurer et exécuter une corrélation historique, vous devez :

1 Ajouter un filtre de corrélation historique.

2 Exécuter une corrélation historique.

3 Télécharger et afficher les événements historiques mis en corrélation.

Ajout et exécution d'une corrélation historiquePour mettre en corrélation des événements passés, vous devez configurer un filtre de corrélationhistorique, puis exécuter la corrélation.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ACE, puis cliquez surHistorique.




3 Sélectionnez Activer la corrélation historique, puis cliquez sur Appliquer.

La corrélation en temps réel est interrompue tant que vous n'avez pas désactivé la corrélationhistorique.

4 Sélectionnez les filtres que vous souhaitez exécuter, puis cliquez sur Exécuter maintenant.

ESM vérifie les événements, applique les filtres, puis met en package les événements qui s'appliquent.

Téléchargement et affichage des événements de corrélation historiqueUne fois que vous avez exécuté la corrélation historique, vous pouvez télécharger et afficher lesévénements qu'elle a générés.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ACE, puis cliquez surEvénements et journaux | Obtenir les événements.

Les événements résultant de l'exécution de la corrélation historique sont téléchargés sur ESM.

2 Fermez Propriétés ACE.

3 Pour afficher les données :

a Dans l'arborescence de navigation des systèmes, sélectionnez l'équipement ACE dont vousvenez d'exécuter les données historiques.

b Dans la liste déroulante Période de la barre d'outils Vues, sélectionnez la période que vous avezspécifiée lors de la configuration de l'exécution.

Le volet Vues affiche les résultats de la requête.

Paramètres de Application Data Monitor (ADM)McAfee Application Data Monitor (ADM) surveille l'utilisation des données confidentielles sur le réseau,en analysant les protocoles sous-jacents, l'intégrité des sessions et le contenu des applications.

Si ADM détecte une violation, il conserve tous les détails de la session d'application concernée pour lesutiliser dans le cadre de la réponse aux incidents et des analyses ou pour respecter les exigences desaudits de conformité. En parallèle, ADM permet de voir les menaces dissimulées sous l'apparenced'applications légitimes.

ADM peut détecter l'envoi d'informations confidentielles dans les pièces-jointes des e-mails, lesmessages instantanés, les transferts de fichiers, les requêtes HTTP POST ou d'autres applications.Personnalisez les fonctionnalités de détection d'ADM en définissant vos propres dictionnairesd'informations confidentielles. ADM peut alors détecter ces types de données confidentielles, avertirles personnes appropriées et consigner la transgression pour conserver une piste d'audit.

ADM surveille, décode et détecte les anomalies dans les protocoles d'application suivants :

• Transfert de fichiers : FTP, HTTP, SSL (uniquement la configuration et les certificats)

• E-mail : SMTP, POP3, NNTP, MAPI

• Chat : MSN, AIM/Oscar, Yahoo, Jabber, IRC

• Messagerie web : Hotmail, Hotmail DeltaSync, Yahoo! Mail, AOL Mail, Gmail

• P2P : Gnutella, BitTorrent

• Shell : SSH (uniquement la détection), Telnet



ADM accepte les expressions de règle et les teste par rapport au trafic surveillé, en insérant desenregistrements dans la table des événements de la base de données correspondant à chaque règledéclenchée. Il stocke le paquet qui a déclenché la règle dans le champ Paquet de la table desévénements. Il ajoute également des métadonnées de niveau application dans les tables de sessionsde base de données et de requêtes correspondant à chaque règle déclenchée. Il stocke unereprésentation textuelle de la pile de protocole dans le champ Paquet de la table des requêtes.

ADM peut générer les types d'événement suivants :

• Métadonnées : ADM génère un événement de métadonnées pour chaque transaction réseau, avecdes détails tels que les adresses, le protocole, le type de fichier et le nom du fichier. L'applicationplace les événements de métadonnées dans la table des requêtes et les regroupe via la table dessessions. Par exemple, si une session FTP transfère 3 fichiers, ADM les regroupe ensemble.

• Anomalie de protocole : les anomalies de protocole sont codées en dur dans les modules deprotocole et incluent des événements, par exemple un paquet TCP (Transmission Control Protocol)trop court pour contenir un en-tête valide et un serveur SMTP (Simple Mail Transfer Protocol)retournant un code de réponse non valide. Les événements d'anomalie de protocole sont rares etinsérés dans la table des événements.

• Déclencheur de règles : les expressions des règles génèrent des événements de déclenchement,ce qui permet la détection des anomalies dans les métadonnées générées par le moteur ICE(Internet Communications Engine). Ces événements peuvent inclure des anomalies telles que lesprotocoles utilisés en dehors des heures normales ou un serveur SMTP qui utilise le protocole FTPde façon inhabituelle. Les événements déclencheurs de règles sont rares et insérés dans la tabledes événements.

La table des événements contient un enregistrement pour chaque anomalie de protocole détectée ouévénement déclencheur de règles. Les enregistrements d'événement sont liés aux tables des sessionset des requêtes via l'ID de session lorsque davantage de détails sur les transferts réseau (événementsde métadonnées) ayant déclenché l'événement sont disponibles. Chaque événement est également liéà la table des paquets lorsque les données brutes du paquet ayant déclenché l'événement sontdisponibles.

La table des sessions contient un enregistrement par groupe de transferts associés sur le réseau (parexemple un groupe de transferts de fichiers FTP d'une même session). Les enregistrements de sessionsont liés à la table des requêtes via l'ID de session si plus de détails sur les transferts réseauindividuels (événements de métadonnées) sont disponibles. Par ailleurs, si un transfert de la sessionprovoque une anomalie de protocole ou déclenche une règle, il existe un lien vers la table desévénements.

La table des requêtes contient un enregistrement par événement de métadonnées (transferts decontenu qui ont lieu sur le réseau). Les enregistrements de requête sont liés à la table des sessions àl'aide de l'ID de session. Si le transfert réseau représenté par l'enregistrement déclenche une anomaliede protocole ou une règle, il existe un lien vers la table des événements. Il existe également un lienvers la table des paquets utilisant le champ de texte si une représentation textuelle du protocolecomplet ou de la pile de contenu est disponible.

Définition du fuseau horaire ADML'équipement ADM est défini sur GMT, mais le code ADM suppose que l'équipement est défini sur votrefuseau horaire. En conséquence, les règles utilisent le déclencheur de temps comme si vous étiezen GMT et non lorsque vous le supposez.

Vous pouvez définir l'ADM sur le fuseau horaire prévu. Ce dernier est ensuite pris en compte lors del'évaluation des règles.




1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ADM, puis cliquez surConfiguration ADM.

2 Cliquez sur Fuseau horaire, puis sélectionnez votre fuseau horaire.

3 Cliquez sur OK.

Affichage du mot de passe dans la Visionneuse des sessionsLa Visionneuse des sessions vous permet de consulter les détails des 25 000 dernières requêtes ADM d'unesession. Les règles de certains événements peuvent être associées à des mots de passe. Vous pouvezchoisir d'afficher ou non les mots de passe dans la Visionneuse des sessions. Par défaut, ils ne sont pasaffichés.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ADM, puis cliquez surConfiguration ADM.

L'option Mots de passe indique que la journalisation est Désactivée.

2 Cliquez sur Mots de passe, sélectionnez Activer la journalisation de mot de passe, puis cliquez sur OK.

Le système exécute la commande et vous informe de la fin de son exécution.

L'option Mots de passe indique maintenant que la journalisation est Activée.

Dictionnaires d'ADM (Application Data Monitor)Lors de l'écriture de règles ADM, utilisez des dictionnaires qui convertissent les clés capturées sur leréseau en valeur définie. Vous pouvez également répertorier les clés sans valeur qui sont définies pardéfaut sur la valeur booléenne True en présence de clés.

Les dictionnaires ADM vous permettent de définir les clés d'un fichier rapidement au lieu d'écrire unerègle particulière pour chaque mot. Par exemple, vous configurez une règle pour sélectionner lese-mails contenant des mots spécifiques, vous compilez le dictionnaire avec ces mots, puis vousimportez ce dictionnaire. Vous pouvez créer une règle du type ci-dessous pour rechercher les e-mailsdont le contenu inclut l'un des mots du dictionnaire :

protocol == email && naughtyWords[objcontent]

Lors de l'écriture de règles à l'aide de l'éditeur de règles ADM, vous pouvez sélectionner le dictionnaireà associer à la règle.

Les dictionnaires prennent en charge jusqu'à des millions d'entrées.

L'ajout d'un dictionnaire à une règle implique les étapes suivantes :



1 La configuration et l'enregistrement d'un dictionnaire qui répertorie les clés et, au besoin, lesvaleurs.

2 Gestion du dictionnaire dans ESM.

3 L'affectation du dictionnaire à une règle.

Configuration d'un dictionnaire ADMUn dictionnaire est un fichier texte brut constitué d'une entrée par ligne. Il existe des dictionnaires àune colonne et à deux colonnes. Ceux à deux colonnes contiennent une clé et une valeur.

Les clés peuvent être une adresse IPv4 ou MAC, un nombre, une expression régulière et une chaîne.Les valeurs sont de type booléen, IPv4, IPv6, MAC, nombre et chaîne. Elles sont facultatives etdéfinies par défaut sur la valeur booléenne true en l'absence d'autres valeurs.

Les valeurs d'un dictionnaire à une colonne et à deux colonnes doivent être de l'un des types pris encharge par ADM : chaîne, expression régulière, nombre, IPv4, IPv6 ou MAC. Le formatage desdictionnaires ADM doit respecter les instructions suivantes :

Type Règles de syntaxe Exemples Contenucorrespondant

Chaîne • Les chaînes doivent êtreplacées entre guillemets.

• Les guillemets insérés dansune chaîne doivent êtreplacés dans une séquenced'échappement en plaçantune barre oblique inversedevant chacun d'eux.

"Contenu incorrect"

"Il a dit, \"contenu incorrect\""

Contenu incorrect

Il a dit, "contenuincorrect"

Expressionrégulière

• Les expressions régulièressont placées entre des barresobliques uniques.

• Les barres obliques et lescaractères réservés insérésdans l'expression régulièredoivent être placés dans uneséquence d'échappement àl'aide d'une barre obliqueinverse.

/[Pp]omme/

/pomme/i

/ [0-9]{1,3}\.[0-9]{1,3}\.[0-9]\.[0-9]/

/1\/2 sur tout/

Pomme ou pomme

Pomme ou pomme

Adresses IP :

1.1.1.1

127.0.0.1

1/2 sur tout

Nombres • Valeurs décimales (0-9)

• Valeurs hexadécimales(0x0-9a-f)

• Valeurs octales (0-7)

Valeur décimale

Valeur hexadécimale

Valeur octale

123

0x12ab

0127



Type Règles de syntaxe Exemples Contenucorrespondant

Booléens • Peuvent être de type true oufalse.

• Tout en minuscule

Littéraux booléens true

false

IPv4 • Peut être écrite sous formede notation standard dechiffres décimaux séparés pardes points.

• Peut être écrite sous formede notation CIDR.

• Peut être écrite dans unformat long avec desmasques complets.

192.168.1.1

192.168.1.0/24

192.168.1.0/255.255.255.0

192.168.1.1

192.168.1.[0 – 255]

192.168.1.[0 – 255]

Les déclarations suivantes relatives aux dictionnaires sont vraies :

• Les listes (plusieurs valeurs séparées par des virgules et placées entre crochets) ne sont pasautorisées dans les dictionnaires.

• Une colonne ne peut être constituée que d'un type ADM pris en charge. En d'autres termes, il n'estpas possible de combiner et d'associer différents types (chaîne, expression régulière, IPv4) dans unmême fichier dictionnaire ADM.

• Ils peuvent contenir des commentaires. Toutes les lignes commençant par le caractère dièse (#)sont considérées comme des commentaires dans un dictionnaire ADM.

• Les noms ne peuvent être constitués que de caractères alphanumériques et de traits desoulignement. Ils peuvent contenir au total 20 caractères au plus.

• Les listes ne sont pas prises en charge dans les dictionnaires.

• S'ils sont antérieurs à ADM 8.5.0, ils doivent être modifiés ou créés à l'extérieur d'ESM dans unéditeur de texte de votre choix. Ils peuvent être importés dans ESM ou exportés depuis ESM pourfaciliter la modification ou la création de dictionnaires ADM.



Exemples de dictionnaire ADMLe moteur ADM peut faire correspondre le contenu d'un objet ou toute autre mesure ou propriété à undictionnaire à colonne unique sur true ou false (existe dans le dictionnaire ou n'existe pas dans ledictionnaire).

Tableau 3-25 Exemples de dictionnaire à colonne unique

Type de dictionnaire Exemple

Dictionnaire de chaînescontenant des motsindésirables courants

« Cialis »

« cialis »

« Viagra »

« viagra »

« web adulte »

« Web adulte »

« agissez maintenant ! N'hésitez pas ! »

Dictionnaire d'expressionsrégulières correspondant auxmots clés autorisés

/(mot de passe)[â-z0-9]{1,3}(admin|connexion|mot de passe|utilisateur)/i

/(client)[â-z0-9]{1,3}compte[â-z0-9]{1,3}numéro/i

/fonds[â-z0-9]{1,3}transaction/i

/fonds[â-z0-9]{1,3}transfert[â-z0-9]{1,3}[0-9,.]+/i

Dictionnaire de chaînescontenant les valeurs dehachage des exécutablesincorrects connus

« fec72ceae15b6f60cbf269f99b9888e9 »

« fed472c13c1db095c4cb0fc54ed28485 »

« feddedb607468465f9428a59eb5ee22a »

« ff3cb87742f9b56dfdb9a49b31c1743c »

« ff45e471aa68c9e2b6d62a82bbb6a82a »

« ff669082faf0b5b976cec8027833791c »

« ff7025e261bd09250346bc9efdfc6c7c »

Adresses IP des actifscritiques

192.168.1.12

192.168.2.0/24

192.168.3.0/255.255.255.0

192.168.4.32/27

192.168.5.144/255.255.255.240



Tableau 3-26 Exemples de dictionnaire à deux colonnes

Type de dictionnaire Exemple

Dictionnaire de chaînescontenant des mots et descatégories indésirablescourants

« Cialis » « pharmaceutique »

« cialis » « pharmaceutique »

« Viagra » « pharmaceutique »

« viagra » « pharmaceutique »

« web adulte » « adulte »

« Web adulte » « adulte »

« agissez maintenant ! N'hésitez pas ! » « hameçonnage »

Dictionnaire d'expressionsrégulières correspondantaux mots clés et catégoriesautorisés

/(mot de passe)[â-z0-9]{1,3}(admin|connexion|mot de passe|utilisateur)/i « informations d'identification »

/(client)[â-z0-9]{1,3}compte[â-z0-9]{1,3}numéro/i « pii »

/fonds[â-z0-9]{1,3}transaction/i « sox »

/fonds[â-z0-9]{1,3}transfert[â-z0-9]{1,3}[0-9,.]+/i « sox »

Dictionnaire de chaînescontenant les valeurs dehachage des exécutables etcatégories incorrectsconnus

« fec72ceae15b6f60cbf269f99b9888e9 » « cheval de Troie »

« fed472c13c1db095c4cb0fc54ed28485 » « logiciel malveillant(malware) »

« feddedb607468465f9428a59eb5ee22a » « virus »

« ff3cb87742f9b56dfdb9a49b31c1743c » « logiciel malveillant(malware) »

« ff45e471aa68c9e2b6d62a82bbb6a82a » « logiciel publicitaire(adware) »

« ff669082faf0b5b976cec8027833791c » « cheval de Troie »

« ff7025e261bd09250346bc9efdfc6c7c » « virus »

Adresses IP des actifs etgroupes critiques

192.168.1.12 « actifs critiques »

192.168.2.0/24 « réseau local »

192.168.3.0/255.255.255.0 « réseau local »

192.168.4.32/27 « DMZ »

192.168.5.144/255.255.255.240 « actifs critiques »

Gestion des dictionnaires ADMUne fois que vous avez configuré et enregistré un nouveau dictionnaire, vous devez l'importerdans ESM. Vous pouvez également l'exporter, le modifier et le supprimer.


1 Dans l'Editeur de stratégies, cliquez sur Outils, puis sélectionnez Gestionnaire de dictionnaires ADM.

L'écran Gérer les dictionnaires ADM répertorie les quatre dictionnaires par défaut (botnet, foullanguage,icd9_desc et spamlist) et les éventuels dictionnaires importés dans le système.

2 Effectuez l'une des actions disponibles, puis cliquez sur Fermer.



Référencement d'un dictionnaire ADMLorsqu'un dictionnaire est importé dans ESM, vous pouvez vous y référer lors de l'écriture des règles.

Avant de commencerImportez le dictionnaire dans ESM.


1 Dans le panneau Types de règle de l'Editeur de stratégies, cliquez sur Nouveau | Règle ADM.

2 Ajoutez les informations demandées et effectuez un glisser-déplacer d'un élément logique vers lazone Logique d'expression.

3Effectuez un glisser-déplacer de l'icône Composant d'expression dans l'élément logique.

4 Dans la page Composant d'expression, sélectionnez le dictionnaire dans le champ Dictionnaire.

5 Remplissez les champs restants, puis cliquez sur OK.

Informations de référence des règles ADMCette annexe contient des informations qui peuvent vous aider lors de l'ajout de règles ADM à l'Editeurde stratégies.

Syntaxe des règles ADMLes règles ADM sont très proches des expressions C.

La principale différence est que les règles ADM sont un ensemble plus complet de littéraux (nombres,chaînes, expressions régulières, adresses IP, adresses MAC et booléens). Les termes de type chaînepeuvent être comparés aux littéraux de type chaîne et expression régulière afin de tester leurcontenu, mais ils peuvent également être comparés à des nombres pour tester leur longueur. Lestermes de type nombre, adresse IP et adresse MAC ne peuvent être comparés qu'au même type devaleur de littéral. La seule exception tient au fait que tous les éléments peuvent être traités commedes booléens afin de tester leur existence. Certains termes peuvent disposer de plusieurs valeurs. Parexemple, la règle suivante se déclenche pour les fichiers PDF contenus dans les fichiers .zip : type = =application/zip && type = = application/pdf.

Tableau 3-27 Opérateurs

Opérateur Description Exemple

&& AND logique protocol = = http && type = = image/gif

|| OR logique time.hour < 8 || time.hour > 18

^ ^ XOR logique email.from = = "[email protected]" ^^email.to = = "[email protected]"

! NOT unaire ! (protocol = = http | | protocol = = ftp)

= = Egal type = = application/pdf

! = Différent de srcip ! = 192.168.0.0/16

> Supérieur objectsize > 100M

> = Supérieur ou égal à time.weekday > = 1



Tableau 3-27 Opérateurs (suite)

Opérateur Description Exemple

< Inférieur à objectsize < 10K

< = Inférieur ou égal à time.hour < = 6

Tableau 3-28 Littéraux

Littéral Exemple

Nombre 1234, 0x1234, 0777, 16K, 10M, 2G

Chaîne "une chaîne"

Expression régulière /[A-Z] [a-z]+/

IPv4 1.2.3.4, 192.168.0.0/16, 192.168.1.0/255.255.255.0

MAC aa:bb:cc:dd:ee:ff

Booléen true, false

Tableau 3-29 Compatibilité des types d'opérateur

Type Opérateurs Notes

Nombre = =, ! =, >, > =, <, < =

Chaîne = =, ! = Comparaison du contenu d'une chaîne avec une chaîne/expression régulière

Chaîne >, > =, <, <= Comparaison de la longueur de chaîne

IPv4 = =, ! =

MAC = =, ! =

Booléen = =, ! = Comparaison à true/false. Prise en charge aussi d'unecomparaison implicite avec true. Exemple : la syntaxe suivantepermet de tester l'existence du terme email.bcc : email.bcc

Tableau 3-30 Grammaire des expressions régulières ADM

Opérateurs de base

| Alternative (ou)

* Zéro ou plus

+ Un ou plus

? Zéro ou un

( ) Groupement (a | b)

{ } Intervalle répétitif {x}, {,x}, {x,} ou {x,y}

[ ] Intervalle [0-9a-z] [abc]

[^ ] Intervalle exclusif [^abc] [^0-9]

. Tout caractère

\ Caractère d'échappement



Echappements

\d Chiffre [0-9]

\D Autre que chiffre [^0-9]

\e Echappement (0x1B)

\f Saut de page (0x0C)

\n Saut de ligne (0x0A)

\r Retour chariot (0x0D)

\s Espace blanc

\S Autre qu'espace blanc

\t Tabulation (0x09)

\v Tabulation verticale (0x0B)

\w Mot [A-Za-z0-9_]

\W Autre que mot

\x00 Représentation hexadécimale

\0000 Représentation octale

^ Début de ligne

S Fin de ligne

Les ancres de début et de fin de ligne (^ et $) ne fonctionnent pas pour la propriété objcontent.

Classes de caractères POSIX

[:alunum:] Chiffres et lettres

[:alpha:] Toutes les lettres

[:ascii:] Caractères ASCII

[:blank:] Espace et tabulation

[:cntrl:] Caractères de contrôle

[:digit:] Chiffres

[:graph:] Caractères visibles

[:lower:] Lettres minuscules

[:print:] Caractères et espaces visibles

[:punct:] Ponctuation et symboles

[:space:] Tous les caractères d'espace blanc

[:upper:] Caractères majuscules



Classes de caractères POSIX

[:word:] Caractères de mot

[:xdigit:] Chiffre hexadécimal

Types de terme des règles ADMTous les termes d'une règle ADM sont d'un type spécifique.

Chaque terme est une adresse IP, une adresse MAC, un nombre, une chaîne ou une valeur booléenne.En outre, il existe deux types de littéral supplémentaires : les expressions régulières et les listes.Généralement, un terme d'un type spécifique ne peut être comparé qu'à un littéral ou à une liste delittéraux du même type (ou une liste de listes de...). Trois exceptions à cette règle existent :

1 Un terme de type chaîne peut être comparé à un littéral numérique afin de tester sa longueur. Larègle suivante se déclenche si un mot de passe contient moins de 8 caractères (le mot de passe estun terme de type chaîne) : password < 8

2 Un terme de type chaîne peut être comparé à une expression régulière. La règle suivante sedéclenche si un mot de passe ne contient que des lettres minuscules : password == /^[a-z]+$/

3 Tous les termes peuvent être comparés à des littéraux booléens afin de tester s'ils surviennent ounon. La règle suivante se déclenche si un e-mail possède une adresse CC (email.cc est un terme detype chaîne) : email.cc == true

Type Description du format

Adresses IP • Les littéraux de type adresse IP sont écrits sous forme de notation standard dechiffres décimaux séparés par des points ; ils ne sont pas entourés de guillemets :192.168.1.1

• Les adresses IP peuvent disposer d'un masque écrit en notation CIDR standard.Aucun espace blanc ne doit exister entre l'adresse et le masque : 192.168.1.0/24

• Les adresses IP peuvent également disposer de masques écrits dans un longformat : 192.168.1.0/255.255.255.0

Adresses MAC • A l'instar des adresses IP, les littéraux de type adresse MAC sont écrits à l'aided'une notation standard et ne sont pas placés entre guillemets : aa:bb:cc:dd:ee:ff

Nombres • Tous les nombres des règles ADM sont des nombres entiers 32 bits. Ils peuventêtre écrits au format décimal : 1234

• Ils peuvent être écrits au format hexadécimal : 0xabcd

• Ils peuvent être écrits au format octal : 0777

• Ils peuvent disposer d'un multiplicateur ajouté pour multiplier par 1 024 (K),1 048 576 (M) ou 1 073 741 824 (G) : 10 M




Chaînes • Les chaînes sont placées entre guillemets : "c'est une chaîne"

• Les chaînes peuvent utiliser des séquences d'échappement C standard : "\tC'estune \"chaîne\" qui contient\x20séquences d'échappement\n"

• Si vous comparez un terme à une chaîne, l'intégralité du terme doit correspondreà la chaîne. Si un e-mail est pourvu de l'adresse d'expéditeur [email protected],la règle suivante ne se déclenche pas : email.from == "@exemple.com"

• Pour ne faire concorder qu'une partie d'un terme, un littéral de type expressionrégulière doit être utilisé. Les littéraux de type chaîne doivent être utilisés dans lamesure du possible, car ils sont plus efficaces.

Comme tous les termes des adresses e-mail et des URL sont normalisés avant laconcordance, il n'est pas nécessaire de tenir compte d'éléments tels que lescommentaires dans les adresses e-mail.

Booléens • Les littéraux de type booléen sont true et false.




Expressionsrégulières

• Les littéraux de type expression régulière utilisent la même notation que leslangages, par exemple Javascript et Perl, l'expression régulière étant placée entredes barres obliques : /[a-z]+/

• Les expressions régulières peuvent être suivies d'indicateurs modificateursstandard, même si « i » est le seul caractère actuellement reconnu (non-respectde la casse) : /[a-z]+/i

• Les littéraux de type expression régulière doivent utiliser la syntaxe POSIXétendue. Actuellement, les extensions Perl fonctionnent pour tous les termes,excepté le terme de contenu, mais cela pourrait changer dans les versions futures.

• Lorsqu'un terme est comparé à une expression régulière, toute sous-chaîneincluse au terme est prise en compte dans la concordance, sauf si les opérateursd'ancrage sont appliqués dans l'expression régulière. La règle suivante sedéclenche lors de la détection d'un e-mail contenant l'adresse« [email protected] » : email.from == /@exemple.com/

Listes • Les littéraux de type liste sont constitués d'un ou plusieurs littéraux placés entrecrochets et séparés par des virgules : [1, 2, 3, 4, 5]

• Les listes peuvent contenir toute sorte de littéral, notamment d'autres listes :[192.168.1.1, [10.0.0.0/8, 172.16.128.0/24]]

• Les listes ne doivent contenir qu'une sorte de littéral ; il n'est pas valide decombiner des chaînes et des nombres, des chaînes et des expressions régulières,et des adresses IP et MAC.

• Si une liste est utilisée avec un opérateur relationnel autre que différent de (!=),l'expression est vraie si le terme correspond à tout littéral de la liste. La règlesuivante se déclenche si l'adresse IP source correspond à l'une des adresses IP dela liste : srcip == [192.168.1.1, 192.168.1.2, 192.168.1.3]

• Cela équivaut à : srcip == 192.168.1.1 || srcip == 192.168.1.2 || srcip ==192.168.1.3

• Lorsqu'elle est utilisée avec l'opérateur différent de (!=), l'expression est vraie si leterme ne correspond pas à tous les littéraux de la liste. La règle suivante sedéclenche si l'adresse IP source n'est pas 192.168.1.1 ou 192.168.1.2 : srcip !=[192.168.1.1, 192.168.1.2]

• Cela équivaut à : srcip != 192.168.1.1 && srcip != 192.168.1.2

• Les listes peuvent également être utilisées avec les autres opérateurs relationnelsmême si cela n'a pas beaucoup de sens. La règle suivante se déclenche si la taillede l'objet est supérieure à 100 ou 200 : objectsize > [100, 200]

• Cela équivaut à : objectsize > 100 || objectsize > 200

Références métriques des règles ADMVoici la liste des références métriques des expressions de règle ADM qui sont disponibles dans la pageComposant d'expression lorsque vous ajoutez une règle ADM.

La valeur du type de paramètre que vous pouvez entrer pour chacune des propriétés et anomaliescourantes est affichée entre parenthèses après la référence métrique.

Propriétés courantes

Propriété ou terme Description

Protocole (nombre) Protocole d'application (HTTP, FTP, SMTP).

Contenu d'objet (chaîne) Contenu d'un objet (texte d'un document, d'un e-mail, d'unmessage de chat). La correspondance de contenu n'est pasdisponible pour les données binaires, mais les objets binairespeuvent être détectés à l'aide de la propriété Type d'objet (objtype).




Type d'objet (nombre) Spécifie le type de contenu tel qu'il est déterminé par ADM(documents Office, messages, vidéos, audio, images, archives,exécutables).

Taille d'objet (nombre) Taille de l'objet. Les multiplicateurs numériques K, M et G peuventêtre ajoutés après le nombre (10 K, 10 M, 10 G).

Hachage d'objet (chaîne) Hachage du contenu (MD5 actuellement).

Adresse IP source d'objet(nombre)

Adresse IP source du contenu. L'adresse IP peut être spécifiée auformat 192.168.1.1, 192.168.1.0/24, 192.168.1.0/255.255.255.0.

Adresse IP de destinationd'objet (nombre)

Adresse IP de destination du contenu. L'adresse IP peut êtrespécifiée au format 192.168.1.1, 192.168.1.0/24,192.168.1.0/255.255.255.0.

Port source d'objet (nombre) Port TCP/UDP source du contenu.

Port de destination d'objet(nombre)

Port TCP/UDP de destination du contenu.

Adresse IPv6 source d'objet(nombre)

Adresse IPv6 source du contenu.

Adresse IPv6 de destinationd'objet (nombre)

Adresse IPv6 de destination du contenu.

Adresse MAC source d'objet(nom MAC)

Adresse MAC source du contenu (aa:bb:cc:dd:ee:ff).

Adresse MAC de destinationd'objet (nom MAC)

Adresse MAC de destination du contenu (aa:bb:cc:dd:ee:ff).

Adresse IP source de flux(IPv4)

Adresse IP source du flux. L'adresse IP peut être spécifiée au format192.168.1.1, 192.168.1.0/24, 192.168.1.0/255.255.255.0.

Adresse IP de destination deflux (IPv4)

Adresse IP de destination du flux. L'adresse IP peut être spécifiée auformat 192.168.1.1, 192.168.1.0/24, 192.168.1.0/255.255.255.0.

Port source de flux (nombre) Port TCP/UDP source du flux

Port de destination de flux(nombre)

Port TCP/UDP de destination du flux

Adresse IPv6 source de flux(nombre)

Adresse IPv6 source du flux

Adresse IPv6 de destination deflux (nombre)

Adresse IPv6 de destination du flux

Adresse MAC source de flux(nom MAC)

Adresse MAC source du flux

Adresse MAC de destination duflux (nom MAC)

Adresse MAC de destination du flux

Réseau local virtuel (nombre) ID de réseau local virtuel

Jour de la semaine (nombre) Jour de la semaine. Les valeurs valides sont comprises entre 1 et 7,1 correspondant à lundi.

Heure de la journée (nombre) Heure de la journée définie sur GMT. Les valeurs valides sont lessuivantes :

Type de contenu déclaré(chaîne)

Type de contenu tel qu'il est spécifié par le serveur. En théorie, lapropriété Type d'objet (objtype) est toujours le type réel et lapropriété Type de contenu déclaré (content-type) n'est pas digne deconfiance, car elle peut être usurpée par le serveur/l'application.

Mot de passe (chaîne) Mot de passe utilisé par l'application à des fins d'authentification.

URL (chaîne) URL de site web. S'applique uniquement au protocole HTTP.




Nom de fichier (chaîne) Nom du fichier transféré.

Nom d'affichage (chaîne)

Nom d'hôte (chaîne) Nom d'hôte tel qu'il est spécifié dans la recherche DNS.

Anomalies courantes

• Utilisateur déconnecté (booléen)

• Erreur d'autorisation (booléen)

• Réussite d'autorisation (booléen)

• Echec d'autorisation (booléen)

Propriétés propres aux protocolesEn plus de fournir les propriétés communes à la plupart des protocoles, ADM fournit également despropriétés propres à chaque protocole que vous pouvez utiliser avec les règles ADM. Toutes lespropriétés propres aux protocoles sont également disponibles sur la page Composant d'expression lors del'ajout d'une règle ADM.

Exemples de propriétés propres aux protocoles

Ces propriétés s'appliquent aux tableaux suivants :

* Détection uniquement** Pas de déchiffrement, capture des certificats X.509 et des données chiffrées*** Via le module RFC822

Tableau 3-31 Modules de protocoles de transfert de fichier

FTP HTTP SMB* SSL**

Nom d'affichageNom de fichier

Nom d'hôte

URL

Nom d'affichage

Nom de fichier

Nom d'hôte

Referer

URL

Tous les en-têtes HTTP

Nom d'affichage

Nom de fichier

Nom d'hôte

Nom d'affichage

Nom de fichier

Nom d'hôte

Tableau 3-32 Modules de protocoles de messagerie e-mail

DeltaSync MAPI NNTP POP3 SMTP

Cci***

Cc***

Nom d'affichage

De***

Nom d'hôte

Objet***

A***

Cci

Cc

Nom d'affichage

De

Nom d'hôte

Objet

A

Nom de l'utilisateur

Cci***

Cc***

Nom d'affichage

De***

Nom d'hôte

Objet***

A***

Cci***

Cc***

Nom d'affichage

De***

Nom d'hôte

Objet***

A***

Nom de l'utilisateur

Cci***

Cc***

Nom d'affichage

De***

Nom d'hôte

A***

Objet***



Tableau 3-33 Modules de protocoles de messagerie web

AOL Gmail Hotmail Yahoo

Nom de pièce jointe

Cci***

Cc***

Nom d'affichage

Nom de fichier

Nom d'hôte

De***

Objet***

A***


Cci***

Cc***

Nom d'affichage

Nom de fichier

Nom d'hôte

De***

Objet***

A***


Cci***

Cc***

Nom d'affichage

Nom de fichier

Nom d'hôte

De***

Objet***

A***


Cci***

Cc***

Nom d'affichage

Nom de fichier

Nom d'hôte

De***

Objet***

A***

Protocole, anomaliesOutre les propriétés communes et les propriétés propres aux protocoles, ADM détecte également descentaines d'anomalies dans les protocoles de bas niveau, de transport et d'application. Toutes lespropriétés des anomalies de protocole sont de type Booléen et sont disponibles sur la page Composantd'expression lorsque vous ajoutez une règle ADM.

Tableau 3-34 IP

Terme Description

ip.too-small Paquet IP trop petit pour contenir un en-tête valide.

ip.bad-offset Décalage de données IP au-delà de la fin du paquet.

ip.fragmented Paquet IP fragmenté.

ip.bad-checksum La somme de contrôle du paquet IP ne concorde pas avec les données.

ip.bad-length Champ totlen du paquet IP au-delà de la fin du paquet.

Tableau 3-35 TCP

Terme Description

tcp.too-small Paquet TCP trop petit pour contenir un en-tête valide.

tcp.bad-offset Décalage des données du paquet TCP au-delà de la fin dupaquet.

tcp.unexpected-fin Indicateur FIN TCP défini dans un état non établi.

tcp.unexpected-syn Indicateur SYN TCP défini dans un état établi.

tcp.duplicate-ack Les données ACK du paquet TCP ont déjà un accusé deréception ACK.

tcp.segment-outsidewindow Le paquet TCP est en dehors de la fenêtre (petite fenêtre dumodule TCP, pas la fenêtre réelle).

tcp.urgent-nonzero-withouturg- flag Le champ urgent TCP est différent de zéro, mais l'indicateurURG n'est pas défini.



Tableau 3-36 DNS

Terme Description

dns.too-small Paquet DNS trop petit pour contenir un en-tête valide.

dns.question-name-past-end Nom de question DNS au-delà de la fin du paquet.

dns.answer-name-past-end Nom de réponse DNS au-delà de la fin du paquet.

dns.ipv4-address-length-wrong La longueur de l'adresse IPv4 dans la réponse DNS n'est pas4 octets.

dns.answer-circular-reference La réponse DNS contient une référence circulaire.

Paramètres de Database Event Monitor (DEM)McAfee Database Event Monitor (DEM) regroupe les activités liées aux bases de données dans unréférentiel d'audit central. Il fournit également la normalisation, la corrélation, l'analyse et les rapportsrelatifs à ces activités. Si l'activité du réseau ou du serveur de base de données correspond à desmodèles connus indiquant un accès malveillant à des données, DEM génère une alerte. Par ailleurs,toutes les transactions sont consignées en vue d'une utilisation conforme.

DEM vous permet de gérer, modifier et ajuster les règles de surveillance des bases de données sur lamême interface qui fournit l'analyse et les rapports. Vous pouvez facilement ajuster des profils desurveillance de base de données spécifiques (quelles règles appliquer, quelles transactions consigner),ce qui réduit les faux-positifs et améliore globalement la sécurité.

DEM effectue un audit non intrusif des interactions entre les utilisateurs/applications et les bases dedonnées en surveillant les paquets du réseau à l'instar des systèmes de détection des intrusions. Poursurveiller toutes les activités du serveur de base de données sur le réseau, vous devez coordonner ledéploiement DEM initial avec vos équipes chargées de la mise en réseau, la sécurité, la conformité etdes bases de données.

Les équipes chargées du réseau utilisent des ports SPAN sur les commutateurs, des connexions deréseau ou des concentrateurs pour répliquer le trafic des bases de données. Ce processus vous permetd'écouter ou de surveiller le trafic sur vos serveurs de base de données et de créer un journal d'audit.

Consultez le site web McAfee pour obtenir des informations sur la prise en charge des plates-formes etdes versions de serveur de base de données.

Système d'exploitation Base de données Appliance DEM

Windows (toutes les versions) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008,2012

Windows, UNIX/Linux (toutes lesversions)

Oracle² Oracle 8.x, 9.x, 10 g, 11 g (c),11 g R2³

Sybase 11.x, 12.x, 15.x

DB2 8.x, 9.x, 10.x

Informix (disponible dansles versions 8.4.0 etultérieures)

11.5

Windows, UNIX/Linux (toutes lesversions)

MySQL Oui, 4.x, 5.x, 6.x

PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x

Teradata 12.x, 13.x, 14.x

InterSystems Caché 2011.1.x

UNIX/Linux (toutes les versions) Greenplum 8.2.15



Système d'exploitation Base de données Appliance DEM

Vertica 5.1.1-0

Mainframe DB2/zOS Toutes les versions

AS/400 DB2 Toutes les versions

1 La prise en charge du déchiffrement des paquets pour Microsoft SQL Server est disponible dans lesversions 8.3.0 et ultérieures.

2 La prise en charge du déchiffrement des paquets pour Oracle est disponible dans les versions 8.4.0et ultérieures.

3 Oracle 11 g est disponible dans les versions 8.3.0 et ultérieures.

Les déclarations suivantes s'appliquent à ces serveurs et ces versions :

• Les versions 32 bits et 64 bits des systèmes d'exploitation et des plates-formes de base dedonnées sont prises en charge.

• MySQL est pris en charge uniquement sur les plates-formes Windows 32 bits.

• Le déchiffrement des paquets est pris en charge pour MSSQL et Oracle.

Mise à jour de la licence DEMDEM est fourni avec une licence par défaut. Si vous modifiez les fonctionnalités de DEM, McAfee vousenvoie une nouvelle licence dans un e-mail et vous devez procéder à sa mise à jour.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés DEM, puis cliquez surConfiguration DEM.

2 Cliquez sur Licence | Mettre à jour la licence, puis collez les informations que McAfee vous a envoyéesdans le champ.

3 Cliquez sur OK.

Le système procède à la mise à jour de la licence et vous informe lorsqu'elle est terminée.

4 Déployez la stratégie sur DEM.

Synchronisation des fichiers de configuration DEMSi les fichiers de configuration DEM sont désynchronisés avec l'équipement DEM, vous devez les écriredans DEM.



2 Cliquez sur Synchroniser les fichiers.

Un message affiche le statut de la synchronisation.

Configuration des paramètres DEM avancésCes paramètres avancés modifient ou augmentent les performances de DEM.





2 Cliquez sur Avancé, puis définissez les paramètres ou désélectionnez des options si vous faites face àune charge élevée sur DEM.

3 Cliquez sur OK.

Application des paramètres de configuration DEMLes modifications apportées aux paramètres de configuration DEM doivent être appliquées à DEM. Sivous deviez omettre d'appliquer des modifications de configuration, l'option Appliquer de la pageConfiguration DEM vous permet d'effectuer cette procédure pour tous les paramètres deconfiguration DEM.




Un message vous informe de l'écriture des paramètres de configuration dans DEM.

Définition des actions pour les événements DEMLes paramètres Gestion des actions dans DEM définissent des actions et des opérations pour lesévénements, qui sont utilisées dans les règles de filtrage et les stratégies d'accès aux données DEM.Vous pouvez ajouter des actions personnalisées et définir l'option Opération pour les actions par défautet personnalisées.

DEM est fourni avec des actions par défaut que vous pouvez visualiser en cliquant sur Modifier globalementdans la page Gestion des actions, ainsi que ces opérations par défaut :

• aucun • scripts

• ignorer • réinitialiser

• abandonner

Si vous sélectionnez l'opération Script, un nom d'alias (SCRIPT ALIAS) est requis pointant vers le scriptréel (SCRIPT NAME) qui doit être exécuté lorsque l'événement de criticité se produit. Le scripttransmet deux variables d'environnement, ALERT_EVENT et ALERT_REASON. ALERT_EVENT contientune liste de mesures séparées par des deux-points. DEM fournit un exemple de script bash, /home/auditprobe/conf/sample/process_alerts.bash, pour montrer comment l'action de criticité peut êtrecapturée dans un script.

Lorsque vous utilisez des actions et des opérations, n'oubliez pas les points suivants :

• Les actions sont indiquées par ordre de priorité.

• Un événement n'entreprend pas d'action telle que l'envoi d'une interruption ou d'une page SNMP àmoins que vous ne spécifiiez cela comme action d'alerte.



• Si une règle peut bénéficier de plusieurs niveaux d'alerte, seule l'alerte de niveau supérieurentraîne une action.

• Les événements sont écrits dans un fichier d'événements quelle que soit l'action. La seuleexception est l'opération Abandonner.

Ajout d'une action DEMSi vous ajoutez une action à la gestion des actions DEM, elle s'affiche dans la liste des actionsdisponibles pour une règle DEM dans l'Editeur de stratégies. Vous pouvez alors sélectionner l'action pourl'associer à une règle.


1Dans l'arborescence de navigation des systèmes, cliquez sur l'icône Editeur de stratégies , puis surOutils | Gestionnaire d'actions DEM.

La page Gestion des actions DEM répertorie les actions existantes par ordre de priorité.

Vous ne pouvez pas modifier l'ordre de priorité des actions par défaut.

2 Cliquez sur Ajouter, puis entrez le nom et la description de cette action.

Vous ne pouvez pas supprimer une action personnalisée une fois que vous l'avez ajoutée.

3 Cliquez sur OK.

La nouvelle action est ajoutée à la liste de Gestion des actions DEM.

L'opération par défaut pour une action personnalisée est Aucune. Pour modifier cela, voir Définition del'opération d'une action DEM.

Modification d'une action personnalisée DEMUne fois que vous aurez ajouté une action à la liste de gestion des actions DEM, il se peut que vousdeviez modifier son nom ou sa priorité.


1Dans l'arborescence de navigation des systèmes, cliquez sur l'icône Editeur de stratégies , puis surOutils | Gestionnaire d'actions DEM.

2 Cliquez sur l'action personnalisée que vous devez modifier et exécutez l'une des étapes suivantes :

• Pour modifier l'ordre de priorité, cliquez sur les flèches vers le haut ou vers le bas jusqu'à cequ'elle atteigne sa position correcte.

• Pour changer le nom ou la description, cliquez sur Modifier.

3 Cliquez sur OK pour enregistrer vos paramètres.

Définition de l'opération d'une action DEMToutes les actions de règle sont pourvues d'une opération par défaut. Si vous ajoutez une action DEMpersonnalisée, l'opération par défaut est Aucune. Vous pouvez modifier l'opération de toute action et ladéfinir sur Ignorer, Abandonner, Script ou Réinitialiser.




1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés DEM, puis cliquez sur Gestiondes actions.

2 Surlignez l'action que vous souhaitez modifier, puis cliquez sur Modifier.

3 Sélectionnez une opération, puis cliquez sur OK.

Utilisation des masques de données confidentiellesLes masques de données confidentielles empêchent l'affichage non autorisé des donnéesconfidentielles en les remplaçant par une chaîne générique, appelée masque. Trois masques dedonnées confidentielles standard sont ajoutés à la base de données ESM lorsque vous ajoutez unéquipement DEM au système, mais vous pouvez en ajouter des nouveaux et modifier ou supprimerceux qui existent.

Masques standard :

• Nom du masque de données confidentielles : masque de numéro de carte de crédit

Expression : ((4\d{3})|(5[1-5]\d{2})|(6011))-?\d{4}-?\d{4}-?\d{4}|3[4,7]\d{13}

Index des sous-chaînes : \0

Modèle de masquage : ####-####-####-####

• Nom du masque de données confidentielles : masquer les 5 premiers caractères du numéro desécurité sociale

Expression : (\d\d\d-\d\d)-\d\d\d\d


Modèle de masquage : ###-##

• Nom du masque de données confidentielles : masquer le mot de passe utilisateur dansl'instruction SQL

Expression : create\s+user\s+(\w+)\s+identified\s+by\s+(\w+)


Modèle de masquage : ********

Gestion des masques de données confidentiellesPour protéger les informations confidentielles entrées dans le système, vous pouvez ajouter desmasques de données confidentielles ou modifier ou supprimer ceux qui existent.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés DEM, puis cliquez sur Masquesde données confidentielles.

2 Sélectionnez une option, puis entrez les informations demandées.

3 Cliquez sur OK, puis sur Ecrire pour ajouter les paramètres dans DEM.



Gestion de l'identification des utilisateursUne grande partie de la sécurité repose sur le principe simple selon lequel les utilisateurs doivent êtreidentifiés et distingués les uns des autres. Néanmoins des noms d'utilisateur génériques sont souventutilisés pour accéder à la base de données. La gestion des identificateurs permet de capturer le nomd'utilisateur réel s'il existe dans la requête, à l'aide des modèles REGEX.

Les applications peuvent être utilisées facilement pour tirer parti de cette fonctionnalité de sécurité.Deux règles d'identificateur définies sont ajoutées à la base de données ESM lorsque vous ajoutez unéquipement DEM au système.

• Nom de règle d'identificateur : Get User Name from SQL Stmt (Obtenir le nom de l'utilisateur àpartir d'une instruction SQL)

Expression : select\s+username=(\w+)

Application : Oracle


• Nom de règle d'identificateur : Get User Name from Stored Procedure (Obtenir le nom del'utilisateur à partir d'une procédure stockée)

Expression : sessionStart\s+@appname='(\w+)', @username='(\w+)',

Application : MSSQL


La corrélation avancée des utilisateurs est possible en mettant en corrélation les journaux DEM,d'application, de serveur web, système et de gestion des identités et des accès dans ESM.

Ajout d'une règle d'identificateur d'utilisateurPour associer des requêtes de base de données à des personnes, vous pouvez utiliser les règlesd'identificateur d'utilisateur existantes ou en ajouter une nouvelle.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés DEM, puis cliquez sur Gestiondes identificateurs.

2 Cliquez sur Ajouter, puis entrez les informations demandées.

3 Cliquez sur OK, puis sur Ecrire pour écrire les paramètres dans DEM.

A propos des serveurs de base de donnéesLes serveurs de base de données surveillent l'activité des bases de données. Si une activité observéesur un serveur de base de données correspond à un modèle connu qui indique un accès aux donnéesmalveillant, une alerte est générée. Chaque DEM peut surveiller un maximum de 255 serveurs de basede données.

DEM prend actuellement en charge ces serveurs de base de données et ces versions.

SE Base de données Appliance DEM

Windows (toutes lesversions)

Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008, 2012

Windows, UNIX/Linux(toutes les versions)

Oracle² Oracle 8.x, 9.x, 10g, 11g³, 11g R2



SE Base de données Appliance DEM

Sybase 11.x, 12.x, 15.x

DB2 8.x, 9.x, 10.x

Informix (voir la note 4) 11.5

MySQL Oui, 4.x, 5.x, 6.x

PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x

Teradata 12.x, 13.x, 14.x

InterSystems Caché 2011.1.x

UNIX/Linux (toutes lesversions)

Greenplum 8.2.15

Vertica 5.1.1-0

Mainframe DB2/zOS Toutes les versions

AS/400 DB2 Toutes les versions

1 La prise en charge du déchiffrement des paquets pour Microsoft SQL Server est disponible dans lesversions 8.3.0 et ultérieures.

2 La prise en charge du déchiffrement des paquets pour Oracle est disponible dans les versions 8.4.0et ultérieures.

3 Oracle 11g est disponible dans les versions 8.3.0 et ultérieures.

4 La prise en charge d'Informix est disponible dans les versions 8.4.0 et ultérieures.

• Les versions 32 bits et 64 bits des systèmes d'exploitation et des plates-formes de base dedonnées sont prises en charge.

• MySQL est pris en charge uniquement sur les plates-formes Windows 32 bits.

• Le déchiffrement des paquets est pris en charge pour MSSQL et Oracle.

Gestion des serveurs de base de donnéesLa page Serveur de base de données est le point de départ pour gérer les paramètres de tous les serveursde base de données de votre équipement DEM.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés DEM, puis cliquez sur Serveursde base de données.

2 Sélectionnez l'une des options disponibles.

3 Cliquez sur OK.

Gestion des notifications de découverte de base de donnéesDEM est pourvu d'une fonctionnalité de découverte de base de données qui fournit la liste desexceptions des serveurs de base de données qui ne sont pas surveillés. Cela permet à unadministrateur de sécurité de découvrir les nouveaux serveurs de base de données ajoutés àl'environnement ainsi que les ports d'écoute interdits ouverts pour accéder aux données des bases dedonnées. Si cette option est activée, vous recevez une notification d'alerte qui s'affiche dans la vueAnalyse d'événement. Vous pouvez alors choisir d'ajouter le serveur à ceux qui sont surveillés dans votresystème.




1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés DEM, puis cliquez sur Serveursde base de données | Activer.

Vous êtes averti de leur activation.

2 Cliquez sur OK pour fermer la page Propriétés DEM.

3 Pour afficher les notifications, cliquez sur l'équipement DEM dans l'arborescence de navigation dessystèmes, puis sélectionnez Vues des événements | Analyse d'événement.

4 Pour ajouter le serveur à votre système, sélectionnez la vue Analyse d'événement, cliquez sur l'icône

Menu et sélectionnez Ajouter un serveur.

Paramètres de Distributed ESM (DESM)Distributed ESM (DESM) fournit une architecture distribuée qui permet à un ESM parent de seconnecter à jusqu'à 100 équipements et d'y collecter des données. L'ESM parent extrait les donnéesde l'équipement en fonction des filtres que vous avez définis. Par ailleurs, vous pouvez accéderdirectement aux détails des données qui proviennent de l'ESM de l'équipement et y sont conservées.

Le DESM doit approuver l'ESM parent pour lui permettre d'extraire des événements. Le parent peutdéfinir des filtres, synchroniser des sources de données et envoyer en mode Push ses typespersonnalisés. Il ne peut pas obtenir des règles ni des événements du DESM tant qu'il n'est pasapprouvé.

Si vous vous connectez avec des droits d'administrateur au DESM, une notification indique que « CetESM a été ajouté en tant qu'ESM distribué sur un autre serveur. Attente de l'autorisation deconnexion ». Si vous cliquez sur Approuver les ESM hiérarchiques, vous pouvez sélectionner le type decommunication à autoriser entre l'ESM parent et le DESM.

L'ESM parent ne gère pas les équipements qui appartiennent à l'ESM de l'équipement. L'ESM parentaffiche l'arborescence des systèmes de l'ESM d'équipement directement connecté. Il n'extrait pas niaffiche les événements des ESM enfants des équipements. Les barres d'outils sont désactivées pourtous les DESM enfants.

Le parent ne gère pas les données qui résident sur l'ESM de l'équipement. Un sous-ensemble desdonnées ESM de l'équipement est transféré et stocké sur l'ESM parent en fonction des filtres que vousavez définis.

Ajout de filtres DESMLes données transférées de l'équipement ESM vers l'équipement DESM parent dépendent des filtresdéfinis par l'utilisateur. Si ces filtres sont enregistrés, cela équivaut à appliquer le filtre àl'équipement ESM afin que les hachages ou bits appropriés puissent être générés. Etant donné quel'objet de la fonctionnalité DESM est de vous permettre de collecter des données spécifiques del'équipement ESM (pas TOUTES les données), vous devez définir des filtres pour les données àrécupérer de l'équipement ESM.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés DESM, puis cliquez sur Filtres.

2 Entrez les données demandées, puis cliquez sur OK.



Paramètres ePolicy OrchestratorVous pouvez ajouter un équipement ePolicy Orchestrator à l'ESM, avec ses applications répertoriés entant qu'enfants dans l'arborescence de navigation du système. Une fois authentifié, vous pouvezaccéder aux fonctions de l'ESM et attribuer des marqueurs ePolicy Orchestrator directement auxadresses IP source ou destination et aux événements générés par les alarmes.

Vous devez associer ePolicy Orchestrator à un récepteur, car les événements sont extraits durécepteur et non d'ePolicy Orchestrator.

Pour utiliser ePolicy Orchestrator, vous devez avoir l'autorisation de lecture sur la base de donnéesprincipale et la base de données ePolicy Orchestrator.

Si l'équipement McAfee ePO est associé à un serveur McAfee®

Threat Intelligence Exchange (TIE), il estautomatiquement ajouté lorsque vous ajoutez l'équipement McAfee ePO à l'ESM (consultez la sectionIntégration de Threat Intelligence Exchange).

Lancement d'ePolicy OrchestratorSi vous avez un équipement ou une source de données ePolicy Orchestrator sur l'ESM et si l'adresse IPd'ePolicy Orchestrator est dans votre Réseau local, vous pouvez lancer l'interface d'ePolicyOrchestrator à partir d'ESM.

Avant de commencerAjoutez un équipement ou une source de données ePolicy Orchestrator à l'ESM.

Cette fonctionnalité est disponible dans ePolicy Orchestrator, versions 4.6 et ultérieures.


1 Dans l'arborescence de navigation des systèmes, sélectionnez une vue.

2 Sélectionnez un résultat dans un composant de barre, liste, secteur, graphique ou table quiretourne les données d'adresse IP source ou de destination.

3Dans le menu du composant , cliquez sur Action | Lancer ePO.

• Si vous avez un seul équipement ou source de données ePolicy Orchestrator sur le système et sivous avez sélectionné une adresse IP source ou de destination à l'étape 1, ePolicy Orchestratorest lancé.

• Si vous avez plusieurs équipements ou sources de données ePolicy Orchestrator sur le système,sélectionnez celui auquel vous souhaitez accéder, puis ePolicy Orchestrator est lancé.

• Si vous avez sélectionné un événement ou un flux dans un composant de table à l'étape 1,indiquez si vous souhaitez accéder à l'adresse IP source ou de destination. ePolicy Orchestratorest lancé ensuite.

Authentification des équipements McAfee ePOL'authentification est requise avant d'utiliser le marquage ou les actions McAfee ePO ou encore McAfeeReal Time for McAfee ePO.

Il existe deux types d'authentification :



• Compte global unique : si vous faites partie d'un groupe qui a accès à un équipement McAfee ePO,vous pouvez utiliser ces fonctionnalités après avoir entré les informations d'identification globales.

• Compte distinct pour chaque équipement par utilisateur : vous devez avoir des privilèges vouspermettant d'afficher l'équipement dans l'arborescence des équipements.

Si vous utilisez des actions, des marqueurs ou McAfee Real Time for McAfee ePO, utilisez la méthoded'authentification sélectionnée. Si les informations d'identification sont introuvables ou non valides,vous êtes invité à entrer des informations d'identification valides que vous devez enregistrer pour lescommunications futures avec l'équipement.

L'exécution des rapports, l'enrichissement des données et les listes de valeurs dynamiques enarrière-plan via McAfee Real Time for McAfee ePO utilisent les informations d'identification McAfee ePOfournies à l'origine.

Configuration de l'authentification d'un compte distinct

L'authentification du compte global est le paramètre par défaut. Pour configurer l'authentification d'uncompte distinct, vous devez effectuer deux actions :

1 Vérifiez que l'option Requérir l'authentification utilisateur est sélectionnée lors de l'ajout de l'équipementMcAfee ePO à l'ESM ou lorsque vous configurez ses paramètres de connexion (voir Ajoutd'équipements à la console ESM ou Modification de la connexion à ESM).

2 Entrez vos informations d'identification sur la page Options (voir Ajout des informationsd'identification pour l'authentification McAfee ePO).

Ajout des informations d'identification pour l'authentification McAfee ePOAvant d'utiliser le marquage ou les actions de McAfee ePO, ou bien McAfee Real Time for McAfee ePO,vous devez ajouter des informations d'identification pour l'authentification à l'ESM.

Avant de commencerInstallez un équipement McAfee ePO sur l'ESM (voir Ajout d'équipements à la consoleESM).

Si vous n'avez pas le nom d'utilisateur et le mot de passe de l'équipement, contactezl'administrateur système.


1 Dans la barre de navigation de la console ESM, cliquez sur Options, puis sur Informations d'identificationePO.


3 Indiquez le nom d'utilisateur et le mot de passe, puis cliquez sur Tester la connexion.

4 Cliquez sur OK.

Affectation de marqueurs ePolicy Orchestrator à une adresse IPL'onglet Marquage ePO répertorie les marqueurs disponibles. Vous pouvez affecter des marqueurs auxévénements générés par une alarme et voir si une alarme comporte des marqueurs ePolicy



Orchestrator. Vous pouvez également sélectionner un ou plusieurs marqueurs sur cette page et lesappliquer à une adresse IP.

Pour accéder à la fonctionnalité de marquage, vous devez disposer des autorisations Appliquer, exclure eteffacer des marqueurs et Réactiver les agents et afficher le journal d'activité de l'agent sur ePolicy Orchestrator.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ePO, puis cliquez surMarquage.

2 Renseignez les informations demandées, puis cliquez sur Affecter.

Les marqueurs sélectionnés sont appliqués à l'adresse IP.

Acquisition des données McAfee Risk AdvisorVous pouvez spécifier plusieurs serveurs ePolicy Orchestrator à partir desquels acquérir lesdonnées McAfee Risk Advisor. Les données sont acquises via une requête de la base de donnéesePolicy Orchestrator SQL Server.

La requête de base de données génère une liste de résultats indiquant l'adresse IP et le score deréputation, ainsi que des valeurs constantes pour la réputation élevée ou faible. Toutes leslistes ePolicy Orchestrator et McAfee Risk Advisor sont fusionnées, les IP en double obtenant le scorele plus élevé. Cette liste fusionnée est envoyée, avec les valeurs faibles et élevées, vers tous leséquipements ACE. Elle est utilisée pour les champs de notation IP source et IP de destination.

Lorsque vous ajoutez ePolicy Orchestrator, vous devez indiquer si vous souhaitez configurer lesdonnées McAfee Risk Advisor. Si vous cliquez sur Oui, une source d'enrichissement des données etdeux règles de score ACE (si applicables) sont créées et déployées. Pour les afficher, accédez auxpages Enrichissement des données et Score de la corrélation des risques. Si vous souhaitez utiliser les règles descore, vous devez créer un gestionnaire de corrélation des risques.

Activation de l'acquisition des données McAfee Risk AdvisorSi vous activez l'acquisition des données McAfee Risk Advisor dans ePolicy Orchestrator, une liste descores est générée et envoyée vers tout équipement ACE à utiliser pour les champs de notation IPsource et IP de destination.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ePO | Gestion des équipements,puis cliquez sur Activer.

Vous êtes informé de l'activation de l'acquisition.

2 Cliquez sur OK.

Exécution d'actions McAfee Real Time for McAfee ePOExécuter des actions McAfee Real Time for McAfee ePO dans les résultats d'une question à partird'ESM et du composant qui affiche une adresse IP dans la vue.

Avant de commencerDéfinissez et exécutez une question McAfee Real Time for McAfee ePO (voir Exécution derequêtes McAfee ePO pour le tableau de bord McAfee Real Time for McAfee ePO).




1Sur la console ESM, cliquez sur l'icône de menu dans un composant de vue qui affiche lesrésultats d'une question McAfee Real Time for McAfee ePO.

2 Sélectionnez Actions, puis cliquez sur Actions Real Time for ePO.

3 Dans l'onglet Equipements, sélectionnez l'équipement McAfee ePO sur lequel exécuter l'action.

4 Dans l'onglet Actions, cliquez sur une action dans la liste des actions disponibles pour leséquipements sélectionnés.

5 Dans l'onglet Filtres, définissez un ensemble de filtres à appliquer à la question, puis cliquez surTerminer.

Les filtres ne sont pas disponibles dans le tableau de bord ou les composants McAfee ePO.

Intégration de Threat Intelligence ExchangeThreat Intelligence Exchange vérifie la réputation des programmes exécutables sur les postes clientsconnectés à ces fichiers.

Lorsque vous ajoutez un équipement McAfee ePO à ESM, le système détecte automatiquement si unserveur Threat Intelligence Exchange est connecté à l'équipement. Si c'est le cas, ESM commencel'écoute de DXL et la journalisation des événements.

Si un serveur Threat Intelligence Exchange est détecté, les listes de valeurs, l'enrichissement desdonnées et les règles de corrélation de Threat Intelligence Exchange sont automatiquement ajoutéeset les alarmes de Threat Intelligence Exchange sont activées. Vous recevez une notification visuelle,qui inclut un lien vers la synthèse des modifications effectuées. Vous recevez également unenotification si le serveur Threat Intelligence Exchange est ajouté au serveur McAfee ePO après l'ajoutde l'équipement à ESM.

Une fois les événements Threat Intelligence Exchange générés, vous pouvez consulter l'historiqued'exécution (voir Affichage de l'historique d'exécution de Threat Intelligence Exchange et configurationd'actions) et sélectionner les actions que vous souhaitez effectuer sur les données malveillantes.

Règles de corrélation

Six règles de corrélation sont optimisées pour les données Threat Intelligence Exchange. Ellesgénèrent des événements, sur lesquels vous pouvez effectuer une recherche ou un tri.

• TIE — La réputation GTI est passée de bonne à mauvaise

• TIE — Fichier malveillant (SHA-1) trouvé dans un nombre croissant d'hôtes

• TIE — Nom de fichier malveillant trouvé dans un nombre croissant d'hôtes

• TIE — Plusieurs fichiers malveillants trouvés sur le même hôte

• TIE — La réputation TIE est passée de bonne à mauvaise

• TIE — Augmentation du nombre de fichiers malveillants trouvés sur l'ensemble des hôtes



Alarmes

ESM comporte deux alarmes qui peuvent se déclencher lorsque des événements Threat IntelligenceExchange importants sont détectés.

• L'alarme Seuil de fichiers incorrects TIE dépassé se déclenche via la règle de corrélation TIE - Fichier malveillant(SHA-1) trouvé sur un nombre croissant d'hôtes.

• L'alarme Fichier inconnu TIE exécuté se déclenche via un événement TIE spécifique et elle ajoute lesinformations à la liste de valeurs IP de sources de données TIE.

Liste de valeurs

La liste de valeurs IP de sources de données TIE conserve la liste des systèmes qui ont déclenché l'alarmeFichier inconnu TIE exécuté. Cette liste de valeurs est statique et sans date d'expiration.

Historique de l'exécution de Threat Intelligence Exchange

Vous pouvez afficher l'historique d'exécution de tout événement Threat Intelligence Exchange (voirAffichage de l'historique d'exécution de Threat Intelligence Exchange et configuration d'actions), quiinclut la liste des adresses IP ayant tenté d'exécuter le fichier. Sur cette page, vous pouvezsélectionner un élément pour effectuer des actions :

• Créer une liste de valeurs. • Ajouter des informations à une liste noire.

• Ajouter des informations à une liste devaleurs.

• Exporter les informations dans unfichier .csv.

• Créer une alarme.

Affichage de l'historique d'exécution de Threat Intelligence Exchange etconfiguration d'actionsLa page de l'historique d'exécution de Threat Intelligence Exchange affiche la liste des systèmes quiont exécuté le fichier associé à l'événement que vous avez sélectionné.

Avant de commencerUn équipement ePolicy Orchestrator relié à un serveur Threat Intelligence Exchange doitêtre présent sur l'ESM.


1 Dans l'arborescence de navigation de la console ESM, cliquez sur ePolicy Orchestrator.

2 Dans la liste déroulante des vues, sélectionnez Vues des événements | Analyse d'événement, puis cliquezsur l'événement.

3Cliquez sur l'icône de menu , puis sélectionnez Actions | Historique de l'exécution TIE.

4 La page Historique de l'exécution TIE affiche les systèmes qui ont exécuté le fichier Threat IntelligenceExchange.

5 Pour ajouter ces données à votre workflow, cliquez sur un système, cliquez sur le menu déroulantActions, puis sélectionnez une option pour ouvrir la page ESM correspondante.

6 Configurez l'action que vous avez sélectionnée (pour connaître la procédure, consultez l'Aide enligne).



Exécution de requêtes sur des équipements McAfee ePO pour un rapport ouune vueVous pouvez exécuter des requêtes sur plusieurs équipements McAfee ePO pour un rapport ou une vuesi ces équipements sont intégrés à McAfee Real Time for McAfee ePO.

Avant de commencerVérifiez que les équipements McAfee ePO sur lesquels vous souhaitez exécuter desrequêtes sont intégrés à McAfee Real Time for McAfee ePO.


1 Dans l'arborescence de navigation des systèmes, cliquez sur le système, cliquez sur l'icône

Propriétés , puis sur Rapports.

2 Cliquez sur Ajouter, indiquez les informations demandées dans les sections 1 à 4, puis cliquezsur Ajouter dans la section 5.

3 Dans l'éditeur Disposition de rapport, faites glisser un composant Table, Graphique à barres ou Graphique àsecteurs.

4 Dans l'Assistant Requête, sélectionnez Real Time for McAfee ePO dans la liste déroulante, puis sélectionnezl'élément ou la question de la requête.

5 Cliquez sur Suivant, puis sur Equipements et sélectionnez les équipements McAfee ePO sur lesquelsexécuter la requête.

6 (Facultatif) Cliquez sur Filtres, ajoutez des valeurs de filtre pour la requête, puis cliquez sur OK.

7 Si vous avez sélectionné Question ePO personnalisée dans la liste déroulante, cliquez sur Champs,sélectionnez les éléments à inclure à la question, puis cliquez sur OK.

8 Cliquez sur Terminer pour fermer l'Assistant Requête, définissez les propriétés dans le volet Propriétés,puis enregistrez le rapport.

Exécution de requêtes sur des équipements McAfee ePO pourl'enrichissement des donnéesVous pouvez exécuter des requêtes sur plusieurs équipements McAfee ePO pour l'enrichissement desdonnées si ces équipements sont intégrés à McAfee Real Time for McAfee ePO.




Propriétés , puis sur Enrichissement des données.

2 Cliquez sur Ajouter, entrez un nom et sélectionnez les options souhaitées sur l'onglet Principal.



3 Dans l'onglet Source, sélectionnez McAfee Real Time for McAfee ePO dans le champ Type, puissélectionnez les équipements dans le champ Equipement.

4 Définissez les autres paramètres sur les onglets Requête, Score et Destination, puis cliquez sur Terminer.

Exécution de requêtes sur des équipements McAfee ePO pour le tableau debord McAfee Real Time for McAfee ePOVous pouvez exécuter une requête sur plusieurs équipements McAfee ePO dans la vue du tableau debord McAfee Real Time for McAfee ePO.



1 Dans l'arborescence de navigation du système, cliquez sur les équipements McAfee ePO surlesquels effectuer la requête.

2 Sur la console ESM, cliquez sur la liste des vues, puis sélectionnez McAfee Real Time for McAfeeePO.

3 Sélectionnez les filtres dans le volet Filtres :a Dans la section Eléments, cliquez sur le champ ouvert et sélectionnez les éléments à utiliser pour

la requête.

b Dans la section Filtres, sélectionnez le type de filtre, puis entrez le filtre dans le champ ouvert.

c Sélectionnez l'action du filtre, puis entrez la valeur.

4Cliquez sur l'icône Exécuter une requête .

Paramètres de Nitro Intrusion Prevention System (Nitro IPS)L'équipement McAfee Nitro Intrusion Prevention System (Nitro IPS) détecte les tentatives d'intrusionsophistiquées sur le réseau, les enregistre et les contre activement. L'équipement Nitro IPS intègre ungestionnaire de données incorporé (utilisé pour l'administration, l'acquisition et l'analyse des données)ainsi que des fonctions avancées d'analyse des intrusions, notamment la détection des anomalies.L'équipement transmet, abandonne et consigne les paquets à mesure qu'ils arrivent de façon sélectiveen fonction d'un jeu de règles défini par l'utilisateur dans un langage de règle standard. Chaqueéquipement Nitro IPS contient également un composant de pare-feu entièrement fonctionnel qui estcontrôlé par des règles de pare-feu standard, et qui fournit des fonctionnalités d'inspection de paquetsde faible niveau et un journal système standard.

Assistant Détection d'anomalies La détection d'anomalies est accessible aux équipements Nitro IPS ou virtuels, mais n'est utile qu'àceux qui collectent des données de flux. L'Assistant Détection d'anomalies de débit affiche la liste et ladescription de l'ensemble des variables disponibles dans l'équipement sélectionné.Certaines règles de pare-feu sont basées sur le débit. Une règle basée sur le débit déclenche unealerte uniquement si votre trafic réseau dépasse les seuils définis par les variables de catégorie depare-feu dans l'Editeur de stratégie. Comme les valeurs par défaut de ces variables peuvent êtreinadaptées à votre trafic réseau, l'Assistant Détection d'anomalies de débit permet d'analyser les graphiquesdes données de flux de votre réseau, car elles sont associées à ces paramètres. Vous pouvez alors



sélectionner les valeurs par défaut, définir une valeur personnalisée ou laisser ESM analyser vosdonnées et faire des hypothèses optimisées concernant ces valeurs en fonction de l'historique de votretrafic réseau. Comme chaque réseau est différent, il est conseillé d'examiner ces rapports d'analysevisuels et de choisir des valeurs qui répondent à vos besoins pour bien connaître votre trafic réseau.

L'Assistant effectue de nombreux calculs complexes pour calculer les valeurs suggérées desparamètres d'anomalie de débit et pour vous présenter une analyse visuelle de vos modèles de traficréseau. Si vos équipements Nitro IPS et virtuels, votre récepteur et vos sources de données possèdentune grande quantité de données de flux, il est conseillé de limiter la période utilisée dans ces calculs.Utilisez une activité réseau normale de quelques jours ou d'une semaine comme référence pourcalculer ces valeurs. Si vous utilisez une période plus longue, ces calculs risquent de prendre plus detemps qu'escompté.

Voici la liste des règles de pare-feu d'anomalie de débit et des variables relatives à leurfonctionnement :

Règle Variables

Débit d'octets entrants important LARGE_INBOUND_BYTE_RATE_LIMIT,LARGE_INBOUND_BYTE_RATE_SECONDS

Octets entrants nombreux LARGE_INBOUND_BYTES_LIMIT

Vitesse des connexions réseau entrantesimportante

LARGE_IB_CONN_RATE_BURST,LARGE_IB_CONN_RATE_LIMIT

Débit de paquets entrants important LARGE_INBOUND_PACKET_RATE_LIMIT,LARGE_INBOUND_PACKET_RATE_SECS

Paquet entrant volumineux LARGE_INBOUND_PACKETS_LIMIT

Débit d'octets sortants important LARGE_OUTBOUND_BYTE_RATE_LIMIT,LARGE_OUTBOUND_BYTE_RATE_SECONDS

Vitesse des connexions réseau sortantesimportante

LARGE_OB_CONN_RATE_BURST,LARGE_OB_CONN_RATE_LIMIT

Débit de paquets sortants important LARGE_OUTBOUND_PACKET_RATE_LIMIT,LARGE_OUTBOUND_PACKET_RATE_SECS

Paquets sortants nombreux LARGE_OUTBOUND_PACKETS_LIMIT

Durée de connexion longue LONG_DURATION_SECONDS

Modification des variables de détection d'anomaliesL'Assistant Détection d'anomalies de débit répertorie les variables de détection d'anomalies et fournit plusieursoptions qui vous permettent d'analyser les données de détection d'anomalies de débit.


1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement Nitro IPS ou un

équipement virtuel qui collecte les données de flux, puis cliquez sur l'icône Propriétés .

2 Cliquez sur Modifier dans le champ Assistant Détection d'anomalies.

3 Exécutez l'une des fonctions disponibles, puis cliquez sur OK.



Génération d'un rapport d'analyseLe rapport d'analyse fournit une analyse visuelle des différents aspects de votre trafic réseau.

Ce rapport vous permet d'avoir un aperçu visuel des modèles de trafic de votre réseau. Les donnéesque vous collectez peuvent vous aider à prendre les bonnes décisions pour choisir les valeurs desparamètres des règles de détection d'anomalies de débit.

Un rapport peut être généré si l'équipement a généré au moins 10 000 flux.


1 Dans l'arborescence de navigation des systèmes, sélectionnez un Nitro IPS qui collecte les données

de flux, puis cliquez sur l'icône Propriétés .

2 Cliquez sur Modifier dans le champ Assistant Détection d'anomalies.

3 Cliquez sur Analyse | Rapport d'analyse, puis sélectionnez la période et la variable correspondant aurapport.

4 Cliquez sur OK.

Le rapport est généré. Pour agrandir ou réduire les échelles verticale et horizontale, cliquez sur lesicônes circulaires des axes de graphique (le cas échéant) et faites-les glisser.

Accès aux règles de pare-feu et standardLes règles sont ajoutées et gérées dans l'Editeur de stratégies. Néanmoins, vous pouvez lire, écrire,afficher, exporter et importer des règles de pare-feu et standard à partir d'IPS ou de l'équipementvirtuel IPS.

Il convient de ne pas gérer régulièrement les règles à partir de cette page. La modification des règles decette façon provoque la désynchronisation des paramètres de stratégie de l'équipement avec lesparamètres de l'Editeur de stratégies.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés IPS, puis cliquez sur Règles depare-feu ou Règles standard.

2 Sélectionnez l'une des options, puis cliquez sur OK.

Liste de blocage d'IPS ou d'un équipement virtuelLa liste noire bloque le trafic qui passe par l'équipement avant qu'il ne soit analysé par le moteurd'inspection approfondie des paquets.

L'Editeur de liste noire vous permet de gérer manuellement les sources et les destinations bloquées, ainsique les paramètres d'exclusion de l'équipement. Vous pouvez également indiquer si vous souhaitezque cet équipement soit soumis aux paramètres de l'option Liste noire globale. La case à cocher Inclure uneliste noire globale située dans la partie supérieure de l'éditeur doit être sélectionnée si vous souhaitez quecet équipement inclue ces paramètres.

L'écran Editeur de liste noire contient trois onglets :



• Sources bloquées : effectue une concordance avec l'adresse IP source du trafic qui passe parl'équipement.

• Destinations bloquées : effectue une concordance avec l'adresse IP de destination du trafic qui passepar l'équipement.

• Exclusions : empêche l'ajout automatique à l'une ou l'autre des listes noires. Vous pouvez ajouterdes adresses IP critiques (par exemple, serveurs DNS et autres serveurs ou postes de travaild'administrateur système) aux exclusions afin qu'elles ne soient jamais incluses automatiquementdans les listes noires, et ce quels que soient les événements qu'elles génèrent.

Vous pouvez configurer les entrées des onglets Sources bloquées et Destinations bloquées pour limiter l'actionde la liste noire à un port de destination spécifique.

Vous pouvez également ajouter ou supprimer des hôtes manuellement dans la liste noire. Si l'un desonglets de l'Editeur de liste noire est sélectionné, vous pouvez ajouter ou modifier une entrée. Les champsobligatoires pour l'ajout d'une entrée sont les suivants : Adresse IP, Port (versions 6.2.x et ultérieures)et Durée (permanente ou temporaire). Le champ Description est facultatif.

Lorsque vous ajoutez des entrées, tenez compte des points suivants :

• Les options Ajouter et Modifier sont activées en fonction des informations que vous modifiez. Si vouschangez l'adresse IP ou le port, l'option Ajouter est activée. Si vous modifiez la durée ou ladescription, l'option Modifier est activée.

• Les entrées des listes noires Sources bloquées et Destinations bloquées peuvent être configurées pour êtreappliquées à tous les ports ou à un port spécifique.

• Les entrées qui utilisent un intervalle masqué d'adresses IP doivent être configurées avec le portdéfini sur Tout (0) et une durée permanente.

• Les entrées peuvent être ajoutées de façon temporaire (spécifiées en minutes, heures ou jours) oupermanente. Néanmoins, les entrées de l'onglet Exclusions doivent être permanentes.

• Si ces listes requièrent un format d'adresse IP, un outil intégré permet d'ajouter une signification àces adresses. Lorsque vous entrez une adresse IP ou un nom d'hôte dans le champ Adresse IP, lebouton situé en regard de ce champ indique Résoudre ou Rechercher en fonction de la valeur entrée. Sivous cliquez sur Résoudre, cela permet de résoudre le nom d'hôte entré. Le champ Adresse IP estrempli avec ces informations et le nom d'hôte est déplacé dans le champ Description. Si vous cliquezsur Rechercher, une recherche est effectuée sur l'adresse IP et le champ Description est rempli avec lesrésultats de la recherche. Certains sites web peuvent avoir plusieurs adresses IP ou desadresses IP qui ne sont pas toujours identiques. N'utilisez donc pas cet outil pour bloquer des sitesweb.

Vous pouvez sélectionner des adresses IP dans la liste et afficher les événements générés dans unrapport de synthèse. Cela vous permet de consulter les événements déclenchés par les adresses IPincriminées, ceux qui ont été ajoutés à la liste de blocage ou les autres attaques qui peuvent avoir étéfomentées avant l'inclusion dans la liste de blocage.

L'Editeur de liste de blocage vous permet également d'appliquer, de recharger et de supprimer desévénements.

Gestion de la liste de blocage IPSVous pouvez gérer la liste de blocage IPS dans l'Editeur de liste de blocage. Vous pouvez ajouter, modifierou supprimer des éléments, écrire des modifications dans la liste de blocage, lire les informationsnouvelles et mises à jour de l'équipement, afficher les événements générés par les adresses IPincriminées ou rechercher ou résoudre un nom d'hôte ou une adresse IP.




1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés IPS, puis cliquez sur Liste deblocage | Editeur.

2 Cliquez sur l'onglet Sources bloquées, Destinations bloquées ou Exclusions.

3 Exécutez les actions souhaitées, puis cliquez sur Fermer.

Configuration de la liste de blocage automatiqueLa page Paramètres de la liste de blocage automatique vous permet de gérer les paramètres de configuration dela liste de blocage automatique de l'équipement.

La configuration de la liste de blocage automatique est effectuée équipement par équipement.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés IPS, puis cliquez sur Liste deblocage | Paramètres.

2 Définissez les paramètres comme il vous convient, puis cliquez sur OK.

Paramètres McAfee Vulnerability ManagerVous pouvez ajouter McAfee Vulnerability Manager à l'ESM en tant qu'équipement, ce qui permet delancer une analyse sur McAfee Vulnerability Manager à partir de l'ESM. Cela est utile si vous avezacheté un équipement McAfee Vulnerability Manager et souhaitez l'exécuter à partir de l'ESM.

McAfee Vulnerability Manager doit être associé à un récepteur, car les événements sont extraits durécepteur, et non de McAfee Vulnerability Manager.

Obtention d'un certificat McAfee Vulnerability Manager et d'une expressionsecrèteVous devez obtenir le certificat McAfee Vulnerability Manager et une expression secrète avant deconfigurer des connexions McAfee Vulnerability Manager. Cette tâche est effectuée sur l'ESM.


1 Sur le serveur qui exécute Foundstone Certificate Manager, exécutez Foundstone CertificateManager.exe.

2 Cliquez sur l'onglet Créer des certificats SSL.

3 Dans le champ Adresse de l'hôte, entrez le nom d'hôte ou l'adresse IP du système qui hébergel'interface web de McAfee Vulnerability Manager, puis cliquez sur Résoudre

4 Cliquez sur Créer le certificat en utilisant le nom commun pour générer l'expression secrète et un fichier .zip.

5 Chargez le fichier .zip et copiez l'expression secrète générée.

Exécuter des analyses McAfee Vulnerability ManagerLa page Analyses affiche toutes les analyses de vulnérabilité en cours d'exécution ou déjà exécutéesdepuis McAfee Vulnerability Manager, ainsi que leur statut. Lorsque vous ouvrez cette page, une APIvérifie la présence d'informations d'identification web par défaut. Si c'est le cas, la liste d'analyse est



alimentée en fonction de ces informations d'identification et elle est mise à jour toutes les60 secondes. Vous pouvez également lancer une nouvelle analyse à partir de cette page.


1 Dans l'arborescence de navigation du système, sélectionnez Propriétés MVM, puis cliquez sur Analyses.

2 Cliquez sur Nouvelle analyse et entrez les informations demandées.

3 Cliquez sur OK.

Une fois l'analyse terminée, elle est ajoutée à la liste des analyses.

Configuration d'une connexion McAfee Vulnerability ManagerVous devez configurer la connexion entre McAfee Vulnerability Manager et la base de données pourextraire les données d'évaluation des vulnérabilités de McAfee Vulnerability Manager) ainsi que laconnexion à l'interface utilisateur web pour effectuer des analyses sur McAfee Vulnerability Manager.

Avant de commencerVous devez obtenir un certificat McAfee Vulnerability Manager et une expression secrète

La modification de ces paramètres ne concerne pas l'équipement proprement dit. Elle concerneuniquement la façon dont l'équipement communique avec ESM.


1 Dans l'arborescence de navigation du système, sélectionnez Propriétés MVM, puis cliquez sur Connexion.


Paramètres McAfee Network Security ManagerVous pouvez ajouter McAfee Network Security Manager à l'ESM en tant qu'équipement, ce qui vouspermet d'accéder aux fonctions à partir de l'ESM. Cela est utile lorsque vous achetez un nouveléquipement et souhaitez y accéder à partir de l'ESM.

Lorsque vous ajoutez un équipement McAfee Network Security Manager à l'ESM, les capteurs del'équipement sont répertoriés en tant qu'enfants de l'équipement dans l'arborescence de navigation dusystème. L'équipement doit être associé à un récepteur, car les événements sont extraits du récepteur,et non de McAfee Network Security Manager.

Ajout d'une entrée à une liste de blocageMcAfee Network Security Manager applique l'ajout à la liste noire sur l'ensemble des capteurs. La pageListe noire affiche les entrées de liste noire qui ont été définies pour le capteur que vous avezsélectionné. Cette page vous permet d'ajouter, de modifier et de supprimer des éléments de la listenoire.

Vous devez être super-utilisateur pour utiliser la fonction de liste noire.




1 Dans l'arborescence de navigation du système, sélectionnez Propriétés NSM, cliquez sur Liste de blocage,puis sélectionnez un capteur.

2 Pour appliquer les entrées de la liste noire globale à ce capteur, sélectionnez Inclure une liste noireglobale.

L'élément de la liste noire globale est ajouté à la liste. En cas d'adresses IP en double, l'adresse dela liste noire globale remplace l'adresse de McAfee Network Security Manager.

Une fois que vous avez sélectionné cette option, elle ne peut pas être annulée automatiquement.Vous devez supprimer les éléments manuellement.


L'entrée s'affiche dans la liste de blocage jusqu'à l'expiration de sa durée.

Ajout ou suppression d'une entrée de liste de blocage suppriméeToute entrée créée sur l'ESM avec une durée qui n'a pas expiré, mais qui n'a pas été remise dans laliste des entrées de liste de blocage lors de l'interrogation de McAfee Network Security Manager(Manager), s'affiche avec le statut Supprimé et une icône d'indicateur.

Cette condition se produit si l'entrée a été supprimée, mais que la suppression n'a pas été initiée surl'ESM. Vous pouvez à nouveau ajouter cette entrée ou la supprimer de la liste de blocage.


1 Dans l'arborescence de navigation du système, sélectionnez Propriétés NSM, puis cliquez sur Liste deblocage.

2 Sélectionnez l'entrée supprimée dans la liste des entrées de liste de blocage, puis cliquez sur Ajouterou sur Supprimer.


Collecte des données de couche 7 sur un équipement NSMLes données de couche 7 sont ajoutées à la base de données NSM (Network Security Manager) unefois que l'événement NSM est consigné dans sa base de données. Elles ne sont pas ajoutées ausystème avec l'événement.

Pour extraire les informations de couche 7 de l'équipement NSM, vous pouvez définir un délai aumoment de l'extraction de l'événement afin d'y inclure les données de couche 7. Ce délai s'applique àtous les événements NSM, pas seulement à ceux associés aux données de couche 7.

Vous pouvez définir ce délai lors des trois actions suivantes liées à l'équipement NSM :



• ajout d'un équipement NSM McAfee à la console ;

• configuration d'un équipement NSM ;

• ajout d'une source de données NSM.

Ajout d'un équipement NSM McAfee

Lors de l'ajout de l'équipement NSM à ESM (voir la section Ajout d'équipements à la console ESM),sélectionnez Activer la collecte Couche 7, puis définissez un délai à la quatrième page de l'Assistant Ajoutd'équipement.

Configuration d'un équipement NSM

Après avoir ajouté un équipement NSM à la console ESM, vous pouvez configurer les paramètres deconnexion de l'équipement (voir la section Modification de la connexion à ESM). Vous pouvez sélectionnerActiver la collecte Couche 7, puis définir un délai sur la page Connexion.

Ajout d'une source de données NSM

Pour ajouter une source de données NSM à un récepteur (voir la section Ajout d'une source dedonnées), sélectionnez McAfee dans le champ Fournisseur de la source de données, et Network Security Manager -SQL Pull (ASP) dans le champ Modèle de source de données. Vous pouvez sélectionner Activer la collecte Couche 7,puis définir un délai sur la page Ajouter une source de données.

Configuration des services auxiliairesLes services auxiliaires incluent les serveurs Remedy, les serveurs NTP (Network Time Protocol) et lesserveurs DNS. Configurez ces serveurs pour qu'ils communiquent avec ESM.

Sommaire Informations système générales Configuration des paramètres du serveur Remedy Interruption de l'actualisation automatique de l'arborescence des systèmes ESM Définition des paramètres des messages Configuration du protocole NTP dans un équipement Configuration des paramètres réseau Synchronisation de l'heure système Installation d'un nouveau certificat Configuration des profils Configuration SNMP

Configuration de l'ESMConfiguration des services auxiliaires 3


Informations système généralesSur la page Propriétés du système | Informations système vous pouvez consulter des informations générales survotre système et l'état de diverses fonctions. La page Journal système indique les événements qui se sontproduits sur le système ou les équipements.

Vous pouvez indiquer ces informations lorsque vous contactez le support technique McAfee concernantvotre système, lorsque vous configurez des fonctionnalités telles que l'agrégation d'événements ou deflux, ou pour vérifier l'état d'une mise à jour de règles ou d'une sauvegarde du système.

• Système, ID de client, Matériel et Numéro de série indiquent des informations sur le système et son état defonctionnement actuel.

• Statut de base de données s'affiche lorsque la base de données effectue d'autres fonctions (par exemple,une reconstruction de la base de données ou une reconstruction en arrière-plan) en indiquant lestatut de ces fonctions. Le statut OK signifie que la base de données fonctionne normalement.

• Horloge système affiche la date et l'heure de la dernière ouverture ou actualisation des Propriétés dusystème.

• Mise à jour des règles, Evénements, flux et journaux et Sauvegarde et restauration indiquent la date de la dernièremise à jour des règles, la date de récupération des événements, des flux et des journaux et la dated'exécution d'une sauvegarde/restauration.

• Si le système fonctionne en mode FIPS, Auto-test FIPS et Statut indiquent la date du dernier auto-testFIPS effectué ainsi que son statut.

• Afficher les rapports affiche les rapports Nombre de types d'équipement ESM et Heure de l'événement.

Configuration des paramètres du serveur RemedySi vous avez configuré un système Remedy, vous devez configurer les paramètres de Remedy afinqu'ESM puisse communiquer avec lui.

Avant de commencerConfigurez votre système Remedy.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surParamètres personnalisés | Remedy.

2 Dans la page Configuration de Remedy, entrez les informations correspondant à votre système Remedy,puis cliquez sur OK.

Lorsque vous sélectionnez Envoyer l'événement vers Remedy dans la vue Analyse d'événement, l'e-mail estrenseigné avec les informations que vous avez entrées dans cette page.

Interruption de l'actualisation automatique de l'arborescencedes systèmes ESML'arborescence des systèmes ESM est actualisée automatiquement toutes les cinq minutes. Vouspouvez interrompre l'actualisation automatique si nécessaire.

Avant de commencerVous devez disposer de droits de Gestion des systèmes pour pouvoir modifier ce paramètre.

3 Configuration de l'ESMConfiguration des services auxiliaires


Lors de l'actualisation, vous ne pouvez pas sélectionner d'équipements dans l'arborescence. Si ESMaffiche un trop grand nombre d'équipements, ceci risque de perturber l'accès à la page Propriétés deséquipements.


1Dans l'arborescence des systèmes, sélectionnez ESM, puis cliquez sur l'icône Propriétés .

2 Cliquez sur Paramètres personnalisés, puis décochez la case Actualisation automatique de l'Arborescence dessystèmes.

Vous pouvez actualiser l'arborescence des systèmes manuellement en cliquant sur l'icône Actualiser les

équipements dans la barre d'outils des actions de l'arborescence des systèmes.

Définition des paramètres des messagesLorsque vous définissez des actions relatives à une alarme ou lorsque vous configurez des méthodesde remise d'un rapport, vous pouvez choisir d'envoyer des messages. Vous devez d'abord connecterESM à votre serveur de messagerie et identifier les destinataires des messages e-mail, SMS, SNMP ousyslog.

ESM envoie des notifications d'alarme via le protocole SNMP v1. SNMP utilise le protocole de transportUDP (User Datagram Protocol) pour transférer les données entre les gestionnaires et les agents. Dansune configuration SNMP, un agent tel que ESM transfère des événements aux serveurs SNMP (appelés[NMS] (Network Management Station)) via des paquets de données appelés interruptions. D'autresagents du réseau peuvent recevoir des rapports d'événements tout comme qu'ils reçoivent desnotifications. Etant donné les limites liées à la taille des paquets d'interruptions SNMP, ESM envoiechaque ligne du rapport dans une interruption distincte.

Syslog peut également envoyer les rapports de requête CSV générés par ESM. Syslog envoie cesrapports de requête CSV en insérant chaque ligne de résultats de la requête dans un message syslog,sous forme de champs séparés par une virgule.

Connexion au serveur de messagerieConfigurez les paramètres de connexion à votre serveur de messagerie afin d'envoyer des messagesd'alarme et de rapport.

Avant de commencerVérifiez que vous disposez des droits administrateur ou faites partie d'un groupe d'accèsdisposant des privilèges de gestion des utilisateurs.

Pour consulter la définition des options, cliquez sur ? dans l'interface.



Procédure1 Dans l'arborescence de navigation des systèmes, sélectionnez le système, puis cliquez sur l'icône

Propriétés .

2 Cliquez sur Paramètres de messagerie, puis saisissez les informations demandées pour connecter votreserveur de messagerie.

Option Description

Hôte et Port Saisissez l'hôte et le port de votre serveur de messagerie.

Utiliser TLS Sélectionnez cette option pour utiliser le protocole de chiffrement TLS.

Nom d'utilisateur et Mot depasse

Saisissez le nom utilisateur et le mot de passe permettant d'accéder àvotre serveur de messagerie.

Titre Saisissez un titre générique pour tous les messages e-mail envoyés parvotre serveur de messagerie, notamment l'adresse IP d'ESM pourpouvoir identifier ESM qui est à l'origine du message.

De Saisissez votre nom.

Configurer les destinataires Ajoutez, modifiez ou supprimez des destinataires (voir la section Gestion des destinataires d'alarme, page 243).

3 Envoyez un e-mail test pour vérifier les paramètres.

4 Ajoutez, modifiez ou supprimez des destinataires (voir la section Gestion des destinatairesd'alarme, page 243).

5 Cliquez sur Appliquer ou sur OK pour enregistrer les paramètres.

Voir aussi Gestion des destinataires, page 184

Gestion des destinatairesLes messages d'alarme ou de rapport peuvent être envoyés dans différents formats, chacun étantassocié à une liste de destinataires que vous pouvez gérer. Vous pouvez regrouper des adresses e-mailafin d'envoyer un message à plusieurs destinataires en même temps.


1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système, puis cliquez surParamètres de messagerie.

2 Cliquez sur Configurer les destinataires, puis sélectionnez l'onglet dans lequel vous souhaitez les ajouter.

3 Cliquez sur Ajouter, puis entrez les informations demandées.

4 Cliquez sur OK.

Le destinataire est ajouté à ESM et vous pouvez le sélectionner lorsqu'il est utilisé dans ESM.



Ajout des groupes de destinataires d'e-mailRegroupez les destinataires d'e-mail de sorte à pouvoir envoyer un message à plusieurs destinatairesà la fois.

Avant de commencerLes destinataires et leurs adresses e-mail doivent figurer dans le système (voir la sectionAjout d'un utilisateur).


1 Dans l'arborescence de navigation des systèmes, cliquez sur le système, puis sur l'icône

Propriétés .

2 Cliquez sur Paramètres de messagerie, Configurer les destinataires, puis sur Groupes d'e-mails | Ajouter.

3 Saisissez un nom du groupe, sélectionnez les utilisateurs à ajouter à ce groupe, puis cliquez sur OK.

Le groupe est ajouté à la section Groupes de destinataires d'e-mail de la page Groupes d'e-mails.

Configuration du protocole NTP dans un équipementSynchronisez l'heure de l'équipement avec ESM à l'aide d'un serveur NTP (Network Time Protocol).




2 Cliquez sur Configuration | NTP.


Procédures• Affichage du statut des serveurs NTP, page 185

Affichez le statut de tous les serveurs NTP dans ESM.

Affichage du statut des serveurs NTPAffichez le statut de tous les serveurs NTP dans ESM.

Avant de commencerAjoutez des serveurs NTP sur l'ESM ou les équipements (voir Synchronisation de l'heuresystème ou Configuration du protocole NTP dans un équipement).


1 Dans l'arborescence de navigation du système, effectuez l'une des actions suivantes :

• Sélectionnez Propriétés du système | Informations système, puis cliquez sur Horloge système.

• Dans l'arborescence de navigation du système, sélectionnez un équipement, puis cliquez surl'icône Propriétés. Configuration | NTP.



2 Cliquez sur Statut, affichez les données du serveur NTP, puis cliquez sur Fermer.

Voir aussi Synchronisation de l'heure système, page 193Configuration du protocole NTP dans un équipement, page 49

Configuration des paramètres réseauConfigurer la façon dont ESM se connecte à votre réseau en ajoutant une passerelle de serveur ESM etles adresses IP des serveurs DNS, en définissant les paramètres du serveur proxy, en configurant SSHet en ajoutant des itinéraires statiques.


1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système, puis cliquez surParamètres réseau.

2 Entrez les informations nécessaires à la configuration de la connexion à votre réseau.


Procédures

• Configuration du port IPMI sur l'ESM ou les équipements, page 189Configurer le réseau pour utiliser le port IPMI afin de configurer IPMI sur l'ESM ou seséquipements.

• Configuration du contrôle du trafic réseau sur ESM, page 190Définir la valeur maximale de sortie des données pour ESM.

• Configuration du protocole DHCP, page 192Le protocole DHCP (Dynamic Host Configuration Protocol) est utilisé sur les réseaux IP pourla distribution dynamique des paramètres de configuration du réseau, tels que lesadresses IP des interfaces et des services.

• Configuration du protocole DHCP sur un réseau local virtuel (VLAN), page 193Le protocole DHCP (Dynamic Host Configuration Protocol) est utilisé sur les réseaux IP pourla distribution dynamique des paramètres de configuration du réseau, tels que lesadresses IP des interfaces et des services.

Gestion des interfaces réseauLa communication avec un équipement peut avoir lieu à l'aide des interfaces publiques et privées deschemins d'accès de trafic. En d'autres termes, l'équipement est invisible sur le réseau, car il nenécessite pas d'adresse IP.

Interface de gestion

Les administrateurs réseau peuvent également configurer une interface de gestion avec uneadresse IP destinée à la communication entre ESM et l'équipement. Les fonctionnalités suivantes d'unéquipement requièrent l'utilisation d'une interface de gestion :

• Contrôle total des cartes réseau de contournement

• Utilisation de la synchronisation de l'heure des serveurs NTP

• Syslog généré par l'équipement

• Notifications SNMP



Les équipements sont pourvus au moins d'une interface de gestion, qui leur attribue une adresse IP.Pourvu d'une adresse IP, l'équipement est directement accessible à ESM sans diriger la communicationvers une autre adresse IP cible ou un autre nom d'hôte.

Ne connectez pas l'interface réseau de gestion à un réseau public, car elle sera visible sur le réseaupublic, et sa sécurité pourrait être compromise.

Un équipement s'exécutant en mode Nitro IPS doit disposer de deux interfaces pour chaque chemind'accès du trafic réseau. Pour le mode IDS, l'équipement doit posséder un minimum dedeux interfaces réseau. Vous pouvez configurer plusieurs interfaces réseau de gestion dansl'équipement.

Carte d'interface réseau de contournement

Un équipement en mode de contournement permet la transmission de tout le trafic, y compris le traficmalveillant. Dans des circonstances normales, vous pouvez avoir une perte de connexion de une àtrois secondes lorsque l'équipement passe en mode de contournement et de 18 secondes lorsqu'il lequitte. La connexion à certains commutateurs, comme certains modèles de Cisco Catalyst, peutmodifier ces valeurs. Le cas échéant, vous pouvez avoir une perte de connexion de 33 secondeslorsque l'équipement passe en mode de contournement et lorsqu'il le quitte.

Si vous êtes dans le cas où le rétablissement des communications dure 33 secondes, vous pouvezactiver rapidement le port sur le port de commutateur, puis définir manuellement la vitesse et leduplex pour faire repasser les temps en mode normal. Veillez à définir l'ensemble des quatre ports(celui du commutateur, les deux de Nitro IPS et celui de l'autre équipement) sur le même paramètre,faute de quoi vous pourriez faire face à un problème de négociation en mode de contournement (voirConfiguration des cartes d'interface réseau de contournement).


Configuration des interfaces réseauLes paramètres d'interface déterminent la façon dont ESM se connecte à l'équipement. Vous devez lesdéfinir pour chaque équipement.




2 Cliquez sur l'option Configuration de l'équipement, puis sur Interfaces.

3 Entrez les données demandées, puis cliquez sur Appliquer.

Toutes les modifications sont diffusées sur l'équipement et entrent immédiatement en vigueur. Dèsl'application des modifications, l'équipement est réinitialisé, ce qui provoque la perte de toutes lessessions actuelles.

Ajout de réseaux locaux virtuels et d'aliasAjoutez des réseaux locaux virtuels (VLAN) et des alias à une interface ACE ou ELM. Si vous disposezd'un équipement réseau comprenant plusieurs adresses IP, des paires d'adresse IP et de masqueréseau sont affectées aux alias ajoutés.




1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, cliquez sur l'icône

Propriétés , puis sur Configuration de l'équipement.

2 Dans la section Interfaces de l'onglet Réseau, cliquez sur Configuration, puis sur Avancé.

3 Cliquez sur Ajouter un réseau local virtuel (VLAN), entrez les informations demandées, puis cliquez sur OK.

4 Sélectionnez le réseau local virtuel auquel vous souhaitez ajouter l'alias, puis cliquez sur Ajouter unalias.

5 Saisissez les informations demandées, puis cliquez sur OK.

Ajout d'itinéraires statiquesUn itinéraire statique est un ensemble d'instructions relatives à la procédure à suivre pour atteindre unhôte ou un réseau qui n'est pas disponible via la passerelle par défaut.





3 En regard de la table Itinéraires statiques, cliquez sur Ajouter.

4 Entrez les informations, puis cliquez sur OK.

Carte d'interface réseau de contournement

Dans des circonstances normales, vous pouvez avoir une perte de connexion de une à trois secondeslorsque l'équipement passe en mode de contournement et de 18 secondes lorsqu'il le quitte. Laconnexion à certains commutateurs, comme certains modèles de Cisco Catalyst, peut modifier cesvaleurs. Le cas échéant, vous pouvez avoir une perte de connexion de 33 secondes lorsquel'équipement passe en mode de contournement et lorsqu'il le quitte.

Si vous êtes dans le cas où le rétablissement des communications dure 33 secondes, vous pouvezactiver rapidement le port sur le port de commutateur, puis définir manuellement la vitesse et leduplex pour faire repasser les temps en mode normal. Veillez à définir l'ensemble des quatre ports(celui du commutateur, les deux de Nitro IPS et celui de l'autre équipement) sur le même paramètre,faute de quoi vous pourriez faire face à un problème de négociation en mode de contournement.


Configuration des cartes d'interface réseau de contournementSur les équipements IPS, vous pouvez définir les paramètres des cartes d'interface de contournementpour autoriser l'ensemble du trafic.

Les équipements ADM et DEM sont toujours en mode IDS. Vous pouvez afficher leur type d'interfaceréseau de contournement mais pas modifier leurs paramètres.







3 Dans la page Paramètres de l'interface réseau, accédez à la section Configuration de la carte d'interface réseau decontournement située dans sa partie inférieure.

4 Afficher le type et l'état ou, sur un équipement IPS, modifier les paramètres.

5 Cliquez sur OK.

Configuration du port IPMI sur l'ESM ou les équipementsVous pouvez configurer le port IPMI sur l'ESM ou sur l'un de ses équipements.

Cela vous permet d'effectuer plusieurs actions :

• Connecter la carte d'interface réseau (NIC) IPMI à un commutateur pour qu'elle soit accessiblepour les logiciels IPMI.

• Accéder à un KVM (Kernel-based Virtual Machine) basé sur IPMI.

• Définir le mot de passe IPMI pour l'utilisateur par défaut après la mise à niveau vers ESM 9.4.0.

• Accéder aux commandes IPMI telles que la mise sous tension et l'état de l'alimentation.

• Réinitialiser la carte IPMI.

• Effectuer une réinitialisation à chaud et à froid.

Configuration du port IPMI sur l'ESM ou les équipementsConfigurer le réseau pour utiliser le port IPMI afin de configurer IPMI sur l'ESM ou ses équipements.


1 Dans l'arborescence de navigation des systèmes, sélectionnez un système ou l'un de ses

équipements, puis cliquez sur l'icône Propriétés .

2 Accédez à l'onglet Paramètres réseau Avancé.• Sur l'ESM, cliquez sur Paramètres réseau | Avancé.

• Sur un équipement, cliquez sur l'option Configuration de l'équipement, puis sur Interfaces | Avancé



3 Sélectionnez Activer les paramètres IPMI, puis entrez le réseau local virtuel (VLAN), l'adresse IP, lemasque réseau et la passerelle de l'interface IPMI.

Si l'option Activer les paramètres IPMI est grisée dans le BIOS de l'équipement, vous devez mettre à jourle BIOS du système. Connectez-vous via SSH à l'équipement et ouvrez le fichier /etc/areca/system_bios_update/Contents‑README.txt.


Si vous mettez à niveau votre équipement, en principe un message vous indique de changer le motde passe et de réactiver la clé de l'équipement. Si vous obtenez ce message, changez le mot depasse du système ou réactivez la clé de l'équipement afin de définir un nouveau mot de passe pourconfigurer l'IPMI.

Configuration du contrôle du trafic réseau sur ESMDéfinir la valeur maximale de sortie des données pour ESM.

Cette fonctionnalité est utile si la bande passante est limitée et si vous souhaitez contrôler la quantitéde données envoyées par chaque ESM. Vous pouvez définir la valeur en kilobits (Kb), mégabits (Mb) etgigabits (Gb) par seconde.

Soyez prudent lors de la configuration de cette fonctionnalité, car la limitation du trafic peut provoquerune fuite de données.



Propriétés .

2 Cliquez sur Paramètres réseau, puis sur l'onglet Trafic.

Le tableau affiche les contrôles existants.

3 Pour ajouter des contrôles à un équipement, cliquez sur Ajouter, entrez l'adresse réseau et lemasque réseau, définissez le débit, puis cliquez sur OK.

Si vous définissez le masque sur la valeur zéro (0), toutes les données envoyées sont contrôlées.


La vitesse du trafic sortant de l'adresse réseau que vous avez définie est contrôlée.

Utilisation des noms d'hôteLe nom d'hôte d'un équipement est généralement plus utile que l'adresse IP. Vous pouvez gérer lesnoms d'hôte afin qu'ils soient associés à leur adresse IP correspondante.

La page Hôtes vous permet d'ajouter, de modifier, de supprimer, de rechercher, de mettre à jour etd'importer des noms d'hôte. Vous pouvez également y définir la date et l'heure auxquelles un nomd'hôte mémorisé automatiquement expirera.

Lorsque vous consultez des données d'événement, vous pouvez afficher les noms d'hôte associés aux

adresses IP dans l'événement en cliquant sur l'icône Afficher les noms d'hôte située en bas descomposants de vue.



Si les événements existants ne sont pas marqués avec un nom d'hôte, le système exécute unerecherche dans la table des hôtes d'ESM et marque les adresses IP avec leurs noms d'hôte. Si lesadresses IP ne sont pas répertoriées dans la table des hôtes, le système exécute une recherche DNS(Domain Name System) pour localiser les noms d'hôte. Les résultats de la recherche sont alorsaffichés dans la vue, puis ajoutés à la table des hôtes.

Dans la table des hôtes, ces données sont marquées comme Mémorisé automatiquement et expirent àl'issue de la période définie dans le champ Les entrées arrivent à expiration après situé au-dessous de la tabledes hôtes dans la page Propriétés du système | Hôtes. Si les données ont expiré, une autre recherche DNSest exécutée la prochaine fois que vous sélectionnez Afficher les noms d'hôte dans une vue.

La table des hôtes répertorie les noms d'hôte mémorisés automatiquement et ajoutés ainsi que leursadresses IP. Vous pouvez y ajouter manuellement des informations en saisissant une adresse IP et unnom d'hôte individuellement ou en important une liste d'adresses IP et de noms d'hôte délimitée pardes tabulations (voir la section Importation d'une liste de noms d'hôte). Plus vous saisissez dedonnées de cette façon, plus vous gagnerez du temps lors des recherches DNS. Si vous saisissezmanuellement un nom d'hôte, ce dernier n'expire pas, mais vous pouvez le modifier ou le supprimer.

Gestion des noms d'hôteExécutez toutes les actions nécessaires à la gestion des noms d'hôte dans la page Hôtes. Vous pouvezpar exemple en ajouter, les modifier, en importer, en supprimer ou les rechercher. Vous pouvezégalement définir l'heure d'expiration des hôtes mémorisés automatiquement.


1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système, puis cliquez surHôtes.

2 Sélectionnez une option, puis entrez les informations demandées.


Importation d'une liste de noms d'hôteImportez un fichier texte qui contient les adresses IP et les noms d'hôte correspondants dans la tabledes hôtes.

Avant de commencerCréez le fichier d'adresses IP et de noms d'hôte délimité par des tabulations.

Chaque enregistrement du fichier doit être indiqué sur une ligne distincte, l'adresse IP étant affichéeen premier en notation IPv4 ou IPv6. Par exemple :

102.54.94.97 rhino.acme.com

08c8:e6ff:0100::02ff x.acme.com




1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surHôtes | Importer.

2 Naviguez jusqu'au fichier texte, puis cliquez sur Charger. Si le fichier contient des adresses IP quifigurent actuellement dans la table des hôtes avec des noms d'hôte différents, la page Doublonsdresse la liste des enregistrements qui sont en double.

• Pour remplacer un nom d'hôte de la table par celui du fichier texte, sélectionnez-le dans lacolonne Utiliser, puis cliquez sur OK.

• Pour conserver les données d'hôte existantes, veillez à ne pas cocher la case, puis cliquez surOK.

Les nouvelles données d'hôte sont ajoutées à la table. La colonne Mémorisé automatiquement pour cesdonnées indique Non. Etant donné que les données ont été saisies manuellement, elles ne vont pasexpirer.

Configuration du protocole DHCPLe protocole DHCP (Dynamic Host Configuration Protocol) est utilisé sur les réseaux IP pour ladistribution dynamique des paramètres de configuration du réseau, tels que les adresses IP desinterfaces et des services.

Lorsque vous configurez ESM pour le déployer dans l'environnement cloud, le protocole DHCP estautomatiquement activé et il attribue une adresse IP. Si vous n'utilisez pas l'environnement cloud,vous pouvez activer et désactiver les services DHCP sur ESM, un récepteur (non haut disponibilité),ACE et ELM à condition d'avoir des droits de gestion des équipements. Cela est utile si vous devezréinitialiser les adresses IP de votre réseau.

Les alias sont désactivés lorsque DHCP est activé.


1 Dans l'arborescence de navigation des systèmes, sélectionnez un système ou un équipement, puis



• Pour ESM, cliquez sur Paramètres réseau, puis sur l'onglet Principal.

• Pour un équipement, sélectionnez l'option Configuration de l'équipement, cliquez sur Interfaces, puissur l'onglet Réseau.

3 Cliquez sur Configuration pour le champ Interface 1, puis sélectionnez DHCP.

Pour les équipements autres que les récepteurs, un message vous indique que les modificationsrequièrent le redémarrage du serveur ESM.

4 Cliquez sur OK.



Configuration du protocole DHCP sur un réseau local virtuel (VLAN)Le protocole DHCP (Dynamic Host Configuration Protocol) est utilisé sur les réseaux IP pour ladistribution dynamique des paramètres de configuration du réseau, tels que les adresses IP desinterfaces et des services.

Lorsque vous configurez ESM pour le déployer dans l'environnement cloud, le protocole DHCP estautomatiquement activé et il attribue une adresse IP. Si vous n'utilisez pas l'environnement cloud,vous pouvez activer et désactiver les services DHCP sur les réseaux locaux virtuels (VLAN), ESM, unrécepteur (non haut disponibilité), ACE et ELM à condition d'avoir des droits de gestion deséquipements. Cela est utile si vous devez réinitialiser les adresses IP de votre réseau.


1 Dans l'arborescence de navigation des systèmes, sélectionnez un système ou un équipement, puis



• Pour ESM, cliquez sur Paramètres réseau, puis sur l'onglet Principal.

• Pour un équipement, sélectionnez l'option Configuration de l'équipement, cliquez sur Interfaces, puissur l'onglet Réseau.

3 Cliquez sur Configuration pour le champ Interface 1, puis cliquez sur Avancé.

4 Cliquez sur Ajouter un réseau local virtuel (VLAN), entrez le Réseau local virtuel (VLAN) et sélectionnez DHCP.

5 Cliquez sur OK pour retourner sur la page Paramètres réseau, puis cliquez sur Appliquer.

Pour les équipements autres que les récepteurs, un message vous indique que les modificationsrequièrent le redémarrage du serveur ESM.

Synchronisation de l'heure systèmeComme les activités générées par l'ESM et ses équipements sont horodatées, il est important quel'ESM et les équipements soient synchronisés pour maintenir le cadre de référence pour les donnéesqu'ils collectent. Vous pouvez définir l'heure système de l'ESM ou bien choisir de synchroniser l'ESM etles équipements sur un serveur NTP.

Configuration de l'heure système

Avant de commencerSi vous souhaitez ajouter des serveurs NTP à l'ESM, configurez les serveurs NTP etrécupérez leurs clés d'autorisation et leurs ID de clé.


1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système et vérifiez quel'option Informations système est sélectionnée.

2 Cliquez sur Horloge système (GMT), définissez les paramètres, puis cliquez sur OK.

Les adresses des serveurs NTP sur les équipements de classe IPS doivent être des adresses IP.



Les informations du serveur sont enregistrées dans le fichier de configuration. Vous pouvez ensuite ànouveau accéder à la liste de serveurs NTP et vérifier leur statut.

Synchronisation des horloges d'équipementVous pouvez synchroniser les horloges des équipements avec l'horloge ESM afin d'harmoniser leréglage de l'heure pour les données générées par les différents systèmes.


1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système ou Propriétés del'équipement, puis cliquez sur Synchroniser dans le champ Synchroniser l'horloge d'équipement.

Un message s'affiche lorsque la synchronisation est terminée ou en cas de problème.

2 Cliquez sur Actualiser pour mettre à jour les données de la page Informations système ou Informations del'équipement.

Installation d'un nouveau certificatESM est fourni avec un certificat de sécurité autosigné par défaut pour esm.mcafee.local. La plupartdes navigateurs web affichent un avertissement selon lequel l'authenticité du certificat ne peut pasêtre vérifiée. Une fois que vous avez obtenu la paire de certificat/clé SSL que vous souhaitez utiliserpour votre ESM, vous devez l'installer.



2 Sur l'onglet Gestion des clés, cliquez sur Certificat.

3 Sélectionnez les options souhaitées, puis cliquez sur Fermer.

Configuration des profilsDéfinir des profils pour le trafic syslog en configurant des informations communes pour éviter de lessaisir à chaque fois. Vous pouvez ajouter un profil de commandes à distance (URL ou Script) etl'utiliser sur une vue ou une alarme.


1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système, puis cliquez surGestion de profils.

2 Pour ajouter un profil, cliquez sur Ajouter sur l'onglet Profils système, puis indiquez les données deprofil.

3 Pour ajouter une commande à distance, cliquez sur Commande à distance, puis entrez les informationsdemandées.

4 Cliquez sur OK.

Configuration SNMPConfigurer les paramètres utilisés par ESM pour envoyer des interruptions de liaison active/défaillanteet des interruptions de démarrage à chaud/à froid, à la fois à partir de l'ESM et de chaque



équipement, récupérer les tables d'interface et de système de la base MIB II (ManagementInformation Base), ainsi que permettre la découverte de l'ESM via la commande snmpwalk.

SNMPv3 est pris en charge avec les options NoAuthNoPriv, AuthNoPriv et AuthPriv, en utilisant MD5 oul'algorithme SHA (Secure Hash Algorithm) pour l'authentification, et DES (Data Encryption Standard)ou AES (Advanced Encryption Standard) pour le chiffrement (MD5 et DES ne sont pas disponibles enmode de conformité FIPS).

Les requêtes SNMP peuvent être effectuées sur un ESM pour obtenir les informations d'intégrité deséquipements ESM, d'un récepteur et d'un équipement Nitro IPS, et les interruptions SNMPv3 peuventêtre envoyées à un ESM pour ajout à la liste noire d'un ou plusieurs de ses équipements Nitro IPSmanagés. Toutes les appliances McAfee peuvent également être configurées pour envoyer desinterruptions de liaison active/défaillante et de démarrage à chaud/à froid à une ou plusieursdestinations de votre choix (voir SNMP et la base MIB McAfee).

Configuration des paramètres SNMPDéfinir les paramètres utilisés par l'ESM pour le trafic SNMP entrant et sortant. Les requêtes SNMPpeuvent être effectuées uniquement par des utilisateurs dont le nom d'utilisateur n'inclut aucunespace.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surConfiguration SNMP.

2 Entrez les informations requises sur les onglets Requêtes SNMP et Interruptions SNMP.

3 Cliquez sur OK.

Configuration d'une interruption SNMP pour la notification de panned'alimentationSélectionnez une interruption SNMP qui vous avertit des pannes matérielles et des pannesd'alimentation DAS, pour éviter l'arrêt du système à cause d'une panne d'alimentation.

Avant de commencer• Vérifiez que vous disposez des droits administrateur ou faites partie d'un groupe d'accès

disposant des privilèges de gestion des alarmes.

• Préparez le récepteur d'interruptions SNMP (requis si vous n'avez pas encore derécepteur d'interruptions SNMP).



Propriétés .

2 Cliquez sur Configuration SNMP, puis sur l'onglet Interruptions SNMP.

3 Sous Port d'interruption, saisissez 162, puis sélectionnez Défaillance matérielle générale et cliquez sur Modifierles profils.



4 Cliquez sur Ajouter, puis saisissez les informations demandées comme suit :

• Type de profil : sélectionnez Interruption SNMP.

• Adresse IP : saisissez l'adresse à laquelle vous souhaitez envoyer l'interruption.

• Port : saisissez 162.

• Nom de la communauté : saisissez Public.

Mémorisez vos saisies dans les champs Port et Nom de la communauté.

5 Cliquez sur OK, puis sur Fermer dans la page Gestionnaire de profils.

Le profil est ajouté à la table Destinations.

6 Sélectionnez le profil dans la colonne Utiliser, puis cliquez sur OK.

Lors d'une panne d'alimentation, une interruption SNMP est envoyée et un indicateur d'état d'intégrités'affiche à côté de l'équipement dans l'arborescence de navigation des systèmes.

Création d'une interruption SNMP en tant qu'action d'alarmeEnvoyez des interruptions SNMP sous forme d'une action d'alarme.

Avant de commencer

• Vérifiez que vous disposez des droits administrateur ou faites partie d'un groupe d'accèsdisposant des privilèges de gestion des alarmes.

• Préparez le récepteur d'interruptions SNMP (requis uniquement si vous n'avez pas derécepteur d'interruptions SNMP).


Procédure

1 Créez un profil SNMP pour indiquer à ESM où envoyer les interruptions SNMP.

a Dans l'arborescence de navigation des systèmes, sélectionnez le système, puis cliquez sur


b Cliquez sur Gestion des profils, puis sélectionnez Interruption SNMP dans le champ Type de profil.

c Renseignez les autres champs, puis cliquez sur Appliquer.

2 Configurez SNMP sur ESM.

a Dans Propriétés du système, cliquez sur Configuration SNMP, puis sur Interruptions SNMP.

b Sélectionnez le port, les types d'interruption à envoyer, puis le profil que vous avez ajouté àl'étape 1.

c Cliquez sur Appliquer.

3 Définissez une alarme en utilisant l'action Interruption SNMP.

a Dans Propriétés du système, cliquez sur Alarmes, puis sur Ajouter.

b Renseignez les informations demandées dans les onglets Synthèse, Condition et Equipements, ensélectionnant le type de condition Concordance d'événement interne, puis cliquez sur l'onglet Actions.

c Sélectionnez Envoyer un message, puis cliquez sur Configurer pour sélectionner ou créer un modèle demessage SNMP.



d Sélectionnez Modèles SNMP de base dans le champ SNMP ou cliquez sur Modèles, puis sélectionnez unmodèle existant ou cliquez sur Ajouter pour définir un nouveau modèle.

e Retournez à la page Paramètres d'alarme, puis continuez la configuration de l'alarme.

Ajout d'une alarme de notification de panne d'alimentationAjout d'une alarme pour vous avertir en cas de défaillance de l'une des alimentations ESM.



• Configuration d'une interruption SNMP pour la notification de panne d'alimentation,page 195



Propriétés .

2 Cliquez sur Alarmes.

3 Cliquez sur Ajouter, saisissez les données demandées dans l'onglet Synthèse, puis cliquez sur l'ongletCondition.

4 Dans le champ Type, sélectionnez Concordance d'événement interne.

5 Dans le champ Champ, sélectionnez ID de signature, puis entrez 306-50086 dans le champ Valeur(s).

6 Saisissez les autres informations dans l'onglet correspondant, puis cliquez sur Terminer.

Une alarme se déclenche en cas de panne d'alimentation.

Procédures• Synthèse personnalisée pour les alarmes déclenchées et les incidents, page 276

Sélectionnez les données à inclure à la synthèse des alarmes et la synthèse des incidentsconcernant les alarmes Concordance de champ et Concordance d'événement interne.

SNMP et la base MIB McAfeeDifférents aspects des produits McAfee sont accessibles via SNMP. La base MIB McAfee définitl'identificateur d'objet (OID) de chaque objet ou caractéristique pertinente.

La base MIB définit les groupes d'objets pour les éléments suivants :

• Alertes : un ESM peut générer et envoyer des interruptions d'alerte en utilisant le Transfertd'événements. Un récepteur peut recevoir des interruptions d'alerte si vous configurez une sourcede données SNMP McAfee.

• Flux : un récepteur peut recevoir des interruptions de flux en configurant une source de donnéesSNMP McAfee.



• Demandes d'intégrité ESM : un ESM peut recevoir des demandes d'intégrité relatives àlui-même et aux équipements qu'il gère, ainsi qu'y répondre.

• Liste noire : un ESM peut recevoir des interruptions qui définissent des entrées destinées auxlistes noires et listes de mise en quarantaine, qu'il applique ensuite aux équipements Nitro IPS qu'ilgère.

La base MIB McAfee définit également des conventions textuelles (types énumérés) pour les valeurs,notamment :

• action effectuée lors de la réception d'une alerte ;

• direction et état du flux ;

• types de sources de données ;

• actions liées aux listes noires.

La syntaxe de la base MIB McAfee est conforme à la norme SMI (Structure of ManagementInformation) SNMPv2. Les produits McAfee qui utilisent SNMP peuvent être configurés pourfonctionner sur SNMPv1, SNMPv2c et SNMPv3 (y compris l'authentification et le contrôle d'accès).

Les demandes d'intégrité sont effectuées via l'opération SNMP GET. L'opération SNMP GET est utiliséepar les applications de type gestionnaire SNMP pour récupérer une ou plusieurs valeurs à partir desobjets managés gérés par l'agent SNMP (dans ce cas, ESM). En général, les applications effectuentune demande SNMP GET en indiquant le nom d'hôte d'ESM et des OID, ainsi que l'instance particulièrede l'OID.

L'ESM répond avec une valeur de retour ou une erreur. Par exemple, une requête d'intégrité et laréponse relative à l'intégrité de l'équipement Nitro IPS ayant l'identificateur Nitro IPS ID 2 serait dutype suivant :

OID demande et réponse Unités Valeur de la réponse Signification

1.3.6.1.4.1.23128.1.3.2.1.2 Nitro IPS interne Nom de l'équipement NitroIPS

1.3.6.1.4.1.23128.1.3.2.2.2 2 Identificateur ESM unique del'équipement Nitro IPS

1.3.6.1.4.1.23128.1.3.2.3.2 1 La communication avecNitro IPS est disponible (1)ou non disponible (0)

1.3.6.1.4.1.23128.1.3.2.4.2 OK Etat de l'équipement NitroIPS

1.3.6.1.4.1.23128.1.3.2.5.2 désactivé Etat des cartes d'interfaceréseau de contournement del'équipement Nitro IPS

1.3.6.1.4.1.23128.1.3.2.6.2 Nitro IPS Mode Nitro IPS (Nitro IPS ouIDS)

1.3.6.1.4.1.23128.1.3.2.7.2 pourcentage 2 Charge instantanée duprocesseur en pourcentagecombiné

1.3.6.1.4.1.23128.1.3.2.8.2 Mo 1010 Total RAM de l'équipementNitro IPS

1.3.6.1.4.1.23128.1.3.2.9.2 Mo 62 RAM disponible




1.3.6.1.4.1.23128.1.3.2.10.2 Mo 27648 Espace total sur le disque durpartitionné pour la base dedonnées Nitro IPS

1.3.6.1.4.1.23128.1.3.2.11.2 Mo 17408 Espace libre sur le disque durdisponible pour la base dedonnées Nitro IPS

1.3.6.1.4.1.23128.1.3.2.12.2 secondesdepuis le01-01-197000:00:00.0(GMT)

120793661 Heure système actuelle surl'équipement Nitro IPS

1.3.6.1.4.1.23128.1.3.2.13.2 7.1.320070518091421a

Informations sur la version etle build du Nitro IPS

1.3.6.1.4.1.23128.1.3.2.14.2 ABCD:1234 ID de l'équipement Nitro IPS

1.3.6.1.4.1.23128.1.3.2.15.2 Nitro IPS Numéro de modèle Nitro IPS

1.3.6.1.4.1.23128.1.3.2.16.2 alertes parminute

140 Taux d'alertes (par minute)durant les 10 dernièresminutes

1.3.6.1.4.1.23128.1.3.2.17.2 flux parminute

165 Taux de flux (par minute)durant les 10 dernièresminutes

Dans l'exemple ci-dessus, le gestionnaire SNMP envoie une demande à l'agent SNMP, l'ESM.Signification des nombres :

• 1.3.6.1.4.1.23128 : numéro McAfee de l'entreprise, attribué par l'IANA (Internet Assigned NumbersAuthority)

• 1.3.2 : demande d'intégrité Nitro IPS

• Du deuxième au dernier nombre (1–17 ci-dessus) : demander les différents aspects de l'intégritéNitro IPS.

• Dernier nombre (2) : instance spécifique de l'OID, l'ID de l'équipement Nitro IPS.

L'ESM répond en alimentant les liaisons OID avec les résultats de la demande d'intégrité.

Les tableaux suivants indiquent la signification des OID de l'ESM et du récepteur.

Tableau 3-37 Intégrité ESM

OID demande et réponse Unités Valeur de laréponse

Signification

1.3.6.1.4.1.23128.1.3.1.1 pourcentage 4 Charge instantanée duprocesseur en pourcentagecombiné

1.3.6.1.4.1.23128.1.3.1.2 Mo 3518 RAM totale

1.3.6.1.4.1.23128.1.3.1.3 Mo 25 RAM disponible

1.3.6.1.4.1.23128.1.3.1.4 Mo 1468006 Espace total sur le disque durpartitionné pour la base dedonnées ESM



Tableau 3-37 Intégrité ESM (suite)

OID demande et réponse Unités Valeur de laréponse

Signification

1.3.6.1.4.1.23128.1.3.1.5 Mo 1363148 Espace libre sur le disque durdisponible pour la base dedonnées ESM

1.3.6.1.4.1.23128.1.3.1.6 secondes depuisle 01-01-197000:00:0.0 (GMT)

1283888714 Heure système actuelle surl'ESM

1.3.6.1.4.1.23128.1.3.1.7 8.4.2 Version et build de l'ESM

1.3.6.1.4.1.23128.1.3.1.8 4EEE:6669 ID de l'équipement ESM

1.3.6.1.4.1.23128.1.3.1.9 ESM Numéro de modèle de l'ESM

Tableau 3-38 Intégrité du récepteur


1.3.6.1.4.1.23128.1.3.3.1.x Récepteur Nom du récepteur

1.3.6.1.4.1.23128.1.3.3.2 .x 2689599744 Identificateur ESM uniquedu récepteur

1.3.6.1.4.1.23128.1.3.3.3.x 1 Indique si lacommunication avec lerécepteur est disponible (1)ou non disponible (0)

1.3.6.1.4.1.23128.1.3.3.4.x OK Indique le statut durécepteur

1.3.6.1.4.1.23128.1.3.3.5.x pourcentage 2 Charge instantanée duprocesseur en pourcentagecombiné

1.3.6.1.4.1.23128.1.3.3.6.x Mo 7155 RAM totale

1.3.6.1.4.1.23128.1.3.3.7.x Mo 5619 RAM disponible

1.3.6.1.4.1.23128.1.3.3.8.x Mo 498688 Espace total sur le disquedur partitionné pour labase de données durécepteur

1.3.6.1.4.1.23128.1.3.3.9.x Mo 472064 Espace libre sur le disquedur disponible pour la basede données du récepteur

1.3.6.1.4.1.23128.1.3.3.10.x secondes depuisle 01-01-197000:00:0.0(GMT)

1283889234 Heure système actuelle surle récepteur

1.3.6.1.4.1.23128.1.3.3.11.x 7.1.320070518091421a

Version et build durécepteur

1.3.6.1.4.1.23128.1.3.3.12.x 5EEE:CCC6 ID de l'équipementrécepteur



Tableau 3-38 Intégrité du récepteur (suite)


1.3.6.1.4.1.23128.1.3.3.13.x Récepteur Numéro de modèle durécepteur

1.3.6.1.4.1.23128.1.3.3.14.x alertes parminute

1 Taux d'alertes (par minute)durant les 10 dernièresminutes

1.3.6.1.4.1.23128.1.3.3.15.x flux par minute 2 Taux de flux (par minute)durant les 10 dernièresminutes

x = ID d'équipement. Pour consulter la liste des ID d'équipement, accédez à Propriétés du système |Configuration SNMP, puis cliquez sur Afficher les ID d'équipement.

Les événements, les flux et les entrées de liste noire sont envoyés via des interruptions SNMP ou desdemandes d'information. Une interruption d'alerte envoyée depuis un ESM configuré pour le transfertd'événement peut être du type suivant :

OID Valeur Signification

1.3.6.1.4.1.23128.1.1.1 780 ID de l'alerte ESM

1.3.6.1.4.1.23128.1.1.2 6136598 ID de l'alerte de l'équipement

1.3.6.1.4.1.23128.1.1.3 Nitro IPS interne Nom d'équipement

1.3.6.1.4.1.23128.1.1.4 2 ID d'équipement

1.3.6.1.4.1.23128.1.1.5 10.0.0.69 IP source

1.3.6.1.4.1.23128.1.1.6 27078 Port source

1.3.6.1.4.1.23128.1.1.7 AB:CD:EF:01:23:45 MAC source

1.3.6.1.4.1.23128.1.1.8 10.0.0.68 IP de destination

1.3.6.1.4.1.23128.1.1.9 37258 Port de destination

1.3.6.1.4.1.23128.1.1.10 01:23:45:AB:CD:EF Adresse MAC de destination

1.3.6.1.4.1.23128.1.1.11 17 Protocole

1.3.6.1.4.1.23128.1.1.12 0 Réseau local virtuel (VLAN)

1.3.6.1.4.1.23128.1.1.13 Direction

1.3.6.1.4.1.23128.1.1.14 20 Nombre d'événements

1.3.6.1.4.1.23128.1.1.15 1201791100 Première fois

1.3.6.1.4.1.23128.1.1.16 1201794638 Dernière fois

1.3.6.1.4.1.23128.1.1.17 288448 Dernière fois (microsecondes)

1.3.6.1.4.1.23128.1.1.18 2000002 ID de signature

1.3.6.1.4.1.23128.1.1.19 ANOMALY Inbound High to High Description de la signature

1.3.6.1.4.1.23128.1.1.20 5 Action entreprise



OID Valeur Signification

1.3.6.1.4.1.23128.1.1.21 1 Gravité

1.3.6.1.4.1.23128.1.1.22 201 Type de source de données ou résultat

1.3.6.1.4.1.23128.1.1.23 0 ID de signature normalisé

1.3.6.1.4.1.23128.1.1.24 0:0:0:0:0:0:0:0 IP source IPv6

1.3.6.1.4.1.23128.1.1.25 0:0:0:0:0:0:0:0 IP de destination IPv6

1.3.6.1.4.1.23128.1.1.26 Application

1.3.6.1.4.1.23128.1.1.27 Domaine

1.3.6.1.4.1.23128.1.1.28 Hôte

1.3.6.1.4.1.23128.1.1.29 Utilisateur (source)

1.3.6.1.4.1.23128.1.1.30 Utilisateur (destination)

1.3.6.1.4.1.23128.1.1.31 Commande

1.3.6.1.4.1.23128.1.1.32 Objet

1.3.6.1.4.1.23128.1.1.33 Numéro de séquence

1.3.6.1.4.1.23128.1.1.34 Indique si elle a été générée dans unenvironnement approuvé ou nonapprouvé

1.3.6.1.4.1.23128.1.1.35 ID de la session qui a généré l'alerte.

Signification des nombres :

• 1.3.6.1.4.1.23128 : numéro McAfee de l'entreprise, attribué par l'IANA

• 1.1 : demande d'intégrité Nitro IPS

• Dernier nombre (1–35) : indique les différentes caractéristiques de l'alerte.

Pour obtenir des informations détaillées sur la définition de la base MIB McAfee, consultez https://x.x.x.x/BrowseReference/NITROSECURITY-BASE-MIB.txt, où x.x.x.x est l'adresse IP de votre ESM.

Extraction de la base MIB depuis ESMAffichez les objets et les notifications à utiliser dans l'interface d'ESM.

Les objets et les notifications définis dans cette base MIB permettent d'envoyer des demandes commesuit :

• à un ESM aux fins de gestion des listes noires et des listes de mise en quarantaine pour un ouplusieurs équipements IPS ;

• à un ESM qui demande des informations sur l'état d'intégrité d'ESM, des équipements IPS ou desrécepteurs ;

• à un équipement pour demander des informations sur son état d'intégrité.





Propriétés .

2 Cliquez sur Configuration SNMP, puis sur Afficher MIB.

Une liste des définitions MIB de base s'affiche.

Gestion de la base de donnéesGérez la base de données ESM pour fournir les informations et les paramètres à mesure que vousconfigurez les fonctionnalités de votre système.

Vous pouvez gérer les paramètres d'index de base de données, afficher et imprimer des informationssur l'utilisation des événements et des flux dans la mémoire de la base de données, configurer lesemplacements de stockage des partitions inactives, configurer la stratégie de conservation desdonnées d'événement et de flux, et configurer la façon dont la base de données alloue un espace pourles données d'événement et de flux.

Si vous possédez plus de quatre processeurs sur une machine virtuelle, vous pouvez utiliser l'espacede stockage supplémentaire pour le stockage système, le stockage des données et le stockage hauteperformance.

Si vous supprimez simultanément plusieurs lecteurs de la machine virtuelle ESM, toutes lesrecherches ELM précédentes risquent d'être perdues. Pour éviter cela, exportez les résultats derecherche ELM avant d'exécuter cette procédure.

Voir aussi Gestion de l'indexation du cumul, page 206Gestion des paramètres d'index de base de données, page 206Configuration des limites de conservation des données, page 205Affichage de l'utilisation de la mémoire de la base de données, page 206

Configuration du stockage des données ESMTrois types de stockage externe peuvent être configurés pour stocker les données ESM : iSCSI(Internet Small Computer System Interface), réseau SAN (Storage Area Network) et stockage DAS(Direct-attached storage). Une fois qu'ils sont connectés à ESM, vous pouvez les configurer afin destocker les données d'ESM.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surBase de données | Stockage des données.

2 Cliquez sur l'un des onglets, sélectionnez une action, puis renseignez les informations demandées.

3 Cliquez sur Annuler pour fermer la page.

Voir aussi Configuration des limites de conservation des données, page 205

Configuration de l'ESMGestion de la base de données 3


Configuration du stockage des données de machinevirtuelle ESMSi votre machine virtuelle ESM comporte plus de quatre processeurs, l'option Données VM est disponibledans la page Base de données, vous permettant ainsi d'utiliser le stockage supplémentaire disponiblepour le stockage système, le stockage des données et le stockage haute performance de la machinevirtuelle.

Chaque liste déroulante de la page Allocation des données inclut les lecteurs de stockage disponibles quisont montés dans la machine virtuelle.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surBase de données | Données VM.

2 Dans chaque champ, sélectionnez le lecteur sur lequel vous souhaitez stocker les données. Chaquelecteur ne peut être sélectionné qu'une fois.

3 Cliquez sur OK.

Augmentation du nombre d'index de cumul disponiblesEtant donné le nombre d'index standard activés sur l'ESM, vous pouvez ajouter seulement 5 index àun champ de cumul. Si vous souhaitez en utiliser davantage, vous pouvez désactiver les indexstandard que vous n'utilisez pas, par exemple sessionid, src/dst mac, src/dst port, src/dst zone,src/dst geolocation (maximum 42).


ESM utilise des index standard pour générer des requêtes, des rapports, des alarmes et des vues. Sivous désactivez un index, puis essayez de générer une requête, un rapport, une alarme ou une vue quil'utilise, une notification vous indique que le traitement de votre demande est impossible, car un index aété désactivé. La notification n'indique pas quel index est concerné. Etant donné cette limitation, nedésactivez les index standard que si vous pensez que cela est indispensable.

1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surBase de données.

2 Cliquez sur Paramètres, puis sur l'onglet Indexation du cumul.

3 Dans la liste déroulante, cliquez sur Index standard, puis sélectionnez Afficher les index standard.

Les index standard sont affichés dans la zone Activé.

4 Cliquez sur les index standard à désactiver, puis cliquez sur la flèche pour les placer dans la zoneDisponible.

Le nombre indiqué dans la zone restant(s) dans le coin supérieur droit de la page augmente chaquefois que vous désactivez un index standard.

Vous pouvez ensuite activer plus de 5 index de cumul pour le champ de cumul que vous sélectionnez(voir Gestion de l'indexation du cumul).

3 Configuration de l'ESMGestion de la base de données


Configuration de l'archivage des partitions inactivesESM répartit les données dans des partitions. Lorsqu'une partition atteint sa taille maximale, elle estalors inactive et supprimée. Vous pouvez configurer un emplacement de stockage pour les partitionsinactives afin qu'elles ne soient pas supprimées.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surBase de données | Archivage.

2 Remplissez les champs qui varient en fonction du type sélectionné.


Lorsque les partitions sont inactives, elles sont copiées à cet emplacement et indiquées dans lesonglets Partitions d'événement et Partitions de flux.

Configuration des limites de conservation des donnéesSi vous disposez d'une configuration qui envoie les données historiques vers le système, vous pouvezsélectionner la durée souhaitée pour la conservation des événements et des flux et limiter la quantitédes données historiques insérées.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surBase de données | Conservation des données.

2 Sélectionnez la durée souhaitée pour la conservation des événements et des flux et indiquez sivous souhaitez restreindre les données historiques.

3 Cliquez sur OK.

Voir aussi Configuration du stockage des données ESM, page 203

Définition des limites d'allocation des donnéesLe nombre maximal d'enregistrements d'événement et de flux qui sont gérés par le système est unevaleur fixe. L'allocation des données vous permet de définir la quantité d'espace qui doit être allouée àchacun et le nombre d'enregistrements dans lesquels effectuer des recherches en vue d'optimiser lesrequêtes.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surBase de données | Allocation des données.

2 Cliquez sur les marqueurs situés sur les lignes de nombres, puis effectuez un glisser-déplacerjusqu'aux nombres souhaités ou cliquez sur les flèches dans les champs Evénements et Flux.

3 Cliquez sur OK.

Configuration de l'ESMGestion de la base de données 3


Gestion des paramètres d'index de base de donnéesConfigurez les options d'indexation des champs de données spécifiques dans la base de données. Sides données ne sont pas indexées, elles sont stockées, mais pas affichées dans la plupart desrésultats de requête.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surBase de données | Paramètres.

2 Pour modifier les paramètres actuels des colonnes Evénements et Flux, cliquez sur l'élément que voussouhaitez modifier, puis sélectionnez un nouveau paramètre dans la liste déroulante.

3 Si vous sélectionnez Personnalisé dans les colonnes Port, l'écran Valeurs de port s'ouvre. Vous pouvez ysélectionner ou y ajouter une nouvelle valeur de port.

4 Cliquez sur OK.

Gestion de l'indexation du cumulSi vous disposez de champs personnalisés qui extraient les données numériques d'une source,l'indexation du cumul peut effectuer des sommes ou des moyennes de ces données sur la durée. Vouspouvez cumuler plusieurs événements ensemble et calculer leur valeur moyenne ou générer unevaleur des tendances.

Avant de commencerConfigurez un type personnalisé d'indexation du cumul (consultez la section Création detypes personnalisés).


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surBase de données.

2 Cliquez sur Paramètres, puis sur l'onglet Indexation du cumul.

3 Sélectionnez les index, puis cliquez sur OK.

Vous pouvez alors configurer une requête de cumul pour afficher les résultats.

Voir aussi Gestion des requêtes, page 315Création de types personnalisés, page 329

Affichage de l'utilisation de la mémoire de la base de donnéesAffichez et imprimez les tables qui détaillent l'utilisation de la mémoire de la base de données.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surBase de données | Utilisation de la mémoire.

Les tables Evénements et Flux indiquent l'utilisation de la mémoire de la base de données.

3 Configuration de l'ESMGestion de la base de données


2Pour imprimer les rapports, cliquez sur l'icône Imprimer .

Gestion des utilisateurs et des groupesVous devez ajouter les utilisateurs et les groupes au système pour leur permettre d'accéder à l'ESM, àses équipements, à ses stratégies et aux privilèges associés.

Si le mode FIPS est activé, ESM propose 4 rôles d'utilisateur : Utilisateur, Utilisateur avec pouvoir,Administrateur de clé et certificat et Administrateur d'audit. Si le mode FIPS n'est pas activé, 2 types de comptesutilisateur sont disponibles : Administrateur système et Utilisateur général.

La page Utilisateurs et groupes contient deux sections :

• Utilisateurs : noms des utilisateurs, nombre de sessions actuellement ouvertes par chaque utilisateuret groupes auxquels ils appartiennent.

• Groupes : noms des groupes et description des privilèges attribués à chacun d'eux.

Vous pouvez trier les tables en cliquant sur Nom de l'utilisateur, Sessions ou Nom du groupe.

Privilèges de groupe

Lorsque vous configurez un groupe, vous définissez les privilèges des membres du groupe. Si voussélectionnez Limiter l'accès de ce groupe sur la page Privilèges de la section Ajouter un groupe (Propriétés du système| Ajouter un groupe ), l'accès à ces fonctionnalités est limité.

• Alarmes : les utilisateurs du groupe n'ont pas accès aux destinataires, fichiers et modèles de gestiondes alarmes. Ils ne peuvent pas créer, modifier, supprimer, activer ou désactiver des alarmes.

• Gestion des incidents : les utilisateurs peuvent accéder à toutes les fonctionnalités, à l'exception del'option Organisation.

• ELM : les utilisateurs peuvent effectuer des recherches ELM avancées, mais ils ne peuvent pas lesenregistrer ni accéder aux propriétés de l'équipement ELM.

• Rapports : les utilisateurs peuvent uniquement exécuter un rapport qu'ils reçoivent par e-mail.

• Listes de valeurs : les utilisateurs ne peuvent pas ajouter une liste de valeurs dynamique.

• Asset Manager et Editeur de stratégies : les utilisateurs ne peuvent pas accéder à ces fonctionnalités.

• Zones : les utilisateurs peuvent afficher uniquement les zones auxquelles ils ont accès dans leur listede zones.

• Propriétés du système : les utilisateurs peuvent accéder uniquement aux Rapports et aux Listes de valeurs.

• Filtres : les utilisateurs ne peuvent pas accéder aux onglets de filtrage Normalisation de chaîne, ActiveDirectory, Actifs, Groupes d'actifs ou Marqueurs.

• Barre d'outils des actions : les utilisateurs ne peuvent pas accéder à la gestion des équipements, àla gestion multi-équipement ni à la visionneuse des événements en flux continu.

Ajout d'un utilisateurSi vous avez des privilèges d'administrateur système, vous pouvez ajouter des utilisateurs au systèmepour leur permettre d'accéder à l'ESM, à ses équipements, à ses stratégies et aux privilèges associés.Une fois les utilisateurs ajoutés, vous pouvez modifier ou supprimer leurs paramètres.

Configuration de l'ESMGestion des utilisateurs et des groupes 3



1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système | Utilisateurs etgroupes.

2 Entrez le mot de passe de l'administrateur système, puis cliquez sur OK.

3 Dans la section Utilisateurs, cliquez sur Ajouter, puis entrez les informations requises.

4 Cliquez sur OK.

Les utilisateurs sont ajoutés au système avec les privilèges attribués aux groupes auxquels ilsappartiennent. Les noms d'utilisateur s'affichent dans la section Utilisateurs de la page Utilisateurs etgroupes. A côté de chaque nom d'utilisateur, une icône indique si le compte est activé. Si l'utilisateur a

des privilèges d'administrateur, l'icône s'affiche à côté de son nom.

Sélection des paramètres utilisateurLa page Paramètres utilisateur permet de modifier plusieurs paramètres par défaut. Vous pouvez modifierle fuseau horaire, le format de la date, le mot de passe, l'affichage par défaut et la langue de laconsole. Vous pouvez également activer et désactiver l'affichage des sources de données désactivées,de l'onglet Alarmes et de l'onglet Incidents.


1 Dans la barre de navigation du système de la console ESM, cliquez sur Options.

2 Vérifiez que Paramètres utilisateur est sélectionné.


L'affichage de la console est modifié en fonction de vos paramètres.

Configuration de la sécuritéUtilisez la sécurité de connexion pour configurer les paramètres de connexion standard et la liste decontrôle d'accès (ACL), et définir les paramètres CAC (Common Access Card). Vous pouvez égalementactiver l'authentification RADIUS (Remote Authentication Dial In User Service), Active Directoryet LDAP (Lightweight Directory Access Protocol) (uniquement disponible si vous disposez desprivilèges Administrateur système).

Fonctionnalités de sécurité ESMLa famille McAfee des solutions Nitro IPS est conçue pour être difficile à détecter sur un réseau etencore plus difficile à attaquer. Par défaut, les équipements Nitro IPS sont dépourvus de pile IP. Lespaquets ne peuvent donc pas être adressés directement au Nitro IPS.

La communication avec un équipement Nitro IPS est établie via la technologie McAfee SEM (SecureEncrypted Management). SEM est un canal intrabande chiffré en AES qui réduit les risques de lectureou les attaques de type intercepteur.

Un équipement Nitro IPS communique uniquement lorsqu'il est géré par un ESM autorisé via lecanal SEM. Il n'initie pas de communications de façon autonome. La communication entre un ESM et laconsole ESM s'effectue également via une connexion chiffrée qui est conforme à FIPS.

3 Configuration de l'ESMGestion des utilisateurs et des groupes


ESM récupère les mises à jour de signatures et logicielles authentifiées et chiffrées à partir du serveurcentral McAfee via un mécanisme de communication chiffré. Des mécanismes, basés à la fois sur lematériel et les logiciels, permettent de veiller à ce que les équipements soient gérés uniquement àpartir d'un ESM dûment autorisé.

Définition des paramètres de connexion standardAjustez les paramètres des procédures de connexion standard en définissant le nombre de tentativesde connexion qui peuvent être effectuées pendant une période spécifiée, la durée d'inactivité possibledu système et les paramètres de mot de passe. Indiquez également si vous souhaitez afficher l'ID dudernier utilisateur à la connexion.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surSécurité de connexion.

2 Définissez les options de l'onglet Standard.

3 Cliquez sur OK ou sur Appliquer.

Configuration des paramètres du mot de passe de connexionVous pouvez définir différents paramètres pour le mot de passe de connexion au système.

Avant de commencerVous devez disposer de droits d'administrateur système.


1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système, puis cliquez surSécurité de connexion.

2 Cliquez sur l'onglet Mots de passe, sélectionnez les options, puis cliquez sur Appliquer ou sur OK.

Configuration des paramètres d'authentification RADIUSConfigurez l'ESM afin d'authentifier les utilisateurs auprès d'un serveur RADIUS.



2 Cliquez sur l'onglet RADIUS, puis remplissez les champs correspondant au serveur principal. Unserveur secondaire est facultatif.

3 Cliquez sur OK ou sur Appliquer.

Si le serveur est activé, tous les utilisateurs à l'exception de l'administrateur système s'authentifient àl'aide du serveur RADIUS. Si l'authentification est désactivée, les utilisateurs qui sont configurés pourl'authentification RADIUS ne peuvent pas accéder à ESM.



Configuration de la liste de contrôle d'accèsConfigurez la liste des adresses IP dont l'accès à votre ESM peut être autorisé ou bloqué.



2 Cliquez sur Paramètres ACL, puis ajoutez les adresses IP à la liste.

3 Cliquez sur OK pour enregistrer les paramètres, puis fermez la Liste de contrôle d'accès (ACL).

Vous pouvez modifier ou supprimer des adresses IP dans la liste ACL.

Paramètres CACVous pouvez vous authentifier dans ESM en fournissant les informations d'identification CAC via lenavigateur au lieu d'entrer un nom d'utilisateur et un mot de passe.

Les cartes CAC contiennent un certificat client qui identifie l'utilisateur à l'instar d'un certificat deserveur qui identifie un site web. Si vous activez la fonctionnalité CAC, il est admis que vous maîtrisezl'authentification CAC. Vous connaissez les navigateurs qui prennent en charge cette fonctionnalitéainsi que l'identificateur EDI-PI (Electronic Data Interchange Personal Identifier) associé auxcartes CAC.

Les certificats sont révoqués de temps en temps. Les listes de révocation de certificats permettent auxsystèmes de connaître ces révocations. Vous pouvez charger manuellement un fichier .zip contenantles fichiers de liste de révocation de certificats.

ActivClient est le seul intergiciel (middleware) CAC pris en charge sur Windows. Pour utiliserl'authentification CAC dans ESM à partir de Windows à l'aide d'Internet Explorer, vous devez avoirinstallé ActivClient sur l'ordinateur client. Une fois installé, ActivClient permet de gérer lesinformations d'identification CAC et remplace le gestionnaire natif de cartes à puce virtuelles deWindows. Le logiciel ActivClient est probablement déjà installé si le client accède à d'autres sites webqui utilisent CAC. Pour obtenir des instructions sur la configuration d'ActivClient et le site detéléchargement du logiciel, consultez l'adresse http://militarycac.com/activclient.htm ou sur le siteintranet de votre organisation.

Si vous utilisez la validation CAC pour l'authenticité des applications, la sécurité du système dépend decelle de l'autorité de certification. Si l'autorité de certification est compromise, les connexionsactivées CAC le sont également.

Configuration d'une connexion CACPour configurer une connexion CAC, vous devez charger les certificats racines de l'autorité decertification, activer la fonctionnalité correspondante, puis activer un utilisateur CAC en définissant lenom utilisateur sur l'identificateur EPI-PI à 10 chiffres du détenteur de la carte. Une fois cetteprocédure effectuée, le détenteur de la carte peut accéder à ESM dans un navigateur compatible CACsans devoir indiquer un nom utilisateur ou un mot de passe.

ESM prend en charge les lecteurs de carte Gemalto et Oberthur ID-One. Contactez le support techniqueMcAfee si vous avez besoin d'aide pour utiliser votre lecteur de carte.




1 Chargez le certificat racine de l'autorité de certification.

a Dans le panneau de configuration de votre ordinateur, cliquez sur Options Internet | Contenu |Certificats | Autorités de certification racines de confiance.

b Sélectionnez votre autorité de certification racine actuelle, puis cliquez sur Exporter.

c Dans l'Assistant Exportation de certificat, cliquez sur Suivant, sélectionnez Codé à base 64 X.509, puis cliquezsur Suivant.

d Saisissez l'emplacement et le nom du fichier à exporter, cliquez sur Suivant, puis sur Terminer.

e Dans l'arborescence de navigation des systèmes de la console ESM, accédez à Propriétés dusystème, cliquez sur Sécurité de connexion, puis sélectionnez l'onglet CAC.

f Cliquez sur Charger, recherchez le fichier exporté, puis chargez-le dans ESM.

2 Dans l'onglet CAC, saisissez les informations demandées, sélectionnez les options souhaitées, puiscliquez sur OK.

3 Activez chaque utilisateur CAC.

a Dans la page Propriétés du système, cliquez sur Utilisateurs et groupes, puis entrez le mot de passesystème.

b Dans la table Utilisateurs, surlignez le nom de l'utilisateur, puis cliquez sur Modifier.

c Remplacez le nom indiqué dans le champ Nom de l'utilisateur par l'identificateur EDI-PI à10 chiffres.

d (Facultatif) Entrez le nom de l'utilisateur dans le champ Alias de l'utilisateur, puis cliquez sur OK.

Configuration des paramètres d'authentification Active DirectoryVous pouvez configurer ESM pour que les utilisateurs s'authentifient auprès d'un service Active Directory.Si cette authentification est activée, tous les utilisateurs à l'exception de l'administrateur systèmes'authentifient à l'aide d'Active Directory. Si elle est désactivée, les utilisateurs qui sont configurés pourl'authentification Active Directory ne peuvent pas accéder au système.

Avant de commencer• Configurez un service Active Directory accessible à partir de ESM.

• Créez un groupe (consultez la section Configuration des groupes d'utilisateurs) portantle même nom que le groupe Active Directory qui a accès à ESM. Par exemple, si vousnommez le groupe « Utilisateurs McAfee », sélectionnez Propriétés du système | Utilisateurs etgroupes et ajoutez un groupe nommé « Utilisateurs McAfee ».



2 Cliquez sur l'onglet Active Directory, puis sélectionnez Activer l'authentification Active Directory.



3 Cliquez sur Ajouter, puis ajoutez les informations demandées pour configurer la connexion.

4 Cliquez sur OK dans la page Connexion à Active Directory.

Configuration des informations d'identification de l'utilisateurpour McAfee ePO.Vous pouvez restreindre l'accès à un équipement McAfee ePO en configurant les informationsd'identification de l'utilisateur.

Avant de commencerL'équipement McAfee ePO ne doit pas être configuré pour requérir l'authentificationutilisateur globale (voir Authentification des équipements McAfee ePO).


1 Dans la barre de navigation de la console ESM, cliquez sur Options, puis sélectionnez Informationsd'identification ePO.


Si la colonne de l'état de l'équipement indique Non requis, l'équipement est configuré pourl'authentification utilisateur globale. Vous pouvez changer l'état sur la page Connexion de l'équipement(voir Modification de la connexion à ESM).

3 Entrez le nom d'utilisateur et le mot de passe, testez la connexion, puis cliquez sur OK.

Pour accéder à cet équipement, les utilisateurs doivent entrer le nom d'utilisateur et le mot de passeque vous avez ajoutés.

Désactivation ou réactivation d'un utilisateurLorsqu'un utilisateur a dépassé le nombre d'échecs de tentatives de connexion autorisé durant lapériode définie dans Sécurité de connexion, cette fonctionnalité permet de réactiver son compte. Vouspouvez également utiliser cette fonctionnalité pour bloquer l'accès à un utilisateur de façon temporaireou permanente sans supprimer l'utilisateur du système.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système | Utilisateurs etgroupes.

2 Dans le tableau Utilisateurs, sélectionnez le nom de l'utilisateur, puis cliquez sur Modifier.

3 Sélectionnez ou désélectionnez Désactiver le compte, puis cliquez sur OK

L'icône située à côté du nom de l'utilisateur dans Utilisateurs et groupes indique le statut du compte.

Authentification des utilisateurs auprès d'un serveur LDAPVous pouvez configurer ESM pour que les utilisateurs s'authentifient auprès d'un serveur LDAP.





2 Cliquez sur l'onglet LDAP.

3 Remplissez les champs, puis cliquez sur Appliquer ou sur OK.

Si l'authentification est activée, tous les utilisateurs à l'exception de l'administrateur système doivents'authentifier auprès du serveur LDAP. Si elle est désactivée, les utilisateurs qui sont configurés pourl'authentification LDAP ne peuvent pas accéder au système.

Configuration de groupes d'utilisateursLes groupes sont constitués d'utilisateurs qui héritent des paramètres du groupe. Lorsque vousajoutez un groupe, vous devez attribuer des équipements, des stratégies et des privilèges.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surUtilisateurs et groupes | Ajouter.

2 Entrez les informations demandées sur chaque onglet, puis cliquez sur OK.

Le groupe est ajouté au tableau Groupes de la page Utilisateurs et groupes.

Ajout d'un groupe à accès limitéPour limiter l'accès de certains utilisateurs aux fonctionnalités de l'ESM, créez un groupe incluant cesutilisateurs. Cette option permet de limiter leur accès aux alarmes, à la gestion des incidents, auxELM, aux rapports, aux listes de valeurs, à la gestion des actifs, à l'éditeur de stratégies, aux zones,aux propriétés du système, aux filtres et à la barre d'actions (voir Gestion des utilisateurs et desgroupes). Toutes les autres fonctionnalités sont désactivées.



Propriétés .

2 Cliquez sur Utilisateurs et groupes, puis tapez le mot de passe système.


• Si le groupe est déjà configuré, sélectionnez-le dans la table Groupe, puis cliquez sur Modifier.

• Si vous ajoutez un groupe, cliquez sur Ajouter en regard de la table Groupes, renseignez le nom etla description, puis sélectionnez les utilisateurs.

4 Cliquez sur Privilèges, puis sélectionnez Limiter l'accès de ce groupe.

La plupart des privilèges sont désactivés.



5 Dans la liste de privilèges disponibles, sélectionnez ceux que vous souhaitez attribuer à ce groupe.

6 Cliquez sur chaque onglet et définissez les autres paramètres du groupe.

Sauvegarde et restauration des paramètres systèmeEnregistrez les paramètres actuels de configuration du système automatiquement ou manuellementafin qu'ils puissent être restaurés en cas de défaillance du système ou de fuite de données. Vouspouvez également configurer et enregistrer les paramètres actuels dans un ESM redondant.

Une sauvegarde standard enregistre tous les paramètres de configuration, notamment les paramètresde stratégie, ainsi que les fichiers de configuration SSH, réseau et SNMP. Lorsque vous ajoutez unnouvel équipement ESM, la fonction Sauvegarde et restauration est activée pour effectuer une sauvegardetous les 7 jours. Vous pouvez sauvegarder les événements, les flux et les journaux reçus par lesystème. La première sauvegarde des données d'événements, de flux ou de journaux enregistreuniquement les données à partir du début du jour en cours. Les sauvegardes ultérieures enregistrentles données à partir de la dernière sauvegarde.

Si vous sauvegardez des événements, des flux ou des journaux dans ESM, l'espace disque dans ESMdiminue. Il est conseillé de télécharger ou de supprimer régulièrement des fichiers de sauvegarde del'ESM local.

Pour restaurer le système, vous pouvez sélectionner un ou plusieurs fichiers de sauvegarde dans ESM,sur un ordinateur local ou à un emplacement à distance afin de rétablir l'ensemble de vos paramètreset données à un état précédent. Si vous exécutez cette fonction, toutes les modifications apportéesaux paramètres après la création de la sauvegarde sont perdues. Exemple : si vous effectuez unesauvegarde quotidienne et souhaitez restaurer les données des trois derniers jours, sélectionnez lestrois derniers fichiers de sauvegarde. Les événements, flux et journaux des trois fichiers desauvegarde sont ajoutés aux événements, flux et journaux résidant actuellement dans ESM. Tous lesparamètres sont alors remplacés par ceux de la dernière sauvegarde.

Sauvegarde des paramètres ESM et des données systèmePlusieurs méthodes permettent de sauvegarder les données sur l'ESM. Lorsque vous ajoutez un nouveléquipement ESM, la fonction Sauvegarde et restauration est activée pour effectuer une sauvegarde tousles 7 jours. Vous pouvez la désactiver ou modifier les paramètres par défaut.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surInformations système | Sauvegarde et restauration.

2 Définissez les paramètres de l'un de ces éléments :

• Sauvegarde automatique

• Sauvegarde manuelle

• ESM redondant

• Restauration d'une sauvegarde précédente du système

3 Cliquez sur OK pour fermer la page Sauvegarde et restauration.

Voir aussi Restauration des paramètres ESM, page 215Utilisation des fichiers de sauvegarde dans ESM, page 215

3 Configuration de l'ESMSauvegarde et restauration des paramètres système


Restauration des paramètres ESMEn cas de défaillance du système ou de fuite de données, vous pouvez restaurer votre système à unétat antérieur en sélectionnant un fichier de sauvegarde.

Procédure

Si la base de données contient le nombre d'enregistrements maximal autorisé et que lesenregistrements à restaurer se trouvent en dehors de la plage des données actuelles de l'ESM, lesenregistrement ne sont pas restaurés. Pour enregistrer des données hors de cette plage et y accéder,vous devez configurer l'archivage de partitions inactives (consultez la section Configuration des limitesde conservation des données).


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surInformations système | Sauvegarde et restauration | Restaurer une sauvegarde.

2 Sélectionnez le type de restauration que vous souhaitez effectuer.

3 Sélectionnez le fichier à restaurer ou entrez les informations de l'emplacement à distance, puiscliquez sur OK.

La restauration d'une sauvegarde peut prendre beaucoup de temps en fonction de la taille du fichier àrestaurer. L'ESM est hors ligne jusqu'à la fin de la restauration. Durant cette opération, le systèmeessaye de se connecter toutes les 5 minutes. Lorsque le processus est terminé, la page Connexions'affiche.

Voir aussi Configuration des limites de conservation des données, page 205

Restauration de fichiers de configuration sauvegardésVous pouvez restaurer des fichiers de configuration (SSH, réseau, SNMP et autres) qui ont étésauvegardés sur l'ESM de chaque équipement.

Avant de commencerSauvegardez les fichiers de configuration sur l'ESM (voir Sauvegarde des paramètres ESMet des données système).


1 Dans l'arborescence de navigation des systèmes, cliquez sur l'équipement, puis sur l'icône

Propriétés .

2 Cliquez sur l'option Configuration de l'équipement, cliquez sur Restaurer la configuration, puis cliquez surOui sur la page de confirmation.

Utilisation des fichiers de sauvegarde dans ESMLes fichiers de sauvegarde qui ont été enregistrés dans ESM peuvent être téléchargés, supprimés ouaffichés. Vous pouvez également charger des fichiers pour les ajouter à la liste des fichiers desauvegarde.

Configuration de l'ESMSauvegarde et restauration des paramètres système 3



1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surMaintenance des fichiers.

2 Dans la liste déroulante Sélectionnez un type, sélectionnez Fichiers de sauvegarde.

3 Sélectionnez l'action que vous souhaitez effectuer.

4 Cliquez sur OK.

Voir aussi Sauvegarde des paramètres ESM et des données système, page 214

Gestion de la maintenance des fichiersESM stocke les fichiers de sauvegarde et de mise à jour logicielle ainsi que les fichiers journauxd'alarme et de rapport. Vous pouvez télécharger, charger et supprimer des fichiers dans chacune deces listes.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surMaintenance des fichiers.

2 Dans le champ Sélectionnez un type de fichier, sélectionnez Fichiers de sauvegarde, Fichiers de mise à jour logicielle,Fichiers journaux d'alarme ou Fichiers de rapport.

3 Sélectionnez les fichiers, puis cliquez sur l'une des options.


Voir aussi Sauvegarde des paramètres ESM et des données système, page 214

ESM redondantLa fonctionnalité d'ESM redondant vous permet d'enregistrer les paramètres actuels de l'ESM sur unESM redondant que vous pouvez convertir en ESM principal en cas défaillance du système ou de fuitede données. Cette fonctionnalité n'est disponible que pour les utilisateurs ayant des privilègesd'administrateur système.

Après la configuration d'un ESM redondant, les données de configuration et de stratégie de l'ESMprincipal sont automatiquement synchronisées toutes les cinq minutes avec l'ESM redondant. Pourconfigurer un ESM redondant, vous devez définir les paramètres de l'équipement redondant (lequelreçoit les paramètres et les données de l'équipement principal) et définir les paramètres del'équipement principal (lequel envoie les paramètres et les données de sauvegarde à l'équipementredondant). L'ESM redondant doit être configuré pour que l'ESM puisse s'y connecter.

La fonctionnalité de redondance de l'ESM n'est pas disponible sur l'équipement ESMREC combiné.

3 Configuration de l'ESMESM redondant


Configuration d'un ESM redondantPour enregistrer les paramètres système sur un ESM redondant, vous devez configurer chacun desESM pour qu'ils puissent communiquer entre eux.


1 Activez SSH sur ESM principal et chaque ESM redondant.

a Dans l'arborescence de navigation des systèmes, accédez à Propriétés du système, puis cliquez surParamètres réseau.

b Assurez-vous que l'option Activer SSH est sélectionnée, puis cliquez sur OK.

2 Configurez chaque ESM redondant.

a Connectez-vous, accédez à Propriétés du système dans l'arborescence de navigation des systèmes,puis cliquez sur Informations système | Sauvegarde et restauration | Redondance.

b Dans le champ Type ESM, sélectionnez Redondant, saisissez l'adresse IP et le port SSH pour ESMprincipal, puis cliquez sur OK.

c Lorsque vous recevez un message indiquant que le redémarrage du service est nécessaire, cequi va entraîner la perte de la communication entre ESM et tous les utilisateurs, cliquez sur Oui.

La console ESM redondante s'éteint.

3 Connectez-vous à ESM principal.

4 Dans l'arborescence de navigation des systèmes, accédez à Propriétés du système, puis cliquez surInformations système | Sauvegarde et restauration | Redondance.

5 Dans le champ de type ESM, sélectionnez Principal, le port SSH pour ESM principal, puis ajoutez uneadresse e-mail et sélectionnez ou ajoutez ESM redondant à la table.

Vous pouvez ajouter jusqu'à cinq ESM redondants.

6 Cliquez sur OK.

Un message vous indique que le redémarrage du service est nécessaire, ce qui va entraîner laperte de la communication entre ESM et tous les utilisateurs.

7 Cliquez sur Oui pour poursuivre la synchronisation.

• Si vous avez indiqué une adresse e-mail pour les notifications, un e-mail est envoyé lorsqueESM est prêt pour la finalisation.

• Si vous n'avez indiqué aucune adresse e-mail, reconnectez-vous et vérifiez l'état.

8 Finalisez la configuration.

a Accédez à nouveau à la page Configuration de la redondance (voir l'étape 2a).

b Cliquez sur Finaliser.

ESM principal et ESM redondant se déconnectent pour la synchronisation finale. Le système sereconnecte lorsque la procédure est terminée.

Configuration de l'ESMESM redondant 3


Remplacement d'un ESM redondantSi un ESM redondant cesse de fonctionner, vous pouvez le remplacer par un nouveau.

Avant de commencerAjoutez le nouvel ESM redondant au système.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système et assurez-vousque l'option Informations système est sélectionnée.

2 Cliquez sur Sauvegarde et restauration | Redondance, sélectionnez Principal, puis tapez la nouvelleadresse IP dans le champ Adresse IP d'ESM redondant.

3 Sélectionnez Redondant et vérifiez que l'adresse IP de l'ESM principal est correcte.

4 Sélectionnez Principal, puis cliquez sur Connecter pour vérifier que les deux équipementscommuniquent.

5 Sélectionnez Synchroniser tout ESM, puis cliquez sur OK.

Gestion de l'ESM.Vous pouvez effectuer plusieurs opérations pour gérer le logiciel, les journaux, les certificats, lesfichiers de fonctionnalités et les clés de communication de l'ESM.

Onglet Option Description

Configuration Gérer les journaux Configurer les types d'événements à consigner dans le journal desévénements.

Hiérarchie des ESM Configurer les options relatives aux données si vous utilisez deséquipements ESM hiérarchiques.

Brouillage Définir les paramètres globaux pour masquer les donnéessélectionnées de tout enregistrement d'alerte envoyé lors d'untransfert d'événement ou envoyé vers un ESM parent.

Journalisation Envoyer des événements internes à l'ELM afin de les stocker. Cesdonnées peuvent être utilisées pour les audits.

Paramètresrégionaux système

Sélectionner la langue du système à utiliser pour la journalisation desévénements, par exemple le journal du programme de surveillanced'état et le journal de l'équipement.

Mappage de nom Désélectionner les ports et les protocoles pour qu'ils s'affichent sousforme de chiffres bruts à la place de noms. Par exemple, si vousdésélectionnez Port source ou Port de destination, http:80 s'affiche sous laforme 80. Si vous sélectionnez Protocoles, le nombre brut 17s'affiche sous la forme udp.

Gestion desclés

Certificat Installer un nouveau certificat SSL (Secure Socket Layer).

Régénérer SSH Régénérer la paire de clés SSH privées ou publiques pourcommuniquer avec tous les équipements.

Exporter toutes lesclés

Exporter les clés de communication de tous les équipements dusystème, au lieu de les exporter une à une.

3 Configuration de l'ESMGestion de l'ESM.


Onglet Option Description

Restaurer toutes lesclés

Restaurer les clés de communication de tous les équipements ou deséquipements sélectionnés qui ont été exportées à l'aide de lafonction Exporter toutes les clés.

Maintenance Mettre à jour ESM Mettre à jour le logiciel ESM à partir du serveur de règles et de misesà jour McAfee ou à l'aide d'un ingénieur en sécurité McAfee.

Données ESM Télécharger un fichier .tgz qui contient les informations relatives àl'état de l'ESM. Cet état peut permettre au support technique McAfeed'identifier et de résoudre les problèmes.

Gestionnaire detâches

Afficher les requêtes en cours d'exécution sur l'ESM et les arrêter sinécessaire.

Arrêter Arrêter l'ESM. Un message vous indique que cette action entraîne laperte de la communication avec l'ESM pour tous les utilisateurs.

Redémarrer Arrêter et redémarrer l'ESM. Un message vous indique que cetteaction entraîne la perte de la communication avec l'ESM pour tous lesutilisateurs.

TerminalCette fonctionnalité est réservée aux utilisateurs expérimentés.

Entrer des commandes Linux sur l'ESM. Comme le terminal estuniquement un émulateur en mode batch partiel, toutes lescommandes ne sont pas disponibles.• Le terminal ne conserve pas de répertoire de travail.

• Vous ne pouvez pas utiliser la commande cd pour accéder à unautre répertoire.

• Vous devez utiliser des noms de chemin d'accès complets.

• Les opérateurs > ou >> ne fonctionnent pas. Tous les résultatssont renvoyés à l'écran.

Obtenir lesfonctionnalités

Si vous avez acheté des fonctionnalités supplémentaires, activez-lessur votre ESM en téléchargeant un fichier chiffré qui contient desinformations sur les fonctionnalités prises en charge par votre ESM.

Définir lesfonctionnalités

Installer le fichier que vous avez téléchargé à l'aide de l'option Obtenirles fonctionnalités.

Connecter Accorder au support technique McAfee l'accès à votre systèmelorsque vous l'appelez pour demander une assistance.

Comme cette option n'est pas conforme à FIPS, elle n'est pasdisponible en mode FIPS.

Afficher lesstatistiques

Accéder aux informations suivantes pour tout équipement ESM :• Statistiques sur l'utilisation de la mémoire et l'espace d'échange.

• Utilisation des processeurs.

• Activités de basculement des systèmes.

• Statistiques sur la vitesse de transfert et les entrées/sorties.

• Valeurs moyennes de la longueur de la file d'attente et de lacharge.

Configuration de l'ESMGestion de l'ESM. 3


Voir aussi Accès à un équipement à distance, page 224Régénération de la clé SSH, page 222Gestion des destinataires, page 184Types d'événement, page 220Gestion des journaux, page 220Installation d'un nouveau certificat, page 194Configuration de la journalisation ESM, page 221Masquage des adresses IP, page 221Exportation et restauration des clés de communication, page 222Commandes Linux disponibles, page 225Utilisation des commandes Linux, page 224

Gestion des journauxPlusieurs types d'événement sont générés dans ESM. Vous pouvez sélectionner ceux que voussouhaitez enregistrer dans le journal des événements.



2 Cliquez sur Gérer les journaux, puis sélectionnez les types d'événement que vous souhaitez consigner.

3 Cliquez sur OK.

Types d'événementIl s'agit des types de journal des événements générés dans ESM.

Type d'événement Evénements consignés

Authentification Connexion, déconnexion et modifications de compte d'utilisateur.

Pour être conforme à la réglementation FIPS, le Mode d'authentification esttoujours défini sur Aucun.

Sauvegarde Processus de sauvegarde de la base de données.

Liste noire Entrées de liste noire envoyées à l'équipement.

Equipement Modifications d'équipement ou communications, telles que l'obtentiond'événements, de flux et de journaux.

Transfert des événements Modifications ou erreurs lors du transfert des événements.

Programme de surveillanced'état

Evénements de statut des équipements.

Notifications Modifications ou erreurs de notification.

Stratégie Gestion et application des stratégies.

Serveur de règles Téléchargement des règles à partir du serveur de règles et validation deces règles.

Si le système est en mode FIPS, les règles ne doivent pas être mises àjour via le serveur de règles.



Type d'événement Evénements consignés

Système Modification des paramètres système et journalisation de la substitutiondes tables.

Vues Modifications apportées aux vues et requêtes.

Masquage des adresses IPVous pouvez masquer des données spécifiques d'enregistrements d'événements envoyés lors dutransfert d'événements ou envoyés à un ESM parent.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surGestion ESM | Hiérarchie des ESM.

2 Sélectionnez Brouiller pour les ESM pour lesquels vous souhaitez masquer les données.

La page Sélection des champs de brouillage s'ouvre.

3 Sélectionnez les champs à masquer.

4 Cliquez sur OK.

Une fois cette configuration effectuée, si un ESM parent demande un paquet à un ESM enfant, lesdonnées que vous avez sélectionnées sont masquées.

Configuration de la journalisation ESMSi votre système est pourvu d'un équipement ELM, vous pouvez configurer ESM afin que les donnéesd'événement internes qu'il génère soient envoyées vers l'équipement ELM. Pour ce faire, vous devezconfigurer le pool de journalisation par défaut.

Avant de commencerAjoutez un équipement ELM à votre système.



2 Dans l'onglet Configuration, cliquez sur Journalisation.

3 Sélectionnez les options demandées, puis cliquez sur OK.

Modification de la langue des journaux des événementsLors de votre première connexion à ESM, vous avez sélectionné la langue à utiliser pour les journauxdes événements, par exemple le journal du programme de surveillance d'état et le journal del'équipement. Vous pouvez changer ce paramètre de langue.




1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système | Gestion ESM.

2 Cliquez sur Paramètres régionaux système, sélectionnez une langue dans la liste déroulante, puis cliquezsur OK.

Exportation et restauration des clés de communicationExportez les clés de communication de tous les équipements du système vers un fichier unique. Unefois que vous les avez exportées, vous pouvez les restaurer si nécessaire.

• Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système | Gestion ESM, puiscliquez sur l'onglet Gestion des clés.


Exporter toutes les clésde communication

1 Cliquez sur Exporter toutes les clés.

2 Définissez le mot de passe du fichier de clés, puis cliquez sur OK.

3 Sélectionnez l'emplacement d'enregistrement du fichier, puis cliquezsur Enregistrer.

Restaurer toutes lesclés de communication

1 Cliquez sur Restaurer toutes les clés.

2 Localisez le fichier que vous avez configuré lors de l'exportation desclés, puis cliquez sur Ouvrir.

3 Cliquez sur Charger, puis entrez le mot de passe défini.

4 Sélectionnez les équipements que vous devez restaurer, puis cliquezsur OK.

Régénération de la clé SSHRégénérez la paire de clés SSH privées ou publiques utilisée pour communiquer avec tous leséquipements.



2 Dans l'onglet Gestion des clés, cliquez sur Régénérer SSH.

Vous êtes averti du remplacement de l'ancienne clé par la nouvelle.

3 Cliquez sur Oui.

Lorsque la clé est régénérée, elle remplace l'ancienne paire de clés sur tous les équipements managéspar l'ESM.

Gestionnaire de tâches pour les requêtesSi vous avez des droits d'administrateur ou d'utilisateur principal, vous pouvez accéder au Gestionnaire detâches, qui affiche la liste des requêtes en cours d'exécution sur l'ESM. Il vous permet de fermer des



requêtes si elles affectent les performances du système. Les requêtes à exécution longue risquentdavantage d'affecter les performances.

Le rôle de cette fonctionnalité est la résolution des problèmes d'exécution sur l'ESM, mais pas de fermerles requêtes. Pour utiliser cette fonctionnalité, demandez l'aide du support technique McAfee.

Principales caractéristiques du gestionnaire de tâches :

• Vous pouvez fermer des requêtes de rapport, de vue, de liste de valeurs, d'exécution etd'exportation, d'alarme, et des requêtes API externes sur le système. Vous ne pouvez pas fermerdes requêtes du système.

• Lorsque vous cliquez sur une requête, les détails s'affichent dans la zone Détails de la requête.

• Par défaut, la liste est automatiquement actualisée toutes les 5 secondes. Lorsque voussélectionnez une requête, si la liste est actualisée, la requête reste sélectionnée et les détails sontmis à jour. Lorsque la requête est terminée, elle ne s'affiche plus dans la liste.

• Pour désactiver l'actualisation automatique de la liste, désélectionnez Actualiser automatiquement la liste.

• Pour afficher les tâches système (tâches qui n'ont pas encore été identifiées), désélectionnezMasquer les tâches système.

• Vous pouvez trier les données des colonnes de la table.

• Vous pouvez sélectionner et copier les données dans la zone Détails de la requête.

• L'icône de suppression dans la dernière colonne indique que vous pouvez fermer la requête.Lorsque vous cliquez dessus, une boîte de dialogue de confirmation s'affiche.

Gestion des requêtes en cours d'exécution sur l'ESMLe Gestionnaire de tâches affiche la liste des requêtes en cours d'exécution sur l'ESM. Vous pouvezconsulter leur état et supprimer celles qui affectent les performances du système.



Propriétés .

2 Cliquez sur Gestion ESM, sur Maintenance, puis sur Gestionnaire de tâches.

3 Consultez la liste des requêtes en cours d'exécution et effectuez les actions souhaitées.

Mise à jour d'un ESM principal ou redondantPour mettre à jour un ESM principal ou redondant, vous devez suivre des étapes spécifiques afind'éviter de perdre des données d'événements, de flux ou de journaux.


1 Désactivez la collecte des alertes, des flux et des journaux.

a Dans l'arborescence de navigation des systèmes, sélectionnez Informations système, puis cliquez surEvénements, flux et journaux.

b Désactivez la case à cocher Vérifier automatiquement toutes les.



2 Mettez à jour l'ESM principal.

3 Mettez à jour l'ESM redondant. Cette opération est plus longue si des fichiers de redondancedoivent être traités.

4 Activez la collecte des alertes, flux et journaux en sélectionnant Vérifier automatiquement toutes les.

Si la mise à jour échoue, voir Mise à jour vers la version 9.3.

Accès à un équipement à distanceSi un équipement est configuré à un emplacement à distance, utilisez l'option Terminal pour exécuterdes commandes Linux afin de voir l'équipement. Cette fonctionnalité est destinée aux utilisateursavancés et doit être utilisée sous la direction du personnel du support technique McAfee dans lessituations d'urgence.




2 Dans l'onglet Maintenance, cliquez sur Terminal.

3 Entrez le mot de passe système, puis cliquez sur OK.

4 Entrez les commandes Linux nécessaires et procédez à une exportation afin d'enregistrer lecontenu dans un fichier.

L'exportation n'inclut pas les résultats qui ont été effacés de la page Terminal pendant la sessionterminal actuelle.


Voir aussi Commandes Linux disponibles, page 225

Utilisation des commandes LinuxVous pouvez utiliser l'option Terminal pour entrer des commandes Linux sur l'ESM. Cette fonctionnalitéest réservée aux utilisateurs expérimentés. Ne l'utilisez qu'en cas d'urgence, en suivant lesinstructions du support technique McAfee.




2 Dans l'onglet Maintenance, cliquez sur Terminal, entrez le mot de passe du système, puis cliquez surOK.

3 Tapez les commandes Linux (consultez la section Commandes Linux disponibles).



4 Cliquez sur Effacer pour supprimer le contenu de la page si nécessaire.

5 (Facultatif) Cliquez sur Exporter pour enregistrer le contenu dans un fichier.

L'exportation n'inclut pas les résultats qui ont été effacés de la page Terminal pendant la sessionterminal actuelle.

Commandes Linux disponiblesIl s'agit des commandes disponibles dans la page Terminal.

commandes de la page Terminal

• getstatsdata • echo

• ps • date

• grep • ethtool

• ifconfig • df

• kill • tar

• sensors • netstat

• service • sar

• cat • tail

• rm • locate

• iptables • tcpdump -c -w

• updatedb • ip6tables

• cp

Il s'agit des commandes disponibles qui sont modifiées avant exécution.

Cette commande... A été remplacée par...

II ll--classify

ping ping -c 1

ls ll--classify

top top -b -n 1

ping6 ping6 -c 1

Pour plus d'informations sur la commande getstatsdata, consultez la section Collecte des donnéesstatistiques pour la résolution des problèmes de l'annexe D. Pour plus d'informations sur toutes lesautres commandes, consultez le site web http://www.linuxmanpages.com.



http://www.linuxmanpages.com

Utilisation d'une liste globale de blocageUne liste de blocage permet de bloquer le trafic existant dans un équipement Nitro IPS ou unéquipement virtuel avant qu'il ne soit analysé par le moteur d'inspection approfondie de paquets.

L'option Liste de blocage Nitro IPS permet de configurer une liste de blocage pour les équipements Nitro IPSindividuels dans ESM. L'option Liste globale de blocage permet quant à elle de configurer une liste deblocage qui s'applique à tous les équipements Nitro IPS gérés par ESM. Cette fonctionnalité autoriseuniquement des entrées de liste de blocage permanentes. Pour configurer des entrées temporaires,vous devez utiliser l'option Liste de blocage Nitro IPS.

Chaque Nitro IPS et chaque équipement virtuel peuvent utiliser la liste globale de blocage. Lafonctionnalité est désactivée dans tous les équipements tant que vous ne l'avez pas activée.

La page Editeur de liste globale de blocage contient trois onglets :

• Sources bloquées : effectue une concordance avec l'adresse IP source du trafic traversantl'équipement.

• Destinations bloquées : effectue une concordance avec l'adresse IP de destination du trafic traversantl'équipement.

• Exclusions : empêche l'ajout automatique à l'une ou l'autre des listes de blocage. Vous pouvezajouter des adresses IP critiques (par exemple, serveurs DNS et autres ou postes de travail desadministrateurs système) aux exclusions afin de vous assurer qu'elles ne seront jamais inclusesautomatiquement dans les listes de blocage, et ce, quels que soient les événements qu'ellespeuvent générer.

Les entrées des onglets Sources bloquées et Destinations bloquées peuvent être configurées pour limiter l'effetde la liste de blocage à un port de destination spécifique.

Lors de l'ajout d'entrées :

• L'option Ajouter est activée lorsque vous modifiez l'adresse IP ou le port.

• Les entrées des onglets Sources bloquées et Destinations bloquées peuvent être configurées pour êtreincluses dans la liste de blocage sur tous les ports ou sur un port spécifique.

• Les entrées qui utilisent un intervalle masqué d'adresses IP doivent être configurées avec le portdéfini sur Tout (0) et une durée permanente.

• Si ces listes requièrent un format d'adresse IP, quelques outils inclus permettent d'ajouter unesignification à ces adresses. Après que vous avez tapé une adresse IP ou un nom d'hôte dans lechamp Adresse IP, le bouton situé en regard de ce contrôle indique Résoudre ou Recherche en fonctionde la valeur entrée. S'il indique Résoudre, cliquer dessus permet de résoudre le nom d'hôte entré, deremplir le champ Adresse IP avec ces informations et de déplacer le nom d'hôte vers le champDescription. Cliquer sur Recherche permet d'exécuter une recherche dans l'adresse IP et de remplir lechamp Description avec les résultats de cette recherche.

Certains sites web peuvent posséder plusieurs adresses IP ou disposer d'adresses IP qui ne sont pastoujours identiques. N'utilisez pas cet outil pour bloquer les sites web.

Configuration d'une liste globale de blocageConfigurez une liste globale de blocage commune à tous les équipements que vous sélectionnez. Decette façon, vous n'avez pas à entrer les mêmes informations dans plusieurs équipements.

3 Configuration de l'ESMUtilisation d'une liste globale de blocage



1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surListe globale de blocage.

2 Cliquez sur l'onglet Sources bloquées, Destinations bloquées ou Exclusions, puis gérez les entrées de la listede blocage.

3 Sélectionnez les équipements qui doivent utiliser la liste globale de blocage.


Qu'est-ce que l'enrichissement des données ?Vous pouvez enrichir des événements envoyés par la source de données amont avec le contexte quiest absent de l'événement d'origine (par exemple une adresse e-mail, un numéro de téléphone ou desinformations sur l'emplacement de l'hôte). Ces données enrichies font alors partie de l'événementanalysé et elles sont stockées avec l'événement comme les champs d'origine.

Pour configurer des sources d'enrichissement de données, vous devez indiquer comment établir laconnexion à la base de données et accéder à une ou plusieurs colonnes de table de la base dedonnées. Ensuite, vous devez indiquer quels équipements reçoivent les données et comment enrichirces données (événements et flux).

Vous pouvez également modifier ou supprimer des sources d'enrichissement des données, et exécuterune requête dans la page Enrichissement des données. Pour ce faire, sélectionnez la source, puis cliquez surModifier, Supprimer ou Exécuter maintenant.

Les événements qui se déclenchent sur l'ESM ne sont pas enrichis. L'acquisition des données esteffectuée sur l'ESM, mais pas sur les équipements.

Hadoop HBase contient un connecteur à la source de données relationnelles qui permet d'effectuerl'enrichissement en utilisant les paires clé-valeur de la source. Le mappage des identités dans HBasepeut être extrait régulièrement vers un récepteur afin d'enrichir les événements.

Ajout de sources d'enrichissement des donnéesAjoutez une source d'enrichissement des données et définissez les équipements qui reçoivent lesdonnées.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surEnrichissement des données | Ajouter.

Les onglets et les champs de l'Assistant Enrichissement des données varient en fonction du typed'enrichissement sélectionné.

2 Renseignez les champs de chaque onglet, puis cliquez sur Suivant.

3 Cliquez sur Terminer, puis sur Ecrire.

4 Sélectionnez les équipements dans lesquels vous souhaitez écrire les règles d'enrichissement desdonnées, puis cliquez sur OK.

Configuration de l'ESMQu'est-ce que l'enrichissement des données ? 3


Configuration de l'enrichissement des données McAfee RealTime for McAfee ePO™

Lorsque vous sélectionnez la source McAfee Real Time for McAfee ePO dans l'Assistant Enrichissement desdonnées, vous pouvez tester votre requête et choisir les colonnes pour la Recherche et l'Enrichissement.



Propriétés .

2 Cliquez sur Enrichissement des données, sur Ajouter, puis indiquez les informations demandées dansl'onglet Principal.

3 Dans l'onglet Source, sélectionnez Real Time for ePO dans le champ Type, sélectionnez l'équipement, puiscliquez sur l'onglet Requête.

4 Ajoutez les informations demandées, puis cliquez sur Test.

Si la requête ne génère pas les informations que vous recherchez, modifiez les paramètres.

Ajout d'une source d'enrichissement de données Hadoop HBaseExtraire le mappage des identités HBase via un récepteur pour enrichir les événements en ajoutantHadoop HBase en tant que source d'enrichissement des données.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surEnrichissement des données.

2 Dans l'Assistant Enrichissement des données, remplissez les champs de l'onglet Principal, puis cliquez surl'onglet Source.

3 Dans le champ Type, sélectionnez Hadoop HBase (REST), puis tapez le nom d'hôte, le port et le nom dela table.

3 Configuration de l'ESMQu'est-ce que l'enrichissement des données ?


4 Dans l'onglet Requête, renseignez la colonne de recherche et les informations de la requête :

a Mettez Colonne de recherche au format familleColonne:nomColonne.

b Renseignez la requête avec un filtre d'analyseur, où les valeurs sont codées en base 64. Parexemple :

<Scanner batch="1024"><filter>{"type": "SingleColumnValueFilter","op": "EQUAL","family": " ZW1wbG95ZWVJbmZv","qualifier": "dXNlcm5hbWU=","latestVersion": true,"comparator": {"type": "BinaryComparator","value": "c2NhcGVnb2F0"}}</filter></Scanner>

5 Complétez les informations dans les onglets Score et Destination.

Ajout d'une source d'enrichissement de données Hadoop PigVous pouvez exploiter les résultats de requêtes Apache Pig pour enrichir les événements Hadoop Pig.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système.

2 Cliquez sur Enrichissement des données, puis cliquez sur Ajouter.

3 Cliquez sur l'onglet Principal, remplissez les champs, puis cliquez sur l'onglet Source. Dans le champType, sélectionnez Hadoop Pig et indiquez les informations suivantes : Hôte Namenode, PortNamenode, Hôte Jobtracker et port Jobtracker.

Les informations Jobtracker ne sont pas obligatoires. Si le champ des informations Jobtracker estvide, l'hôte et le port NodeName sont utilisés par défaut.

4 Dans l'onglet Requête, sélectionnez le mode De base et indiquez les informations suivantes :

a Dans Type, sélectionnez le fichier texte et entrez le chemin d'accès du fichier dans le champ Source(par exemple, /user/default/fichier.csv). Ou sélectionnez Base de données de la ruche et entrezune table HCatalog (par exemple, sample_07).

b Dans Colonnes, indiquez comment enrichir les données des colonnes.

Par exemple, si le fichier texte contient des informations d'employés avec des colonnes pour lenuméro de sécurité sociale, le nom, le sexe, l'adresse et le numéro de téléphone, entrez le textesuivant dans le champ Colonnes : emp_Name:2, emp_phone:5. Pour la base de données de laruche, utilisez les noms des colonnes de la table HCatalog.



c Dans Filtre, vous pouvez utiliser toute expression intégrée Apache Pig pour filtrer les données.Voir la documentation Apache Pig.

d Si vous avez défini les valeurs des colonnes ci-dessus, vous pouvez regrouper et agréger lesdonnées de ces colonnes. Les informations Source et Colonnes sont obligatoires. Les autreschamps peuvent être vides. Pour utiliser les fonctions d'agrégation, vous devez définir desgroupes.

5 Dans l'onglet Requête, sélectionnez le mode Avancé et entrez un script Apache Pig.

6 Dans l'onglet Score, définissez le score de chaque valeur renvoyée par la requête à une seulecolonne.

7 Dans l'onglet Destination , sélectionnez les équipements auxquels vous souhaitez appliquerl'enrichissement.

Ajout de l'enrichissement des données Active Directory pour lesnoms d'utilisateurVous pouvez exploiter Microsoft Active Directory pour ajouter aux événements Windows le nomd'affichage complet de l'utilisateur.

Avant de commencerVérifiez que vous avez les privilèges Gestion des systèmes.


Procédure1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système.

2 Cliquez sur Enrichissement des données, puis cliquez sur Ajouter.

3 Sur l'onglet Principal, entrez le Nom de l'enrichissement, décrivant l'enrichissement, au formatNom_complet_ID_utilisateur.

4 Définissez le Type de recherche et le Type d'enrichissement sur la valeur String.

5 Définissez Fréquence d'extraction sur quotidien, sauf si Active Directory est fréquemment mis à jour.

6 Cliquez sur Suivant ou sur l'onglet Source.

a Dans le champ Type, sélectionnez LDAP.

b Indiquez l'adresse IP, le nom d'utilisateur et le mot de passe.

7 Cliquez sur Suivant ou sur l'onglet Requête.

a Dans le champ Attribut de recherche, entrez sAMAccountName.

b Dans le champ Attribut d'enrichissement, entrez displayName.

c Dans le champ Requête, entrez (objectClass=person) pour obtenir la liste de tous les objetsd'Active Directory classés en tant que personne.

d Testez la requête, laquelle renvoie au maximum 5 valeurs, quel que soit le nombre d'entréesprésentes.



8 Cliquez sur Suivant ou sur l'onglet Destination.

a Cliquez sur Ajouter.

b Sélectionnez votre source de données Microsoft Windows.

c Dans le champ Champ de recherche, sélectionnez le champ Utilisateur source.

Ce champ contient la valeur présente dans l'événement, qui est utilisée en tant que valeurd'index pour la recherche.

d Sélectionnez le Champ d'enrichissement, où la valeur d'enrichissement est écrite sous la formePseudo_utilisateur ou Nom_contact.

9 Cliquez sur Terminer pour enregistrer.

10 Après l'écriture des paramètres de l'enrichissement sur les équipements, cliquez sur Exécutermaintenant pour récupérer les valeurs d'enrichissement depuis la source de données jusqu'à ce que lavaleur Heure de déclenchement quotidien soit atteinte.

Le Nom complet est écrit dans le champ Nom_contact.



4 Gestion de Cyber Threat

McAfee ESM vous permet de récupérer des indicateurs de menaces (IOC) depuis des sources distanteset d'accéder rapidement à l'activité IOC correspondante de votre environnement.

La gestion de Cyber Threat vous permet de configurer des flux automatiques qui génèrent des listesde valeurs, des alarmes et des rapports qui vous permettent de visualiser des données exploitables.Par exemple, vous pouvez configurer un flux qui ajoute automatiquement les adresses IP suspectesaux listes de valeurs afin de surveiller le trafic à venir. Ce flux peut générer et envoyer des rapportsindiquant les activités antérieures. Les vues dans Vues des workflows d'événements > Indicateurs Cyber Threatpermettent d'accéder rapidement à des événements et activités spécifiques de votre environnement.

Sommaire Configurer la gestion de Cyber Threat Affichage des résultats du flux Cyber Threat

Configurer la gestion de Cyber ThreatConfigurer des flux pour récupérer des indicateurs de menaces (IOC) des sources distantes. Vouspouvez ensuite utiliser ces flux pour générer des listes de valeurs, des alarmes et des rapports quipermettent aux utilisateurs d'accéder aux activités IOC correspondantes de votre environnement.

Avant de commencerVérifiez que vous avez les autorisations suivantes :

• Gestion de Cyber Threat : permet à l'utilisateur de définir un flux Cyber Threat.

• Utilisateur Cyber Threat : permet à l'utilisateur de visualiser les données générées par leflux.


1 Dans l'arborescence de navigation des systèmes, cliquez sur Propriétés du système.

2 Cliquez sur Flux Cyber Threat, puis cliquez sur Ajouter.

3 Sur l'onglet Principal, entrez le nom du flux.

4 Sur l'onglet Source, sélectionnez le type de données source et les informations d'identification pourla connexion. Cliquez sur Connecter pour tester la connexion.

Les sources prises en charge sont notamment McAfee Advanced Threat Defense et MITRE ThreatInformation Exchange (TAXII).

4


5 Sur l'onglet Fréquence, identifiez la fréquence d'extraction des fichiers IOC par le flux. Les fréquencesd'extraction disponibles sont notamment : toutes les x minutes, quotidien, toutes les heures,toutes les semaines ou tous les mois. Définissez l'heure du déclenchement quotidien.

6 Sur l'onglet Liste de valeurs, sélectionnez la propriété ou le champ du fichier IOC à ajouter à une listede valeurs existante. Vous pouvez ajouter des listes de valeurs pour toute propriété ou tout champpris en charge.

Si la liste de valeurs dont vous avez besoin n'existe pas, cliquez sur Créer une liste de valeurs.

7 Sur l'onglet Suivi arrière, identifiez les événements (par défaut) et flux à analyser, les donnéesconcordantes à analyser, et l'antériorité des données à analyser par rapport à ce flux.

a Indiquez si vous souhaitez analyser les événements, les flux ou les deux.

b Indiquez l'antériorité (en jours) pour l'analyse des événements et des flux.

c Indiquez l'action que ESM doit effectuer si lors du suivi arrière, une concordance de données estdétectée.

d Pour les alarmes, sélectionnez un utilisateur affecté et une gravité.

8 Retournez à l'onglet Principal, puis sélectionnez Activé pour activer ce flux.

9 Cliquez sur Terminer.

Voir aussi Affichage des résultats du flux Cyber Threat, page 234

Affichage des résultats du flux Cyber ThreatAfficher les indicateurs de menaces (IOC) des sources de données externes, identifiées par les fluxCyber Threat de votre organisation. Vous pouvez accéder rapidement aux informations détaillées surles menaces, aux descriptions des fichiers et aux événements correspondants pour chaque sourced'indicateur.

Avant de commencerVérifiez que vous avez l'autorisation Utilisateur Cyber Threat qui permet d'afficher les résultatsdes flux Cyber Threat de votre organisation.


1 Sur la console ESM, dans Synthèse par défaut, sélectionnez Vues des workflows d'événements | Indicateurs CyberThreat.

2 Sélectionnez la période de la vue.

3 Filtrez par nom de flux ou types de données IOC pris en charge.

4 Vous pouvez effectuer différentes actions, notamment :

• Créer ou ajouter une entrée dans une liste de valeurs.


• Exécuter une commande à distance.

• Créer un incident.

4 Gestion de Cyber ThreatAffichage des résultats du flux Cyber Threat


• Effectuer une recherche dans une période ou consulter la dernière recherche dans une période.

• Exporter l'indicateur dans un fichier CSV ou HTML.

5 Accédez aux informations détaillées en utilisant les onglets Description, Détails, Evénements sources et Fluxsources

Voir aussi Configurer la gestion de Cyber Threat, page 233

Gestion de Cyber ThreatAffichage des résultats du flux Cyber Threat 4


4 Gestion de Cyber ThreatAffichage des résultats du flux Cyber Threat


5 Utilisation des packs de contenu

Lorsqu'une situation de menace particulière se produit, vous pouvez réagir immédiatement enimportant et en installant le pack de contenu du serveur de règles. Les packs de contenu contiennentdes règles de corrélation, des alarmes, des vues, des rapports, des variables ou des listes de valeursbasées sur des cas d'utilisation pour traiter l'activité liée à des logiciels malveillants ou des menacesspécifiques. Les packs de contenu vous permettent de répondre aux menaces sans passer du temps àcréer des nouveaux outils.

Importation de packs de contenuMcAfee crée des packs de contenu basés sur des cas d'utilisation, contenant des règles de corrélation,des alarmes, des vues, des rapports, des variables ou des listes de valeurs pour traiter l'activité delogiciels malveillants spécifiques.

Avant de commencerVérifiez que vous avez les autorisations suivantes :

• Gestion des systèmes

• Administration des utilisateurs


1 Recherche des mises à jour des règles, page 30

Les utilisateurs en ligne reçoivent les packs de contenu disponibles automatiquement lors des misesà jour de règles. Les utilisateurs hors-ligne doivent télécharger et importer les packs de contenuparticuliers sur le site hébergeant les règles.

2 Dans l'arborescence de navigation des systèmes, cliquez sur Propriétés du système.

3 Cliquez sur Packs de contenu.

4 Pour importer et installer un nouveau pack de contenu, cliquez sur Parcourir.

Lors de la vérification des mises à jour des règles, tout nouveau pack ou toute mise à jour de packest automatiquement téléchargé.

a Cliquez sur Importer et sélectionnez le fichier du pack de contenu à importer.

b Cliquez sur Charger.

Un message indique l'état de l'importation.

5


c Cliquez sur le pack de contenu pour savoir ce que contient le pack.

d Sélectionnez le pack souhaité, puis installez ce pack de contenu.

5 Pour mettre à jour ou désinstaller un pack de contenu existant, cochez le pack souhaité et cliquezsur Mettre à jour ou Désinstaller.

Soyez prudent lors de la mise à jour des packs de contenu existants. Si vous avez personnalisé deséléments d'un pack de contenu, la mise à jour risque d'écraser ces éléments personnalisés.

6 Pour désinstaller un pack de contenu existant, cochez le pack souhaité et cliquez sur Désinstaller.

5 Utilisation des packs de contenuImportation de packs de contenu


6 Workflow d'alarmes

Familiarisez-vous avec le workflow d'alarmes. Cliquez sur la liaison de tâche appropriée pour accéderaux informations détaillées.

1 Préparation à la création d'alarmes : avant de créer ou d'utiliser des alarmes, assurez-vousque votre environnement est prêt.

• Permet de connecter le serveur de messagerie, de créer des modèles de message et d'identifierles groupes de destinataires de message.

• Permet de charger des fichiers audio.

• Permet d'afficher le volet Alarmes dans le tableau de bord (également appelé console).

• Permet de générer des rapports.

2 Créer des alarmes : lorsque vous créez une alarme, vous pouvez identifier une ou plusieursconditions de sécurité susceptibles de déclencher une alarme. Vous pouvez également identifier lesactions qui s'exécutent en réponse aux alarmes déclenchées. Pour créer des alarmes, vous pouvezactiver les alarmes prédéfinies, modifier les alarmes existantes ou créer des alarmes adaptées àl'environnement de votre organisation.

3 Surveillance et réponses aux alarmes : permet de répondre aux alarmes déclenchées auxemplacements d'ESM suivants :

• Vue Alarmes déclenchées du tableau de bord

• Alertes pop-up visuelles qui s'ouvrent lors du déclenchement d'une alarme

• Volet Alarmes qui indique le nombre total des alarmes par gravité : la gravité est élevée entre 66et 100, moyenne entre 33 et 65, et faible entre 1 et 3.

4 Régler les alarmes : il se peut que vos besoins en matière d'alarmes varient au fil du temps.Affinez et réglez vos alarmes en fonction de ce qui convient le mieux à votre organisation.

Sommaire Préparation à la création d'alarmes Créer des alarmes Surveillance et réponses aux alarmes Régler les alarmes

Préparation à la création d'alarmesAvant de créer des alarmes et y répondre, assurez-vous que votre environnement ESM contient leséléments de base suivants : les modèles de message d'alarme, les groupes de destinataires de

6


message, une connexion au serveur de messagerie, les fichiers audio d'alarme, la file d'attente desrapports d'alarme et l'onglet des alarmes disponible dans le tableau de bord.

Avant de commencerPour consulter les alarmes déclenchées dans le tableau de bord, reportez-vous à la section Sélection des paramètres utilisateur, page 36.

Pour en savoir plus sur la préparation de votre environnement relatif aux alarmes, lisez les pointsci-après.

Procédures• Configuration des messages d'alarme, page 240

Configurez ESM afin qu'il envoie des messages d'alarme déclenchée, notamment desmessages e-mail, SMS (Short Message Services), SNMP (Simple Network ManagementProtocol) ou syslog.

• Gestion des fichiers audio d'alarme, page 245Chargez et téléchargez des fichiers audio pour les alertes audio.

• Gestion de la file d'attente des rapports d'alarme, page 246Si une action d'alarme génère des rapports, vous pouvez afficher la file d'attente desrapports générés, puis annuler un ou plusieurs rapports.

Configuration des messages d'alarmeConfigurez ESM afin qu'il envoie des messages d'alarme déclenchée, notamment des messages e-mail,SMS (Short Message Services), SNMP (Simple Network Management Protocol) ou syslog.


Procédures• Création des modèles de message d'alarme, page 241

Créez des modèles de message d'alarme pour les messages e-mail, SMS (Short MessageServices), SNMP (Simple Network Management Protocol) ou syslog. Vous pouvez ensuiteassocier ces modèles à des actions d'alarme et à des destinataires de message spécifiques.

• Configuration d'une alarme de corrélation pour inclure des événements sources, page 242Pour inclure les informations liées aux événements sources aux résultats d'alarmes,configurez une alarme Concordance d'événement interne ou Concordance de champ qui utilise unévénement de corrélation pour la concordance.

• Gestion des destinataires d'alarme, page 243Identifiez les destinataires des messages d'alarme, puis configurez la manière d'envoi deces messages : en tant que messages e-mail, SMS (Short Message Services), SNMP(Simple Network Management Protocol) ou syslog.

• Connexion au serveur de messagerie, page 183Configurez les paramètres de connexion à votre serveur de messagerie afin d'envoyer desmessages d'alarme et de rapport.

Définition des paramètres des messagesLorsque vous définissez des actions relatives à une alarme ou lorsque vous configurez des méthodesde remise d'un rapport, vous pouvez choisir d'envoyer des messages. Vous devez d'abord connecter

6 Workflow d'alarmesPréparation à la création d'alarmes


ESM à votre serveur de messagerie et identifier les destinataires des messages e-mail, SMS, SNMP ousyslog.

ESM envoie des notifications d'alarme via le protocole SNMP v1. SNMP utilise le protocole de transportUDP (User Datagram Protocol) pour transférer les données entre les gestionnaires et les agents. Dansune configuration SNMP, un agent tel que ESM transfère des événements aux serveurs SNMP (appelés[NMS] (Network Management Station)) via des paquets de données appelés interruptions. D'autresagents du réseau peuvent recevoir des rapports d'événements tout comme qu'ils reçoivent desnotifications. Etant donné les limites liées à la taille des paquets d'interruptions SNMP, ESM envoiechaque ligne du rapport dans une interruption distincte.

Syslog peut également envoyer les rapports de requête CSV générés par ESM. Syslog envoie cesrapports de requête CSV en insérant chaque ligne de résultats de la requête dans un message syslog,sous forme de champs séparés par une virgule.

Création des modèles de message d'alarmeCréez des modèles de message d'alarme pour les messages e-mail, SMS (Short Message Services),SNMP (Simple Network Management Protocol) ou syslog. Vous pouvez ensuite associer ces modèles àdes actions d'alarme et à des destinataires de message spécifiques.




Propriétés .


3 Cliquez sur l'onglet Paramètres, puis sur Modèles.• Pour créer des modèles personnalisés, cliquez sur Ajouter.

• Pour modifier un modèle personnalisé, sélectionnez-le, puis cliquez sur Modifier.

Vous ne pouvez pas modifier les modèles prédéfinis.

• Pour supprimer un modèle personnalisé, sélectionnez-le, puis cliquez sur Supprimer.

Vous ne pouvez pas supprimer les modèles prédéfinis.

• Pour copier un modèle existant, sélectionnez-le, puis cliquez sur Copier. Enregistrez le modèlecopié sous un nouveau nom.

• Pour définir un modèle comme modèle par défaut pour tous les messages d'alarme,sélectionnez-le, puis cliquez sur Utiliser par défaut.

4 Ajoutez ou modifiez les informations sur le modèle suivantes.

Workflow d'alarmesPréparation à la création d'alarmes 6


Option Description

Type Indiquez si ce modèle est destiné à un message e-mail ou SMS.

Les messages SMS sont envoyés sous forme de message e-mail à un téléphone, puissont convertis en SMS par l'opérateur. Les messages SMS sont limités à140 caractères.

Nom Saisissez le nom de ce modèle.

Description Saisissez une description indiquant les éléments inclus dans ce modèle.

Utiliser pardéfaut

Permet d'utiliser le modèle actuel comme modèle par défaut lors de l'envoi desmessages.

Objet Pour un modèle e-mail, permet de définir l'objet du message. Cliquez sur l'icôneInsérer un champ et sélectionnez les informations à inclure à la ligne de l'objet dumessage.

Corps dumessage

Sélectionnez les champs à inclure dans le corps du message.

Pour inclure des données de paquet à l'e-mail, activez l'option Copier le paquet pour larègle. ESM limite les données du paquet contenues dans l'e-mail à 8 000 caractères(voir la section Activation de l'option Copier le paquet, page 386).

Pour les modèles de message syslog, limitez le corps du message à 950 octets. ESMne peut pas envoyer de message syslog qui dépasse 950 octets.

• Supprimez les champs inclus par défaut que vous ne souhaitez pas ajouter aumessage.

• Placez le curseur dans le corps à l'emplacement où vous souhaitez insérer unchamp de données. Cliquez sur l'icône Insérer un champ située au-dessus du champObjet. Sélectionnez ensuite le type d'information à afficher dans ce champ.

• Si vous sélectionnez Bloc de répétition, ESM ajoute la syntaxe requise pour effectuerune boucle sur les enregistrements. Insérez les champs à inclure pour chaqueenregistrement entre les marqueurs [$REPEAT_START] et [$REPEAT_END]. ESMinclut ensuite ces informations au message pour 10 enregistrements maximum.

• Configuration d'une alarme de corrélation pour inclure des événements sources,page 242 Pour inclure des événements sources aux alarmes qui utilisent unévénement de corrélation pour la concordance ( ), cliquez sur l'icône Insérer unchamp, puis sélectionnez Bloc d'événement source.

Lorsque vous sélectionnez Concordance d'événement interne ou Concordance de champ commetype d'alarme, ESM inclut les données de champ d'événement à l'e-mail.Sélectionnez Concordance de champ pour les alarmes des sources de données quis'exécutent sur le récepteur et non sur ESM. Sélectionnez les alarmes Concordanced'événement interne qui s'exécutent sur ESM et forcent une requête à s'exécuter àchaque fois que la fréquence d'une alarme expire.

Configuration d'une alarme de corrélation pour inclure des événementssourcesPour inclure les informations liées aux événements sources aux résultats d'alarmes, configurez unealarme Concordance d'événement interne ou Concordance de champ qui utilise un événement de corrélation pourla concordance.






Propriétés .


3 Cliquez sur l'onglet Paramètres, puis sur Modèles.

4 Sur la page Gestion des modèles, cliquez sur Ajouter, puis saisissez les informations demandées.

5 Dans la section Corps du message, placez le curseur à l'endroit où vous souhaitez insérer les

marqueurs, puis cliquez sur l'icône Insérer un champ et sélectionnez Bloc d'événement source.

6 Placez le curseur dans les marqueurs, cliquez à nouveau sur l'icône Insérer un champ, puis sélectionnezles informations que vous souhaitez inclure lors du déclenchement de l'alarme de corrélation.

L'exemple suivant montre l'apparence d'un modèle de message d'alarme lorsque vous insérez deschamps d'adresse IP source, d'adresse IP de destination et de gravité pour un événement :

Alarme : [$Alarm Name]Utilisateur affecté : [$Alarm Assignee]Date de déclenchement : [$Trigger Date] Synthèse : [$Alarm Summary][$SOURCE_EVENTS_START] IP source : [$Source IP]IP de destination : [$Destination IP]Gravité : [$Average Severity][$SOURCE_EVENTS_END]

Si un événement mis en corrélation ne déclenche pas l'alarme, le message ne contient pas de données.

Gestion des destinataires d'alarmeIdentifiez les destinataires des messages d'alarme, puis configurez la manière d'envoi de cesmessages : en tant que messages e-mail, SMS (Short Message Services), SNMP (Simple NetworkManagement Protocol) ou syslog.



• Vérifiez que les profils que vous avez l'intention d'utiliser existent. Reportez-vous auxsections Configuration SNMP, page 194 et Configuration des profils, page 194.



Propriétés .




3 Cliquez sur Paramètres, puis sur Destinataires.• Cliquez sur E-mail pour afficher ou mettre à jour les adresses e-mail des destinataires individuels.

• Cliquez sur Utilisateurs pour afficher les noms utilisateur et les adresses e-mail.

• Cliquez sur SMS pour afficher ou mettre à jour les destinataires des SMS et leurs adresses.

• Cliquez sur SNMP pour afficher ou mettre à jour les informations SNMP suivantes :

Option Description

Profil Sélectionnez un profil de destinataire SNMP existant dans la liste déroulante.Pour ajouter un profil, cliquez sur Profil.

Typed'interruptionspécifique

Sélectionnez le type d'interruption spécifique. Le type d'interruption généralest toujours défini sur 6 (propre à l'entreprise).

OID de l'entreprise Saisissez l'identificateur OID (Object Identifier) complet de l'entreprise utilisépour l'interruption à envoyer. Il inclut tous les nombres, du premier 1 aunuméro de l'entreprise, y compris les sous-arborescences de l'entreprise.

Contenu Inclure les liaisons de données d'information : l'interruption contient des informationssur les liaisons de variables, notamment le nombre de lignes du rapport traité,une chaîne identifiant la source de l'interruption, le nom de la notification quigénère l'interruption, ainsi que l'ID d'ESM qui envoie l'interruption.Inclure uniquement les données de rapport : les liaisons de variables supplémentaires nesont pas incluses à l'interruption.

Mise en forme Chaque interruption SNMP générée à partir d'un rapport contient une ligne dedonnées de ce rapport.• Envoyer chaque ligne de rapport telle quelle : les données de la ligne du rapport sont

envoyées telles quelles dans une liaison de variable. Le système génère lesidentifiants OID de liaison de données par concaténation de l'OID del'entreprise, du type d'interruption particulier et d'un numéroautomatiquement incrémenté à partir de 1.

• Effectuer une analyse syntaxique des résultats et utiliser ces OID de liaison : le systèmeeffectue une analyse syntaxique de la ligne du rapport et envoie chaquechamp dans une liaison de données distincte.

Liste des OID deliaison

Effectuer une analyse syntaxique des résultats et utiliser ces OID de liaison : permet de définirdes OID de liaison de données personnalisés.• Si vous sélectionnez cette option, cliquez sur Ajouter et saisissez la valeur de

l'OID de liaison.

• Si vous ne définissez pas d'OID de variable pour tous les champs de donnéesdu rapport, ESM commence l'incrémentation à partir du dernier OID indiquédans la liste.

4 Cliquez sur Syslog pour afficher ou mettre à jour les informations syslog suivantes :

Option Description

IP d'hôte et Port Saisissez l'adresse IP et le port hôte de chaque destinataire.

Installation et Gravité Sélectionnez l'installation et la gravité du message.



Connexion au serveur de messagerieConfigurez les paramètres de connexion à votre serveur de messagerie afin d'envoyer des messagesd'alarme et de rapport.

Avant de commencerVérifiez que vous disposez des droits administrateur ou faites partie d'un groupe d'accèsdisposant des privilèges de gestion des utilisateurs.



Propriétés .

2 Cliquez sur Paramètres de messagerie, puis saisissez les informations demandées pour connecter votreserveur de messagerie.

Option Description

Hôte et Port Saisissez l'hôte et le port de votre serveur de messagerie.

Utiliser TLS Sélectionnez cette option pour utiliser le protocole de chiffrement TLS.

Nom d'utilisateur et Mot depasse

Saisissez le nom utilisateur et le mot de passe permettant d'accéder àvotre serveur de messagerie.

Titre Saisissez un titre générique pour tous les messages e-mail envoyés parvotre serveur de messagerie, notamment l'adresse IP d'ESM pourpouvoir identifier ESM qui est à l'origine du message.

De Saisissez votre nom.

Configurer les destinataires Ajoutez, modifiez ou supprimez des destinataires (voir la section Gestion des destinataires d'alarme, page 243).

3 Envoyez un e-mail test pour vérifier les paramètres.

4 Ajoutez, modifiez ou supprimez des destinataires (voir la section Gestion des destinatairesd'alarme, page 243).

5 Cliquez sur Appliquer ou sur OK pour enregistrer les paramètres.

Voir aussi Gestion des destinataires, page 184

Gestion des fichiers audio d'alarmeChargez et téléchargez des fichiers audio pour les alertes audio.






Propriétés .

2 Cliquez sur l'onglet Paramètres, puis sur Audio.

3 Vous pouvez télécharger, charger, supprimer ou lire des fichiers audio. Lorsque vous avez terminé,cliquez sur Fermer.

ESM comprend trois fichiers audio préinstallés. Vous pouvez charger des fichiers audiopersonnalisés.

Gestion de la file d'attente des rapports d'alarmeSi une action d'alarme génère des rapports, vous pouvez afficher la file d'attente des rapportsgénérés, puis annuler un ou plusieurs rapports.




Propriétés .


3 Cliquez sur l'onglet Paramètres.

4 Pour afficher les rapports d'alarme placés en attente pour l'exécution, cliquez sur Afficher. ESM peutexécuter jusqu'à cinq rapports simultanément.

• Consultez les rapports générés par les alarmes.

• Pour arrêter l'exécution d'un rapport particulier, sélectionnez-le, puis cliquez sur Annuler. Lesautres rapports avancent dans la file d'attente.

Si vous êtes administrateur ou utilisateur principal, cette liste contient tous les rapports enattente d'exécution sur ESM et vous permet d'en annuler.

5 Cliquez sur Fichiers, puis indiquez si vous souhaitez télécharger, charger, supprimer ou actualiser desrapports dans la liste.


Créer des alarmesLes alarmes déclenchent des actions en réponse à des événements de menace spécifiques. Si vouscréez un nombre excessif ou insuffisant d'alarmes qui se déclenchent fréquemment, cela risque de

6 Workflow d'alarmesCréer des alarmes


générer des bruits dérangeants. La meilleure approche est de créer des alarmes qui effectuent uneprocédure d'escalade pour les événements qui sont critiques pour votre organisation.

McAfee ESM vous permet de créer des alarmes comme suit : vous pouvez activer des alarmésprédéfinies, copier les alarmes existantes et les modifier, ou créer des alarmes propres à votreorganisation.

Pour en savoir plus sur la création d'alarmes, consultez les tâches suivantes.

Procédures• Activation ou désactivation de la surveillance des alarmes, page 247

Activez ou désactivez la surveillance des alarmes pour l'ensemble du système ou desalarmes individuelles. Par défaut, la surveillance des alarmes ESM est activée.

• Copie d'une alarme, page 248Utilisez une alarme existante comme modèle d'une nouvelle alarme en la copiant et enl'enregistrant sous un autre nom.

• Création d'alarmes, page 248Créez une alarme de sorte qu'elle se déclenche lorsque les conditions définies sontremplies.

Activation ou désactivation de la surveillance des alarmesActivez ou désactivez la surveillance des alarmes pour l'ensemble du système ou des alarmesindividuelles. Par défaut, la surveillance des alarmes ESM est activée.


Si vous désactivez la surveillance des alarmes du système, ESM ne génère aucune alarme.



Propriétés .


3 Pour désactiver ou activer la surveillance des alarmes pour l'ensemble du système, cliquez surl'onglet Paramètres, puis sur Désactiver ou Activer.

4 Pour désactiver ou activer les alarmes individuelles, cliquez sur l'onglet Alarmes. La colonne Etatindique si les alarmes sont activées ou désactivées.

• Pour activer une alarme donnée, surlignez-la, puis sélectionnez Activé.

• Pour désactiver une alarme donnée, surlignez-la, puis désélectionnez Activé. ESM ne génère pluscette alarme.

5 Cliquez sur OK.

Workflow d'alarmesCréer des alarmes 6


Copie d'une alarmeUtilisez une alarme existante comme modèle d'une nouvelle alarme en la copiant et en l'enregistrantsous un autre nom.




Propriétés .


3 Sélectionnez une alarme activée, puis cliquez sur Copier.

La page Nom de l'alarme affiche le nom de l'alarme actuelle suivi de _copie.

Vous pouvez copier uniquement les alarmes activées. Les alarmes désactivées ne peuvent pas êtrecopiées.

4 Modifiez le nom, puis cliquez sur OK.

5 Pour modifier les paramètres de l'alarme, sélectionnez l'alarme copiée, puis cliquez sur Modifier.

6 Modifiez les paramètres comme il vous convient.

Voir aussi Création d'alarmes, page 248

Création d'alarmesCréez une alarme de sorte qu'elle se déclenche lorsque les conditions définies sont remplies.




Propriétés .

2 Cliquez sur Alarmes, puis sur Ajouter.

3 Pour définir les paramètres d'alarme généraux, cliquez sur l'onglet Synthèse.• Saisissez le nom de l'alarme.

• Dans la liste Utilisateur affecté, sélectionnez la personne ou le groupe auquel affecter cette alarme.Cette liste comprend tous les utilisateurs et groupes ayant le privilège Gestion des alarmes.



• Sous Gravité, sélectionnez la priorité de l'alarme dans le journal des alarmes : la gravité estélevée entre 66 et 100, moyenne entre 33 et 65, et faible entre 1 et 32.

• Cochez la case Activé pour activer cette alarme et décochez-la pour désactiver l'alarme.

4 Dans l'onglet Condition, identifiez les conditions qui déclenchent l'alarme.

Condition Description

Fréquence devérification

Sélectionnez la fréquence à laquelle le système vérifie cette condition.

Déviation Définissez le seuil de pourcentage à vérifier au-dessus de la référence et un autrepourcentage au-dessous de la référence.• Requête : sélectionnez le type de données que vous souhaitez obtenir avec la

requête.

• Icône Filtres : sélectionnez les valeurs avec lesquelles filtrer les données de cettealarme.

• Période : indiquez si vous souhaitez effectuer la requête sur la dernière périodeou la période précédente sélectionnée dans le champ relatif au nombre.

• Déclencher si la valeur est : sélectionnez l'écart supérieur ou inférieur par rapport àla référence avant qu'ESM déclenche l'alarme.

Fréquenced'événement

• Nombre d'événements : saisissez le nombre d'événements qui doivent se produireavant qu'ESM déclenche l'alarme.

• Icône Filtres : sélectionnez les valeurs avec lesquelles filtrer les données.

• Période : sélectionnez la période dans laquelle doit se produire le nombred'événements sélectionné avant qu'ESM déclenche l'alarme.

• Décaler : sélectionnez la durée du décalage de sorte que l'alarme n'inclut pas laforte augmentation à la fin générée par l'agrégation. Exemple, si ESM extraitles événements toutes les cinq minutes, la dernière minute de récupérationd'événements contient les événements agrégés. Appliquez ce décalage de sorteque la dernière minute ne soit pas incluse dans la mesure des données. Sinon,ESM inclut les valeurs des données agrégées dans le nombre d'événements, cequi engendre un faux positif.

Concordance dechamp

1 Pour définir la logique de la condition de l'alarme, faites glisser l'icône AND ouOR (voir la section Eléments logiques, page 272).

2 Faites glisser l'icône Faire concorder le composant vers un élément logique, puiscomplétez la page Ajouter un champ de filtre.

3 Définissez le nombre maximal de notifications à recevoir en utilisant le champFréquence de déclenchement de condition maximale. Chaque déclencheur contientuniquement le premier événement source qui correspond à la condition dudéclencheur (et pas les événements survenus durant la période de la fréquencede déclenchement). Les nouveaux événements correspondant à la condition dudéclencheur n'entraînent pas le déclenchement de l'alarme jusqu'à la fin dutemps indiqué pour la fréquence de déclenchement maximale. Par exemple, sivous définissez la fréquence sur 10 minutes et que l'alarme se déclenchecinq fois au cours de cette période, ESM envoie un seul avis contenant5 alarmes.

Si vous définissez l'intervalle sur zéro, chaque événement qui correspond à lacondition va déclencher une alarme. Pour les alarmes à forte fréquence,l'intervalle zéro peut générer de nombreuses alarmes.



Condition Description

Statut duprogramme desurveillance d'état

Sélectionnez les types de changement de l'état d'équipement. Par exemple, sivous sélectionnez uniquement Critique, vous ne recevrez pas de notification en casde changement d'état du programme de surveillance d'état au niveau Avertissement(voir la section ID de signature du programme de surveillance d'état, page 262).

Concordanced'événementinterne

• Déclencher si la valeur ne concorde pas : sélectionnez cette option afin que l'alarme sedéclenche lorsque la valeur ne correspond pas à votre paramètre.

• Utiliser une liste de surveillance : sélectionnez cette option si une liste de valeurscontient les valeurs de cette alarme.

Les valeurs contenant des virgules doivent se trouver dans une liste de valeursou entre guillemets.

• Champ : sélectionnez le type de données que cette alarme va surveiller.

Pour les alarmes qui se déclenchent lorsqu'un événement du programme desurveillance d'état est généré, reportez-vous à la section Ajout d'alarmesd'événement du programme de surveillance d'état, page 261.

• Valeur(s) : saisissez les valeurs correspondant au type sélectionné dans Champ(limité à 1 000 caractères). Par exemple, pour IP source, saisissez les adresses IPsource actuelles qui déclenchent cette alarme.

Fréquence dedéclenchement deconditionmaximale

Sélectionnez la période entre chaque condition pour éviter un flux important denotifications.

Seuil Type de condition Delta pour l'événement uniquement : sélectionnez le deltamaximal autorisé pour les événements analysés avant le déclenchement del'alarme.

Type Sélectionnez le type d'alarme qui détermine les champs à remplir.

5 Dans l'onglet Equipements, sélectionnez les équipements que cette alarme va surveiller.

6 Dans l'onglet Actions, identifiez ce qui se passe lorsque l'alarme se déclenche.

Action Description

Consigner unévénement

Consignez une alarme sur ESM par défaut.

Reconnaître l'alarmeautomatiquement

L'alarme est automatiquement acquittée juste après son déclenchement. Parconséquent, l'alarme ne s'affiche pas dans le volet Alarmes. Toutefois, lesystème l'ajoute à la vue Alarmes déclenchées.

Alerte visuelle Générez une notification d'alarme en bas à droite de la console. Pour inclureune notification audio, cliquez sur Configurer --> Lire le son, puis sélectionnez unfichier audio.

Créer un incident Permet de créer un incident pour une personne ou un groupe sélectionné.Cliquez sur Configurer pour identifier le propriétaire de l'incident et sélectionnerles champs à inclure à la synthèse de l'incident.

Si vous envisagez d'effectuer une procédure d'escalade pour les alarmes,veillez à ne pas créer d'incident.



Action Description

Mettre à jour la liste devaleurs

Modifiez la liste de valeurs en ajoutant ou en supprimant des valeurs enfonction des informations contenues dans maximum 10 événementsdéclencheurs d'alarme. Cliquez sur Configurer, puis sélectionnez un champ del'événement déclencheur pour l'ajouter ou le supprimer dans la liste de valeurssélectionnée. Lorsque ces paramètres modifient une liste de valeurs, l'ongletActions de la vue Alarme déclenchée affiche les modifications.

Cette action requiert le type de condition Concordance d'événement interne.

Envoyer un message Permet d'envoyer un message e-mail ou SMS aux destinataires sélectionnés.• Cliquez sur Ajouter un destinataire, puis sélectionnez les destinataires du

message.

• Cliquez sur Configurer pour sélectionner le modèle (pour les messages e-mail,SMS, SNMP ou syslog), le fuseau horaire et le format de date à utiliser pourle message.

L'utilisation des caractères suivants dans les noms d'alarme risqued'entraîner des problèmes lors de l'envoi des messages SMS : virgule (,),guillemets ("), parenthèses ( ), barre oblique ou barre oblique inverse (/ \),point-virgule (;), point d'interrogation (?), arobase (@), crochets ([ ]),signes inférieur et supérieur (< >) et signe égal (=).

Générer les rapports Permet de générer un rapport, une vue ou une requête. Cliquez sur Configurer,puis sélectionnez un rapport dans la page Configuration du rapport ou cliquez surAjouter pour définir un nouveau rapport.

Si vous envisagez d'envoyer un rapport en pièce jointe de l'e-mail, vérifiezauprès de votre administrateur de messagerie la taille maximale des piècesjointes. Une pièce jointe électronique volumineuse peut empêcher l'envoi d'unrapport.

Exécuter la commandeà distance

Exécutez une commande à distance sur un équipement qui accepte lesconnexions SSH, sauf les équipements McAfee d'ESM. Cliquez sur Configurerpour sélectionner le type de commande et le profil, le fuseau horaire et leformat de date, ainsi que l'hôte, le port, le nom utilisateur, le mot de passe etla chaîne de commande pour la connexion SSH.

Si la condition d'alarme est Concordance d'événement interne, vous pouvez effectuer

le suivi des événements spécifiques. Cliquez sur l'icône Insérer une variable ,puis sélectionnez les variables.

Envoyer vers Remedy Permet d'envoyer jusqu'à 10 événements à Remedy par alarme déclenchée.Cliquez sur Configurer pour définir les informations requises pour lacommunication avec Remedy : les données dans les champs De et A, le préfixe,le mot clé et l'ID utilisateur. Lorsque des événements sont envoyés à Remedy,ESM ajoute Evénement envoyé vers Remedy à l'onglet Actions de la vue Alarmedéclenchée. Cette action requiert le type de condition Concordance d'événement interne.



Action Description

Affecter un marqueuravec ePO

Permet d'appliquer les marqueurs McAfee ePolicy Orchestrator aux adresses IPqui déclenchent cette alarme. Cliquez sur Configurer, puis sélectionnez lesinformations suivantes :• Sélectionner un équipement ePO : équipement à utiliser pour le marquage.

• Nom : marqueurs à appliquer (seuls les marqueurs disponibles surl'équipement sélectionné s'affichent dans la liste).

• Sélectionner le champ : champ pour le marquage.

• Réactiver le client : applique les marqueurs immédiatement.


Actions Real Time forePO

Permet d'effectuer des actions de McAfee Real Time for McAfee ePO surl'équipement McAfee ePO sélectionné.

Vous pouvez utiliser cette option si le plug-in McAfee Real Time for McAfee ePO(version 2.0.0.235 ou ultérieure) est installé et que le serveur McAfee ePOreconnaît l'équipement comme l'un de ses terminaux.

Liste noire Sélectionnez les adresses IP à inclure à la liste noire en cas de déclenchementd'une alarme. Cliquez sur Configurer, puis sélectionnez les informationssuivantes :• Champ : sélectionnez le type d'adresse IP à ajouter à la liste noire. Adresse IP :

permet d'ajouter les adresses IP source et destination à la liste noire.

• Equipement : sélectionnez l'équipement sur lequel vous souhaitez inclure lesadresses IP dans la liste noire. L'option Global ajoute l'équipement à la Listeglobale de blocage.

• Durée : sélectionnez la durée pendant laquelle les adresses IP doivent figurersur la liste noire.


Synthèse des alarmespersonnalisée

Permet de personnaliser les champs à inclure à la synthèse d'une alarmeConcordance de champ ou Concordance d'événement interne.

7 Dans l'onglet Procédure d'escalade, identifiez la procédure d'escalade de l'alarme lorsque cette dernièren'est pas acquittée depuis un certain temps.

Procédure d'escalade Description

Soumettre une procédured'escalade après

Sélectionnez la date et l'heure auxquelles vous souhaitez soumettrel'alarme à la procédure d'escalade.

Utilisateur affecté soumis à uneprocédure d'escalade

Sélectionnez la personne ou le groupe qui doit recevoir la notificationde la procédure d'escalade.

Gravité soumise à une procédured'escalade

Lors de la procédure d'escalade, sélectionnez la gravité de l'alarme.

Consigner un événement Sélectionnez cette option pour consigner cette procédure d'escaladesous forme d'un événement.

Alerte visuelle Sélectionnez cette option pour définir la notification comme une alertevisuelle. Cliquez sur Lire le son, puis sélectionnez un fichier si voussouhaitez que la notification visuelle soit accompagnée d'un son.

Envoyer un message Sélectionnez cette option pour envoyer un message à l'utilisateuraffecté. Cliquez sur Ajouter un destinataire, sélectionnez le type demessage, puis sélectionnez le destinataire.



Procédure d'escalade Description

Générer les rapports Sélectionnez cette option pour générer un rapport. Cliquez surConfigurer pour sélectionner le rapport.

Exécuter la commande à distance Sélectionnez cette option pour exécuter un script sur tout équipementqui accepte les connexions SSH. Cliquez sur Configurer, puis indiquezl'hôte, le port, le nom utilisateur, le mot de passe et la chaîne decommande.

Surveillance et réponses aux alarmesConsultez, acquittez et supprimez les alarmes déclenchées à l'aide des vues des tableaux de bord, desdétails d'alarme, des filtres et des rapports.

Pour en savoir plus sur la surveillance et les réponses aux alarmes déclenchées, consultez les tâchessuivantes.

• Affichage des alarmes déclenchées : le volet Alarmes du tableau de bord indique le nombre totald'alarmes par gravité.

Symbole Gravité Intervalle

Elevée 66-100

Moyenne 33-65

Faible 1-32

• Acquittement des alarmes déclenchées : le système les supprime du volet Alarmes. Les alarmesacquittées sont conservées dans la vue Alarmes déclenchées.

• Suppression des alarmes déclenchées : le système les supprime du volet Alarmes et de la vueAlarmes déclenchées.

Si vous utilisez les alertes visuelles et ne fermez pas, n'acquittez pas ou ne supprimez pas une alarmedéclenchée, l'alerte visuelle se referme après 30 secondes. Les alertes audio sont émises jusqu'aumoment où vous fermez, acquittez ou supprimez l'alarme déclenchée ou cliquez sur l'icône audio pourarrêter l'alerte.

Procédures• Affichage et gestion des alarmes déclenchées, page 254

Affichez et répondez aux alarmes déclenchées mais pas encore supprimées.

• Affichage des résultats du flux Cyber Threat, page 234Afficher les indicateurs de menaces (IOC) des sources de données externes, identifiées parles flux Cyber Threat de votre organisation. Vous pouvez accéder rapidement auxinformations détaillées sur les menaces, aux descriptions des fichiers et aux événementscorrespondants pour chaque source d'indicateur.

• Gestion de la file d'attente des rapports d'alarme, page 246Si une action d'alarme génère des rapports, vous pouvez afficher la file d'attente desrapports générés, puis annuler un ou plusieurs rapports.

Workflow d'alarmesSurveillance et réponses aux alarmes 6


Affichage et gestion des alarmes déclenchéesAffichez et répondez aux alarmes déclenchées mais pas encore supprimées.

Avant de commencer• Vérifiez auprès de votre administrateur que vous faites partie d'un groupe d'accès

disposant des privilèges d'utilisateur des alarmes.

• Vérifiez auprès de votre administrateur si votre console est configurée pour afficher levolet Alarmes (voir la section Sélection des paramètres utilisateur, page 36).


Procédure1 Accédez aux alarmes déclenchées depuis l'un des emplacements ESM suivants :

• Volet Alarmes : situé en bas à gauche du tableau de bord, en dessous de l'arborescence denavigation des systèmes.

• Alerte pop-up visuelle : s'ouvre lors du déclenchement d'une alarme.

•Page Détails : s'ouvre lorsque vous cliquez sur l'icône Détails dans le volet Alarmes.



Acquitter unealarme

• Pour acquitter une alarme, cliquez sur la case à cocher dans la premièrecolonne de l'alarme déclenchée à acquitter.

• Pour en acquitter plusieurs, sélectionnez-les, puis cliquez sur l'icône

Reconnaître l'alarme au bas de la vue.

Le système supprime les alarmes acquittées du volet Alarmes, mais cesdernières s'affichent encore dans la vue Alarmes déclenchées.

Supprimer unealarme dusystème

• Sélectionnez l'alarme déclenchée à supprimer, puis cliquez sur l'icône

Supprimer l'alarme .

Filtrer les alarmes • Entrez les informations à utiliser comme filtre dans le volet Filtres, puis

cliquez sur l'icône Actualiser .

Changerl'utilisateuraffecté auxalarmes

1Cliquez sur l'icône Afficher les détails des données pour afficher les détailsd'une alarme en bas du tableau de bord.

2 Sélectionnez les alarmes, puis cliquez sur Utilisateur affecté et sélectionnez lenouvel utilisateur affecté.

Créer un incidentpour des alarmes


2 Sélectionnez les alarmes, puis cliquez sur Créer un incident et effectuez lessélections souhaitées.

6 Workflow d'alarmesSurveillance et réponses aux alarmes



Afficher lesdétails sur unealarme


2 Sélectionnez l'alarme et effectuez l'une des actions suivantes :

• Cliquez sur l'onglet Evénement déclencheur pour afficher les détails surl'événement qui a déclenché l'alarme sélectionnée. Double-cliquez surl'événement pour afficher la description.

Si un seul événement ne répond pas aux conditions d'alarme, il se peutque l'onglet Evénement déclencheur ne s'affiche pas.

• Cliquez sur l'onglet Condition pour voir la condition qui a déclenchél'événement.

• Cliquez sur l'onglet Action pour afficher les actions résultant de l'alarme etles marqueurs ePolicy Orchestrator affectés à l'événement.

Modifier lesparamètres d'unealarmedéclenchée

1Cliquez sur l'alarme déclenchée, puis cliquez sur l'icône Menu etsélectionnez Modifier l'alarme.

2 Dans la page Paramètres d'alarme, apportez les modifications, puis cliquez surTerminer.

Voir aussi Ajout d'un incident, page 337

Affichage des résultats du flux Cyber ThreatAfficher les indicateurs de menaces (IOC) des sources de données externes, identifiées par les fluxCyber Threat de votre organisation. Vous pouvez accéder rapidement aux informations détaillées surles menaces, aux descriptions des fichiers et aux événements correspondants pour chaque sourced'indicateur.

Avant de commencerVérifiez que vous avez l'autorisation Utilisateur Cyber Threat qui permet d'afficher les résultatsdes flux Cyber Threat de votre organisation.


1 Sur la console ESM, dans Synthèse par défaut, sélectionnez Vues des workflows d'événements | Indicateurs CyberThreat.

2 Sélectionnez la période de la vue.

3 Filtrez par nom de flux ou types de données IOC pris en charge.

4 Vous pouvez effectuer différentes actions, notamment :

• Créer ou ajouter une entrée dans une liste de valeurs.


• Exécuter une commande à distance.



• Créer un incident.

• Effectuer une recherche dans une période ou consulter la dernière recherche dans une période.

• Exporter l'indicateur dans un fichier CSV ou HTML.

5 Accédez aux informations détaillées en utilisant les onglets Description, Détails, Evénements sources et Fluxsources

Voir aussi Configurer la gestion de Cyber Threat, page 233

Intégration de Threat Intelligence ExchangeThreat Intelligence Exchange vérifie la réputation des programmes exécutables sur les postes clientsconnectés à ces fichiers.

Lorsque vous ajoutez un équipement McAfee ePO à ESM, le système détecte automatiquement si unserveur Threat Intelligence Exchange est connecté à l'équipement. Si c'est le cas, ESM commencel'écoute de DXL et la journalisation des événements.

Si un serveur Threat Intelligence Exchange est détecté, les listes de valeurs, l'enrichissement desdonnées et les règles de corrélation de Threat Intelligence Exchange sont automatiquement ajoutéeset les alarmes de Threat Intelligence Exchange sont activées. Vous recevez une notification visuelle,qui inclut un lien vers la synthèse des modifications effectuées. Vous recevez également unenotification si le serveur Threat Intelligence Exchange est ajouté au serveur McAfee ePO après l'ajoutde l'équipement à ESM.

Une fois les événements Threat Intelligence Exchange générés, vous pouvez consulter l'historiqued'exécution (voir Affichage de l'historique d'exécution de Threat Intelligence Exchange et configurationd'actions) et sélectionner les actions que vous souhaitez effectuer sur les données malveillantes.

Règles de corrélation

Six règles de corrélation sont optimisées pour les données Threat Intelligence Exchange. Ellesgénèrent des événements, sur lesquels vous pouvez effectuer une recherche ou un tri.

• TIE — La réputation GTI est passée de bonne à mauvaise

• TIE — Fichier malveillant (SHA-1) trouvé dans un nombre croissant d'hôtes

• TIE — Nom de fichier malveillant trouvé dans un nombre croissant d'hôtes

• TIE — Plusieurs fichiers malveillants trouvés sur le même hôte

• TIE — La réputation TIE est passée de bonne à mauvaise

• TIE — Augmentation du nombre de fichiers malveillants trouvés sur l'ensemble des hôtes

Alarmes

ESM comporte deux alarmes qui peuvent se déclencher lorsque des événements Threat IntelligenceExchange importants sont détectés.

• L'alarme Seuil de fichiers incorrects TIE dépassé se déclenche via la règle de corrélation TIE - Fichier malveillant(SHA-1) trouvé sur un nombre croissant d'hôtes.

• L'alarme Fichier inconnu TIE exécuté se déclenche via un événement TIE spécifique et elle ajoute lesinformations à la liste de valeurs IP de sources de données TIE.

6 Workflow d'alarmesSurveillance et réponses aux alarmes


Liste de valeurs

La liste de valeurs IP de sources de données TIE conserve la liste des systèmes qui ont déclenché l'alarmeFichier inconnu TIE exécuté. Cette liste de valeurs est statique et sans date d'expiration.

Historique de l'exécution de Threat Intelligence Exchange

Vous pouvez afficher l'historique d'exécution de tout événement Threat Intelligence Exchange (voirAffichage de l'historique d'exécution de Threat Intelligence Exchange et configuration d'actions), quiinclut la liste des adresses IP ayant tenté d'exécuter le fichier. Sur cette page, vous pouvezsélectionner un élément pour effectuer des actions :

• Créer une liste de valeurs. • Ajouter des informations à une liste noire.

• Ajouter des informations à une liste devaleurs.

• Exporter les informations dans unfichier .csv.


Gestion de la file d'attente des rapports d'alarmeSi une action d'alarme génère des rapports, vous pouvez afficher la file d'attente des rapportsgénérés, puis annuler un ou plusieurs rapports.




Propriétés .


3 Cliquez sur l'onglet Paramètres.

4 Pour afficher les rapports d'alarme placés en attente pour l'exécution, cliquez sur Afficher. ESM peutexécuter jusqu'à cinq rapports simultanément.

• Consultez les rapports générés par les alarmes.

• Pour arrêter l'exécution d'un rapport particulier, sélectionnez-le, puis cliquez sur Annuler. Lesautres rapports avancent dans la file d'attente.

Si vous êtes administrateur ou utilisateur principal, cette liste contient tous les rapports enattente d'exécution sur ESM et vous permet d'en annuler.

5 Cliquez sur Fichiers, puis indiquez si vous souhaitez télécharger, charger, supprimer ou actualiser desrapports dans la liste.




Régler les alarmesAffinez et réglez vos alarmes en fonction de ce qui convient le mieux à votre organisation.Pour en savoir plus sur le réglage d'alarmes, consultez les tâches suivantes. Ces tâches décrivent laprocédure de création des types d'alarmes spécifiques.

Procédures• Création d'alarmes UCAPL, page 258

Vous pouvez créer des alarmes qui sont conformes aux exigences UCAPL (UnifiedCapabilities Approved Products List).

• Ajout d'alarmes d'événement du programme de surveillance d'état, page 261Créez des alarmes en fonction des événements du programme de surveillance d'état, quipeuvent ensuite générer un rapport Synthèse des événements du programme de surveillance d'état.

• Ajout d'une alarme Concordance de champ, page 271Une alarme Concordance de champ est comparée à plusieurs champs d'un événement et elle sedéclenche lorsqu'un équipement reçoit et analyse l'événement.

• Ajout d'une alarme à des règles, page 273Pour être informé de la génération d'événements par des règles spécifiques, vous pouvezajouter une alarme à ces règles.

• Configuration d'une interruption SNMP pour la notification de panne d'alimentation,page 195Sélectionnez une interruption SNMP qui vous avertit des pannes matérielles et des pannesd'alimentation DAS, pour éviter l'arrêt du système à cause d'une panne d'alimentation.

• Création d'une interruption SNMP en tant qu'action d'alarme, page 196Envoyez des interruptions SNMP sous forme d'une action d'alarme.

• Ajout d'une alarme de notification de panne d'alimentation, page 197Ajout d'une alarme pour vous avertir en cas de défaillance de l'une des alimentations ESM.

• Gestion des sources de données désynchronisées, page 86Configurez une alarme qui vous avertit lorsque les sources de données désynchroniséesgénèrent des événements. Vous pouvez ainsi consulter une liste des sources de données,modifier leurs paramètres et exporter cette liste.

Création d'alarmes UCAPLVous pouvez créer des alarmes qui sont conformes aux exigences UCAPL (Unified CapabilitiesApproved Products List).



• Examinez les étapes permettant de Création d'alarmes, page 248.


Procédure• Configurez les types d'alarmes qui s'appliquent :

6 Workflow d'alarmesRégler les alarmes


Type d'alarme Description

Seuil réglable deconnexions en échecatteint

Déclenche une alarme lorsque plusieurs connexions en échec pour lemême utilisateur atteignent un seuil réglable.1 Créez une alarme Concordance d'événement interne en correspondance avec

le champ ID de signature.

2 Saisissez la valeur 306-36.

Seuil d'inactivité atteint Déclenche une alarme lorsqu'un compte utilisateur est verrouillé enraison d'un seuil d'inactivité atteint.1 Créez une alarme Concordance d'événement interne en correspondance avec



Nombre de sessionssimultanées autoriséesatteint

Déclenche une alarme lorsqu'un utilisateur tente de se connecter ausystème après avoir atteint le nombre de sessions simultanéesautorisées.1 Créez une alarme Concordance d'événement interne en correspondance avec



Echec de la vérificationde l'intégrité des fichierssystème

Déclenche une alarme lorsqu'une vérification de l'intégrité des fichierssystème échoue.1 Créez une alarme Concordance d'événement interne en correspondance avec



Certificats sur le pointd'expirer

Déclenche une alarme lorsque les certificats CAC (carte d'accèscommun) ou de serveur web sont sur le point d'expirer.1 Créez une alarme Concordance d'événement interne en correspondance avec


2 Saisissez les valeurs 306-50081, 306-50082, 306-50083 et306-50084.

L'alarme se déclenche 60 jours avant l'expiration du certificat, puistoutes les semaines. Vous ne pouvez pas modifier le nombre de jours.

Workflow d'alarmesRégler les alarmes 6



Envoi d'uneinterruption SNMP alorsque l'état du systèmen'est pas approuvé

Configurez une interruption SNMP de sorte que l'alarme envoie uneinterruption à la station de gestion réseau (NMS) lorsqu'elle détecte quele système ne fonctionne plus dans un état approuvé ou sécurisé.1 Créez une alarme correspondant à une condition quelconque, puis,

dans l'onglet Actions, sélectionnez Envoyer un message.

2 Cliquez sur Ajouter un destinataire | SNMP, sélectionnez le destinataire, puiscliquez sur OK.

3 Dans le champ Envoyer un message, cliquez sur Configurer, sur Modèles, puissur Ajouter.

4 Sélectionnez Modèle SNMP dans le champ Type, saisissez le texte dumessage, puis cliquez sur OK.

5 Dans la page Gestion des modèles, sélectionnez le nouveau modèle, puiscliquez sur OK.

6 Complétez les paramètres d'alarme restants.

Envoi d'un messagesyslog alors que l'étatdu système n'est pasapprouvé

Configurez un message syslog de sorte que l'alarme envoie un messagesyslog à la station de gestion réseau (NMS) lorsqu'elle détecte que lesystème ne fonctionne plus dans un état approuvé ou sécurisé.1 Créez une alarme associée à une condition, puis, dans l'onglet Actions,

sélectionnez Envoyer un message.

2 Cliquez sur Ajouter un destinataire | Syslog, sélectionnez le destinataire,puis cliquez sur OK.

3 Dans le champ Envoyer un message, cliquez successivement sur Configurer,Modèles et Ajouter.

4 Sélectionnez Modèle Syslog dans le champ Type, saisissez le texte dumessage, puis cliquez sur OK.

5 Dans la page Gestion des modèles, sélectionnez le nouveau modèle, puiscliquez sur OK.

6 Complétez les autres paramètres d'alarme.

Echec du journal desécurité à enregistrerles événements requis

Configurez une interruption SNMP de sorte que l'alarme avertit le Centred'exploitation réseau (NOC) approprié dans un délai de 30 secondes siun journal de sécurité ne parvient pas à enregistrer les événementsrequis.1 Sélectionnez Propriétés du système | Configuration SNMP | Interruptions SNMPou

Propriétés de l'équipement | Configuration de l'équipement | SNMP.

2 Sélectionnez l'interruption d'échec de journal de sécurité, configurezun ou plusieurs profils pour les interruptions à envoyer, puis cliquezsur Appliquer.

ESM envoie les interruptions SNMP au destinataire de profil SNMPaccompagnées d'un message indiquant l'échec de l'écriture dans le journalde sécurité.




Démarrage ou arrêt desfonctions d'audit

Configurez une interruption SNMP de sorte que l'alarme avertit en casde démarrage ou d'arrêt des fonctions d'audit (par exemple, la base dedonnées, cpservice, IPSDBServer), sélectionnez Interruptions SNMP ouParamètres SNMP, puis Interruptions de base de données active/défaillante. Configurezun ou plusieurs profils pour les interruptions à envoyer, puis cliquez surAppliquer.

Existence d'une sessionpour chaque rôled'administration

Déclenche une alarme lorsqu'une session d'administration est ouvertepour chacun des rôles d'administration définis.1 Créez une alarme Concordance d'événement interne en correspondance avec


2 Saisissez les valeurs 306-38 pour le rôle Administrateur d'audit,306-39 pour le rôle Administrateur de cryptographie et 306-40 pour lerôle Utilisateur avec pouvoir. Vous pouvez également configurer desalarmes distinctes.


Ajout d'alarmes d'événement du programme de surveillanced'étatCréez des alarmes en fonction des événements du programme de surveillance d'état, qui peuventensuite générer un rapport Synthèse des événements du programme de surveillance d'état.



• Vérifiez les ID de signature du programme de surveillance d'état, page 262 disponibles.

• Examinez les étapes permettant de Création d'alarmes, page 248.


1 Pour configurer une alarme avant qu'un événement du programme de surveillance d'état ne soitgénéré, procédez comme suit :

a Configurez une Condition d'alarme avec le type Concordance d'événement interne.

b Dans la ligne Champ, sélectionnez ID de signature.

c Dans le champ Valeurs, saisissez l'ID de signature pour les règles du programme de surveillanced'état.

d Complétez les paramètres restants de l'alarme.

2 Pour configurer une alarme lorsqu'un événement du programme de surveillance d'état existe,procédez comme suit :

a Dans l'arborescence de navigation du système, cliquez sur l'équipement de

base , puis sélectionnez une vue qui affiche l'événement du programmede surveillance d'état (Analyse d'événement ou Synthèse par défaut).

bCliquez sur l'événement, puis sur l'icône Menu .



c Sélectionner Actions | Créer une alarme depuis, puis cliquez sur ID de signature.

d Complétez les paramètres restants de l'alarme.


ID de signature du programme de surveillance d'étatCette liste indique les règles du programme de surveillance d'état, ainsi que leur ID de signature,l'équipement et la gravité. Utilisez ces règles lors de la création d'une alarme qui indique qu'unévénement de règle du programme de surveillance d'état a été généré.

Nom de règle ID designature

Description Type Equipement Gravité

Une connexion àl'interface réseauphysique a été établie ousupprimée

306-50080 Les paramètres del'interface réseau ontété modifiés via unesession SSH.

Surveillancedes logiciels

ESM Moyenne

Une erreur RAID s'estproduite

306-50054 Erreurs RAIDrencontrées.

Surveillancedu matériel

Tous Elevée

Compte désactivé pourcause d'inactivité

306-35 Compte utilisateurdésactivé pour caused'inactivité.


ESM Moyenne

Compte désactivé car lenombre maximald'échecs de connexion aété atteint

306-36 Le compte utilisateura été désactivé, carle nombre maximald'échecs deconnexion a étéatteint.


ESM Elevée

Ajout/modification decommande à distance

306-60 Commande àdistance d'alarmeajoutée ousupprimée.


ESM Faible

Alerte de modificationd'état du collecteur del'analyseur syslogavancé

306-50029 L'analyseur syslogavancé (ASP) s'estarrêté ou a démarré.


Récepteur Moyenne

Processus APM Distiller 306-50066 Le moteurd'extraction de textePDF/DOC d'ADM s'estarrêté ou a démarré.


APM Moyenne

Non-concordance deconfiguration approuvée

146-7 Modificationd'équipement dedécouverte duréseau approuvée.


ESM Faible

Modification de laconfiguration del'archivage

306-3 Les paramètresd'archivage ESM ontété modifiés.


ESM Faible

Alerte de modificationd'état du processusd'archivage

306-50051 Le processusd'archivage durécepteur s'est arrêtéou a démarré.


APM/REC/IPS/DBM

Moyenne

Evénement devulnérabilité d'actif

146-10,306-10

Evénement devulnérabilité créé.


ESM Faible





Nom de connexion del'utilisateuradministrateur d'audit

306-38 Evénement UCAPL,connexion del'administrateurd'audit.


ESM Faible

Modification de laconfiguration de lasauvegarde

306-1 Les paramètres deconfiguration de lasauvegarde ESM ontété modifiés.


ESM Faible

Sauvegarde effectuée 306-2 Sauvegardeeffectuée sur lesystème.


ESM Faible

Alerte de l'analyseursyntaxique Blue Martini

306-50071 L'analyseursyntaxique BlueMartini s'est arrêtéou a démarré.


Récepteur Moyenne

Alerte d'état de la carted'interface réseau decontournement

306-50001 La carte d'interfaceréseau est passée àl'état decontournement ou aquitté cet état.


IPA/ADM/IPS Moyenne

La certification CAC aexpiré

306-50082 Certificat CAC ESMexpiré.


ESM Elevée

Le certificat CAC vabientôt expirer

306-50081 Le certificat CAC ESMva bientôt expirer.


ESM Moyenne

Incident modifié 306-70 L'incident a étémodifié.


ESM Faible

Etat d'incident ajouté/modifié/supprimé

306-73 Etat d'incidentmodifié.


ESM Faible

Alerte de modificationd'état du canal decommunication

306-50013 Le canal de contrôles'est arrêté ou adémarré.


Tous Moyenne

Echec de la capture de laconfiguration (erreurd'équipement)

146-4 Erreur d'équipementde découverte duréseau.


ESM Faible

Echec de la capture de laconfiguration(équipementinjoignable)

146-3 Equipement dedécouverte duréseau injoignable.


ESM Faible

Configuration capturée 146-5 Configuration dedécouverte duréseau vérifiée avecsuccès.


ESM Faible

Echec de stratégie deconfiguration

146-8 Non utilisé sur lesystème.


ESM Faible

Réussite de stratégie deconfiguration

146-9 Non utilisé sur lesystème.


ESM Faible

Modification de laconfiguration del'allocation des données

306-7 Les paramètresd'allocation desdonnées ESM ont étémodifiés.


ESM Elevée





Alerte d'espace disquedisponible des partitionsde données

306-50005 L'espace disponiblesur chaque partitiondevient faible (parexemple, hada_hddispose de 10 %d'espace disponible).


Tous Moyenne

Modification de laconfiguration de laconservation desdonnées

306-6 La configuration de laconservation desdonnées ESM a étémodifiée.


ESM Elevée

Alerte d'état desservices de détection debase de données

306-50036 Le service dedétectionautomatique DBMs'est arrêté ou adémarré.


Tous Moyenne

Alerte de modificationd'état du programmed'inspection approfondiedes paquets

306-50008 Le moteurd'inspectionapprofondie despaquets surl'équipement IPS ouADM s'est arrêté ou adémarré.


Tous Moyenne

Suppression decommande à distance

306-61 Commande àdistance d'alarmesupprimée.


ESM Faible

Evénements supprimés 306-74 L'utilisateur asupprimé desévénements ESM.


ESM Faible

Flux supprimés 306-75 L'utilisateur asupprimé des flux ESM.


ESM Faible

Ajout d'équipement 306-18 Nouvel équipementajouté au système.


ESM Faible

Suppressiond'équipement

306-19 Equipementsupprimé dusystème.


ESM Faible

Un équipement sembleinactif

146-2 Evénement dedécouverte duréseau indiquantqu'un équipementest peut-être inactif.


ESM Faible

Equipement injoignable 146-1 Un équipement dedécouverte duréseau ajouté à ESMest injoignable.


ESM Faible

Alerte d'échec du lecteurde disque

306-50018 Vérifie l'intégrité detous les disques durs(internes et/ou DAS).


Tous Elevée

Alerte de modificationd'état du processusd'archivage ELM

306-50045 Le moteur decompression ELMs'est arrêté ou adémarré.


APM/REC/IPS/DBM

Moyenne

FTP ELM EDS 306-50074 Le programme SFTPd'ELM s'est arrêté oua démarré.


ELM Moyenne





Processus de fichier ELM 306-50065 Le moteur deréinsertion ELM s'estarrêté ou a démarré.En cas d'échec d'unjournal pour uneraison ou une autre,il tente à nouveaul'insertion. Si laréinsertion échoue,cette règle sedéclenche.


ELM Moyenne

Alerte de modificationd'état du point demontage ELM

306-50053 Le stockage àdistance ELM (CIFS,NFS, ISCSI, SAN)s'est arrêté ou adémarré.


ELM Moyenne

Alerte de modificationd'état du moteur derequête ELM

306-50046 Le traitement destravaux ELM (tous lestravaux ELM tels queles requêtes et lesinsertions ELM) s'estarrêté ou a démarré.


ELM Moyenne

Stockage redondant ELM 306-50063 La mise en miroirELM s'est arrêtée oua démarré.


ELM Moyenne

Erreur de base dedonnées système ELM

306-50044 La base de donnéesELM s'est arrêtée oua démarré.


ELM Elevée

Alerte de modificationd'état du collecteurd'e-mails

306-50040 Le collecteur CiscoMARS s'est arrêté oua démarré.


Récepteur Moyenne

Marqueurs EPOappliqués

306-28 Marqueurs McAfeeePO appliqués.


ESM Faible

Erreur lors de lacommunication avec ELM

306-50047 La communicationavec ELM a échoué.


APM/REC/IPS/DBM

Elevée

Erreur lors de lacommunication SSH

306-50077 Problèmes surl'équipement (parexemple : différencede version oumodification de clé).


Tous Elevée

Redémarrage ESM 306-32 ESM a redémarré. Surveillancedes logiciels

ESM Moyenne

Arrêt ESM 306-33 ESM a été arrêté. Surveillancedes logiciels

ESM Moyenne

Alerte du collecteureStreamer

306-50070 Le collecteureStreamer s'estarrêté ou a démarré.


Récepteur Moyenne

Alerte de modificationd'état du collecteureStreamer

306-50041 Le collecteureStreamer s'estarrêté ou a démarré.


Récepteur Moyenne

Détachement departition d'événement

306-4 Partitiond'événementdétachée.


ESM Faible





Exécution de commandeà distance

306-62 Commande àdistance d'alarmeexécutée.


ESM Faible

Echec de connexion carle nombre maximal desessions simultanées aété atteint

306-37 La connexion del'utilisateur a échoué,car le nombremaximal de sessionssimultanées a étéatteint.


ESM Elevée

Echec du formatage del'équipement SAN

306-50057 Echec du formatagede l'équipement SANsur ELM. L'utilisateurdoit réessayer.


ESM Elevée

Echec de connexiond'utilisateur

306-31 La connexion del'utilisateur a échoué.


ESM Moyenne

Alerte de modificationd'état du collecteur defichiers

306-50049 Le programme decollecte s'est arrêtéou a démarré.


Récepteur Moyenne

Fichier supprimé 306-50 Un fichier pouvantêtre ajouté ousupprimé, tel qu'unfichier audio oujournal d'ESM, a étésupprimé.


ESM Faible

Alerte de modificationd'état du processus defiltrage

306-50050 Le programme defiltrage surl'équipement s'estarrêté ou a démarré(règles de filtre).


Récepteur Moyenne

Alerte de modificationd'état du programmed'agrégation des alertesde pare-feu

306-50009 Le programmed'agrégation depare-feu surl'équipement IPS ouADM s'est arrêté ou adémarré.


IPS/ADM/IPS Moyenne

Détachement departition de flux

306-5 Partition de fluxdétachée.


ESM Faible

Echec d'obtention dedonnées VA

306-52 ESM n'a pas puobtenir les donnéesVA.


ESM Moyenne

Réussite de l'obtentionde données VA

306-51 ESM a obtenu lesdonnées VA.


ESM Faible

Alerte interne duprogramme desurveillance d'état

306-50027 Le processus duprogramme desurveillance d'états'est arrêté ou adémarré.


Tous Moyenne

Alerte de modificationd'état du collecteur HTTP

306-50039 Le collecteur HTTPs'est arrêté ou adémarré.


Récepteur Moyenne

Modification de laconfiguration del'indexation

306-8 Les paramètresd'indexation ESM ontété modifiés.


ESM Moyenne





Clé SSH non valide 306-50075 Problèmes surl'équipement lors dela communicationavec ELM (parexemple : différencede version,modification de clé).


Tous Elevée

Alerte de modificationd'état ducollecteur IPFIX

306-50055 Le collecteur IPFIX(flux) s'est arrêté oua démarré.


Récepteur Moyenne

Nom de connexion del'utilisateuradministrateur de clés etcertificats

306-39 Evénement UCAPL,connexion del'administrateur decryptographie.


ESM Faible

Partition de journauxréinitialisée

306-34 Les partitions lesplus anciennes de labase de données ontété réinitialisées.


ESM Faible

Alerte d'espace disquedisponible des partitionsde journaux

306-50004 L'espace disponiblesur la partition dejournaux (/var) estfaible.


Tous Moyenne

Alerte de modificationd'état du serveur debase de donnéesMcAfee EDB

306-50010 La base de donnéess'est arrêtée ou adémarré.


Tous Moyenne

Alerte du collecteurMcAfee ePO

306-50069 Le collecteur McAfeeePO s'est arrêté ou adémarré.


Récepteur Moyenne

Alerte de modificationd'état de McAfee EventFormat

306-50031 Le collecteur McAfeeEvent Format s'estarrêté ou a démarré.


Récepteur Moyenne

Echec de communicationde l'équipement McAfeeSIEM

306-26 ESM ne peut pascommuniquer avecun autreéquipement.


ESM Elevée

Alerte MicrosoftForefront ThreatManagement Gateway

306-50068 Le collecteurForefront ThreatManagementGateway s'est arrêtéou a démarré.


Récepteur Moyenne

Alerte de modificationd'état du récupérateurMS-SQL

306-50035 Le collecteurMicrosoft SQL s'estarrêté ou a démarré(toute source dedonnées deMicrosoft SQL).


Récepteur Moyenne

Alerte de journalmulti-événements

306-50062 Le collecteur jEMAILs'est arrêté ou adémarré.


Récepteur Moyenne

Analyse MVM initialisée 306-27 Analyse MVM lancée. Surveillancedes logiciels

ESM Faible

Alerte de modificationd'état du collecteurNetFlow

306-50024 Le collecteur NetFlow(flux) s'est arrêté oua démarré.


Récepteur Moyenne





Nouveau compteutilisateur

306-13 Nouvel utilisateurajouté au système.


ESM Faible

Alerte de modificationd'état du collecteur NFS/CIFS

306-50048 Le montage àdistance pour NFS ouCIFS s'est arrêté oua démarré.


Récepteur Moyenne

Alerte de modificationd'état du collecteurNitroFlow

306-50026 Le collecteurNitroFlow (flux surl'équipement) s'estarrêté ou a démarré.


Récepteur Moyenne

Clé SSH introuvable 306-50076 Problèmes surl'équipement lors dela communicationavec ELM (parexemple : différencede version,modification de clé).


Tous Elevée

Ajout/modification dansla liste noire NSM

306-29 Entrée ajoutée oumodifiée dans la listenoire NSM.


ESM Faible

Suppression d'entréedans la liste noire NSM

306-30 Entrée de liste noireNSM supprimée.


ESM Faible

Alerte de modificationd'état durécupérateur OPSEC

306-50028 Le collecteur OPSEC(Check Point) s'estarrêté ou a démarré.


Récepteur Moyenne

Alerte de modificationd'état durécupérateur OPSEC

306-50034 Le collecteur OPSEC(Check Point) s'estarrêté ou a démarré.


Récepteur Moyenne

Alerte ducollecteur Oracle IDM

306-50072 Le collecteur OracleIDM s'est arrêté ou adémarré.


Récepteur Moyenne

Alerte desurabonnement

306-50012 L'équipement ADMou IPS est passé enmodesurabonnement ou aquitté ce mode.


IPS/ADM/IPS Moyenne

Alerte du collecteur/analyseur syntaxique deplug-in

306-50073 Le collecteur/analyseur syntaxiquede plug-in s'estarrêté ou a démarré.


Récepteur Moyenne

Ajout de stratégie 306-15 Stratégie ajoutée ausystème.


ESM Faible

Suppression de stratégie 306-17 Stratégie suppriméedu système.


ESM Faible

Stratégie modifiée 306-16 La stratégie a étémodifiée dans lesystème.


ESM Faible

Non-concordance deconfiguration précédente

146-6 Configurationd'équipement dedécouverte duréseau modifiée.


ESM Faible





Récepteur hautedisponibilité

306-50058 Tous les processushaute disponibilité sesont arrêtés ou ontdémarré (Corosync,script de contrôle dehaute disponibilité).


Récepteur Moyenne

Configuration durécepteur hautedisponibilité Opsec

306-50059 Non utilisé. Surveillancedes logiciels

Récepteur Faible

ESM redondantdésynchronisé

306-76 ESM redondantdésynchronisé.


ESM Elevée

Alerte de modificationd'état du point demontage NFS à distance

306-50020 Le montage ELM NFSs'est arrêté ou adémarré.


ELM Moyenne

Alerte d'espace disquedisponible du point demontage/partage àdistance

306-50021 L'espace disquedisponible sur lepoint de montage àdistance est faible.


ESM Moyenne

Alerte de modificationd'état du partage SMB/CIFS à distance

306-50019 Le point de montageà distance SMB/CIFSs'est arrêté ou adémarré.


Récepteur Moyenne

Alerte de modificationd'état de la corrélationdes risques

306-50061 Le moteur decorrélation desrisques s'est arrêtéou a démarré.


ACE Moyenne

Alerte d'espace disquedisponible de la partitionracine

307-50002 L'espace disquedisponible sur lespartitions racine estfaible.


Tous Moyenne

Ajout de règle 306-20 Règle ajoutée ausystème, de typeASP, filtre oucorrélation.


ESM Faible

Suppression de règle 306-22 Règle supprimée dusystème.


ESM Faible

Règle modifiée 306-21 La règle a étémodifiée dans lesystème.


ESM Faible

Echec de mise à jour derègle

306-9 Echec de mise à jourde règle ESM.


ESM Moyenne

Alerte de modificationd'état durécupérateur SDEE

306-50033 Le collecteur SDEEs'est arrêté ou adémarré.


Récepteur Moyenne

Alerte de modificationd'état ducollecteur sFlow

306-50025 Le collecteur sFlow(flux) s'est arrêté oua démarré.


Récepteur Moyenne

Alerte de modificationd'état ducollecteur SNMP

306-50023 Le collecteur SNMPs'est arrêté ou adémarré.


Récepteur Moyenne





Alerte de modificationd'état du collecteur SQL

306-50038 Le collecteur SQL(anciennement NFX)s'est arrêté ou adémarré.


Récepteur Moyenne

Alerte de modificationd'état du collecteurSymantec AV

306-50056 Le collecteurSymantec AV s'estarrêté ou a démarré.


Récepteur Moyenne

Alerte de modificationd'état du collecteurSyslog

306-50037 Le collecteur Syslogs'est arrêté ou adémarré.


Récepteur Moyenne

Nom de connexion del'utilisateuradministrateur système

306-40 Administrateursystème connecté ausystème.


ESM Faible

Echec de vérification del'intégrité du système

306-50085 Un programme ou unprocessus étrangernon ISO en coursd'exécution sur lesystème est marqué.


Tous Elevée

Alerte de modificationd'état de l'enregistreurd'événements système

306-50014 Le processus dejournalisation dusystème s'est arrêtéou a démarré.


Tous Moyenne

Tâche (requête) fermée 306-54 Le gestionnaire destâches a été fermé.


ESM Faible

Alerte d'espace disquedisponible de la partitiontemporaire

306-50003 L'espace disponiblesur la partitiontemporaire (/tmp)est faible.


Tous Moyenne

Alerte de modificationd'état de l'analyseursyntaxique de journauxde texte

306-50052 Le processusd'analyseursyntaxique de textes'est arrêté ou adémarré.


Récepteur Moyenne

Modification de compteutilisateur

306-14 Compte utilisateurmodifié.


ESM Faible

Echec de connexiond'équipement utilisateur

306-50079 La connexion del'utilisateur SSH aéchoué.


ESM Faible

Nom de connexion del'équipement utilisateur

306-50017 Non utilisé dans lesystème.


ESM Faible

Déconnexiond'équipement utilisateur

306-50078 Utilisateur SSHdéconnecté.


ESM Faible

Nom de connexion del'utilisateur

306-11 Utilisateur connectéau système.


ESM Faible

Déconnexiond'utilisateur

306-12 Utilisateurdéconnecté dusystème.


ESM Faible

Alerte d'état du moteurde données VA

306-50043 Le moteur VA(vaded.pl) s'estarrêté ou a démarré.


Récepteur Moyenne

Ajout de variable 306-23 Variable de stratégieajoutée.


ESM Faible





Suppression de variable 306-25 Variable de stratégiesupprimée.


ESM Faible

Variable modifiée 306-24 La variable destratégie a étémodifiée.


ESM Faible

Le certificat du serveurweb a expiré

306-50084 Le certificat duserveur web ESM aexpiré.


ESM Elevée

Le certificat du serveurweb va bientôt expirer

306-50083 Le certificat duserveur web ESM vabientôt expirer.


ESM Moyenne

Alerte du collecteurWebsense

306-50067 Le collecteurWebsense s'estarrêté ou a démarré.


Récepteur Moyenne

Alerte de modificationd'état du collecteur dujournal desévénements WMI

306-50030 Le collecteur WMIs'est arrêté ou adémarré.


Récepteur Moyenne

Ajout d'une alarme Concordance de champUne alarme Concordance de champ est comparée à plusieurs champs d'un événement et elle se déclenchelorsqu'un équipement reçoit et analyse l'événement.



• Examinez la section relative à l'utilisation des Eléments logiques, page 272.



Propriétés .


3 Cliquez sur Ajouter, entrez le nom de l'alarme et sélectionnez l'utilisateur affecté, puis cliquez surl'onglet Condition.



4 Dans le champ Type, sélectionnez Concordance de champ, puis définissez les conditions de l'alarme.

a Faites glisser l'élément logique AND ou OR pour définir la logique de la condition de l'alarme.

b Faites glisser l'icône Faire concorder le composant vers un élément logique, puis complétez la pageAjouter un champ de filtre.

c Dans le champ Fréquence de déclenchement de condition maximale, sélectionnez le temps à laisser entrechaque condition pour éviter un flux excessif de notifications. Chaque déclencheur contientuniquement le premier événement source qui correspond à la condition du déclencheur (et pasles événements survenus durant la période de la fréquence de déclenchement). Les nouveauxévénéments correspondant à la condition du déclencheur n'entraînent pas le déclenchement del'alarme jusqu'à la fin du temps indiqué pour la fréquence de déclenchement maximale.

Si vous définissez l'intervalle sur zéro, chaque événement qui correspond à la condition vadéclencher une alarme. Pour les alarmes à forte fréquence, l'intervalle zéro peut générer denombreuses alarmes.

5 Cliquez sur Suivant et sélectionnez les équipements à surveiller pour cette alarme. Ce type d'alarmeprend en charge les équipements Récepteur, ELM (Receiver-Enterprise Log Manager), combinésRécepteur/ELM, ACE (Advanced Correlation Engine) et ADM (Application Data Monitor).

6 Cliquez sur les onglets Actions et Procédure d'escalade pour définir les paramètres.


L'alarme est écrite sur l'équipement.

En cas d'échec d'écriture de l'alarme sur l'équipement, un indicateur de désynchronisation s'affiche enregard de l'équipement dans l'arborescence de navigation des systèmes. Cliquez sur l'indicateur, puissur Synchroniser les alarmes.

Eléments logiquesLorsque vous ajoutez une règle ADM (Application Data Monitor), de base de données et de corrélationou un composant de corrélation, utilisez la zone Logique d'expression ou Logique de corrélation afin de créer lastructure de la règle.

Elément Description

AND Fonctionne de la même façon qu'un opérateur logique d'un langage informatique. Tousles éléments groupés au-dessous de cet élément logique doivent être vrais pour que lacondition le soit. Afin que toutes les conditions inscrites au-dessous de cet élémentlogique soient remplies avant le déclenchement d'une règle, sélectionnez cette option.

OR Fonctionne de la même façon qu'un opérateur logique d'un langage informatique. Uneseule condition groupée au-dessous de cet élément doit être vraie pour que cettecondition le soit. Utilisez cet élément si vous souhaitez qu'une seule condition soitremplie avant le déclenchement de la règle.

SET Pour les règles ou composants de corrélation, SET permet de définir des conditions et desélectionner le nombre de conditions qui doivent être vraies pour déclencher la règle.Exemple : si deux conditions sur trois de l'élément SET doivent être remplies avant ledéclenchement de la règle, l'élément SET indique « 2 sur 3 ».

Chacun de ces éléments dispose d'un menu comportant au moins deux de ces options :



• Modifier : vous pouvez modifier les paramètres par défaut (voir la section Modification desparamètres par défaut des éléments logiques).

• Supprimer l'élément logique : vous pouvez supprimer l'élément logique sélectionné. S'il disposed'enfants, ces derniers ne sont pas supprimés, mais remontés dans la hiérarchie.

Cela ne s'applique pas à l'élément racine (le premier de la hiérarchie). Si vous le supprimez, tous lesenfants sont également supprimés.

• Supprimer l'élément logique et tous ses enfants : vous pouvez supprimer l'élément sélectionné et tous sesenfants de la hiérarchie.

Lorsque vous configurez la logique de la règle, vous devez ajouter des composants afin de définir sesconditions. Dans le cas des règles de corrélation, vous pouvez également ajouter des paramètres pourcontrôler le comportement de la règle ou du composant lors de son exécution.

Ajout d'une alarme à des règlesPour être informé de la génération d'événements par des règles spécifiques, vous pouvez ajouter unealarme à ces règles.



Procédure1

Dans l'arborescence de navigation des systèmes, cliquez sur l'icône Editeur de stratégies dans labarre d'outils Actions.

2 Dans le panneau Types de règle, sélectionnez le type de règle.

3 Sélectionnez une ou plusieurs règles dans la zone Affichage des règles.

4Cliquez sur l'icône Alarmes .

5 Créez une alarme.


Configuration d'une interruption SNMP pour la notification depanne d'alimentationSélectionnez une interruption SNMP qui vous avertit des pannes matérielles et des pannesd'alimentation DAS, pour éviter l'arrêt du système à cause d'une panne d'alimentation.



• Préparez le récepteur d'interruptions SNMP (requis si vous n'avez pas encore derécepteur d'interruptions SNMP).





Propriétés .

2 Cliquez sur Configuration SNMP, puis sur l'onglet Interruptions SNMP.

3 Sous Port d'interruption, saisissez 162, puis sélectionnez Défaillance matérielle générale et cliquez sur Modifierles profils.

4 Cliquez sur Ajouter, puis saisissez les informations demandées comme suit :

• Type de profil : sélectionnez Interruption SNMP.

• Adresse IP : saisissez l'adresse à laquelle vous souhaitez envoyer l'interruption.

• Port : saisissez 162.

• Nom de la communauté : saisissez Public.

Mémorisez vos saisies dans les champs Port et Nom de la communauté.

5 Cliquez sur OK, puis sur Fermer dans la page Gestionnaire de profils.

Le profil est ajouté à la table Destinations.

6 Sélectionnez le profil dans la colonne Utiliser, puis cliquez sur OK.

Lors d'une panne d'alimentation, une interruption SNMP est envoyée et un indicateur d'état d'intégrités'affiche à côté de l'équipement dans l'arborescence de navigation des systèmes.

Création d'une interruption SNMP en tant qu'action d'alarmeEnvoyez des interruptions SNMP sous forme d'une action d'alarme.



• Préparez le récepteur d'interruptions SNMP (requis uniquement si vous n'avez pas derécepteur d'interruptions SNMP).


Procédure1 Créez un profil SNMP pour indiquer à ESM où envoyer les interruptions SNMP.

a Dans l'arborescence de navigation des systèmes, sélectionnez le système, puis cliquez sur


b Cliquez sur Gestion des profils, puis sélectionnez Interruption SNMP dans le champ Type de profil.

c Renseignez les autres champs, puis cliquez sur Appliquer.



2 Configurez SNMP sur ESM.

a Dans Propriétés du système, cliquez sur Configuration SNMP, puis sur Interruptions SNMP.

b Sélectionnez le port, les types d'interruption à envoyer, puis le profil que vous avez ajouté àl'étape 1.

c Cliquez sur Appliquer.

3 Définissez une alarme en utilisant l'action Interruption SNMP.

a Dans Propriétés du système, cliquez sur Alarmes, puis sur Ajouter.

b Renseignez les informations demandées dans les onglets Synthèse, Condition et Equipements, ensélectionnant le type de condition Concordance d'événement interne, puis cliquez sur l'onglet Actions.

c Sélectionnez Envoyer un message, puis cliquez sur Configurer pour sélectionner ou créer un modèle demessage SNMP.

d Sélectionnez Modèles SNMP de base dans le champ SNMP ou cliquez sur Modèles, puis sélectionnez unmodèle existant ou cliquez sur Ajouter pour définir un nouveau modèle.

e Retournez à la page Paramètres d'alarme, puis continuez la configuration de l'alarme.

Ajout d'une alarme de notification de panne d'alimentationAjout d'une alarme pour vous avertir en cas de défaillance de l'une des alimentations ESM.



• Configuration d'une interruption SNMP pour la notification de panne d'alimentation,page 195



Propriétés .


3 Cliquez sur Ajouter, saisissez les données demandées dans l'onglet Synthèse, puis cliquez sur l'ongletCondition.

4 Dans le champ Type, sélectionnez Concordance d'événement interne.

5 Dans le champ Champ, sélectionnez ID de signature, puis entrez 306-50086 dans le champ Valeur(s).

6 Saisissez les autres informations dans l'onglet correspondant, puis cliquez sur Terminer.

Une alarme se déclenche en cas de panne d'alimentation.

Procédures• Synthèse personnalisée pour les alarmes déclenchées et les incidents, page 276

Sélectionnez les données à inclure à la synthèse des alarmes et la synthèse des incidentsconcernant les alarmes Concordance de champ et Concordance d'événement interne.



Synthèse personnalisée pour les alarmes déclenchées et les incidentsSélectionnez les données à inclure à la synthèse des alarmes et la synthèse des incidents concernantles alarmes Concordance de champ et Concordance d'événement interne.




Propriétés .

2 Cliquez sur Alarmes, puis sur Ajouter.

3 Dans l'onglet Condition, sélectionnez le type Concordance de champ ou Concordance d'événement interne.

4 Dans l'onglet Actions, cliquez sur Créer un incident pour, puis sur l'icône des variables et sélectionnezles champs à inclure dans la synthèse des incidents.

5 Dans l'onglet Personnaliser la synthèse des alarmes déclenchées, cliquez sur l'icône des variables , puissélectionnez les champs à inclure dans la synthèse de l'alarme déclenchée.

6 Saisissez les informations requises pour créer des alarmes, puis cliquez sur Terminer.

Gestion des sources de données désynchroniséesConfigurez une alarme qui vous avertit lorsque les sources de données désynchronisées génèrent desévénements. Vous pouvez ainsi consulter une liste des sources de données, modifier leurs paramètreset exporter cette liste.


Cet outil de diagnostic détermine à quel moment une source de données collecte des événementsanciens ou futurs. Dans ce cas, un indicateur rouge s'affiche à côté du récepteur.





Propriétés .

2 Configurez une alarme qui vous avertit lorsque le récepteur reçoit un événement généré par unesource de données désynchronisée avec ESM.

a Cliquez sur Alarmes | Ajouter, entrez les informations requises sur l'onglet Synthèse, puis cliquez surCondition.

b Sélectionnez Delta pour l'événement dans le champ Type, sélectionnez la fréquence à laquelle ESMdoit vérifier les sources de données désynchronisées, puis sélectionnez la différence de temps àappliquer pour le déclenchement de l'alarme.

c Renseignez les informations dans les autres onglets.

3 Affichez, modifiez ou exportez les sources de données désynchronisées.

a Dans l'arborescence de navigation des systèmes, cliquez sur le récepteur, puis cliquez sur l'icônePropriétés.

b Cliquez sur Gestion du récepteur, puis sélectionnez Delta pour la date/heure.

Sources de données désynchroniséesLa configuration de différents paramètres peut entraîner la désynchronisation entre une source dedonnées et ESM. Lorsqu'une source de données désynchronisée génère un événement, un indicateurrouge s'affiche à côté du récepteur dans l'arborescence de navigation des systèmes.

Vous pouvez également configurer une alarme qui vous avertit lorsque cela se produit. Vous pouvezensuite gérer les sources de données désynchronisées en accédant à la page Delta pour la date/heure (voirGestion des sources de données désynchronisées).

Les événements désynchronisés peuvent être des anciens événements ou des événements futurs.

Les sources de données peuvent être désynchronisées avec ESM pour différentes raisons.

1 Le paramètre du fuseau horaire de l'ESM est incorrect (voir Sélection des paramètres utilisateur).

2 Vous avez défini l'heure dans un fuseau horaire incorrect lors de l'ajout de la source de données(voir Ajout d'une source de données).

3 Le système est actif depuis une longue période et l'heure n'est plus synchronisée.

4 Vous avez configuré le système de cette manière intentionnellement.

5 Le système n'est pas connecté à Internet.

6 L'événement est désynchronisé lors de sa réception sur le récepteur.

Voir aussi Ajout d'une source de données, page 79Gestion des sources de données désynchronisées, page 86Sélection des paramètres utilisateur, page 36



7 Utilisation des événements

ESM vous permet d'identifier, de collecter, de traiter, de mettre en corrélation et de stocker desmilliards d'événements et de flux, en maintenant toutes les informations disponibles pour lesrequêtes, les analyses, la validation des règles et la conformité.

Sommaire Evénements, flux et journaux Gestion des rapports Description des filtres contains et regex Utilisation des vues d'ESM Filtres de type personnalisé Affichage de l'heure de l'événement

Evénements, flux et journauxLes différents types d'activités qui ont lieu sur un équipement sont enregistrés sous formed'événements, de flux et de journaux.

Un événement est une activité enregistrée par un équipement selon une règle définie sur votresystème. Un flux est l'enregistrement d'une connexion établie entre des adresses IP, dont au moinsune est votre HOME_NET. Un journal est l'enregistrement d'un événement qui s'est produit sur unéquipement de votre système. Les événements et les flux comportent des adresses IP de destination,des ports, des adresses MAC (Media Access Control), un protocole et une heure de début et de fin(indiquant la durée entre le début et la fin de la connexion). Toutefois, les événements et les flux sedifférencient par plusieurs aspects :

• Comme les flux n'indiquent pas un trafic anormal ou malveillant, ils sont plus nombreux que lesévénements.

• Un flux n'est pas associé à une signature de règle (SigID) comme c'est le cas pour un événement.

• Les flux ne sont pas associés à des actions d'événement telles que l'alerte, l'abandon et le rejet.

• Certaines données sont propres aux flux, notamment les octets source et destination, ainsi que lespaquets source et de destination. Les octets et les paquets source représentent le nombre d'octetset de paquets transmis par la source du flux, tandis que les octets et les paquets de destinationreprésentent le nombre d'octets et de paquets transmis par la destination du flux.

• Un flux transite dans un sens : un flux entrant est un flux provenant de l'extérieur de HOME_NET.Un flux sortant provient de l'intérieur de HOME_NET. Cette variable est définie dans une stratégiepour un équipement Nitro IPS.

Les événements et les flux générés par le système peuvent être affichés sur des vues que vouspouvez sélectionner sur la liste déroulante des vues. Les journaux sont répertoriés dans le Journalsystème ou le Journal de l'équipement accessibles sur la page Propriétés du système ou de chaqueéquipement.

7


Configuration des téléchargements d'événements, de flux et dejournauxRecherchez manuellement les événements, les flux et les journaux ou définissez l'équipement pourqu'il procède automatiquement à cette recherche.




2 Cliquez sur Evénements, flux et journaux, Evénements et journaux ou Journaux.

3 Configurez les téléchargements, puis cliquez sur Appliquer.

Durée maximale de collecte des donnéesVous pouvez planifier une période quotidienne qui détermine la plage d'extraction des données dechaque équipement par l'ESM ainsi que l'envoi des données à l'ELM par chaque équipement.

Avant de commencerDésactivez l'Agrégation dynamique et définissez l'Agrégation de niveau 1 entre 240 et 360 minutes(voir Modification des paramètres d'agrégation des événements ou des flux).

Vous pouvez utiliser cette fonctionnalité pour éviter d'utiliser le réseau aux heures de pointe afin quela bande passante soit disponible pour d'autres applications. L'envoi de données à l'ESM et l'ELM étantainsi retardé, vous devez déterminer si ce retard est acceptable dans votre environnement.


Soyez prudent lors de la configuration de cette fonctionnalité, car la planification de la collected'événements, de flux et de journaux peut provoquer une fuite de données.

1 Dans l'arborescence de navigation des systèmes, sélectionnez l'équipement, puis cliquez sur l'icône

Propriétés .

2 Sélectionnez l'une des options suivantes :

• Evénements, flux et journaux

• Evénements et journaux

• Journaux

3 Sélectionnez Définir la période d'extraction des données quotidienne, puis définissez l'heure de départ etl'heure de fin de la période.

L'ESM collecte les données à partir de l'équipement qui les envoie à l'ELM pour journalisation pendantla période ainsi définie. Lorsque vous définissez une période sur un ELM, celle-ci détermine à quelmoment l'ESM collecte les données à partir de l'ELM et les envoie à l'ELM pour journalisation.

Définition des paramètres de seuil d'inactivitéLorsque vous définissez un seuil d'inactivité pour un équipement, vous recevez une notification siaucun événement ou flux n'est généré durant la période de temps définie. Lorsque le seuil est atteint,

7 Utilisation des événementsEvénements, flux et journaux


un indicateur jaune d'état d'intégrité s'affiche à côté du nœud de l'équipement dans l'arborescence denavigation du système.


1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système, vérifiez queInformations système est sélectionné, puis cliquez sur Evénements, flux et journaux.

2 Cliquez sur Paramètres d'inactivité.

3 Sélectionnez l'équipement, puis cliquez sur Modifier.


Obtention des événements et des fluxRécupérez les événements et les flux des équipements que vous sélectionnez dans l'arborescence denavigation des systèmes.


1 Dans l'arborescence de navigation des systèmes, sélectionnez le système, un groupe ou un

équipement, puis cliquez sur l'icône Obtenir les événements et les flux dans la barre d'outils desactions.

2 Dans le tableau supérieur, sélectionnez les événements et les flux à récupérer, puis cliquez surDémarrer.

L'état de la récupération est indiqué dans la colonne Etat. Le tableau inférieur affiche d'autres détailspour les équipements mis en surbrillance dans le tableau supérieur.

3 Une fois le téléchargement terminé, sélectionnez une vue dans laquelle afficher ces événements et

ces flux, puis cliquez sur l'icône Actualiser la vue actuelle dans la barre d'outils Vues.

Recherche des événements, des flux et des journauxVous pouvez définir l'ESM pour qu'il recherche les événements, les flux et les journauxautomatiquement, ou bien vous pouvez les rechercher manuellement. La fréquence de vérificationdépend du niveau d'activité de votre système et de la fréquence selon laquelle vous souhaitez recevoirles mises à jour du statut. Vous pouvez également choisir les équipements qui doivent rechercherchaque type d'information et définir le seuil d'inactivité des équipements managés par l'ESM.


1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système, puis cliquez surEvénements, flux et journaux.

2 Effectuez les sélections et les modifications relatives à la récupération des événements, des flux etdes journaux.

3 Cliquez sur OK.

Voir aussi Définition des paramètres de seuil d'inactivité, page 280

Utilisation des événementsEvénements, flux et journaux 7


Définition des paramètres de géolocalisation et ASNL'option Géolocalisation indique l'emplacement géographique réel des ordinateurs connectés àInternet. Le Numéro de système autonome (ASN) est un numéro qui est affecté à un systèmeautonome et qui identifie de façon unique chaque réseau sur Internet.

Ces deux types de données peuvent vous aider à identifier l'emplacement physique d'une menace. Lesdonnées de géolocalisation sources et de destination peuvent être collectées pour des événements.




2 Cliquez sur Evénements, flux et journaux ou Evénements et journaux, puis sur Géolocalisation.

3 Sélectionnez les options appropriées pour générer les informations nécessaires, puis cliquez sur OK.

Vous pouvez filtrer les données d'événement à l'aide de ces informations.

Obtention des événements et des fluxRécupérez les événements et les flux des équipements que vous sélectionnez dans l'arborescence denavigation des systèmes.


1 Dans l'arborescence de navigation des systèmes, sélectionnez le système, un groupe ou un

équipement, puis cliquez sur l'icône Obtenir les événements et les flux dans la barre d'outils desactions.

2 Dans le tableau supérieur, sélectionnez les événements et les flux à récupérer, puis cliquez surDémarrer.

L'état de la récupération est indiqué dans la colonne Etat. Le tableau inférieur affiche d'autres détailspour les équipements mis en surbrillance dans le tableau supérieur.

3 Une fois le téléchargement terminé, sélectionnez une vue dans laquelle afficher ces événements et

ces flux, puis cliquez sur l'icône Actualiser la vue actuelle dans la barre d'outils Vues.

Agrégation des événements ou des fluxUn événement ou un flux peut potentiellement être généré des milliers de fois. Au lieu de vous forcerà examiner des milliers d'événements identiques, l'agrégation vous permet de les afficher sous laforme d'un événement ou d'un flux unique accompagné d'un nombre indiquant le nombred'occurrences.

L'agrégation permet d'utiliser l'espace disque de façon plus efficace à la fois sur l'équipement et surl'ESM, car elle permet d'éviter le stockage de chaque paquet. Cette fonctionnalité s'appliqueuniquement aux règles pour lesquelles l'agrégation est activée dans l'Editeur de stratégie.

Adresse IP source et de destination

Les valeurs non définies ou agrégées des adresses IP sources et de destination s'affichent sous laforme « :: » et non sous la forme « 0.0.0.0 » dans tous les ensembles de résultats. Par exemple :



• ::ffff:10.0.12.7 est inséré sous la forme 0:0:0:0:0:FFFF:A00:C07 (A00:C07 is 10.0.12.7).

• ::0000:10.0.12.7 équivaut à 10.0.12.7.

Evénements et flux agrégés

Les événements et flux agrégés utilisent les champs de début, de fin et de totalité pour indiquer ladurée et la valeur de l'agrégation. Exemple : si un même événement se produit 30 fois au cours des10 premières minutes après midi, le champ Première fois contient l'heure 12:00 (heure de la premièreinstance de l'événement), le champ Dernière fois contient l'heure 12:10 (heure de la dernière instance del'événement) et le champ Total contient la valeur 30.

Vous pouvez modifier les paramètres d'agrégation des événements ou des flux par défaut pourl'ensemble de l'équipement. S'il s'agit d'événements, vous pouvez ajouter des exceptions auxparamètres de l'équipement pour les règles individuelles (voir Gestion des exceptions à l'agrégationd'événements).

L'agrégation dynamique est également activée par défaut. Si elle est sélectionnée, elle remplace lesparamètres de l'agrégation de Niveau 1 et augmente les paramètres des Niveau 2 et Niveau 3. Elle récupèreles enregistrements en fonction du paramètre de récupération des événements, flux et journaux. S'ilest défini sur la récupération automatique, l'équipement compresse un enregistrement uniquementjusqu'à sa première extraction par ESM. S'il est défini sur la récupération manuelle, un enregistrementest compressé jusqu'à 24 heures ou tant qu'aucun nouvel enregistrement n'a été extraitmanuellement, et ce, quel que soit ce premier événement. Si la durée de la compression atteint lalimite de 24 heures, un nouvel enregistrement est extrait, et la compression commence dans cenouvel enregistrement.

Modification des paramètres d'agrégation des événements ou des fluxL'agrégation des événements et l'agrégation des flux sont activées par défaut. Elles sont définies surElevée. Vous pouvez modifier les paramètres comme il vous convient. Les performances de chaqueparamètre sont décrites dans la page Agrégation.

Avant de commencerPour modifier ces paramètres, vous devez avoir des privilèges Administrateur de stratégie etGestion des équipements ou bien Administrateur de stratégie et Règles personnalisées.

L'agrégation des événements est disponible uniquement pour les équipements ADM, IPS et pour lerécepteur alors que l'agrégation des flux est disponible pour l'équipement IPS et le récepteur.




2 Cliquez sur Agrégation d'événements ou Agrégation des flux.


Ajout d'exceptions aux paramètres d'agrégation des événementsLes paramètres d'agrégation s'appliquent à tous les événements générés par un équipement. Vouspouvez créer des exceptions pour chaque règle si les paramètres généraux ne s'appliquent pas auxévénements générés par la règle.




1 Sur le volet des vues, sélectionnez un événement généré par la règle pour laquelle vous souhaitezajouter une exception.

2Cliquez sur l'icône Menu , puis sélectionnez Modifier les paramètres d'agrégation.


Les champs sélectionnés dans Champ 2 et Champ 3 doivent être de types différents, sinon une erreurest générée. Lorsque vous sélectionnez ces types de champ, la description de chaque niveaud'agrégation est modifiée pour refléter vos sélections. Les limites de temps de chaque niveaudépend des paramètres d'agrégation des événements que vous avez définis pour l'équipement.

4 Cliquez sur OK pour enregistrer les paramètres, puis cliquez sur Oui pour continuer.

5 Désélectionnez les équipements sur lesquels vous ne souhaitez pas déployer les modifications.

6 Cliquez sur OK pour déployer les modifications sur les équipements sélectionnés.

La colonne Statut indique le statut de la mise à jour au fur et à mesure du déploiement desmodifications.

Gestion des exceptions à l'agrégation d'événementsVous pouvez afficher la liste des exceptions à l'agrégation d'événements qui ont été ajoutées ausystème. Vous pouvez également modifier ou supprimer une exception.




2 Cliquez sur Agrégation d'événements, puis sur Afficher en bas de l'écran.

3 Apportez les modifications nécessaires, puis cliquez sur Fermer.

Configuration du transfert des événementsLe transfert des événements vous permet d'envoyer des événements depuis ESM vers un autreéquipement via Syslog ou SNMP (si activé). Vous devez définir la destination. Vous pouvez égalementindiquer si vous souhaitez inclure le paquet et brouiller les données d'IP. Vous pouvez ajouter desfiltres afin que les données d'événement soient filtrées avant leur transfert.

Cela ne remplace pas la gestion des journaux, car il ne s'agit pas de l'ensemble complet des journauxsignés numériquement de chaque équipement de votre environnement.

Configuration du transfert des événementsVous pouvez configurer une destination de transfert des événements pour transférer les donnéesd'événement vers un serveur Syslog ou SNMP.

Le nombre de destinations de transfert des événements utilisées combiné à la fréquence et au nombred'événements qui sont récupérés par votre ESM peut affecter les performances globales d'ESM.




1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surTransfert des événements.

2 Dans la page Destinations de transfert des événements, sélectionnez Ajouter, Modifier ou Supprimer.

3 Si vous avez décidé d'ajouter ou de modifier une destination, définissez-en les paramètres.


Ajout de destinations de transfert des événementsAjoutez une destination de transfert des événements dans ESM pour transférer les donnéesd'événement vers un serveur Syslog ou SNMP.




3 Cliquez sur OK.

Voir aussi Agents de transfert des événements, page 286



Agents de transfert des événementsIl s'agit des agents de transfert des événements et des informations contenues dans les paquets lorsde leur transfert. Sélectionnez l'agent dans le champ Format de la page Ajouter une destination de transfert desévénements.

Agent Contenu

Syslog(McAfee 9.2)

ESM IP McAfee ESM (partie d'en-tête Syslog), ID de signature (SigID), Message designature (SigMessage), IP source (SrcIP), IP de destination (DstIP), Port source(SrcPort), Port de destination (DstPort), MAC source (SrcMac), MAC de destination(DstMac), Protocole (Protocol), Réseau local virtuel (VLan), Flux (Flow) (quel'événement soit généré par l'initiateur de la connexion ou son destinataire), Nombred'événements (EventCount), Première fois (FirstTime) (au format d'heure UNIX),Dernière fois (LastTime) (au format d'heure UNIX), Dernière fois_seconde_utilisateur(LastTime_usec), Sous-type d'événement (Event Subtype), Gravité (Severity), IDinterne (InternalID) (ID d'événement dans ESM), ID d'événement (EventID), ID d'IPS(IPSID), Nom IPS (IPSName) (nom de source de données : adresse IP), ID de source dedonnées (DSID), IPv6 source (Source IPv6), IPv6 de destination (Dest IPv6), ID desession (Session ID), Séquence (Sequence), Indicateur approuvé (Trusted flag), IDnormalisé (Normalized ID), GUID source (GUID Source), GUID de destination (GUIDDest), Nom d'agrégation 1 (Agg 1 Name), Valeur d'agrégation 1 (Agg 1 Value), Nomd'agrégation 2 (Agg 2 Name), Valeur d'agrégation 2 (Agg 2 Value), Nom d'agrégation 3(Agg 3 Name), Valeur d'agrégation 3 (Agg 3 Value).Les champs de chaîne suivants sont également entre guillemets, car ils peuvent contenirun point-virgule : Application, Commande, Domaine, Hôte, Objet, Utilisateur dedestination, Utilisateur source, Type défini par l'utilisateur 8, Type défini parl'utilisateur 9, Type défini par l'utilisateur 10, Type défini par l'utilisateur 21, Type définipar l'utilisateur 22, Type défini par l'utilisateur 23, Type défini par l'utilisateur 24, Typedéfini par l'utilisateur 25, Type défini par l'utilisateur 26, Type défini par l'utilisateur 27.

Paquet (le contenu d'un paquet suit le codage en base 64 uniquement si l'option Copierle paquet est activée pour les règles dans l'Editeur de stratégies et si l'option estsélectionnée lors de la configuration du transfert d'événement sur l'ESM).

Syslog(McAfee 8.2)

ESM IP McAfee ESM (partie d'en-tête Syslog), ID de signature (SigID), Message designature (SigMessage), IP source (SrcIP), IP de destination (DstIP), Port source(SrcPort), Port de destination (DstPort), MAC source (SrcMac), MAC de destination(DstMac), Protocole (Protocol), Réseau local virtuel (VLan), Flux (Flow) (quel'événement soit généré par l'initiateur de la connexion ou son destinataire), Nombred'événements (EventCount), Première fois (FirstTime) (au format d'heure UNIX),Dernière fois (LastTime) (au format d'heure UNIX), Dernière fois_seconde_utilisateur(LastTime_usec), Sous-type d'événement (Event Subtype), Gravité (Severity), IDinterne (InternalID) (ID d'événement dans ESM), ID d'événement (EventID), ID d'IPS(IPSID), Nom IPS (IPSName) (nom de source de données : adresse IP), ID de source dedonnées (DSID), IPv6 source (Source IPv6), IPv6 de destination (Dest IPv6), ID desession (Session ID), Séquence (Sequence), Indicateur approuvé (Trusted flag), IPnormalisé (Normalized ID).Les champs de chaîne suivants sont également entre guillemets, car ils peuvent contenirun point-virgule : Application, Commande, Domaine, Hôte, Objet, Utilisateur dedestination, Utilisateur source, Type défini par l'utilisateur 8, Type défini parl'utilisateur 9, Type défini par l'utilisateur 10.

Paquet (le contenu d'un paquet suit le codage en base 64 uniquement si l'option Copierle paquet est activée pour les règles dans l'Editeur de stratégies et si l'option estsélectionnée lors de la configuration du transfert d'événement sur l'ESM).



Agent Contenu

Syslog(Nitro)

ESM IP, McAfee ESM, ID de signature (SigID), Message de signature (SigMessage), IPsource (SrcIP), IP de destination (DstIP), Port source (SrcPort), Port de destination(DstPort), MAC source (SrcMac), MAC de destination (DstMac), Protocole (Protocol),Réseau local virtuel (VLan), Flux (Flow) (que l'événement soit généré par l'initiateur dela connexion ou son destinataire), Nombre d'événements (EventCount), Première fois(FirstTime) (au format d'heure UNIX), Dernière fois (LastTime) (au formatd'heure UNIX), Dernière fois_seconde_utilisateur (LastTime_usec), Sous-typed'événement (Event Subtype), Gravité (Severity), ID interne (InternalID) (IDd'événement dans ESM), ID d'événement (EventID), ID d'IPS (IPSID), Nom IPS(IPSName), ID de source de données (DSID), Paquet (Packet) (le contenu d'un paquetsuit le codage en base 64).

Syslog(ArcSight)

"McAfee", ID d'ordinateur, "Notification ArcSite", "Ligne 1", Nom du groupe, Nom IPS,Dernière fois (LastTime) mm/jj/aaa HH:nn:ss.zzz, Dernière fois seconde_utilisateur(LastTime usec) mm/jj/aaa HH:nn:ss.zzz, Première fois (FirstTime) mm/jj/aaaHH:nn:ss.zzz, ID de signature (SigID), Nom de classe, Nombre d'événements, IP source(Src IP), Port source (Src Port), IP de destination (Dst IP), Port de destination (DstPort), Protocole (Protocol), Sous-type d'événement (Event Subtype), ID d'événementd'équipement (Event Device ID) (ID interne de l'événement de l'équipement), IDd'événement ESM (Event ESM ID) (ID interne de l'événement d'ESM), Message de larègle (Rule Message), Flux (Flow) (que l'événement soit généré par l'initiateur de laconnexion ou son destinataire), Réseau local virtuel (VLAN), MAC source (Src MAC),MAC de destination (Dst MAC), Paquet (Packet) (le contenu d'un paquet suit le codageen base 64).

Syslog(Snort)

snort:, [sigid:smallsigid:0], Message de signature ou "Alerte", [Classification:ClassName], [Priority: ClassPriority], {Protocole}, IP source (SrcIP):Port source(SrcPort) -> IP de destination (DstIP):Port de destination (DstPort), IP source (SrcIP) ->IP de destination (DstIP), Paquet (le contenu d'un paquet suit le codage en base 64).

Syslog(journauxd'audit)

durée (secondes depuis l'instance de référence), indicateur d'état, nom de l'utilisateur,nom de catégorie de journal (vide pour 8.2.0, renseigné pour les versions supérieuresà 8.3.0), nom du groupe d'équipements, nom de l'équipement, message dejournalisation.

Syslog(CommonEventFormat)

Date et heure actuelles, IP ESM, CEF version 0, fournisseur = McAfee, produit =modèle ESM de /etc/McAfee Nitro/modèle_IPS, version = ESM version de /etc/buildstamp, ID de signature, message de signature, gravité (0 à 10), paires nom/valeur,adresse_équipement_convertie

Syslog(formatd'événementstandard)

<#>YYYY-MM-DDTHH:MM:SS.S [IP Address] McAfee_SIEM:{ "source": { "id": 144120685667549200, "name": "McAfee Email Gateway (ASP)","subnet": "::ffff:10.75.126.2/128" }, "fields": { "packet": { "encoding": "BASE64" } },"data": { "unique_id": 1, "alert_id": 1, "thirdpartytype": 49, "sig": { "id": 5000012,"name": "Random String Custom Type" }, "norm_sig": { "id": 1343225856, "name":"Misc Application Event" }, "action": "5", "src_ip": "65.254.48.200", "dst_ip": "0.0.0.0","src_port": 38129, "dst_port": 0, "protocol": "n/a", "src_mac": "00:00:00:00:00:00","dst_mac": "00:00:00:00:00:00", "src_asn_geo": 1423146310554370000, "firsttime":"2014-05-09T20:43:30Z", "lasttime": "2014-05-09T20:43:30Z", "writetime":"2014-05-09T20:44:01Z", "src_guid": "", "dst_guid": "", "total_severity": 25,"severity": 25, "eventcount": 1, "flow": "0", "vlan": "0", "sequence": 0, "trusted": 2,"session_id": 0, "compression_level": 10, "reviewed": 0, "a1_ran_string_CF1": "This isdata for custom field 1", "packet":"PDE0PjA5MDUyMDE0IDIwOjE4OjQ0fDIxfDY1LjI1NC40OC4yMDAtMzgxMjl8MXwxMDJ8U3BhbSBNZXNzYWdlIHR5cGU6IFRydXN0ZWRTb3VyY2UgU2lnbmF0dXJlIENvbmZpZGVuY2UgPSBISUdILiBDb25uZWN0aW9uOiA2NS4yNTQuNDguMjAwLTM4MTI5KElQLVBvcnQpfFRoaXMgaXMgZGF0YSBm b3IgY3VzdG9tIGZpZWxkIDF8W10A"

Activation ou désactivation du transfert des événementsActivez ou désactivez le transfert des événements dans ESM.





2 Cliquez sur Paramètres, puis activez ou désactivez la case à cocher Transfert des événements activé.

3 Cliquez sur OK.

Modification des paramètres de l'ensemble des destinations de transfertdes événementsModifiez les paramètres de l'ensemble des destinations de transfert des événements existantes en uneseule fois.



2 Cliquez sur Paramètres, puis définissez les options.

3 Cliquez sur OK.

Ajout de filtres de transfert des événementsConfigurez des filtres afin de limiter les données d'événement transférées vers un serveur Syslogou SNMP d'ESM.



2 Cliquez sur Ajouter, puis cliquez sur Filtres d'événement.

3 Remplissez les champs de filtre, puis cliquez sur OK.

Modification des paramètres de filtre de transfert des événementsModifier les paramètres de filtre du transfert d'événement une fois qu'ils ont été enregistrés.

Avant de commencerLors de la modification d'un filtre d'équipement, vous devez avoir accès à tous leséquipements du filtre. Pour permettre l'accès aux équipements, voir Configuration degroupes d'utilisateurs.





2 Cliquez sur Modifier, puis sur Filtres d'événement.

3 Apportez les modifications, puis cliquez sur OK.

Voir aussi Configuration de groupes d'utilisateurs, page 213

Envoi et transfert d'événements au format d'événement standardLe format d'événement standard est un format d'événement basé sur la notation JSON (Java ScriptObject Notation) pour représenter des données d'événements génériques.

Le format d'événement standard permet de transférer des événements entre l'ESM et un récepteursitué sur un autre ESM, ainsi qu'entre l'ESM et un tiers. Vous pouvez également utiliser ce format pourenvoyer des événements entre un tiers et un récepteur, en le sélectionnant pour le format desdonnées lors de la création de la source de données.

Pour configurer le transfert d'événement avec le format d'événement standard d'ESM à ESM, vousdevez effectuer 4 étapes :

1 Exporter les sources de données, les types personnalisés et les règles personnalisées présentes surl'ESM qui transfère les événements.

— Pour exporter les sources de données, suivez les instructions de la section Déplacement desources de données vers un autre système.

— Pour exporter les types personnalisés, ouvrez Propriétés du système, cliquez sur Types personnalisés,puis sur Exporter.

— Pour exporter les règles personnalisées, suivez les instructions de la section Exportation derègles.

2 Sur l'ESM du récepteur cible du transfert, importez les sources de données, les types personnaliséset les règles personnalisées que vous venez d'exporter.

— Pour importer les sources de données, suivez les instructions de la section Déplacement desources de données vers un autre système.

— Pour importer les types personnalisés, ouvrez Propriétés du système, cliquez sur Types personnalisés,puis sur Importer.

— Pour importer les règles personnalisées, suivez les instructions de la section Importation derègles.



3 Sur l'ESM qui reçoit les événements d'un autre ESM, ajoutez une source de données ESM.

— Dans l'arborescence de navigation du système, cliquez sur le récepteur auquel ajouter la source

de données, puis cliquez sur l'icône Ajouter une source de données .

— Sur la page Ajouter une source de données, sélectionnez McAfee dans le champ Fournisseur de la source dedonnées, puis Enterprise Security Manager (SEF) dans le champ Modèle de source de données.

— Indiquez les informations demandées, puis cliquez sur OK.

4 Ajoutez la destination de transfert d'événement sur l'ESM d'envoi.

— Dans l'arborescence de navigation des systèmes, cliquez sur le système, puis cliquez sur l'icône

Propriétés .

— Cliquez sur Transfert d'événement, puis sur Ajouter.

— Sur la page Ajouter une destination de transfert d'événement, sélectionnez syslog (format d'événement standard)dans le champ Format, indiquez dans les autres champs les informations relatives à l'ESM cible dutransfert, puis cliquez sur OK.

Gestion des rapportsLes rapports affichent des données sur les événements et les flux gérés sur l'ESM. Vous pouvez définirdes rapports personnalisés ou exécuter les rapports prédéfinis, puis les envoyer au format PDF, HTMLou CSV.

Rapports prédéfinis

Les rapports prédéfinis sont classés dans les catégories suivantes :

• Conformité • McAfee Database Activity Monitoring (DAM)

• Exécutif • McAfee DEM

• McAfee ADM • McAfee Event Reporter

Ils génèrent des données en fonction des événements.

Rapports définis par l'utilisateur

Lorsque vous créez un rapport, vous définissez sa disposition dans l'éditeur Disposition de rapport ensélectionnant l'orientation, la taille, la police, les marges, l'en-tête et le pied de page. Vous pouvezégalement inclure des composants, les configurer pour afficher des données selon vos préférences.

Toutes les dispositions sont enregistrées et vous pouvez les utiliser dans plusieurs rapports. Lorsquevous ajoutez un rapport, vous pouvez créer une nouvelle disposition ou bien utiliser une dispositionexistante (telle quelle ou comme modèle en modifiant ses caractéristiques). Vous pouvez égalementsupprimer une disposition de rapport lorsqu'elle devient inutile.

Voir aussi Ajout d'une condition de rapport, page 292Définition du mois de début des rapports trimestriels, page 291Ajout d'une disposition de rapport, page 291

7 Utilisation des événementsGestion des rapports


Définition du mois de début des rapports trimestrielsSi vous exécutez des rapports tous les trimestres, vous devez définir le premier mois du trimestre 1.Une fois ce mois défini et stocké dans la table système, les rapports sont exécutés tous les trimestresen fonction de la date de début.


1 Dans la console ESM, sélectionnez Propriétés du système, puis cliquez sur Paramètres personnalisés.

2 Dans le champ Spécifiez le mois à utiliser, sélectionnez le mois.

3 Cliquez sur Appliquer pour enregistrer le paramètre.

Ajout d'un rapportAjouter des rapports à l'ESM et les configurer pour les exécuter régulièrement, selon un intervalle quevous définissez, ou les exécuter lorsque vous les sélectionnez manuellement. Vous pouvez sélectionnerune disposition de rapport existante ou en créer une nouvelle à l'aide de l'éditeur Disposition de rapport.


1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système, puis cliquez surRapports.

2 Cliquez sur Ajouter, puis configurez les paramètres sur la page Ajouter un rapport.

3 Cliquez sur Enregistrer.

Le rapport est ajouté au tableau de la page Rapports et il est exécuté tel que défini dans le champCondition.

Ajout d'une disposition de rapport Définir la disposition d'un rapport si les dispositions prédéfinies ne correspondent pas à vos besoins.



2 Cliquez sur Ajouter pour ouvrir la page Ajouter un rapport, puis renseignez les sections 1, 2 et 3.

3 Dans la section 4, sélectionnez Rapport PDF ou cliquez sur Rapport HTML.

4 Dans la section 5, cliquez sur Ajouter pour ouvrir l'éditeur Disposition de rapport.

5 Configurer la disposition à utiliser pour afficher les données générées par le rapport.

La disposition est enregistrée et elle peut être utilisée telle quelle ou bien comme modèle que vouspouvez modifier.

Utilisation des événementsGestion des rapports 7


Inclusion d'une image dans des PDF et des rapportsVous pouvez configurer ESM afin que les PDF exportés et les rapports imprimés incluent l'imageaffichée dans l'écran Connexion.

Avant de commencerAjoutez l'image à la page Paramètres personnalisés (voir Personnalisation de la page deconnexion).


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surParamètres personnalisés.

2 Sélectionnez Inclure une image dans le PDF exporté à partir de vues ou de rapports imprimés.

3 Cliquez sur OK.

Voir aussi Personnalisation de la page de connexion, page 28

Ajout d'une condition de rapportAjouter des conditions afin qu'elles soient disponibles lors de la configuration d'un rapport.



2 Cliquez sur Conditions, puis entrez les informations demandées.


Cette option s'affiche dans la liste des conditions disponibles lorsque vous sélectionnez la conditiond'un rapport.

Affichage des noms d'hôte dans un rapportVous pouvez configurer les rapports de façon à utiliser la résolution DNS pour les adresses IP source etdestination.



Propriétés .

2 Cliquez sur Rapports, puis cliquez sur Ajouter et indiquez les informations demandées dans lessections 1 à 4.

3 Dans la section 5, cliquez sur Ajouter, faites glisser un composant Table, Graphique à barres ou Graphique àsecteurs, puis suivez les étapes de l'Assistant Requête.

4 Dans la section Requête du volet Propriétés de l'éditeur Disposition de rapport, sélectionnez Résoudre lesadresses IP en noms d'hôte.

7 Utilisation des événementsGestion des rapports


Les résultats de la recherche DNS s'affichent dans le rapport, mais également dans le tableau Hôtes(Propriétés du système | Hôtes).

Description des filtres contains et regexLes filtres contains (contient) et regex (expression régulière) vous permettent d'utiliser des caractèresgénériques à la fois dans les données de chaîne indexées et non indexées. Pour utiliser ces filtres,vous devez suivre des règles de syntaxe.

Vous pouvez utiliser ces commandes dans tout champ qui accepte des données de type texte ouchaîne. Pour la plupart des champs de texte, l'icône de non-respect de la casse s'affiche à côté dunom du champ de filtre. Cette icône ne s'affiche pas pour d'autres champs qui acceptent le filtrecontains. Pour obtenir la liste complète des champs, voir la section Champs prenant en charge lafonctionnalité contains.

Syntaxe et exemplesLa syntaxe de base du filtre contains est contains(valeur). Pour le filtre regex, la syntaxe estregex(expressionrégulière).

Pour appliquer le respect de la casse, cliquez sur l'icône ou incluez la notation d'expressionrégulière /i, comme dans regex(/valeur/i). La recherche renvoie toute valeur contenant valeur,quelle que soit la casse.

Les icônes NOT et OR s'appliquent aux valeurs regex et contains. Pour obtenir des résultats qui necontiennent pas une valeur particulière, entrez la valeur et cliquez sur l'icône NOT. Pour obtenir desrésultats qui contiennent une valeur ou une autre, entrez les valeurs et cliquez sur l'icône OR.

Exemple 1 : recherche simple

Champs indexés : contains(stra), regex(stra)

Champs non indexés : stra

Résultat : vous obtenez toute chaîne contenant stra , telle que administrateur, gmestrad ou straub.

Exemple 2 : recherche OR

Champs indexés : contains(admin,NGCP), regex((admin|NGCP))

Champs non indexés : admin,NGCP

Résultats : vous obtenez toute chaîne du champ contenant admin ou NGCP. Les parenthèsessupplémentaires sont nécessaires pour le fonctionnement du filtre regex OR.

Exemple 3 : recherche de caractères spéciaux, tels que des comptes de service

Signe dollar :

Champs indexés : contains($), regex(\x24) ou regex(\$)

Champs non indexés : $

Résultats : dans les deux cas vous obtenez toute chaîne du champ contenant $. Pour obtenir la listedes valeurs hexadécimales des caractères, consultez la page http://www.ascii.cl

Avec le filtre regex, si vous utilisez le signe $ sans l'adapter, vous n'obtiendrez aucun résultat. Laséquence d'échappement PCRE est une méthode de recherche préférable.

Utilisation des événementsDescription des filtres contains et regex 7


Signe pourcentage :

Champs indexés : contains(%), regex(\x25)ou regex(\%)

Champs non indexés : %

Barre oblique inverse :

Champs indexés : contains(\), regex(\x5c) ou regex(\\)

Champs non indexés : \

Deux barres obliques inverses

Champs indexés : contains(\\), regex(\x5c\x5c) ou regex(\\\)

Champs non indexés : \\

Dans certains cas, si vous n'utilisez pas la valeur hexadécimale ou la barre oblique avec le filtre regex,vous pouvez obtenir une erreur de type Expression régulière non valide (ER5-0015).

Exemple 4 : recherche avec caractère générique *

Champs indexés : contains (ad*)

Champs non indexés : ad*

Résultats : vous obtenez toute chaîne commençant par ad, telle que administrateur ou adresse.

Exemple 5 : recherche avec expression régulière

regex(nitroguard/x28[3-4]/x29[com|info}+)

(3)www(10)nitroguard(3)com(0)

(3)www(10)nitroguard(4)info(0)

(3)www(10)nitroguard(3)gov(0)

(3)www(10)nitroguard(3)edu(0)

(3)www(10)nitroguard(7)oddball(0)

Ces domaines proviennent des événements DNS Microsoft.

Résultats : cette expression régulière permet d'identifier une chaîne spécifique. Dans ce cas, il s'agitde nitroguard, un domaine principal à 3 ou 4 chiffres, et com ou info. Ce filtre regex permet de faireconcorder les deux premières expressions mais pas les autres. Voici des exemples illustrant la manièred'utiliser le filtre regex avec cette fonctionnalité. Vos expressions seront très différentes.

Avertissement• L'utilisation du filtre regex avec des valeurs de moins de 3 caractères entraîne une surcharge et

ralentit l'exécution de la requête. Il est conseillé de toujours saisir plus de 3 caractères dans lesrequêtes.

• Vous ne pouvez pas utiliser ce filtre dans les règles de corrélation ni les alarmes. Toutefois, il y aune expection : vous pouvez l'utiliser dans les règles de corrélation avec des types de nom/valeurpersonnalisés.

• L'utilisation du filtrecontains ou regex avec NOT peut entraîner une surcharge et ralentirl'exécution de la requête.

7 Utilisation des événementsDescription des filtres contains et regex


Description du filtre de Bloom

Pour plus d'informations sur le filtre de Bloom, voir http://en.wikipedia.org/wiki/Bloom_filter

Champs prenant en charge la fonctionnalité contains et regex

Access_Resource (Ressourced'accès)

File_Operation_Succeeded(Réussite opération fichier)

Referer (Référant)

Application File_Path (Chemin d'accès fichier) Registry_Key (Clé de registre)

Application_Protocol (Protocoleapplication)

File_Type (Type de fichier) Registry_Value (Valeur deregistre)

Area (Zone) Filename (Nom de fichier) Request_Type (Type dedemande)

Authoritative_Answer(Réponse autorité)

Forwarding_Status (Etat detransfert)

Response_Code (Code réponse)

Bcc (Cci) From (De) Return_Code (Code retour)

Caller_Process (Procédure del'appelant)

From_Address (Adresseexpéditeur)

RTMP_Application (ApplicationRTMP)

Catalog_Name (Nomcatalogue)

FTP_Command (Commande FTP) Sensor_Name (Nom ducapteur)

Category (Catégorie) Host (Hôte) Sensor_Type (Type de capteur)

Cc HTTP_Req_Cookie (Cookie reqHTTP)

Sensor_UUID (UUID capteur)

Client_Version (Version client) HTTP_Req_Host (Hôte req HTTP) Session_Status (Etat session)

Command (Commande) HTTP_Req_Method (Méthode reqHTTP)

ID de signature

Contact_Name (Nom contact) HTTP_Req_Referer (Référant reqHTTP)

Signature_Name (Nomsignature)

Contact_Nickname (Pseudocontact)

HTTP_Req_URL (URL req HTTP) SNMP_Error_Code (Code erreurSNMP)

Cookie HTTP_User_Agent (Agentutilisateur HTTP)

SNMP_Item (Elément SNMP)

Creator_Name (Nom auteur) Incoming_ID (ID entrant) SNMP_Item_Type (Typeélément SNMP)

Database_ID (ID base dedonnées)

Interface SNMP_Operation (OpérationSNMP)

Database_Name (Nom base dedonnées)

Interface_Dest (Destinationinterface)

SNMP_Version

Datacenter_ID (ID centre dedonnées)

Job_Name (Nom travail) Source User (Utilisateursource)

Datacenter_Name (Nom centrede données)

Job_Type (Type de travail) Source_Context (Contextesource)

DB2_Plan_Name (Nom de planDB2)

Language (Langue) Source_Logon_ID (IDconnexion source)

Delivery_ID (ID de remise) Local_User_Name (Nom utilisateurlocal)

Source_Network (Réseausource)

Description Logical_Unit_Name (Nom unitélogique)

Source_UserID (ID utilisateursource)

Destination User (Utilisateurde destination)

Logon_Type (Type de connexion) Source_Zone (Zone source)

Utilisation des événementsDescription des filtres contains et regex 7


http://en.wikipedia.org/wiki/Bloom_filter

Destination_Directory(Répertoire de destination)

LPAR_DB2_Subsystem(Sous-système DB2 LPAR)

SQL_Command (CommandeSQL)

Destination_Filename (Nomfichier de destination)

Mail_ID (ID messagerie) SQL_Statement (InstructionSQL)

Destination_Hostname (Nomd'hôte destination)

Mailbox (Boîte aux lettres) Step_Count (Nombre d'étapes)

Destination_Logo_ID (IDconnexion destination)

Mainframe_Job_Name (Nom dutravail mainframe)

Step_Name (Nom étape)

Destination_Network (Réseaude destination)

Malware_Insp_Action (Actioninspection logiciel malveillant)

Objet

Destination_UserID (IDutilisateur destination)

Malware_Insp_Result (Résultatinspection logiciel malveillant)

SWF_URL (URL SWF)

Destination_Zone (Zonedestination)

Management_Server (Serveur degestion)

Table_Name (Nom table)

Detection_Method (Méthode dedétection)

Message_ID (ID message) Target_Class (Classe cible)

Device_Action (Actionéquipement)

Message_Text (Texte message) Target_Context (Contexte cible)

Direction Méthode Target_Process_Name (Nomprocessus cible)

Répertoire NTP_Client_Mode (Mode clientNTP)

TC_URL (URL TC)

DNS_Class (Classe DNS) NTP_Opcode (Code d'opérationNTP)

Threat_Category (Catégorie demenace)

DNS_Name (Nom DNS) NTP_Request (Demande NTP) Threat_Handled (Menacetraitée)

DNS_Type (Type DNS) NTP_Server_Mode (Mode serveurNTP)

Threat_Name (Nom de lamenace)

Domaine Object (Objet) To (A)

Event_Class (Classed'événement)

Object_Type (Type d'objet) To_Address (Adresse dedestination)

External_Application(Application externe)

Operating_System (Systèmed'exploitation)

URL

External_DB2_Server (ServeurDB2 externe)

Policy_Name (Nom de stratégie) URL_Category (Catégorie URL)

External_Hostname (Nomd'hôte externe)

Privileged_User (Utilisateur avecprivilèges)

User_Agent (Agent utilisateur)

External_SessionID (IDsession externe)

Process_Name (Nom de processus) User_Nickname (Pseudoutilisateur)

Facility (Installation) Query_Response (Réponserequête)

Version

File_Operation (Opérationfichier)

Raison Virtual_Machine_ID (IDmachine virtuelle)

Virtual_Machine_Name (Nomde machine virtuelle)

Vous pouvez utiliser les filtres contains et regex avec les types personnalisés suivants :

7 Utilisation des événementsDescription des filtres contains et regex


Vues• Chaîne

• Chaîne aléatoire

• Nom/valeur

• Chaînes hachées

Gestion des incidents• Notes

• Synthèse

• Historique

Utilisation des vues d'ESMESM récupère les informations relatives aux événements, flux, actifs et vulnérabilités consignées parun équipement. Les informations sont corrélées et insérées dans le moteur MSEAC (McAfee SecurityEvent Aggregation and Correlation).

Sommaire Utilisation des vues ESM Affichage des informations sur les sessions Barre d'outils des vues Vues prédéfinies Ajout d'une vue personnalisée Composants de vues Utilisation de l'Assistant Requête Gestion des vues Effectuer une recherche dans la période d'un événement Affichage des informations sur l'adresse IP d'un événement Modification de la vue par défaut Filtrage des vues Listes de surveillance Normalisation de chaîne

Utilisation des vues ESMLe moteur MSEAC permet d'analyser et de vérifier les données récupérées par l'ESM en utilisant unevisionneuse de rapports flexible et puissante. Cette visionneuse est la partie centrale de la consoleESM. La vue affiche les données des équipements que vous avez sélectionnés dans l'arborescence denavigation du système.Lors du lancement de la console ESM, la vue par défaut s'affiche (consultez la section Changement dela vue par défaut. Vous pouvez utiliser les fonctionnalités de gestion des vues pour sélectionner uneautre vue prédéfinie (consultez la section Vues prédéfinies) ou créer une nouvelle vue (consultez lasection Ajout d'une vue personnalisée) pour exécuter une requête afin de voir ce qui se passe survotre réseau (consultez la section Barre d'outils des vues). Vous pouvez également gérer les vues etleurs données à l'aide des options de la barre d'outils des vues, du menu des composants et de labarre d'outils des composants.

Une barre de progression s'affiche dans chaque composant du volet des vues lors de l'exécution d'unerequête. Si vous passez le curseur dessus, elle affiche le pourcentage effectué et le temps écoulé pourl'exécution de la requête de chaque composant. Pour annuler une requête afin de libérer desressources ESM, cliquez sur l'icône de suppression située à droite de la barre de progression.

Dans une vue, les valeurs non définies ou les valeurs agrégées des adresses IP source et dedestination s'affichent sous la forme « :: » et non sous la forme « 0.0.0.0 » dans tous les ensemblesde résultats. Par exemple, ::ffff:10.0.12.7 est inséré sous la forme 0:0:0:0:0:FFFF: A00:C07(A00:C07 est 10.0.12.7); ::0000:10.0.12.7 serait 10.0.12.7.

Utilisation des événementsUtilisation des vues d'ESM 7


Affichage des informations sur les sessionsVous pouvez afficher des informations détaillées sur un événement associé à un ID de session et lesenregistrer dans un fichier csv sur la Visionneuse des sessions.

Pour être associé à un ID de session, un événement doit faire partie d'une session. Une session est lerésultat d'une connexion entre une source et une destination. Les événements internes à l'équipementou à ESM ne sont pas associés à un ID de session.


1 Dans la liste déroulante, sélectionnez la vue qui contient la session que vous souhaitez afficher.

2 Sélectionnez l'événement, cliquez sur l'icône de menu sur la barre de titre du composant, puissélectionnez Accès aux détails des événements | Evénements.

3 Cliquez sur l'événement, puis sur l'onglet Détails avancés, puis cliquez sur l'icône Afficher les données desession située à côté du champ ID de session.

La Visionneuse des sessions s'ouvre et affiche les informations sur la session.

Barre d'outils des vuesLa barre d'outils des vues, située en haut du volet des vues, comporte plusieurs options permettant deconfigurer des vues.

Tableau 7-1

Option Description

1 — Masquer l'arborescence des équipements Cliquez pour développer la vue actuelle et masquer levolet de l'arborescence des équipements.

2 — Navigation entre les vues Accès aux vues précédentes et suivantes.

3 — Liste des vues Sélectionner une vue dans la liste déroulante, laquellerépertorie toutes les vues prédéfinies et personnaliséessélectionnées pour être affichées sur cette liste.

4 — Gestion des vues Gérer toutes les vues (consultez la section Gestion desvues. Vous pouvez sélectionner les vues à inclure à laliste des vues, ajouter des dossiers et renommer,supprimer, copier, importer et exporter des vues.

5 — Actualiser la vue actuelle Actualiser toutes les données actuellement affichéesdans le volet des vues.

6 — Vue par défaut Revenir à la vue par défaut.

7 Utilisation des événementsUtilisation des vues d'ESM


Tableau 7-1

(suite)

Option Description

7 — Imprimer la vue actuelle Imprimer une copie de la vue actuelle. Optionsd'impression disponibles :

• Mettre à l'échelle pour ajuster tous les composants dans une page :les composants inclus à la vue sont redimensionnéspour ajuster la vue à la page.

• Imprimer chaque composant sur une page distincte : chaquecomposant inclus à la vue est imprimé sur une pagedistincte. Si vous cliquez sur Mettez le composant à l'échelleafin de l'ajuster dans la page, chaque composant estredimensionné pour remplir la page.

• Imprimer uniquement la zone affichable : seule la partie de lavue qui est visible sur l'écran est imprimée.

• Exporter au format PDF : la vue est enregistrée dans unfichier PDF.

8 — Modifier la vue actuelle Modifier la vue actuellement affichée, s'il s'agit d'unevue personnalisée. Si vous cliquez sur cette option, laBarre d'outils Modification des vues s'affiche (consultez lasection Ajout d'une vue personnalisée).

9 — Créer une vue Créer une vue personnalisée (consultez la sectionAjout d'une vue personnalisée).

10 — Période Indiquez la période des informations à afficher danscette vue.

11 — Masquer les filtres Cliquez pour développer la vue actuelle et masquer levolet des filtres.

Vues prédéfiniesLa liste déroulante des vues de la barre d'outils des vues vous permet d'accéder aux vues prédéfiniesdu système, ainsi qu'aux vues personnalisées que vous avez ajoutées.

Plusieurs types de vues prédéfinies sont disponibles.

• Les vues Actif, menace et risque affichent des synthèses des données des actifs, menaces et risques,ainsi que les effets possibles sur votre système.

• Vues de la conformité : facilitent la rationalisation des activités de conformité aux réglementations.

• Vues des tableaux de bord : vue d'ensemble des aspects spécifiques du système.

• Statut de l'équipement : affiche l'état des équipements sélectionnés dans l'arborescence de navigationdu système. Si vous cliquez sur un équipement de la vue, les informations d'intégrité relatives àl'équipement sélectionné s'affichent dans la moitié inférieure de la vue.

• Recherche ELM avancée : permet le suivi en temps réel de la progression de la recherche et desrésultats. Cette vue n'est disponible que si un ELM est présent sur le système (voir Vue RechercheELM avancée).



• Vues des événements : analyse détaillée des informations générées par les événements liés àl'équipement sélectionné dans l'arborescence de navigation du système.

• Vues de gestion : vue d'ensemble des aspects du système qui concernent les employés autres queceux du service informatique.

• Vues des flux : analyse détaillée des informations enregistrées pour chaque flux (ou connexion)passant par Nitro IPS (voir Vues des flux).

• McAfee Event Reporter : inclut des vues spécifiques à de nombreux produits McAfee.

• Vues des risques : utilisées avec le gestionnaire par défaut de ACE. Pour afficher correctement lesdonnées des vues des gestionnaires personnalisés, vous devez créer des vues personnalisées.

• Les Vues des workflows d'événements incluent les vues suivantes :

• Alarmes déclenchées : afficher et gérer les alarmes déclenchées lorsque leurs conditions sontremplies (voir la vue Alarmes déclenchées).

• Gestion des incidents : afficher et gérer les incidents du système (voir Affichage de tous lesincidents).

Vues des fluxUn flux est l'enregistrement d'une connexion établie via l'équipement. Si l'analyse de flux est activéepour l'équipement Nitro IPS, les données relatives à chaque flux, ou connexion, établi via Nitro IPSsont enregistrées.

Les flux sont associés à des adresses IP source et destination, des ports, des adresses MAC, unprotocole et une heure de début et de fin (indiquant la durée entre le début et la fin de la connexion).

Comme les flux n'indiquent pas un trafic anormal ou malveillant, il y a plus de flux que d'événements.Un flux n'est pas associé à une signature de règle (ID de signature) comme l'est un événement. Lesflux ne sont pas associés à des actions d'événement de type alerte, abandon et rejet.

Certaines données sont propres aux flux, notamment les octets source et destination, ainsi que lespaquets source et destination. Octets source et paquets indiquez le nombre d'octets et de paquetstransmis par la source du flux. Les Octets source et paquets indiquez le nombre d'octets et de paquetstransmis par la source du flux. Un flux transite dans un sens : un flux entrant est un flux provenant del'extérieur de HOME_NET. Un flux sortant provient de l'intérieur de HOME_NET. Cette variable estdéfinie dans une stratégie pour un équipement Nitro IPS.

Pour afficher les données de flux, vous devez permettre à votre système de les consigner. Vous pouvezalors afficher les flux dans la vue Analyse de flux.

Activation de la journalisation des fluxPour afficher les données d'analyse de flux d'un Nitro IPS, vous devez activer deux variables depare-feu.


1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement.

2Cliquez sur l'icône Editeur de stratégies , puis sélectionnez Variable dans le panneau Types de règle.

3 Développez la catégorie Pare-feu du panneau Affichage des règles.



4 Sur la ligne INBOUND_CONNECTION_STATISTICS, désélectionnez Hériter afin de ne pas observer la valeurde l'héritage, puis tapez Oui et cliquez sur OK.

5 Sur la ligne OUTBOUND_CONNECTION_STATISTICS, désélectionnez Hériter afin de ne pas observer la valeurde l'héritage, puis tapez Oui et cliquez sur OK.

Vue Recherche ELM avancéeLa vue Recherche ELM avancée est disponible si le système comporte au moins un équipement ELM. Ellevous permet d'effectuer des recherches plus détaillées et de suivre en temps réel la progression desrecherches et leurs résultats lorsque vous effectuez des recherches de journaux sur un ouplusieurs ELM.

Cette vue permet d'exploiter les fonctionnalités de génération de rapports statistiques des archives surl'ELM et fournit des informations en temps réel sur la quantité de données à inclure à la recherche.Ainsi, vous pouvez limiter la requête afin de réduire le nombre de fichiers à inclure à la recherche.

Lors du traitement de la recherche, les graphiques affichent les résultats estimés :

• Graphique Répartition temporelle des résultats : affiche les estimations et les résultats en fonction d'unerépartition temporelle. L'axe inférieur varie en fonction des éléments sélectionnés dans la listedéroulante Période.

• Graphique Résultats par source de données : affiche les estimations et les résultats par source de donnéesen fonction des sources de données des équipements sélectionnés dans l'arborescence denavigation des systèmes.

• Graphique Résultats par type d'équipement : affiche les estimations et les résultats par type d'équipementen fonction des équipements sélectionnés dans l'arborescence de navigation des systèmes.

Ces graphiques sont renseignés avant le début de la recherche et mis à jour à mesure que desrésultats sont trouvés. Vous pouvez sélectionner une ou plusieurs barres dans les graphiques Résultatspar source de données ou Résultats par type d'équipement ou surligner une section du graphique Répartition par tempsdes résultats. Cliquez sur Appliquer des filtres pour affiner la recherche dès que les résultats commencent àentrer. Cela vous permet d'accéder aux détails des résultats de recherche et de limiter la quantité desdonnées sur lesquelles la recherche doit porter. A l'issue de la recherche, ces graphiques affichent lesrésultats réels.

Effectuer une recherche ELM avancéeRecherchez des informations spécifiques dans les journaux d'un ou de plusieurs équipements ELM.


1 Sur le volet des vues, sélectionnez Recherche ELM avancée dans la liste déroulante.

2 Si plusieurs équipements ELM sont présents sur le système, sélectionnez les équipements à inclureà la recherche dans la liste déroulante située à côté du champ de texte.

3 Saisissez le texte à rechercher ou une expression régulière dans le champ de texte.

4 Pour choisir une autre période que Jour en cours, sélectionnez-la dans la liste déroulante.

5 Dans l'arborescence de navigation du système, sélectionnez les équipements à inclure à larecherche.



6 Si nécessaire, sélectionnez une ou plusieurs options parmi les suivantes :

• Non-respect de la casse : la recherche ne tient pas compte de la différence entre minuscules etmajuscules.

• Expression régulière : le terme saisi dans le champ de recherche est considéré comme uneexpression régulière.

• Ne contient PAS de terme de recherche : permet d'obtenir les éléments qui ne contiennent pas le termesaisi dans le champ de recherche.

7 Cliquez sur Recherche.

Les résultats s'affichent dans la section Résultats de la recherche de la vue.

8 Durant ou après la recherche, vous pouvez effectuer les actions suivantes.

Option Définition

Enregistrer la recherche Enregistrer les résultats de cette recherche, même si vousnaviguez en dehors de la vue. Vous pouvez consulter lesrecherches enregistrées sur la page Propriétés ELM | Données.

Télécharger le fichier de résultats de la

recherche

Télécharger les résultats dans l'emplacement que vousindiquez.

Copier les éléments sélectionnés dans le

Presse-papiers

Copier les éléments que vous avez sélectionnés dans lePresse-papiers afin de les coller dans un document.

Afficher les détails des données Afficher les détails des journaux que vous sélectionnez dans letableau Résultats de la recherche.

Affichage et gestion des alarmes déclenchéesAffichez et répondez aux alarmes déclenchées mais pas encore supprimées.

Avant de commencer• Vérifiez auprès de votre administrateur que vous faites partie d'un groupe d'accès

disposant des privilèges d'utilisateur des alarmes.

• Vérifiez auprès de votre administrateur si votre console est configurée pour afficher levolet Alarmes (voir la section Sélection des paramètres utilisateur, page 36).


Procédure1 Accédez aux alarmes déclenchées depuis l'un des emplacements ESM suivants :

• Volet Alarmes : situé en bas à gauche du tableau de bord, en dessous de l'arborescence denavigation des systèmes.

• Alerte pop-up visuelle : s'ouvre lors du déclenchement d'une alarme.

•Page Détails : s'ouvre lorsque vous cliquez sur l'icône Détails dans le volet Alarmes.





Acquitter unealarme

• Pour acquitter une alarme, cliquez sur la case à cocher dans la premièrecolonne de l'alarme déclenchée à acquitter.

• Pour en acquitter plusieurs, sélectionnez-les, puis cliquez sur l'icône

Reconnaître l'alarme au bas de la vue.

Le système supprime les alarmes acquittées du volet Alarmes, mais cesdernières s'affichent encore dans la vue Alarmes déclenchées.

Supprimer unealarme dusystème

• Sélectionnez l'alarme déclenchée à supprimer, puis cliquez sur l'icône

Supprimer l'alarme .

Filtrer les alarmes • Entrez les informations à utiliser comme filtre dans le volet Filtres, puis

cliquez sur l'icône Actualiser .

Changerl'utilisateuraffecté auxalarmes


2 Sélectionnez les alarmes, puis cliquez sur Utilisateur affecté et sélectionnez lenouvel utilisateur affecté.

Créer un incidentpour des alarmes


2 Sélectionnez les alarmes, puis cliquez sur Créer un incident et effectuez lessélections souhaitées.

Afficher lesdétails sur unealarme


2 Sélectionnez l'alarme et effectuez l'une des actions suivantes :

• Cliquez sur l'onglet Evénement déclencheur pour afficher les détails surl'événement qui a déclenché l'alarme sélectionnée. Double-cliquez surl'événement pour afficher la description.

Si un seul événement ne répond pas aux conditions d'alarme, il se peutque l'onglet Evénement déclencheur ne s'affiche pas.

• Cliquez sur l'onglet Condition pour voir la condition qui a déclenchél'événement.

• Cliquez sur l'onglet Action pour afficher les actions résultant de l'alarme etles marqueurs ePolicy Orchestrator affectés à l'événement.

Modifier lesparamètres d'unealarmedéclenchée

1Cliquez sur l'alarme déclenchée, puis cliquez sur l'icône Menu etsélectionnez Modifier l'alarme.

2 Dans la page Paramètres d'alarme, apportez les modifications, puis cliquez surTerminer.

Voir aussi Ajout d'un incident, page 337



Ajout d'une vue personnaliséeLes vues personnalisées incluent des composants qui vous permettent d'afficher les informationssouhaitées.


1 Dans la barre d'outils des vues, cliquez sur l'icône Créer une vue , puis cliquez sur un composant etfaites-le glisser à partir de la barre d'outils Modification des vues (voir Composants de vues).

2 Dans l'Assistant Requête, sélectionnez les options pour que la vue génère les données que voussouhaitez afficher (voir Utilisation de l'Assistant Requête), puis cliquez sur Terminer.

Les données s'affichent dans le composant que vous avez ajouté.



Déplacer le composant Cliquez sur la barre de titre du composant, puis effectuez unglisser-déplacer.

Afficher par défaut lesnoms d'hôte à la place desadresses IP

Cliquez sur l'icône Afficher les noms d'hôte dans la barre d'outils d'uncomposant affichant les adresses IP (consultez la section Gestion desnoms d'hôte).

Personnaliser lecomposant

Cliquez sur le composant, puis modifiez les paramètres dans le voletPropriétés (consultez la section Personnalisation des composants).

Ajouter d'autrescomposants à la vue

1 Cliquez sur un composant et faites-le glisser.

2 Dans l'Assistant Requête, sélectionnez les options pour que la vuegénère les données que vous souhaitez afficher, puis cliquez surTerminer.

Enregistrer la vue 1 Cliquez sur Enregistrer ou sur Enregistrer sous, puis entrez le nom de lavue.

Pour l'enregistrer dans un dossier existant, sélectionnez ce dossier.

2 Cliquez sur OK.

Copier et coller uncomposant

1 Cliquez sur le composant que vous souhaitez copier.

2 Cliquez sur Copier, puis sur Coller.

Supprimer un composant Sélectionnez le composant, puis cliquez sur Supprimer.

Quitter l'Editeur de vuessans enregistrer de vue

Supprimez tous les composants, puis fermez la barre d'outilsModification des vues.

Composants de vuesCréez des vues personnalisées pour afficher les données liées aux événements, flux, actifs etvulnérabilités en fonction de vos préférences.

Chaque vue est constituée de composants que vous sélectionnez sur la Barre d'outils Modification des vues etconfigurez pour afficher les données. Lorsque vous sélectionnez un composant, l'Assistant Requête s'ouvrepour vous permettre de définir les détails relatifs aux données affichées dans le composant.



Description des composants de vue Vous pouvez ajouter des composants à une vue personnalisée, parmi les 13 types de composantproposés. Vous pouvez les utiliser pour configurer la vue afin d'optimiser le format d'affichage desdonnées.

Composant Description

Cadran de contrôle Affiche les données pour que vous puissiez les consulter en un coup d'œil.Cette vue est dynamique et elle peut être liée aux autres composants de laconsole. Elle est mise à jour à mesure que vous interagissez avec laconsole ESM.

Chaque cadran inclut un indicateur de référence ( ). Les gradients situéssur le contour du cadran deviennent rouges lorsqu'ils sont supérieurs àl'indicateur de référence. Tout le cadran peut éventuellement changer decouleur pour représenter un comportement anormal : il devient jaunelorsqu'il est dans les limites d'un certain seuil de référence ou rouge lorsquece seuil est dépassé.

L'option Fréquence vous permet d'ajuster la fréquence des données affichées.Exemple : si vous regardez Jour en cours et Nombre total d'événements et modifiezla fréquence pour la définir sur heure, vous pouvez observer le nombred'événements par heure pour le jour donné. Cette option est désactivée sila requête que vous visualisez est déjà établie en moyenne, parexemple Gravité moyenne ou Moyenne des octets.

Graphique sourceet de destination

Affiche l'activité d'ensemble correspondant aux adresses IP d'événement oude flux. L'option d'événement vous permet de spécifier des adresses IP etd'afficher toutes les attaques effectuées sur les adresses IP spécifiées. Vouspouvez également afficher toutes les attaques effectuées par les adresses IPspécifiées sur d'autres adresses. L'option de flux vous permet de spécifierdes adresses IP et d'afficher les adresses IP qui sont connectées auxpremières. Vous pouvez également afficher les connexions établies par lesadresses IP.

Ce graphique inclut un champ ouvert en bas du composant qui vous permetd'afficher les événements ou flux sources et de destination correspondant àune adresse IP spécifique. Tapez l'adresse dans le champ ou sélectionnez-en

une que vous avez déjà utilisée, puis cliquez sur l'icône Actualiser .

Graphique àsecteurs

Affiche les informations recherchées dans un graphique à secteurs. Cetteoption est utile si vous disposez d'un nombre moindre de catégories àafficher (exemple : une requête de protocole ou d'action).

Tableau Affiche les informations de requête dans plusieurs colonnes. Ce composantest utile pour afficher les données d'événement et de flux à leur granularitémaximale.

Graphique à barres Affiche les informations recherchées dans un graphique à barres, vouspermettant ainsi de comparer la taille de chaque résultat dans un intervalledonné.

Liste Affiche les données de requête sélectionnées au format Liste. Ce composantest utile si vous souhaitez afficher une liste plus détaillée des éléments dansun espace plus petit.

Distribution Affiche la distribution des événements et des flux au cours d'une période.Vous pouvez définir des intervalles et consulter des tranches horairesspécifiques pour former les données.

Zone desremarques

Composant vide qui est utilisé pour les notes de texte. Il vous permetd'écrire les notes associées à la vue actuelle.



Composant Description

Nombre Affiche le nombre total d'événements, d'actifs, de vulnérabilités ou de fluxrecherchés pour une vue spécifique.

Titre Permet de créer un titre ou un en-tête pour la vue. Vous pouvez le placern'importe où sur la vue.

Topologie deréseau

Permet d'afficher les données représentées sur le réseau. Vous pouvezégalement créer une vue personnalisée qui peut être utilisée conjointementavec les données de découverte du réseau (voir Ajout d'équipements aucomposant Topologie de réseau).

Carte degéolocalisation

Affiche l'emplacement de destination et source des alertes et des flux surune carte de géolocalisation. Les options de ce composant vous permettentde basculer entre le marquage de ville, d'Etat, de pays et de zones dumonde et entre le zoom avant et arrière. Vous pouvez égalementsélectionner des emplacements à l'aide des touches Ctrl et Maj.

Liste de filtres Affiche la liste des utilisateurs et des groupes d'Active Directory. Une fois lecomposant Liste de filtres ajouté, vous pouvez lui lier d'autres composants encliquant sur la flèche vers le bas dans les champs de filtre Utilisateur source ouUtilisateur de destination de l'Assistant Requête et en sélectionnant Lier à Liste ActiveDirectory. Vous pouvez également afficher les données d'événement et de fluxassociées à Active Directory en cliquant sur l'icône de menu.

Personnalisation des composantsSi vous ajoutez ou modifiez un composant, plusieurs options disponibles dans le panneau Propriétésvous permettent de le personnaliser. Les options disponibles dépendent du composant sélectionné.

Option Définition

Titre Permet de modifier le titre d'un composant.

Largeur et Hauteur Permet de définir les dimensions du composant. Vous pouvez également cliquersur la ligne de délimitation et la faire glisser.

X et Y Permet de définir l'emplacement du composant dans la vue. Vous pouvezégalement cliquer sur la barre de titre du composant, puis effectuer unglisser-déplacer.

Modifier la requête Apporter des modifications à la requête actuelle. Si vous cliquez sur ce bouton,l'Assistant Requête s'ouvre (voir Utilisation de l'Assistant Requête).

Afficher la barre decontrôle

Permet d'indiquer si vous souhaitez afficher la barre de contrôle en bas ducomposant.

Taille de la page Permet de définir le nombre d'enregistrements affichés par page si plusieursdonnées peuvent être affichées simultanément.

Afficher la valeur Autres Si cette option est sélectionnée, la valeur Autres s'affiche en bas d'un composantde type graphique ou liste. Elle indique le total de l'ensemble desenregistrements qui ne sont pas affichés dans la page actuelle. Exemple : sivous consultez la page deux d'un ensemble d'enregistrements, la catégorie Autrescorrespond à la somme de la page une et de toutes les pages qui suivent lapage deux.

Afficher la légende Permet d'afficher une légende au-dessous ou à droite d'un graphique à secteurs.

Afficher les valeurs Permet d'inclure la valeur de chaque élément dans un graphique à barres.



Option Définition

Afficher les étiquettes Permet d'inclure une étiquette pour chaque barre d'un graphique à barres. Vouspouvez définir le nombre maximal de caractères qui peuvent être affichés dansune étiquette. Si l'option est définie sur 0, aucune limite maximale n'est définiepour l'étiquette.

Afficher les moyennesde référence

Permet de comparer les données actuelles avec les données historiques d'undiagramme de répartition, d'un graphique à barres ou d'un cadran de contrôle.Vous pouvez utiliser deux options différentes lors de l'affichage des données deréférence :• Utiliser une période automatique : si cette option est sélectionnée, les données de

référence sont mises en corrélation en utilisant la période appliquée pour larequête actuelle pendant les cinq derniers intervalles. Exemple : si vousexécutez une requête sur le jour en cours un lundi, les données de référencesont calculées pour la même période pendant les cinq derniers lundis. Unnombre moindre d'intervalles est utilisé si aucune donnée n'existe pour unintervalle donné. La moyenne des valeurs qui sont collectées à partir dechaque intervalle est établie pour calculer la valeur de référence actuelle.

• Utiliser une période spécifique : la sélection de cette période vous permet despécifier une heure de début et de fin à utiliser pour calculer une moyenne. Sicette option est utilisée, elle est calculée en tant que période unique. Elleproduit une moyenne plate dans le cas des rapports de distribution.

Les données de référence sont affichées dans les diagrammes de distributionsous forme d'une ligne bleue. Cette ligne est plate si l'option Utiliser une périodespécifique est sélectionnée ou si le nombre de données est insuffisant pourcalculer une valeur corrélée. Cette ligne est courbe (en supposant quedifférentes valeurs soient affichées pour chaque période) si une valeur corréléeest calculée. Le graphique à barres affiche un pointeur au niveau du point deréférence de chaque barre. Si la valeur actuelle est supérieure à la valeur deréférence, la barre est rouge au-dessus du marqueur de référence. Si legraphique à barres affiche la gravité d'une règle, la couleur de la barre nechange pas pour la valeur de référence.

Une option supplémentaire vous permet de définir une valeur de marge àafficher avec les données de référence. La valeur de marge est calculée à partirde la valeur de référence. Par exemple si la valeur de référence est 100 et si lamarge supérieure est égale à 20 %, la valeur de marge calculée correspondà 120. Si vous activez cette fonctionnalité, la zone de la marge s'affiche pourchaque barre d'un graphique à barres. Un diagramme de répartition calcule lavaleur moyenne de la référence et affiche une zone grisée au-dessus etau-dessous de la référence qui indique la zone de la marge.

Liste des équipements Effectuez un glisser-déplacer des équipements vers le composant Topologie deréseau ou l'arborescence Groupements d'équipements logiques.

Groupementsd'équipements logiques

Permet de créer des dossiers pour grouper les équipements du composantTopologie de réseau.

Arrière-plan Sélectionner la couleur de l'arrière-plan de la vue. URL de l'image d'arrière-plan vouspermet d'importer une image et de l'utiliser comme arrière-plan.

Ajout d'équipements au composant Topologie de réseauLe composant Topologie de réseau vous permet d'obtenir les données d'événement et de flux deséquipements ou de l'arborescence des équipements, et d'afficher les données représentées sur leréseau.

Avant de commencerVous devez découvrir votre réseau avant l'affichage de la liste des équipements (consultezla section Découverte du réseau).



Ce composant vous permet de créer une vue personnalisée qui peut être utilisée avec les données dedécouverte du réseau. Une fois que vous avez créé une vue Topologie de réseau, vous devez lapersonnaliser pour afficher les informations d'événement ou de flux (consultez la section Ajout d'unevue personnalisée).


1 Lorsque vous ajoutez ou modifiez une vue, cliquez sur le composant Topologie du réseau d'événements.

Le volet Propriétés affiche la Liste des équipements et l'arborescence Groupements d'équipements logiques.

2 Dans la Liste des équipements ou la Liste des dossiers, sélectionnez un équipement ou un dossier, puisexécutez l'une des procédures suivantes :

• Pour ajouter l'équipement ou le dossier au composant, effectuez un glisser-déplacer de cetélément vers le composant.

• Pour ajouter l'équipement ou le dossier à un groupe de l'arborescence Groupements d'équipementslogiques, cliquez sur Ajouter, entrez le nom du dossier, cliquez sur OK, puis effectuez unglisser-déplacer de l'équipement dans le dossier.

3 Organisez les équipements.

Les équipements qui sont physiquement connectés au système sont indiqués par une ligne droite noiredans le composant. Les lignes courbes bleues ou rouges indiquent un chemin d'accès des données.

Détails d'équipement dans les composants Topologie de réseauVous pouvez afficher les détails spécifiques d'un équipement dans un composant Topologie de réseaulorsque vous double-cliquez sur cet équipement. Cet écran vous permet d'afficher les informations surl'interface et le poste client, par exemple la synthèse des ports, le nombre total d'équipements etl'état des équipements.

Option Définition

Synthèse des ports pour Indique le port que vous consultez actuellement.

Total Indique le nombre total des équipements.

Au-dessus de la moyenne de référence Indique le nombre d'équipements au-dessus de la moyenne deréférence actuelle.

Représente une station de travail.

Indique que des données d'alerte sont associées à l'interface etqu'elles sont inférieures à la moyenne de référence.

Indique que des données d'alerte sont associées à l'interface etqu'elles sont supérieures à la moyenne de référence.

Indique qu'aucune donnée d'alerte n'est associée à l'interface.

Indique que l'état d'administration est à l'arrêt (pas seulement auniveau opérationnel).



Option Définition

Représente un routeur.

Indique que le port de commutateur fonctionne.

Représente un équipement inconnu.

Représente un équipement non managé.

Indique qu'ESM ne peut pas communiquer avec l'équipement via leprotocole SNMP, la découverte du réseau ou une requête ping.

Barre d'outils de composantLa barre d'outils de composant, située en bas de chaque composant d'une vue, propose plusieursactions que vous pouvez exécuter sur les données du composant. Les actions disponibles dépendentdu type de composant.

Option Définition

Marquer le ou les événements comme vérifié(s) : marquer desévénements spécifiques après les avoir vérifiés. Vous pouvezensuite utiliser la liste déroulante Modifier le filtre d'étatd'événement pour afficher uniquement les événements vérifiésou uniquement les événements non vérifiés.

Affecter des événements à un incident ou à Remedy : affecter desévénements à un incident (voir Gestion des incidents) ouenvoyer un e-mail au système Remedy (si vous en avezconfiguré un). Si vous cliquez sur cette icône, vous pouvezsélectionner :• Créer un incident

• Ajouter des événements à un incident

• Envoyer l'événement vers Remedy (consultez lasection Envoi d'un e-mail à Remedy)

Lancer l'URL de l'équipement : lancer l'URL qui est associée àl'événement sélectionné, si vous en avez ajouté une pourl'équipement (voir Ajout d'une URL). Si vous n'en avez pasdéfini, vous êtes invité à l'ajouter.

Afficher ou Masquer les noms d'hôte : afficher ou masquer lesnoms d'hôte associés aux adresses IP de la vue(voir Gestion des noms d'hôte).

Icônes de type de graphique Modifier le type de graphique : modifier le type de graphique quiaffiche les données. L'icône de cette fonctionnalité est l'icônede composant correspondant au type de graphique actuel.



Option Définition

Afficher ou Masquer les détails des données : afficher ou masquerles détails relatifs à l'événement sélectionné. Cette sectioncontient plusieurs onglets :

• Détails : affiche les informations disponibles relatives àl'événement ou au flux sélectionné.

• Détails avancés : affiche les informations relatives àl'équipement réseau source, à l'équipement réseau dedestination et aux recours. Vous pouvez rechercher desévénements ou des flux en fonction de leur ID si vousdisposez des droits suffisants pour afficher cesenregistrements, en cliquant sur l'icône de loupe à droitedu champ ID d'événement ou ID de flux.

• Géolocalisation : affiche l'emplacement de la source et de ladestination de l'événement sélectionné.

• Description : indique le nom, la description et la signature oula règle associée à l'événement.

• Notes : vous permet d'ajouter des notes à l'événement ouau flux, qui s'affichent chaque fois que vous affichez cetélément particulier.

• Paquet : récupère le contenu du paquet qui a générél'événement sélectionné. Cet onglet vous permetd'exécuter les fonctions suivantes :

• Sélectionner le format d'affichage du paquet.

• Récupérer les données de paquet en cliquant sur .

• Enregistrer le paquet sur l'ordinateur en cliquant

sur . S'il s'agit d'une capture des paquets (PCAP)(par exemple des événements Nitro IPS, desévénements ADM ou des événements Estreamer durécepteur), elle est enregistrée avec une extension .pcapet peut être ouverte dans un programme devisualisation PCAP. Si tel n'est pas le cas, elle estenregistrée en tant que fichier texte.

• Le définir pour récupérer le paquet automatiquementlorsque vous cliquez sur un événement.

• Rechercher des informations dans le paquet en entrantle mot clé dans le champ Rechercher du texte et en cliquant

sur .

N'utilisez pas de caractères spéciaux tels que descrochets ou des parenthèses dans le champ Rechercher dutexte.

• Evénements sources : si un événement de corrélation ou devulnérabilité est sélectionné, affiche l'ensemble desévénements qui ont provoqué sa génération.

• Archive ELM : si vous entrez du texte dans le champRechercher du texte, récupère les données qui sont archivées



Option Définition

dans ELM. Si l'événement est agrégé, un récepteur ou unéquipement ACE affiche jusqu'à 100 événements agrégés.

• Types personnalisés : si vous avez défini des typespersonnalisés (voir Filtres de type personnalisé), afficheles champs de type personnalisé et les données de cetévénement qui appartiennent à ces champs.

• Informations : affiche les informations que sont le nom del'équipement, l'adresse IP, la version du systèmed'exploitation et de l'équipement, la description dusystème, le contact du système et l'emplacement physiquedu système.

• Interfaces : affiche le nom du port, la vitesse du port, leréseau local virtuel (VLAN), l'état d'administration et l'étatopérationnel.

• Voisins : affiche des informations spécifiques relatives auxéquipements voisins, par exemple l'interface locale,l'équipement voisin et l'interface voisine.

Modifier la période et la fréquence d'intervalle : définir la fréquencesouhaitée de l'actualisation des données du graphique.

Définir la fréquence : sélectionnez la fréquence des donnéesaffichées (aucune, par seconde, par minute, par heure, parjour, par semaine et par mois).

Adresse IP : afficher les événements ou flux sources et dedestination correspondant à une adresse IP spécifique.Entrez l'adresse dans le champ ou sélectionnez une adresseque vous avez déjà utilisée, puis cliquez sur l'icône

Actualiser .

Options de géolocalisation : basculer entre le marquage de ville,d'Etat, de pays et de régions du monde, et entre le zoomavant et arrière, ainsi que sélectionner des emplacements àl'aide des touches Ctrl et Maj.

Changer de page : parcourir les données lorsqu'il y a plusieurspages.

Modifier le filtre d'état d'événement : sélectionnez le typed'événement ou de flux à afficher dans la liste d'analyses.Vous pouvez afficher tous les événements, uniquement lesévénements vérifiés, uniquement événements non vérifiés,les événements corrigés, tous les flux, seulement les fluxouverts ou seulement les flux fermés.

Boutons de l'historique : avancer et reculer dans lesmodifications apportées à la vue.

ou Afficher les chemins d'accès des données ou Masquer les chemins d'accèsdes données : afficher ou masquer la liaison de donnéesd'événement ou de flux entre deux équipements.

Masquer le texte : afficher ou masquer les étiquettes del'équipement dans la vue Topologie de réseau.



Envoi d'un e-mail RemedySi vous configurez un système Remedy, vous pouvez envoyer un message e-mail pour indiquer ausystème qu'un événement requiert une correction. Lorsque vous effectuez cette procédure, vousrecevez un numéro d'incident Remedy à ajouter à l'enregistrement d'événement.

Un système Remedy est configuré par l'utilisateur et n'est pas relié à McAfee Nitro IPS.


1 Sur une vue d'événements, sélectionnez l'événement qui requiert une mesure corrective.

2Cliquez sur l'icône de lancement rapide Affecter des événements à un incident ou à Remedy , puissélectionnez Envoyer l'événement vers Remedy.

3 Ajoutez le Préfixe, le Mot clé et l'ID d'utilisateur d'entreprise.

4 (Facultatif) Ajoutez des informations dans Détails, qui contient des informations générées par lesystème concernant l'événement.

5 Cliquez sur Envoyer.

Options de menu des composants

La plupart des composants d'une vue comportent un menu qui affiche les options disponibles pourle composant. Ce tableau indique les éléments possibles.

Option Définition

Accès aux détails (événement,flux, actif)

Permet d'afficher les détails supplémentaires correspondant au type dedonnées sélectionné dans les listes d'accès aux détails. Une nouvellevue affiche les détails.

Synthétiser ou Synthétiser par Permet d'afficher d'autres données d'événement ou de flux quipartagent les caractéristiques des événements sélectionnés. Exemple :si vous consultez un événement d'analyse de ports dans l'écrand'analyse et si vous souhaitez voir les autres événements générés parle même auteur d'attaque, cliquez sur l'événement, sélectionnezSynthétiser par, puis cliquez sur Source IP.

Modifier les paramètresd'agrégation

Permet de créer une exception aux paramètres d'agrégation générauxpour une règle individuelle (consultez la section Ajout d'exceptions auxparamètres d'agrégation des événements).

Actions

Créer une liste devaleurs

Sélectionner des événements d'une vue et les ajouter à une nouvelleliste de valeurs (voir Listes de valeurs).

Ajouter à la liste desurveillance

Sélectionnez des événements d'une vue, puis ajoutez-les à une liste desurveillance existante.

Créer une alarme Sélectionnez des événements d'une vue, puis créez une alarme baséesur leurs valeurs (consultez la section Création d'une alarme).

Exécuter uneanalyse MVM

Lancer une analyse McAfee Vulnerability Manager si votre systèmecomporte un équipement McAfee Vulnerability Manager.

Lancer ePO Ouvrir l'interface d'ePolicy Orchestrator (voir Lancement d'ePolicyOrchestrator).

Historique del'exécution TIE

Lorsqu'un événement TIE est sélectionné, vous pouvez ouvrir la pageHistorique de l'exécution TIE pour afficher les adresses IP à l'origine de latentative d'exécution du fichier sélectionné. Cette page vous permet decréer une nouvelle liste de valeurs, d'ajouter un fichier à une liste devaleurs, de créer une nouvelle alarme, de mettre un fichier en listenoire, d'exporter un fichier au format CSV ou d'ajouter des marqueursePolicy Orchestrator au fichier.



Option Définition

Afficher la règle Permet d'afficher la règle qui a généré l'événement.

Informations sur l'adresse IP Rechercher des informations sur une adresse IP ou un port source oucible. Vous pouvez afficher les informations sur les menaces et lesrésultats de la recherche WHOIS relatifs à l'adresse IP sélectionnée.

Recherche ASN Permet de récupérer un enregistrement WHOIS à l'aide del'identificateur ASN.

Parcourir la référence Permet d'ouvrir votre navigateur web par défaut et de vous connecter àla base de données McAfee des signatures en ligne, qui fournit desinformations sur la signature qui a généré l'événement sélectionné.

Définir un ID d'incident Remedy Ajouter l'ID d'incident Remedy, que vous avez reçu lorsque vous avezenvoyé un e-mail d'événement au système Remedy, à l'enregistrementd'événement à des fins de référence (voir Ajout d'un ID d'incidentRemedy à un enregistrement d'événement).

Liste noire Ajouter l'adresse IP de l'événement sélectionné à la liste noire. Si voussélectionnez cette option, l'Editeur de liste noire s'ouvre, où le champAdresse IP est rempli avec les données de l'événement sélectionné(voir Liste noire d'IPS ou d'un équipement virtuel).

Rechercher dans ELM Rechercher des informations contenues dans ELM relatives àl'événement que vous avez sélectionné. La page Recherche ELM avancées'ouvre et les champs sont remplis avec les données que voussélectionnez (voir Effectuer une recherche ELM avancée).

Modifier le réseau local virtuel(VLAN)

Modifier le réseau local virtuel (VLAN) des équipements sélectionnés.Vous pouvez sélectionner de 1 à 12 équipements.

Désactiver ou activer un ouplusieurs ports

Sélectionner un ou plusieurs ports d'une interface ou d'un poste client.Selon votre sélection, l'option de désactivation ou d'activation s'affiche.Par exemple, si vous avez sélectionné cinq interfaces, que l'une estactivée et les quatre autres désactivées, vous pouvez uniquementdésactiver le port. Néanmoins, si vous sélectionnez un port qui estdésactivé, l'option Activer un ou plusieurs ports est disponible.

Afficher les événements ou Afficherles flux

Permet d'afficher les événements générés par un flux ou les fluxgénérés par un événement.

Exporter Exporter un composant de vue au format PDF, texte, CSV ou HTML(voir Exportation d'un composant).

Supprimer Permet de supprimer des événements ou des flux dans la base dedonnées. Vous devez être membre d'un groupe disposant des privilègessur les événements. Vous ne pouvez supprimer que les enregistrementsactuellement sélectionnés, la page actuelle des données ou un nombremaximal de pages commençant à la page 1.

Marquer comme vérifié Permet de marquer les événements vérifiés. Vous pouvez marquer tousles enregistrements de l'ensemble de résultats, la page actuelle ou lesenregistrements sélectionnés.

Créer une règle de pare-feupersonnalisée

Créer une règle de pare-feu personnalisée basée sur les propriétés del'événement ou du flux sélectionné. Si vous cliquez sur Créer une règle depare-feu personnalisée, la page Nouvelle règle s'ouvre (voir Ajout derègles ADM, de base de données ou de corrélation personnalisées).

Créer une règle personnalisée Créer une règle personnalisée en utilisant comme point de départ lasignature qui a déclenché une alerte particulière. Cette option estdisponible si vous sélectionnez les alertes générées par des règlesstandard (autres que de pare-feu). Si vous cliquez sur Créer une règlepersonnalisée, la page Nouvelle règle s'ouvre (voir Ajout de règles ADM, debase de données ou de corrélation personnalisées).



Effectuer une recherche WHOIS ou ASNSur un composant de tableau, vous pouvez effectuer une recherche WHOIS pour trouver desinformations sur une adresse IP source ou de destination. La Recherche ASN est disponible pour touterequête ASN d'un graphique à barres et tout enregistrement de flux d'un composant de tableaucontenant des données ASN. Elle permet d'obtenir un enregistrement WHOIS en utilisantl'identificateur ASN.


1 Sélectionnez une adresse IP ou un enregistrement de flux contenant des données ASN répertoriéesdans un composant de tableau, ou bien une barre de requête ASN sur un composant de graphiqueà barres.

2Cliquez sur le menu , puis sélectionnez Informations sur l'adresse IP ou Recherche ASN.

3 Pour rechercher une autre adresse IP ou un autre identificateur :

• Sur la page WHOIS, sélectionnez une adresse IP dans la liste déroulante, puis entrez le nomd'hôte.

• Sur la page Recherche ASN, entrez un numéro ou sélectionnez-le dans la liste déroulante.

Ajout d'un ID d'incident Remedy à un enregistrement d'événementLorsque vous envoyez un e-mail d'événement au système Remedy, vous recevez un numéro d'IDd'incident que vous pouvez ajouter à l'enregistrement d'événement à des fins de référence.


1Surlignez l'événement dans la vue Analyse d'événement, puis cliquez sur le menu .

2 Sélectionnez Définir un ID d'incident Remedy, tapez le numéro, puis cliquez sur OK.

Exportation d'un composantVous pouvez exporter les données d'un composant de vue ESM. Les composants de graphique peuventêtre exportés au format texte ou PDF et les composants de table au format CSV (valeurs séparées pardes virgules) ou HTML.

Lorsque vous exportez la page actuelle d'un composant de graphique, de distribution ou de tableaud'une vue, les données exportées correspondent exactement aux données affichées lorsque vouslancez l'exportation. Si vous exportez plusieurs pages, la requête est de nouveau exécutée lors del'exportation des données. Par conséquent, les données peuvent être différentes de celles qui sontaffichées sur le composant.


1Dans une vue, cliquez sur le menu du composant à exporter, puis sur Exporter.

2 Sélectionnez l'un des formats suivants :

• Texte : exportez les données au format texte.

• PDF : exportez les données et une image.



• Image en PDF : exportez uniquement l'image.

• CSV : exportez une liste au format délimité par des virgules.

• HTML : exportez les données dans un tableau.

3 Sur la page Exporter, indiquez les données que vous souhaitez exporter.

• Si vous avez sélectionné Texte ou PDF, vous pouvez exporter la page actuelle des données ou unnombre maximal de pages à partir de la page 1.

• Si vous avez sélectionné Image en PDF, une image est générée.

• Si vous avez sélectionné CSV ou HTML, vous pouvez exporter les éléments sélectionnés,seulement la page actuelle des données ou un nombre maximal de pages à partir de la page 1.

4 Cliquez sur OK.

Le fichier d'exportation est généré et vous êtes invité à télécharger le fichier obtenu.

Utilisation de l'Assistant RequêteChaque rapport ou vue de l'ESM regroupe des données en fonction des paramètres de requête dechaque composant.

Lorsque vous ajoutez ou modifiez une vue ou un rapport, vous définissez les paramètres de requêtepour chaque composant dans l'Assistant Requête en sélectionnant le type de requête, la requête, leschamps à inclure et les filtres à utiliser. Toutes les requêtes prédéfinies et personnalisées du systèmesont répertoriées dans l'assistant, ainsi vous pouvez sélectionner les données que vous souhaitezcollecter à l'aide du composant. Vous pouvez également modifier ou supprimer les requêtes, ainsi quecopier une requête existante à utiliser comme modèle pour définir une nouvelle requête.

Gestion des requêtesESM comporte des requêtes prédéfinies que vous pouvez sélectionner dans l'Assistant Requête lorsquevous ajoutez ou modifiez un rapport ou une vue. Vous pouvez modifier certains paramètres de cesrequêtes, ainsi qu'ajouter ou supprimer des requêtes personnalisées.


1 Pour accéder à l'Assistant Requête, effectuez l'une des actions suivantes.


Ajouter unenouvelle vue

1Cliquez sur l'icône Créer une vue située dans la barre d'outils des vues.

2 Faites glisser un composant de la Barre d'outils Modification des vues pour le placerdans le volet des vues.

L'Assistant Requête s'ouvre.

Modifier une vueexistante

1 Sélectionnez la vue que vous souhaitez modifier.

2Cliquez sur l'icône Modifier la vue actuelle située dans la barre d'outils desvues.

3 Cliquez sur le composant que vous souhaitez modifier.

4 Cliquez sur Modifier la requête dans le volet Propriétés.L'Assistant Requête s'ouvre sur la deuxième page.




Définir ladisposition d'unnouveau rapport

1 Dans Propriétés du système, cliquez sur Rapports.

2 Cliquez sur Ajouter.

3 Dans la section 5 de la page Ajouter un rapport, cliquez sur Ajouter.

4 Faites glisser un composant pour le placer dans la section des dispositions derapport.

L'Assistant Requête s'ouvre.

Modifier ladisposition d'unrapport existant

1 Dans Propriétés du système, cliquez sur Rapports.

2 Sélectionnez le rapport à modifier, puis cliquez sur Modifier.

3 Dans la section 5 de la page Modifier le rapport, sélectionnez une dispositionexistante, puis cliquez sur Modifier.

4 Cliquez sur le composant dans la section des dispositions de rapport, puiscliquez sur Modifier la requête dans la section Propriétés.

L'Assistant Requête s'ouvre sur la deuxième page.

2 Dans l'Assistant Requête, effectuez l'une des actions suivantes :


Ajouter une nouvellerequête

1 Sélectionnez la requête que vous souhaitez utiliser comme modèle, puiscliquez sur Copier.

2 Entrez le nom de la nouvelle requête, puis cliquez sur OK.

3 Dans la liste de requêtes, cliquez sur la requête que vous venezd'ajouter, puis cliquez sur Suivant.

4 Sur la deuxième page de l'assistant, modifiez les paramètres en cliquantsur les boutons.

Modifier une requêtepersonnalisée

1 Sélectionnez la requête personnalisée que vous souhaitez modifier, puiscliquez sur Modifier.

2 Sur la deuxième page de l'assistant, modifiez les paramètres en cliquantsur les boutons.

Supprimer unerequêtepersonnalisée

Sélectionnez la requête personnalisée que vous souhaitez supprimer, puiscliquez sur Supprimer.


Liaison de composantsSi un composant de vue est lié à un autre composant à l'aide d'une liaison de données, la vue devientinteractive.

La sélection d'un ou plusieurs éléments dans le composant parent provoque la modification desrésultats affichés dans le composant enfant comme si un accès aux détails était exécuté. Exemple : sivous avez lié un composant IP source de graphique à barres parent à un composant IP de destinationde graphique à barres enfant, la sélection d'un élément dans le composant parent provoque



l'exécution d'une requête par le composant enfant à l'aide de l'IP source sélectionnée en tant quefiltre. La modification de la sélection dans le composant parent actualise les données du composantenfant.

La liaison de données n'autorise que la liaison d'un champ avec un autre champ.


1 Créez les composants parent et enfant, puis sélectionnez le composant enfant.

2 Dans le volet Propriétés, cliquez sur Modifier la requête | Filtres.

La page Filtres de requête s'ouvre avec les requêtes parent et enfant activées.

3 Dans la liste déroulante des requêtes enfant, sélectionnez Lier à.

4 Cliquez sur OK, puis sur Terminer.

Comparaison des valeursLes graphiques de distribution vous permettent de superposer une variable supplémentaire augraphique actuel.

De cette façon, vous pouvez comparer deux valeurs pour indiquer facilement les relations, parexemple, entre le nombre total d'événements et la gravité moyenne. Cette fonctionnalité fournit en uncoup d'œil des comparaisons de données intéressantes sur la durée. En combinant les résultats en ungraphique de distribution unique, elle est également utile pour économiser l'espace de l'écran lors dela création de larges vues.

La comparaison est limitée au même type que la requête sélectionnée. Exemple : si une requêted'événement est sélectionnée, vous ne pouvez procéder à une comparaison qu'avec les champs de latable des événements et pas avec ceux de la table des flux, des actifs ou des vulnérabilités.

Si vous appliquez les paramètres de la requête au diagramme de distribution, il exécute normalementsa requête. Si le champ de comparaison est activé, une requête secondaire est exécutée parallèlementpour les données. Le composant de distribution affiche les données des deux ensembles de donnéessur le même graphique, mais utilise deux axes verticaux distincts. Si vous modifiez le type degraphique (angle inférieur droit du composant), les deux ensembles de données restent cependantaffichés.

Comparaison des valeurs de graphiquesVous pouvez comparer les données d'un graphique de distribution avec une variable que vous avezsélectionnée.


1Sélectionnez l'icône Créer une vue ou l'icône Modifier la vue actuelle .

2Cliquez sur l'icône Distribution , puis faites-la glisser sur la vue pour ouvrir l'Assistant Requête.

3 Sélectionnez le type de requête et la requête, puis cliquez sur Suivant.

4 Cliquez sur Comparer, puis sélectionnez le champ que vous souhaitez comparer à la requête quevous avez sélectionnée.



5 Cliquez sur OK, puis sur Terminer

6 Placez le composant à l'endroit approprié de la vue, puis :

• Cliquez sur Enregistrer si vous ajoutez le composant à une vue existante.

• Cliquez sur Enregistrer sous et ajoutez le nom de la vue si vous créez une nouvelle vue.

Configuration de la répartition empilée pour les vues et les rapportsConfigurer le composant de distribution sur une vue ou un rapport afin de visualiser la répartition desévénements relatifs à un champ spécifique.

Vous pouvez sélectionner le champ à utiliser pour l'empilement lorsque vous ajoutez le composant àune vue ou un rapport. Lorsque vous accédez à la vue, vous pouvez modifier les paramètres, ainsi quedéfinir l'intervalle de temps, le type de graphique et ses détails.

Vous ne pouvez pas utiliser les fonctionnalités Empilement et Comparer dans la même requête.


1 Faites glisser le composant Distribution pour le placer sur une vue (voir Ajout d'une vue personnalisé)ou sur un rapport (voir Ajout d'une disposition de rapport), puis sélectionnez le type de requête.

L'empilement n'est pas disponible pour les requêtes de distribution Fréquence de collecte ou Moyenne (parexemple, Gravité moyenne par alerte ou Durée moy. par flux).

2 Sur la deuxième page de l'Assistant Requête, cliquez sur Empilement, puis sélectionnez les options.

3 Cliquez sur OK sur la page Options d'empilement, puis sur Terminer dans l'Assistant Requête.

La vue est ajoutée. Vous pouvez modifier les paramètres et définir l'intervalle de temps et le type de

graphique en cliquant sur l'icône Options des graphiques .

Gestion des vuesLa gestion des vues est moyen rapide de copier, importer et exporter plusieurs vues en même temps.Elle permet également de sélectionner les vues à inclure dans la liste des vues et d'attribuer à desutilisateurs et des groupes particuliers des autorisations d'accès aux différentes vues.


1Sur la console ESM, cliquez sur l'icône Gérer les vues .

2 Sélectionnez l'une des options disponibles, puis cliquez sur OK.

Effectuer une recherche dans la période d'un événementLa vue Analyse d'événement vous permet de rechercher des événements qui correspondent à un ouplusieurs champs de l'événement dans la période sélectionnée avant ou après l'événement.




1 Sur la console ESM, cliquez sur la liste des vues, puis sélectionnez Vues des événements | Analysed'événement.

2Cliquez sur un événement, puis sur l'icône de menu , puis cliquez sur Recherche dans la période.

3 Sélectionnez la période en minutes avant ou après l'heure de l'événement dans laquelle voussouhaitez rechercher des concordances.

4 Cliquez sur Sélectionner un filtre, sélectionnez le champ sur lequel effectuer la recherche deconcordance, puis entrez la valeur.

Les résultats s'affichent dans la vue Résultats de la recherche dans la période.

Si vous quittez cette vue, vous pouvez y revenir ultérieurement en cliquant sur Dernière recherche dansune période dans le menu Analyse d'événement.

Affichage des informations sur l'adresse IP d'un événementSi vous possédez une licence McAfee

®

Global Threat Intelligence™

(McAfee GTI) fournie par McAfee,vous avez accès au nouvel onglet Détails de la menace lorsque vous effectuez une recherche sur lesInformations sur l'adresse IP. Si vous sélectionnez cette option, vous obtenez des informations surl'adresse IP, notamment la gravité des risques et des données de géolocalisation.

Avant de commencerAchetez une licence McAfee GTI (voir McAfee GTIListe de valeurs).

Si votre licence McAfee GTI a expiré, contactez votre ingénieur commercial McAfee ou lesupport technique McAfee.


1 Sur la console ESM, sélectionnez une vue incluant un composant de tableau telle que Vues desévénements | Analyse d'événement.

2Cliquez sur une adresse IP, sur l'icône de menu d'un composant associé à une adresse IP, puiscliquez sur Informations sur l'adresse IP.

L'onglet Détails de la menace répertorie les données de l'adresse IP sélectionnée. Vous pouvez copier lesdonnées dans le presse-papiers du système.

L'option Informations sur l'adresse IP a remplacé l'option Recherche WHOIS dans le menu contextuel. Cependant,la page Informations sur l'adresse IP inclut un onglet Recherche WHOIS qui affiche ces informations.

Modification de la vue par défautPar défaut, la vue Synthèse par défaut s'affiche dans le panneau Vues lors de votre première connexion àla console ESM. Vous pouvez modifier cette vue par défaut et la remplacer par l'une des vuesprédéfinies ou personnalisées dans ESM.




1 Dans la barre de navigation de la console ESM, cliquez sur Options, puis sélectionnez Vues.

2 Dans la liste déroulante Vue du système par défaut, sélectionnez la nouvelle vue par défaut, puis cliquezsur OK.

Filtrage des vuesDans le panneau Filtres situé dans la console ESM principale, vous pouvez configurer les filtres àappliquer aux vues. Tous les filtres qui sont appliqués à une vue sont reportés à la vue suivante quiest ouverte.

Lors de votre première connexion à l'ESM, le volet des filtres par défaut inclut les champs de filtreUtilisateur source, Utilisateur de destination, IP source et IP de destination. Vous pouvez ajouter et supprimer deschamps de filtre, enregistrer des jeux de filtres, modifier le jeu de filtres par défaut, gérer tous lesfiltres et lancer le gestionnaire de normalisation de chaîne.

Une icône en forme d'entonnoir orange dans l'angle supérieur droit du volet de la vue indique que desfiltres sont appliqués à la vue. Si vous cliquez sur cette icône orange, tous les filtres sont effacés et larequête est réexécutée.

Lorsque des valeurs de filtre sont séparées par des virgules, par exemple dans des variables, desfiltres généraux, des filtres locaux, des chaînes normalisées ou des filtres de rapport, vous devezutiliser des guillemets si elles ne font pas partie d'une liste de valeurs. Si la valeur est Dupont,Jean,vous devez entrer "Dupont,Jean". Si la valeur contient des guillemets, vous devez mettre lesguillemets entre guillemets. Si la valeur est Dupont,Jean"Fils", vous devez entrer"Dupont,Jean""Fils""".

Vous pouvez utiliser les filtres contains et regex (voir Description des filtres contains et regex).

Filtrage d'une vueLes filtres vous aident à afficher les détails des éléments sélectionnés dans une vue. Si vous entrezdes filtres et actualisez la vue, les données de celle-ci reflètent les filtres ajoutés.


1 Sur la console ESM, cliquez sur la liste déroulante des vues et sélectionnez la vue que voussouhaitez filtrer.

2 Dans le volet Filtre, remplissez les champs avec les données à filtrer en suivant l'une de cesprocédures :

• Tapez les informations de filtre dans le champ approprié. Exemple : pour filtrer la vue actuelleafin d'afficher uniquement les données pourvues de l'adresse IP source 161.122.15.13, tapezcette adresse IP dans le champ IP source.

• Entrez un filtre contains ou regex (voir Description des filtres contains et regex).



• Cliquez sur l'icône Afficher la liste de filtres située à côté du champ, puis sélectionnez les variablesou les listes de valeurs à utiliser pour le filtrage.

• Dans la vue, sélectionnez les données que vous souhaitez utiliser comme filtre, puis cliquezdans le champ du volet Filtre. Si le champ est vide, il est automatiquement rempli avec lesdonnées que vous avez sélectionnées.

Pour l'option Gravité moyenne, utilisez le signe deux-points (:) pour entrer un intervalle. Par exemple,60:80 correspond à un intervalle de gravité compris entre 60 et 80.



Afficher les données quiconcordent avec plusieursfiltres

Entrez les valeurs dans chaque champ.

Afficher les données quiconcordent avec certainesvaleurs de filtre et en excluentd'autres

1 Entrez les valeurs de filtre que vous souhaitez inclure etexclure.

2Cliquez sur l'icône NON située en regard des champs que voussouhaitez exclure.

Afficher les données quiconcordent avec des filtresréguliers et OU

1 Entrez les valeurs de filtre dans les champs réguliers et OU.

2 Cliquez sur l'icône OR située à côté des champs contenant desvaleurs OR.

La vue inclut les données qui concordent avec les valeurs deschamps non marqués OR et qui concordent avec l'une des valeursdes champs marqués OR.

Ce filtre fonctionne si au moins deux champs sont marqués avecOR.

Rendre les valeurs de filtrenon sensibles à la casse

Cliquez sur l'icône Non-respect de la casse située en regard duchamp de filtre approprié.

Remplacer les chaînesnormalisées par leur alias

Cliquez sur l'icône de normalisation de chaîne située à côté duchamp de filtre approprié.

4Cliquez sur l'icône Exécuter une requête .

La vue est actualisée, et les enregistrements concordant avec les valeurs entrées sont affichés dans lavue. Une icône de filtre orange est affichée dans l'ange supérieur droit du panneau Vues et indiqueque les données de la vue sont le résultat de l'application des filtres. Si vous cliquez sur l'icône, lesfiltres sont effacés, et la vue affiche toutes les données.

Volet FiltresLe volet des filtres fournit des options permettant de définir des filtres pour les vues.

Icône Signification Description

Astuces Une info-bulle s'affiche lorsque vous cliquez dans un champde filtre.

Lancer le gestionnairede normalisation dechaîne

Appliquer un filtre à une chaîne et à ses alias (voirNormalisation de chaîne).



Icône Signification Description

Exécuter une requête Appliquer les filtres actuels à la vue. Vous devez cliquer surcette icône lorsque vous modifiez une valeur de filtre et sivous souhaitez l'appliquer à la vue actuelle.

Effacer tout Effacer tous les filtres du volet des filtres.

Options des jeux defiltres

Sélectionnez une action à effectuer sur les jeux de filtres.• Utiliser par défaut : enregistrer les valeurs de filtre que vous

avez entrées pour les appliquer par défaut. Ces filtressont appliqués automatiquement lorsque vous vousconnectez.

• Restaurer la valeur par défaut : rétablir les valeurs par défautdes filtres afin d'exécuter la requête sur le jeu de filtrespar défaut.

• Enregistrer les filtres renseignés : enregistrer le jeu de filtresactuel et l'ajouter à la liste de filtres disponibles, danslaquelle vous pouvez le sélectionner pour ajouter un filtre.Entrez le nom du jeu, puis sélectionnez le dossier danslequel vous souhaitez l'enregistrer.

• Gérer les filtres : ouvrir la page Gestion des jeux de filtres, quipermet d'organiser les jeux de filtres disponibles.

Sélectionnez le champ de filtre ou le jeu de filtres àappliquer pour filtrer la vue. Lorsque vous cliquez sur unchamp, un menu déroulant affiche tous les filtres et les jeuxde filtres possibles.

Afficher la liste de filtres Sélectionnez les variables ou les listes de valeurs à filtrer.

NON Pour afficher les données qui concordent avec certainesvaleurs de filtre et en exclure d'autres, cliquez sur leschamps à exclure.

OU Pour afficher les données qui concordent avec des filtres debase et des filtres utilisant l'opérateur OR, cliquez sur cetteicône située à côté des champs contenant des valeurs OR.La vue inclut les données qui concordent avec les valeursdes champs non marqués OR et qui concordent avec l'unedes valeurs des champs marqués OR.

Ce filtre fonctionne si au moins deux champs sontmarqués avec OR.

Non-respect de la casse Pour ne pas tenir compte de la casse pour les valeurs defiltre, cliquez sur cette icône.

Normalisation dechaîne

Cliquez pour remplacer les chaînes normalisées par leuralias.

Afficher les jeux defiltres

Cliquez pour afficher la liste des filtres inclus à un jeu.

Remplacer lavaleur

Cliquez pour remplacer la valeur actuelle par la valeurdéfinie.

Supprimer ce filtre Cliquez pour supprimer le champ de filtre des filtres actuels.

Ajout de filtres UCF et de filtres d'ID d'événement WindowsL'une des difficultés de la prise en charge de la conformité des réglementations tient à leur constanteévolution. UCF (Unified Compliance Framework) est une organisation qui mappe les spécificités de



chaque réglementation avec les ID de contrôle harmonisés. Lorsque les réglementations changent,ces ID sont mis à jour et diffusés dans ESM.

• Vous pouvez filtrer par ID de conformité pour sélectionner la conformité requise ou dessous-composants spécifiques. Vous pouvez également filtrer par ID d'événement Windows.


Ajouter desfiltres UCF

1 Dans le panneau Filtres, cliquez sur l'icône de filtre en regard du champ ID deconformité.

2 Sélectionnez les valeurs de conformité que vous souhaitez utiliser comme

filtres, puis cliquez sur OK | Exécuter une requête .

Ajouter des filtresd'ID d'événementWindows

1 Cliquez sur l'icône de filtre en regard du champ ID de signature.

2 Dans Filtrer les variables, cliquez sur l'onglet Windows.

3 Tapez les ID d'événement Windows (en les séparant par une virgule) dansle champ de texte ou sélectionnez les valeurs en fonction desquelles voussouhaitez filtrer dans la liste.

Sélection des ID normalisésLorsque vous créez une vue ou y ajoutez un filtre, vous pouvez choisir de filtrer les données à l'aidedes ID normalisés.


1 Dans la console ESM, effectuez l'une des actions suivantes :

• Si vous créez une vue, cliquez sur Filtres dans la deuxième page de l'Assistant Requête (voir lasection Définition des paramètres des composants de vue ou de rapport).

• Sélectionnez la vue à laquelle vous souhaitez ajouter des filtres. Le volet Filtres se trouve à droitede l'écran.

2 Recherchez le champ ID normalisé, puis cliquez sur l'icône Filtres .

3 Sélectionnez les ID, puis cliquez sur OK.

Les numéros d'ID sélectionnés sont ajoutés au champ ID normalisé.

Listes de surveillanceUne liste de surveillance regroupe des types d'informations spécifiques que vous pouvez utilisercomme filtre ou comme condition d'alarme.

Elle peut être globale ou propre à un utilisateur ou un groupe, et elle peut être statique ou dynamique.Une liste de valeurs statique contient des valeurs spécifiques que vous avez saisies ou importées. Uneliste de valeurs dynamique contient des valeurs provenant d'une expression régulière ou de critères derecherche de chaîne que vous avez définis.

Une liste de valeurs peut inclure au maximum 1 000 000 valeurs. La liste de valeurs de la page Ajouterune liste de valeurs ou Modifier la liste de valeurs peut afficher jusqu'à 25 000 valeurs. Si le nombre de valeursest supérieur, un message vous indique que toutes les valeurs ne sont pas affichées. Pour modifier uneliste de valeurs en ajoutant des valeurs au-delà de 25 000, vous devez exporter la liste existante dansun fichier local, ajouter les nouvelles valeurs, puis importer la nouvelle liste.



Vous pouvez définir l'expiration des valeurs d'une liste de valeurs. Chaque valeur est horodatée etexpire lorsque la durée définie est atteinte, sauf si elle est actualisée. Les valeurs sont actualisées siune alarme se déclenche et les ajoute à la liste de surveillance. Vous pouvez actualiser les valeurs quidoivent expirer en les ajoutant à la liste avec l'option Ajouter à la liste de valeurs du menu d'un composantde vue (voir Options de menu des composants).

L'ESM fournit un connecteur à la source de données relationnelles dans Hadoop HBase en utilisant lespaires clé-valeur de la source. Vous pouvez utiliser ces données dans une liste de valeurs (voir Ajoutd'une liste de valeurs Hadoop HBase). Par exemple, elles peuvent être transmises à des alarmes quise déclenchent si des valeurs de la liste de valeurs sont trouvées dans de nouveaux événements.

Ajout d'une liste de surveillanceAjouter une liste de surveillance à l'ESM pour l'utiliser en tant que filtre ou dans une conditiond'alarme.


1 Accédez à la page Listes de valeurs en suivant l'une des procédures suivantes :

•Sur la console ESM, cliquez sur l'icône de lancement rapide Listes de valeurs .

• Dans l'arborescence de navigation des systèmes, cliquez sur Propriétés du système, puis sur Listes devaleurs.

La table Listes de valeurs affiche toutes les listes de valeurs du système.

Adresses IP malveillantes GTI et Adresses IP suspectes GTI s'affichent dans le tableau, mais ne contiennent desdonnées que si vous avez acheté une licence McAfee GTI auprès de McAfee. Contactez votreingénieur commercial McAfee ou le support technique McAfee pour acheter une licence.

2 Cliquez sur Ajouter, puis indiquez les informations demandées.

3 Cliquez sur OK pour ajouter la nouvelle liste de valeurs à la table Listes de valeurs table.

Voir aussi Liste de valeurs McAfee GTI, page 324

Liste de valeurs McAfee GTILes listes de valeurs McAfee GTI contiennent plus de 130 millions d'adresses IP suspectes etmalveillantes et leur gravité, collectées par McAfee. Ces listes de valeurs permettent notamment dedéclencher des alarmes et de filtrer les données dans des rapports et des vues. Elles peuventégalement servir de filtre de corrélation de règle et de source de score pour un gestionnaire decorrélation des risques sur un équipement ACE.Pour ajouter des données issues de listes à votre système, vous devez acheter une licence McAfee GTIauprès de McAfee. Ensuite, les listes sont ajoutées à votre système chaque fois que vous téléchargezles règles. Ce processus peut prendre plusieurs heures étant donné la taille de la base de données.

Pour télécharger des listes, vous devez avoir une connexion Internet. Vous ne pouvez pas lestélécharger hors ligne.

Vous ne pouvez pas afficher ni modifier ces listes, mais le tableau Listes de surveillance (Propriétés du système| Listes de surveillance) indique si la liste est active (contient des valeurs) ou inactive (ne contient pas devaleurs).

Pour acheter une licence McAfee GTI, contactez votre ingénieur commercial McAfee ou le supporttechnique McAfee.



Création d'une liste de valeurs des flux de menaces ou IOC à partird'InternetVous pouvez créer une liste de valeurs à actualiser de façon périodique pour extraire des flux demenaces ou d'indicateurs de menaces (IOC) depuis Internet.

Sur cette liste de valeurs, vous pouvez afficher un aperçu des données à récupérer via la demandeHTTP, ainsi qu'ajouter des expressions régulières pour filtrer ces données.


1 Dans l'arborescence de navigation des systèmes, cliquez sur le système, puis sur l'icône

Propriétés .

2 Cliquez sur Listes de valeurs, puis cliquez sur Ajouter.

3 Renseignez l'onglet Principal, en sélectionnant Dynamique.

4 Cliquez sur l'onglet Source, sélectionnez HTTP/HTTPS dans le champ Type.

5 Renseignez les informations dans les onglets Source, Analyse et Valeurs.

Le champ Données brutes de l'onglet Analyse est renseigné avec les 200 premières lignes du code sourcehtml. Il s'agit d'un aperçu du site web, mais cela vous suffit pour écrire une expression régulière àappliquer. Une mise à jour à Exécuter maintenant ou planifiée de la liste de valeurs inclut toutes lesconcordances de la recherche effectuée avec l'expression régulière. Cette fonctionnalité prend encharge les expressions régulières de syntaxe RE2, telles que (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) pour effectuer la comparaison avec une adresse IP.

Ajout d'une liste de valeurs Hadoop HBaseAjouter une liste de valeurs en utilisant la source Hadoop HBase.


1 Dans l'arborescence de navigation des systèmes, sélectionnez un système, cliquez sur l'icône

Propriétés , puis sur Listes de valeurs.

2 Dans l'onglet Principal de l'assistant Ajouter une liste de valeurs, sélectionnez Dynamique, entrez lesinformations demandées, puis cliquez sur l'onglet Source.

3 Sélectionnez Hadoop HBase (REST) dans le champ Type, puis entrez le nom d'hôte, le port et le nom dela table.



4 Dans l'onglet Requête, renseignez la colonne de recherche et les informations de requête :

a Mettez Colonne de recherche au format familleColonne:nomColonne.

b Renseignez la requête avec un filtre d'analyseur, où les valeurs sont codées en base 64. Parexemple :

<Scanner batch="1024"><filter>{"type": "SingleColumnValueFilter","op": "EQUAL","family": " ZW1wbG95ZWVJbmZv","qualifier": "dXNlcm5hbWU=","latestVersion": true,"comparator": {"type": "BinaryComparator","value": "c2NhcGVnb2F0"}}</filter></Scanner>

5 Cliquez sur l'onglet Valeurs, sélectionnez le type de valeur, puis cliquez sur le bouton Exécutermaintenant.

Normalisation de chaîneUtiliser la normalisation de chaîne pour configurer une valeur de chaîne qui peut être associée à desvaleurs d'alias et pour importer ou exporter un fichier .csv de valeurs de normalisation de chaîne.

Cela vous permet de filtrer la chaîne et ses alias en sélectionnant l'icône de normalisation de chaînesituée à côté du champ approprié du volet Filtre. Par exemple, pour la chaîne du nom d'utilisateur JohnDoe, vous pouvez définir un fichier de normalisation où la chaîne principale est John Doe et ses aliaspeuvent être : DoeJohn, JDoe, [email protected] et JohnD. Vous pouvez ensuite entrer John Doedans le champ de filtre User_Nickname, sélectionner l'icône de filtre de normalisation de chaîne située àcôté du champ et actualiser la requête. La vue qui en résulte affiche tous les événements associés àJohn Doe et ses alias, ce qui vous permet de détecter les incohérences des connexions lorsqu'il y aconcordance des adresses IP sources, mais pas du nom d'utilisateur. Cette fonctionnalité peutégalement vous aider à respecter les réglementations qui exigent le compte-rendu des activités desutilisateurs avec privilèges.

Gestion des fichiers de normalisation de chaînePour utiliser un fichier de normalisation de chaîne, vous devez d'abord l'ajouter à l'ESM.


1Dans le volet Filtres, cliquez sur l'icône Lancer le gestionnaire de normalisation de chaîne .

2 Effectuez l'une des actions disponibles, puis cliquez sur Fermer.

Création d'un fichier de normalisation de chaîne à importerSi vous créez un fichier .csv d'alias, vous pouvez l'importer dans la page Normalisation de chaîne afin depouvoir l'utiliser comme filtre.




1 Dans un éditeur de texte ou un tableur, entrez les alias au format suivant :

commande, chaîne principale, alias

Les commandes possibles sont add (ajouter), modify (modifier) et delete (supprimer).

2 Enregistrez-le en tant que fichier .CSV, puis importez-le.

Filtres de type personnaliséVous pouvez utiliser des champs de type personnalisé pour filtrer des vues et des rapports et pourcréer des règles personnalisées afin de définir les données les plus pertinentes pour vous et ensuiteles consulter.

Les données générées par ces champs de type personnalisé sont consultables dans la section Détails dela vue Analyse d'événement ou Analyse de flux.

Vous pouvez ajouter, modifier ou supprimer des types personnalisés, ainsi que les exporter et lesimporter. Utilisez la page Modifier pour changer le nom. S'il s'agit d'un type de données personnalisé,vous pouvez également modifier les paramètres du sous-type.

Exportation ou importation de types personnalisés

Si vous exportez des types personnalisés, tous sont exportés vers l'emplacement sélectionné. Si vousimportez un fichier de types personnalisés, les données importées remplacent les types personnalisésactuels dans le système.

Requêtes personnalisées

Si vous configurez une requête personnalisée pour une vue, les types personnalisés prédéfiniss'affichent en tant qu'options lorsque vous sélectionnez les champs pour la requête. Si vous ajoutez untype personnalisé en tant que champ de la requête, il sert de filtre. Si les informations sur lesquellesvous exécutez des requêtes ne contiennent aucune donnée de ce type personnalisé, la table desrequêtes ne renvoie aucun résultat. Pour éviter cela, sélectionnez le champ utilisateur (champpersonnalisé 1 à 10 de la colonne Champ Evénement de la table) qui renvoie les résultats dont vous avezbesoin au lieu d'utiliser le type personnalisé.

Par exemple, vous souhaitez que les résultats de la requête incluent des données utilisateur source (lecas échéant). Si vous sélectionnez le champ de requête Utilisateur source, il fait fonction de filtre. Si lesinformations sur lesquelles vous exécutez la requête ne contiennent aucune donnée utilisateur source,la requête ne renvoie aucun résultat. Néanmoins, si vous sélectionnez le champ utilisateur 7, qui estdésigné comme champ utilisateur source, il ne fait pas fonction de filtre et s'affiche sous forme decolonne dans la table des résultats. Si des données utilisateur source existent, elles s'affichent danscette colonne. En l'absence de données pour ce champ, la colonne Champ utilisateur 7 est vide, maisles autres colonnes sont remplies.

Type de données personnalisé

Si vous sélectionnez Personnalisé dans le champ Type de données, vous pouvez définir la signification dechaque champ dans un journal à plusieurs champs.

Utilisation des événementsFiltres de type personnalisé 7


Par exemple, un journal (100300.351) contient trois champs (100, 300.35, 1). Le sous-typepersonnalisé vous permet de définir chacun de ces champs (nombre entier, décimal, booléen). Parexemple :

• Journal initial : 100300.351

• 3 sous-types : nombre entier|décimal|booléen

• Sous-type personnalisé : 100|300.35|1

Les sous-types peuvent inclure au maximum 8 octets (64 bits) de données. Utilisation de l'espace affiche lenombre d'octets et de bits utilisés. Le cas échéant, ce champ signale en rouge que la limite maximalede l'espace a été dépassée, par exemple : Utilisation de l'espace : 9 octets sur 8, 72 bitssur 64.

Type personnalisé nom/valeur

Si vous sélectionnez le type de données Groupe de noms/valeurs, vous pouvez ajouter un type personnaliséqui inclut un groupe de paires nom/valeur que vous définissez. Vous pouvez ensuite filtrer les vues etles requêtes en fonction de ces paires et les utiliser dans des alarmes de concordance de champ.

Voici les principales caractéristiques de cette fonctionnalité :

• Les champs du groupe noms/valeurs doivent être filtrés avec une expression régulière.

• Les paires peuvent être mises en corrélation pour qu'elles puissent être sélectionnées dans l'Editeurde règles de corrélation.

• Les valeurs de la paire peuvent être collectées uniquement via l'analyseur syslog avancé (ASP).

• La taille maximale de ce type personnalisé est de 512 caractères, en incluant les noms. En cas dedépassement de la taille, les valeurs sont tronquées lors de la collectes. McAfee recommande delimiter la taille des noms et leur nombre.

• Les noms doivent contenir plus de 2 caractères.

• Le type personnalisé nom/valeur peut contenir jusqu'à 50 noms.

• Chaque nom du groupe noms/valeurs s'affiche dans le filtre global sous la forme <nom dugroupe> - <nom>.

Format d'expression régulière pour les types personnalisés non indexés

Appliquez le format suivant pour les types personnalisés chaîne indexée et non indexée, chaînealéatoire et chaîne hachée :

• Vous pouvez utiliser la syntaxe contains(<expression régulière>) ou simplement entrer unevaleur dans les champs de chaîne aléatoire non indexée ou de chaîne hachée, puis filtrer les typespersonnalisés.

• Vous pouvez utiliser la syntaxe regex().

• Avec contains(), si vous mettez un filtre en utilisant la virgule comme séparateur dans un champde type personnalisé non indexé (Tom,John,Steve), le système exécute une expression régulière.La virgule et l'astérisque fonctionnent comme une barre verticale (|) et un point suivi d'unastérisque (.*) dans un champ contains ou de chaîne aléatoire non indexée ou de chaîne hachée. Sivous entrez un caractère tel que l'astérisque (*), il est remplacé par un point suivi d'un astérisque(.*).

• Une expression régulière non valide ou une parenthèse manquante peut engendrer une erreurindiquant que votre expression régulière est incorrecte.

7 Utilisation des événementsFiltres de type personnalisé


• Vous pouvez utiliser un seul filtre regex() ou contains() dans les champs de filtre de typepersonnalisé chaîne non indexée, chaîne indexée, chaîne aléatoire et chaîne hachée.

• Le champ de l'ID de signature accepte maintenant les filtres contains(<sur une partie oul'ensemble d'un message de règle>) et regex(<sur une partie d'un message de règle>).

• Le filtre de recherche couramment utilisé pour contains est une valeur unique, et non une valeuravec .* avant ou après.

Voici quelques filtres de recherche courants :

• Une valeur unique

• Plusieurs valeurs séparées par des virgules, qui sont converties en expression régulière

• Une instruction contains avec * qui fonctionne comme .*

• Expressions régulières avancées, où vous pouvez utiliser la syntaxe regex()

Voir la Description des filtres contains et regex.

Création de types personnalisésAjoutez des types personnalisés à utiliser comme filtres si vous disposez des privilèges Administrateur.


1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez surTypes personnalisés.


3 Cliquez sur OK pour enregistrer le type personnalisé.

Tableau des types personnalisés prédéfinisSi vous disposez des privilèges Administrateur, vous pouvez consulter la liste des types personnalisésprédéfinis dans le tableau des types personnalisés (Propriétés du système | Types personnalisés). Si vous enêtes dépourvu, utilisez cette liste de types personnalisés prédéfinis.

Nom Type de données Champ Evénement Champ Flux

Application Chaîne Champpersonnalisé - 1

Aucun

Application_Layer(Couche_application)

ID de signature Aucun Champpersonnalisé - 4

Application_Protocol(Protocole_application)

Chaîne Champpersonnalisé - 1

Aucun

Authoritative_Answer(Réponse_autorité)


Aucun

Cci Chaîne Champpersonnalisé - 9

Aucun

Cc Chaîne Champpersonnalisé - 8

Aucun

Client_Version (Version_client) Chaîne Champpersonnalisé - 9

Aucun

Commande Chaîne Champpersonnalisé - 2

Aucun




Confidence (Fiabilité) Nombre entier nonsigné

Champpersonnalisé - 8

Aucun

Contact_Name (Nom_contact) Chaîne Champpersonnalisé - 6

Aucun

Contact_Nickname(Surnom_contact)


Aucun

Cookie Chaîne Champpersonnalisé - 9

Aucun

Database_Name Chaîne Champpersonnalisé - 8

Aucun

Destination User (Utilisateur dedestination)



Destination_Filename(Nom_fichier_de_destination)


Aucun

Direction Chaîne Champpersonnalisé - 10

Aucun

DNS_Class (Classe_DNS) Chaîne Champpersonnalisé - 8

Aucun

DNS_Name (Nom_DNS) Chaîne Champpersonnalisé - 5

Aucun

DNS_Type (Type_DNS) Chaîne Champpersonnalisé - 6

Aucun

Domaine Chaîne Champpersonnalisé - 3

Aucun

End_Page (Page_fin) Nombre entier nonsigné


Aucun

File_Operation (Opération_fichier) Chaîne Champpersonnalisé - 5

Aucun

File_Operation_Succeeded(Réussite_opération_fichier)


Aucun

Nom de fichier Chaîne Champpersonnalisé - 3

Aucun

Flow_Flags (Indicateurs_de_flux) Nombre entier nonsigné

Aucun Champpersonnalisé - 1

De Chaîne Champpersonnalisé - 5

Aucun

Sauts Nombre entier nonsigné


Aucun

Hôte Chaîne Champpersonnalisé - 4

Aucun

HTTP_Layer (Couche_HTTP) ID de signature Aucun Champpersonnalisé - 5

HTTP_Req_Cookie(Cookie_req_HTTP)

Chaîne Aucun Champpersonnalisé - 3

HTTP_Req_Host (Hôte_req_HTTP) Chaîne Aucun Champpersonnalisé - 5

HTTP_Req_Method(Méthode_req_HTTP)





HTTP_Req_Reference(Référence_req_HTTP)


HTTP_Req_URL (URL_req_HTTP) Chaîne Aucun Champpersonnalisé - 2

HTTP_Resp_Length(Longueur_rép_HTTP)

Nombre entier nonsigné


HTTP_Resp_Status(Statut_rép_HTTP)



HTTP_Resp_TTFB(TTFB_rép_HTTP)



HTTP_Resp_TTLB(TTLB_rép_HTTP)



HTTP_User_Agent(Agent_utilisateur_HTTP)


Interface Chaîne Champpersonnalisé - 8

Aucun

Job_Name (Nom_travail) Chaîne Champpersonnalisé - 5

Aucun

Langue Chaîne Champpersonnalisé - 10

Aucun

Local_User_Name(Nom_utilisateur_local)


Aucun

Message_Text (Texte_message) Chaîne Champpersonnalisé - 9

Aucun

Méthode Chaîne Champpersonnalisé - 5

Aucun

NAT_Details (Détails_NAT)

• NAT_Address (Adresse_NAT)

• NAT_Port (Port_NAT)

• NAT_Type (Type_NAT)

Personnalisé

• Adresse IPv4

• Nombre entiernon signé




Network_Layer (Couche_réseau) ID de signature Aucun Champpersonnalisé - 1

NTP_Client_Mode(Mode_client_NTP)


Aucun

NTP_Offset_To_Monitor(Décalage_NTP_à_surveiller)



Aucun

NTP_Opcode (Opcode_NTP) Chaîne Champpersonnalisé - 10

Aucun

NTP_Request (Requête_NTP) Chaîne Champpersonnalisé - 9

Aucun

NTP_Server_Mode(Mode_serveur_NTP)


Aucun

Num_Copies (copies_num) Nombre entier nonsigné


Aucun

Objet Chaîne Champpersonnalisé - 5

Aucun




Object_Type (Type_objet) Chaîne Champpersonnalisé - 2

Aucun

Priorité Nombre entier nonsigné


Aucun

Query_Response Chaîne Champpersonnalisé - 9

Aucun

Referer Chaîne Champpersonnalisé - 10

Aucun

Temps de réponse

• Secondes

• Millisecondes

Personnalisé




Aucun

RTMP_Application(Application_RTMP)


Aucun

Session_Layer (Couche_session) Chaîne Aucun Champpersonnalisé - 3

SNMP_Error_Code(Code_erreur_SNMP)


Aucun

SNMP_Item (Elément_SNMP) Chaîne Champpersonnalisé - 6

Aucun

SNMP_Item_Type(Type_élément_SNMP)


Aucun

SNMP_Operation(Opération_SNMP)


Aucun

SNMP_Version Chaîne Champpersonnalisé - 9

Aucun

Source User (Utilisateur source) Chaîne Champpersonnalisé - 7

Start_Page Nombre entier nonsigné


Aucun

Objet Chaîne Champpersonnalisé - 10

Aucun

SWF_URL (URL_SWF) Chaîne Champpersonnalisé - 5

Aucun

TC_URL (URL_TC) Chaîne Champpersonnalisé - 6

Aucun

A Chaîne Champpersonnalisé - 6

Aucun

Transport_Layer(Couche_transport)

ID de signature Aucun Champpersonnalisé - 2

URL Chaîne Champpersonnalisé - 8

Aucun

User_Agent (Agent_utilisateur) Chaîne Champpersonnalisé - 6

Aucun




User_Nickname(Surnom_utilisateur)


Aucun

Version Chaîne Champpersonnalisé - 10

Aucun

Ajout de types personnalisés d'heureVous pouvez ajouter des types personnalisés afin d'enregistrer les données temporelles.

Heure - Précision en secondes : permet de stocker les données de temps avec une précision d'une seconde.Heure - Précision en nanosecondes : permet de stocker les données de temps avec une précision d'unenanoseconde. Cette valeur est un nombre à virgule flottante à 9 chiffres représentant lesnanosecondes.

Si vous sélectionnez Index lors de l'ajout de ce type personnalisé, le champ s'affiche en tant que filtre surles requêtes, les vues et les filtres. Il ne s'affiche pas dans les composants de distribution et il n'est pasdisponible dans l'enrichissement des données, les listes de valeurs ou les alarmes.


1 Dans l'arborescence de navigation des systèmes, sélectionnez le système, cliquez sur l'icône

Propriétés , puis sur Types personnalisés | Ajouter.

2 Dans le champ Type de données, cliquez sur Heure - Précision en secondes ou Heure - Précision en nanosecondes,indiquez les autres informations, puis cliquez sur OK.

Types personnalisés nom/valeurLe type personnalisé nom/valeur est constitué d'un groupe de paires nom/valeur que vous définissez.Vous pouvez filtrer les vues et les requêtes en fonction de ces paires et les utiliser dans des alarmesConcordance d'événement interne.

Voici les principales caractéristiques de cette fonctionnalité :

• Les champs du groupe noms/valeurs doivent être filtrés avec une expression régulière.

• Ils peuvent être mis en corrélation pour qu'ils puissent être sélectionnés dans l'Editeur de règles decorrélation.

• Les valeurs de la paire peuvent être collectées uniquement via l'analyseur syslog avancé (ASP).

• La taille maximale de ce type personnalisé est de 512 caractères, en incluant les noms. Lescaractères au-delà de 512 sont tronquées lors de la collecte. McAfee recommande de limiter lataille des noms et leur nombre.

• Les noms doivent contenir plus de 2 caractères.

• Le type personnalisé nom/valeur peut contenir jusqu'à 50 noms.

• Chaque nom du groupe noms/valeurs s'affiche dans le filtre global sous la forme <nom dugroupe> - <nom>.

Ajout d'un type personnalisé de groupe nom/valeur.Vous pouvez ajouter un groupe de paires nom/valeur, vous pouvez filtrer les vues et les requêtes enfonction de ces paires et les utiliser dans des alarmes Concordance d'événement interne.





Propriétés .

2 Cliquez sur Types personnalisés, puis sur Ajouter.

3 Dans le champ Type de données, cliquez sur Groupe de noms/valeurs, indiquez les autres informations, puiscliquez sur OK.

Affichage de l'heure de l'événementConsultez l'heure exacte à laquelle un événement a été ajouté à la base de données du récepteur.

Avant de commencerVous devez disposer des autorisations suivantes :

• Données des vues pour accéder aux événements et consulter l'heure de l'événement

• Gestion des vues pour créer une vue

• Gestion des événements pour modifier les événements


1 Dans la console ESM, ajoutez un tableau des événements qui comprend le champ Heure del'équipement.

aDans la barre d'outils des vues, cliquez sur l'icône Créer une vue .

b Dans la Barre d'outils Modification des vues, cliquez sur le composant Table, puis faites-le glisser.

c Dans l'Assistant Requête, cliquez sur Suivant, puis sur Champs.

d Cliquez sur Heure de l'équipement dans la liste de gauche, puis déplacez cet élément vers la liste dedroite.

e Dans la page Champs, cliquez sur OK, puis sur Terminer.

f Dans la Barre d'outils Modification des vues, cliquez sur Enregistrer sous, saisissez le nom de la vue, puiscliquez sur OK.

g Fermez la Barre d'outils Modification des vues.

La vue est ajoutée à la liste déroulante des vues.

7 Utilisation des événementsAffichage de l'heure de l'événement


2 Affichez la colonne Heure de l'équipement en exécutant l'une des procédures suivantes :

Si vous envoyez un événement à Remedy (voir la section Envoi d'un e-mail Remedy), l'heure del'équipement de cet événement est perdue.

• Affichez la colonne Heure de l'équipement dans le tableau des événements de la vue ajoutée.

• Cliquez sur l'icône Afficher les détails des données dans la barre d'outils en bas du tableau, puis surl'onglet Détails avancés et affichez le champ Heure de l'équipement.

Utilisation des événementsAffichage de l'heure de l'événement 7


7 Utilisation des événementsAffichage de l'heure de l'événement


8 Gestion des incidents

Utiliser le gestionnaire d'incidents ESM pour attribuer et suivre les tâches et les tickets de support liésaux événements du réseau. Pour accéder à cette fonctionnalité, vous devez appartenir à un groupe oùle privilège Utilisateur de la gestion des incidents est activé.

Vous pouvez ajouter un incident de cinq manières :

• Sur la vue Gestion des incidents.

• Dans le volet Incidents, sans le lier à un événement.

• Dans le volet Analyse d'événement , en le liant à un événement.

• Lorsque vous configurez une alarme.

• Lors de la notification du déclenchement d'une alarme.

Sommaire Ajout d'un incident Créer un incident à partir d'un événement Ajout d'événements à un incident existant Modification ou fermeture d'un incident Affichage des détails des incidents Ajout de niveaux d'état d'incident Envoi de notifications d'incident par e-mail Affichage de tous les incidents Génération des rapports de gestion des incidents

Ajout d'un incidentPour effectuer le suivi d'une tâche générée suite à un événement réseau, la première étape consiste àajouter un incident au système de gestion des incidents.


1 Dans le volet Incidents, cliquez sur l'icône Ajouter un incident .


L'incident est ajouté au volet Incidents de l'utilisateur auquel l'incident est affecté. Si vous avezsélectionné l'option Envoyer l'incident par e-mail, un e-mail est également envoyé (consultez la section Envoid'une notification d'incident par e-mail).

8


Créer un incident à partir d'un événementPour suivre un événement dans la vue Analyse d'événement, créez un incident. Cela permet d'effectuer lesuivi du workflow.


1 Dans la liste des vues, sélectionnez Vues des événements | Analyse d'événement.

2Cliquez sur l'événement, puis sur l'icône de menu , puis cliquez sur Actions | Créer un incident.

3 Indiquez les informations demandées, puis cliquez sur OK pour enregistrer l'incident.

Le nouvel incident inclut les données de l'événement dans la table Message.

Ajout d'événements à un incident existantAjoutez un ou plusieurs événements à un incident existant pour suivre les actions entreprises enréponse à ces événements.


1 Dans le panneau Vues, sélectionnez Vues des événements dans la liste déroulante des vues, puis cliquezsur Analyse d'événement.

2 Sélectionnez les événements, puis effectuez l'une des procédures suivantes :

•Cliquez sur l'icône Affecter des événements à un incident ou à Remedy , puis sélectionnez Ajouter desévénements à un incident.

•Cliquez sur l'icône Menu , sélectionnez Actions, puis cliquez sur Ajouter des événements à un incident.

3 Sélectionnez l'incident, puis cliquez sur Ajouter.

La page Détails de l'incident indique l'ID de l'événement dans la table Messages.

4 Cliquez sur OK, puis sur Fermer.

Modification ou fermeture d'un incidentSi vous disposez des privilèges Administrateur de la gestion des incidents, vous pouvez modifier tout incidentdans le système. Si vous disposez des privilèges Utilisateur de la gestion des incidents, vous ne pouvezmodifier que les incidents qui vous sont affectés.


1 Accédez à la page Détails de l'incident en suivant l'une des procédures suivantes :

8 Gestion des incidentsCréer un incident à partir d'un événement



Un incident qui vous estaffecté

1 Sélectionnez l'incident dans le panneau Incidents.

2 Cliquez sur l'icône Modifier l'incident .

Un incident qui ne vousest pas affecté

1 Cliquez sur l'icône Gestion des incidents en cours dans le volet Incidents.

2 Sélectionnez l'incident à modifier.

3 Cliquez sur l'icône Modifier l'incident au bas de la vue.

2 Modifiez les paramètres ou fermez l'incident dans le champ Statut.


Les modifications sont enregistrées dans la section Notes de la page Détails de l'incident. Si vous avezfermé l'incident, il n'est plus affiché dans le panneau Incidents, mais reste indiqué dans la liste Gestion desincidents, le statut étant modifié et défini sur Fermé.

Affichage des détails des incidentsSi vous avez des droits Administrateur sur l'ESM, vous pouvez afficher les incidents sur l'ESM et yeffectuer des actions. Tous les utilisateurs d'un groupe peuvent visualiser les incidents de leur groupe.


1 Dans le volet Incidents, cliquez sur l'icône Gestion des incidents en cours .

La vue Gestion des incidents qui s'ouvre affiche tous les incidents du système.

2 Vérifiez les données des onglets Notes et Evénements sources.

3 Plus obtenir des détails, double-cliquez sur l'incident et consultez les informations de la page Détailsde l'incident.

Ajout de niveaux d'état d'incidentLe gestionnaire d'incidents comporte deux niveaux d'état : En cours et Fermé. Vous pouvez ajouterd'autres états à affecter aux incidents.



2 Dans la vue Gestion des incidents, cliquez sur l'icône Paramètres de gestion des incidents dans la barred'outils inférieure, puis cliquez sur Ajouter.

3 Entrez le nom de l'état, puis indiquez s'il doit être affecté par défaut aux nouveaux incidents.

4 Indiquez si vous souhaitez que les incidents auxquels cet état est affecté s'affichent dans le voletIncidents, puis cliquez sur OK.

Gestion des incidentsAffichage des détails des incidents 8


Envoi de notifications d'incident par e-mailDéfinir le système pour qu'il envoie automatiquement un e-mail à la personne ou au groupe auquel unincident est affecté à chaque ajout ou réaffectation d'un incident.

Avant de commencerVous devez avoir des privilèges Administrateur de la gestion des incidents.

Vous pouvez également envoyer manuellement une notification d'incident par e-mail en incluant desnotes sur l'incident et des détails sur l'événement.


Envoyerautomatiquement unenotification d'incidentpar e-mail

1 Dans le panneau Incidents, cliquez sur l'icône Gestion des incidents en cours .

2 Cliquez sur l'icône Paramètres de gestion des incidents .

3 Sélectionnez Envoyer un e-mail lors de l'affectation d'un incident, puis cliquez surFermer.

Les adresses e-mail des utilisateurs doivent être définies sur l'ESM(voir Configuration de groupes d'utilisateurs).

Envoyer manuellementune notificationd'incident existant pare-mail

1 Dans le panneau Incidents, sélectionnez l'incident dont vous souhaitezenvoyer une notification par e-mail, puis cliquez sur l'icône Modifierl'incident .

2 Dans Détails de l'incident, cliquez sur Envoyer un incident par e-mail, puis remplissezles champs De et A.

3 Indiquez si vous souhaitez inclure les notes et joindre un fichier CSVcontenant les détails sur l'événement.

4 Tapez les notes que vous souhaitez éventuellement inclure dans l'e-mail,puis cliquez sur Envoyer.

Affichage de tous les incidentsSi vous avez des privilèges d'Administrateur sur ESM, vous pouvez gérer tous les incidents du système,qu'ils soient ouverts ou fermés.

Les privilèges d'Administrateur de la gestion des incidents vous permettent de créer des états et desorganisations, ainsi que de configurer la fonctionnalité d'envoi automatique par e-mail.

8 Gestion des incidentsEnvoi de notifications d'incident par e-mail





Action Procédure à suivre

Ajouter un incidentCliquez sur l'icône Ajouter un incident sur la barre d'outils au bas dela vue.

Afficher ou modifierl'incident sélectionné Cliquez sur l'icône Modifier l'incident sur la barre d'outils au bas de la

vue.

Envoyer l'incidentsélectionné par e-mail

Cliquez sur l'icône Envoyer l'incident par e-mail sur la barre d'outils aubas de la vue.

Configurer l'envoi pare-mail d'un incident lors del'ajout ou la modificationd'un incident

Cliquez sur l'icône Paramètres de gestion des incidents sur la barred'outils au bas de la vue.

Ajouter ou modifier lesétats disponibles pour lesincidents

Cliquez sur l'icône Paramètres de gestion des incidents et cliquez surAjouter, Modifier ou Supprimer.

Afficher les remarques,l'historique et lesévénements sources del'incident que vous avezsélectionné

Cliquez sur Notes, Historique ou Evénéments sources. Lorsque vous cliquezsur Evénéments sources, les onglets Détails sur l'événement source s'ouvrent.Si ces onglets ne s'affichent pas, ou s'ils s'affichent et vous souhaitezles masquer, cliquez sur l'icône Afficher les détails sur l'événement source sur la barre d'outils au bas de la vue.L'onglet Historique consigne chaque consultation d'un incident par unutilisateur. Si le même utilisateur consulte un incident plusieurs foisen l'espace de 5 minutes, l'historique n'est pas actualisé à chaquefois.

Modifier les colonnesEvénements sources

Cliquez sur l'onglet Evénements sources, puis sur Modifier les colonnes visiblesdans l'onglet Evénements sources.

Filtrer les incidents Dans le volet Filtres, sélectionnez ou entrez les données selonlesquelles vous souhaitez filtrer les incidents, puis cliquez sur l'icône

Exécuter une requête . La liste des incidents affiche alors uniquementles incidents qui correspondent aux critères de filtrage.

Génération des rapports de gestion des incidentsSix rapports de gestion des incidents sont disponibles dans ESM.


1 Dans la page Propriétés du système, cliquez sur Rapports | Ajouter.

2 Complétez les sections 1, 2 et 3.

3 Dans la section 4, sélectionnez Requête CSV.

Gestion des incidentsGénération des rapports de gestion des incidents 8


4 Dans la section 5, sélectionnez le rapport de gestion des incidents à exécuter.

• Synthèse de gestion d'incidents : inclut les numéros d'ID d'incident, la gravité affectée aux incidents,leur état, les utilisateurs auxquels les incidents sont affectés, les organisations auxquelles ilssont affectés (le cas échéant), la date et l'heure d'ajout des incidents, la date et l'heure de miseà jour des incidents (le cas échéant), ainsi que les synthèses des incidents.

• Détails de la gestion d'incidents : inclut toutes les informations contenues dans le rapport Synthèse degestion d'incidents ainsi que les numéros d'ID des événements liés aux incidents et les informationsincluses dans les sections Notes des incidents.

• Temps de réparation de l'incident : indique le temps qui a été nécessaire entre les changements d'état(par exemple, entre l'horodatage de l'état En cours et l'horodatage de l'état Fermé). La liste affichepar défaut les incidents à l'état Fermé par ID d'incident, ainsi que gravité, organisation, date deCréation, dernière mise à jour, synthèse et différence de temps.

• Incidents par utilisateur affecté : inclut le nombre d'incidents affectés à un utilisateur ou un groupe.

• Incident par organisation : inclut le nombre d'incidents par organisation.

• Incident par état : inclut le nombre d'incidents par type d'état.

5 Remplissez la section 6 (voir Description des filtres contains et regex), puis cliquez sur Enregistrer.

Le rapport est enregistré et ajouté à la liste Rapports.

8 Gestion des incidentsGénération des rapports de gestion des incidents


9 Utilisation d'Asset Manager

Asset Manager est une fonction de gestion centralisée qui permet de découvrir, manuellement créer etimporter des actifs.Sur l'onglet Actif, vous pouvez créer un groupe contenant un ou plusieurs actifs. Vous pouvez effectuerles actions suivantes sur l'ensemble du groupe :

• Modifier les attributs de tous les actifs du groupe.

La modification n'est pas permanente. Lorsque vous ajoutez un actif à un groupe modifié, il n'héritepas automatiquement des paramètres précédents.

• Utiliser la fonctionnalité glisser-déplacer.

• Renommer un groupe si nécessaire.

Les groupes d'actifs permettent de classer les actifs en catégories d'une façon qui n'est pas possibleen utilisant le marquage d'actif. Par exemple, vous souhaitez créer un groupe d'actifs pour chaquebâtiment de votre université. Un actif est constitué d'une adresse IP et d'un ensemble de marqueurs.Les marqueurs décrivent le système d'exploitation exécuté par l'actif, ainsi que les services placéssous la responsabilité de l'actif.

Les marqueurs d'un actif peuvent être définis de deux façons : par le système (lorsque l'actif estrécupéré) ou par l'utilisateur (lorsque l'actif est ajouté ou modifié). Si les marqueurs sont définis par lesystème, chaque fois que l'actif est récupéré, ils sont mis à jour s'ils ont été modifiés. Si lesmarqueurs sont définis par l'utilisateur, lorsque l'actif est récupéré, ils ne sont pas mis à jour mêmes'ils ont été modifiés. Lorsque vous ajoutez ou modifiez les marqueurs d'un actif, si vous souhaitezqu'ils soient mis à jour par le système lorsque l'actif est récupéré, cliquez sur Réinitialiser. Vous devezeffectuer cette action chaque fois que vous modifiez les paramètres des marqueurs.

La gestion de la configuration fait partie des réglementations liées à la conformité aux normes tellesque PCI, HIPPA et SOX. Elle vous permet de surveiller toutes les modifications effectuées sur laconfiguration de vos routeurs et commutateurs afin d'éviter les vulnérabilités du système. Sur l'ESM,la fonctionnalité de gestion de la configuration vous permet d'effectuer les actions suivantes :

• Définir la fréquence d'interrogation des équipements.

• Sélectionner les équipements découverts sur lesquels la configuration doit être vérifiée.

• Identifier un fichier de configuration récupéré à appliquer par défaut à l'équipement.

• Afficher les données de configuration, télécharger les données dans un fichier et comparer lesinformations de configuration de deux équipements.

Sommaire Gestion des actifs Configuration de la gestion de la configuration Découverte du réseau Sources d'actif Gestion des sources d'évaluation des vulnérabilités (VA)

9


Gestion des zones Evaluation des risques, actifs et menaces Gestion des menaces connues

Gestion des actifsUn actif est un équipement du réseau qui dispose d'une adresse IP.

Dans l'onglet Actifs d'Asset Manager, vous pouvez créer des actifs ou des groupes d'actifs, modifier leursmarqueurs, ajouter des sources d'actif et affecter un actif à un groupe d'actifs. Vous pouvezégalement manipuler les actifs qui sont mémorisés à partir de l'un des fournisseurs VA (VulnerabilityAssessment).


1Cliquez sur l'icône de lancement rapide d'Asset Manager .

2 Vérifiez que l'onglet Actifs est sélectionné.

3 Gérez les actifs comme il vous convient, puis cliquez sur OK.

Procédures• Définition des anciens actifs, page 344

Le groupe Anciens actifs d'Asset Manager vous permet de stocker les actifs qui n'ont pas étédétectés dans la période définie.

Définition des anciens actifsLe groupe Anciens actifs d'Asset Manager vous permet de stocker les actifs qui n'ont pas été détectés dansla période définie.


1Cliquez sur l'icône de lancement rapide Asset Manager .

2 Dans l'onglet Actif, double-cliquez sur le groupe Anciens actifs dans la liste des actifs.

3 Sélectionnez le nombre de jours qui s'écouleront depuis la dernière détection d'un actif avant qu'ilne doive être déplacé dans le dossier Anciens actifs, puis cliquez sur OK.

Configuration de la gestion de la configurationLa gestion de la configuration permet de récupérer les fichiers de configuration des équipements quiont été découverts avec succès à l'aide du profil d'interface de ligne de commande. Une fois leprocessus de découverte du réseau terminé, vous devez configurer la gestion de la configuration.

9 Utilisation d'Asset ManagerGestion des actifs



1Cliquez sur l'icône de lancement rapide d'Asset Manager , puis sur l'onglet Gestion de la configuration.

2 Exécutez l'une des actions disponibles, puis cliquez sur OK.

Procédures• Gestion des fichiers de configuration récupérés, page 345

Vous pouvez effectuer plusieurs actions pour gérer les fichiers qui sont récupérés une foisla configuration des routeurs et des commutateurs vérifiée.

Gestion des fichiers de configuration récupérésVous pouvez effectuer plusieurs actions pour gérer les fichiers qui sont récupérés une fois laconfiguration des routeurs et des commutateurs vérifiée.

Avant de commencerRécupérez les fichiers de configuration (consultez la section Configuration de la gestion dela configuration).


1Cliquez sur l'icône de lancement rapide d'Asset Manager , puis sur l'onglet Gestion de la configuration.

2 Exécutez l'une des actions disponibles dans la section Fichiers de configuration récupérés de la page.

Découverte du réseau La fonction Découverte du réseau affiche les emplacements physiques de votre réseau dans lesquels desévénements se sont produits, ce qui vous permet d'optimiser le suivi des événements.

La Découverte du réseau est destinée aux utilisateurs expérimentés ayant des connaissances approfondiesen réseau, et ce privilège doit être spécifiquement attribué. Pour créer et afficher la fonction Découvertedu réseau et modifier les paramètres des commutateurs dans Contrôle des ports du réseau, vous devez avoirdes privilèges activés.

La Découverte du réseau à partir de SNMPv3, Telnet ou SSH n'est pas conforme à FIPS. Si vous devezrespecter les réglementations FIPS, n'utilisez pas ces fonctionnalités.

Découverte du réseauLa première étape du mappage du réseau consiste à effectuer une découverte du réseau. Vous devezdéfinir les paramètres avant de lancer l'analyse.

Utilisation d'Asset ManagerDécouverte du réseau 9



1Cliquez sur l'icône de lancement rapide Asset Manager , puis sélectionnez l'onglet Découverte duréseau.

2 Cliquez sur Paramètres, puis cliquez sur Ajouter sur la page Configurer les paramètres réseau pour ajouter lesparamètres de cette découverte.

3 Définissez les Paramètres de découverte du réseau.

4 Cliquez sur OK. Les paramètres que vous définissez sont ajoutés à la liste Configurer les paramètresréseau.

5 Effectuez d'autres actions si nécessaire.

6 Cliquez sur Découvrir un réseau pour lancer l'analyse. Si vous devez arrêter l'analyse, cliquez sur Arrêterla découverte.

La section Equipement réseau de la page est alimentée avec les données issues de l'analyse.

7 Cliquez sur OK.

Gestion de la liste des exclusions d'IPVous pouvez ajouter des adresses IP à la Liste des exclusions d'IP pour les exclure de la recherche lors dela découverte du réseau.


1 Cliquez sur l'icône de lancement rapide Asset Manager, puis sélectionnez l'onglet Découverte du réseau.

2 Cliquez sur Liste des exclusions d'IP

3 Ajoutez une nouvelle adresse ou bien modifiez ou supprimez une adresse existante.


Découvrir des postes clientsLorsque vous configurez votre réseau, ajoutez les adresses IP à la liste des exclusions, puis lancez ladécouverte du réseau, vous devez découvrir les postes clients connectés à vos équipements.


1Cliquez sur l'icône de lancement rapide Asset Manager , puis sélectionnez l'onglet Découverte duréseau.

2 Cliquez sur Découvrir des postes clients pour lancer l'analyse maintenant.

Les résultats et le statut de l'analyse sont indiqués dans la section Equipements de poste client de lapage.

3 Pour planifier une découverte automatique des postes clients, sélectionnez Découvrir automatiquementtoutes les et sélectionnez la fréquence.

9 Utilisation d'Asset ManagerDécouverte du réseau


Afficher un mappage du réseauVous pouvez générer une représentation graphique de votre réseau qui va vous permettre de changerla position des équipements.


1Cliquez sur l'icône de lancement rapide Asset Manager , puis sur l'onglet Découverte du réseau.

2 Cliquez sur Mappage réseau.

La représentation graphique de votre réseau s'ouvre.

3 Déplacez des équipements ou passez la souris sur un équipement pour afficher ses propriétés.

Modifier le fonctionnement de la Découverte du réseau.Vous pouvez modifier les paramètres par défaut de la Découverte du réseau, notamment la requête ping, lenombre d'émetteurs finaux et les équipements concomitants.


1Sur la console ESM, cliquez sur l'icône de lancement rapide Asset Manager .

2 Cliquez sur l'onglet Découverte du réseau, sur Paramètres, puis sur Avancé.


Sources d'actif Vous pouvez récupérer les données de votre serveur Active Directory, si vous en possédez un, ou d'unserveur Altiris à l'aide de l'option Sources d'actif.

Active Directory vous permet de filtrer les données d'événement en sélectionnant les utilisateurs ougroupes récupérés dans les champs de filtre de requête des vues Utilisateur source ou Utilisateur dedestination. Cette procédure améliore votre aptitude à fournir des données de conformité pour lesexigences telles que PCI. Altiris et Active Directory récupèrent des actifs, par exemple des ordinateurs etleurs adresses IP, puis les ajoutent à la table des actifs.

Pour récupérer des actifs dans Altiris, vous devez disposer des privilèges d'Asset Manager dans la consoleAltiris Management Console (Console de gestion Altiris).

En règle générale, Active Directory ne stocke pas d'informations sur les adresses IP. Le systèmeutilise DNS pour exécuter une requête d'adresse dès qu'il a obtenu le nom à partir d'Active Directory. Sil'adresse de l'ordinateur est introuvable, ce dernier n'est pas ajouté à la table Actifs. C'est pourquoi, leserveur DNS du système doit contenir les informations DNS des ordinateurs Active Directory.

Vous pouvez ajouter des adresses IP à Active Directory. Si vous effectuez cette procédure, modifiezl'attribut networkAddress des objets ordinateur afin que le système utilise ces adresses IP au lieud'exécuter des requêtes DNS.

Gestion des sources d'actifRécupérez les données de votre serveur Active Directory ou d'un serveur Altiris.

Utilisation d'Asset ManagerSources d'actif 9



1Cliquez sur l'icône de lancement rapide d'Asset Manager , puis sur l'onglet Sources d'actif.

L'arborescence Sources d'actif affiche ESM et les récepteurs du système ainsi que leurs sources d'actifactuelles.

Un ESM peut posséder une source d'actif alors que les récepteurs peuvent en posséder plusieurs.

2 Sélectionnez un équipement, puis l'une des actions disponibles.

Gestion des sources d'évaluation des vulnérabilités (VA)Vous pouvez récupérer des données de divers fournisseurs de données d'évaluation des vulnérabilitésen utilisant Vulnerability Assessment (VA). Pour communiquer avec des sources VA, vous devez ajouterchaque source au système. Après avoir ajouté une source au système, vous pouvez récupérer lesdonnées VA.


1Cliquez sur l'icône de lancement rapide Asset Manager , puis sur l'onglet Vulnerability Assessment.

2 Ajoutez, modifiez, supprimez ou récupérez des sources VA, puis enregistrez-les sur l'équipement.

3 Cliquez sur OK.

Gestion des zonesLes zones permettent de classer par catégories les équipements et les sources de données de votreréseau.

Cela vous permet d'organiser les équipements et les événements qu'ils génèrent dans des groupesassociés par emplacement géographique et adresse IP. Par exemple, vous avez des succursales enBretagne et sur la Côte d'Azur et souhaitez que les événements générés par chaque succursale soitregroupés ensemble. Pour cela vous pouvez ajouter deux zones et leur attribuer les équipementscorrespondants afin que les événements de ces équipements soient regroupés dans chaque zone. Pourregrouper les événements de chaque succursale en fonction d'adresses IP particulières, ajoutez dessous-zones à chaque zone.

Gestion des zonesLes zones permettent de classer les équipements et les sources de données dans des catégories pargéolocalisation ou ASN. Vous devez ajouter des zones (soit une par une, soit en important un fichierpréalablement exporté d'un autre ordinateur), puis attribuer les équipements ou les sources dedonnées aux zones.

9 Utilisation d'Asset ManagerGestion des sources d'évaluation des vulnérabilités (VA)



1Cliquez sur l'icône de lancement rapide Asset Manager , puis sélectionnez Gestion des zones.

2 Ajoutez une zone ou une sous-zone, modifiez ou supprimez des zones existantes, ou importez ouexportez des paramètres de zone.

3 Déployez les modifications effectuées, puis cliquez sur OK.

Ajout d'une zoneLa première étape de la gestion des zones consiste à ajouter les zones qui permettent de classer voséquipements et sources de données dans des catégories. Vous pouvez les ajouter individuellement àl'aide de la fonctionnalité Ajouter une zone ou bien vous pouvez importer un fichier préalablement exportéd'un autre système. Lorsque vous ajoutez une zone, vous pouvez modifier ses paramètres selon lesbesoins.


1Cliquez sur l'icône de lancement rapide Asset Manager , puis sur Gestion des zones.

2 Entrez les informations demandées, attribuez des équipements à la zone, puis cliquez sur OK.

Exportation de paramètres de zoneVous pouvez exporter les paramètres de zone de votre ESM afin de les importer vers un autre ESM.


1Cliquez sur l'icône Asset Manager , puis sur Gestion des zones.

2 Cliquez sur Exporter, puis sélectionnez le type de fichier à exporter.

3 Cliquez sur OK et sélectionnez le fichier à télécharger.

Importation de paramètres de zoneLa fonctionnalité d'importation permet d'importer un fichier de zone tel quel ou de modifier lesdonnées avant de les importer.

Avant de commencerExportez un fichier de paramètres de zone d'un autre ESM afin de l'importer sur votre ESM.

Utilisation d'Asset ManagerGestion des zones 9



1 Ouvrez le fichier de paramètres de zone à importer.

• Lorsque vous importez un fichier de définition de zone, il comporte huit colonnes : Commande,Nom de la zone, Nom du parent, Géolocalisation, ASN, Par défaut, IPDébut et IPFin.

• Lorsque vous importez un fichier d'affectation d'équipement à une zone, il comportetrois colonnes : Commande, Nom de l'équipement et Nom de la zone.

2 Entrez les commandes dans la colonne Commande pour définir l'action à effectuer pour chaque lignelors de son importation.

• add (ajouter) : importer les données de la ligne telles quelles.

• edit (modifier) : importer les données et toutes les modifications que vous effectuez sur lesdonnées (uniquement pour le fichier de définition de zone).

Pour effectuer des modifications dans la plage d'une sous-zone, vous devez supprimer la plageexistante, puis ajouter la plage incluant les modifications. Vous ne pouvez pas la modifierdirectement.

• remove (supprimer) : supprimer d'ESM la zone correspondant à cette ligne.

3 Enregistrez les modifications que vous avez effectuées, puis fermez le fichier.

4Cliquez sur l'icône de lancement rapide Asset Manager , puis sur l'onglet Gestion des zones.

5 Cliquez sur Importer, puis sélectionnez le type d'importation à effectuer.

6 Cliquez sur OK, recherchez et sélectionnez le fichier à importer, puis cliquez sur Charger.

Si des erreurs sont détectées dans le fichier, le système vous le signale.

7 En cas d'erreurs, corrigez-les dans le fichier et réessayez.

8 Déployez les modifications pour mettre à jour les équipements.

Ajout d'une sous-zoneAprès avoir ajouté une zone, vous pouvez ajouter des sous-zones pour affiner le classement encatégories des équipements et des événements par adresse IP.

Avant de commencerAjout de zones sur l'onglet Gestion des zones.


1Cliquez sur l'icône de lancement rapide Asset Manager , puis sur l'onglet Gestion des zones.

2 Sélectionnez une zone, puis cliquez sur Ajouter une sous-zone.


9 Utilisation d'Asset ManagerGestion des zones


Evaluation des risques, actifs et menacesMcAfee Threat Intelligence Services (MTIS) et les sources d'évaluation des vulnérabilités de votresystème génèrent la liste des menaces connues. La gravité de ces menaces et la criticité de chacun devos actifs permettent de calculer le niveau des risques encourus par votre entreprise.

Asset Manager

Lorsque vous ajoutez un actif au gestionnaire Asset Manager (voir Gestion des actifs), vous attribuez unniveau de criticité. Ce paramètre indique le degré de criticité de l'actif pour vos activités. Par exemple,si un seul ordinateur gère la configuration de votre entreprise en l'absence d'un ordinateur de secours,sa criticité est élevée. Par contre, si la configuration est gérée par deux ordinateurs, le niveau decriticité est beaucoup plus faible.

Vous pouvez choisir de tenir compte ou pas d'un actif dans le calcul des risques encourus par votreentreprise dans le menu Modifier de l'onglet Actif.

Gestion des menaces

L'onglet Gestion de la menace du gestionnaire Asset Manager affiche la liste des menaces connues, leurgravité et le fournisseur, et il indique si elles sont prises en compte pour calculer les risques. Vouspouvez activer ou désactiver des menaces particulières afin de les prendre en compte ou non dans lecalcul des risques. Vous pouvez également afficher les informations relatives aux menaces de la liste.Ces informations sont notamment des recommandations pour gérer la menace ainsi que descontre-mesures que vous pouvez appliquer.

Vues prédéfinies

Trois vues prédéfinies (voir Utilisation des vues ESM) affichent des synthèses des données sur lesactifs, les menaces et les risques :

• Synthèse des menaces pour l'actif : affichage des principaux actifs en fonction de leur score de risques etdu niveau des menaces, ainsi que les niveaux des menaces en fonction des risques.

• Synthèse des menaces récentes : affichage des menaces récentes en fonction du fournisseur, des risques,des actifs et des produits de protection disponibles.

• Synthèse des vulnérabilités : affichage des vulnérabilités en fonction des menaces et des actifs.

Les informations détaillées sur les données affichées sur ces vues sont accessibles dans les menus descomposants.

Vues personnalisées

Des options ont été ajoutées à l'Assistant Requête pour vous permettre de définir des vues personnalisées(voir Ajout d'une vue personnalisée) pour afficher les données dont vous avez besoin.

• Dans les composants Contrôle de numérotation et Nombre, vous pouvez afficher le score de risques moyende l'entreprise et le score de risques total de l'entreprise.

• Dans les composants Graphique à secteurs, Graphique à barres et Liste, vous pouvez afficher les actifsexposés aux risques, la protection contre les menaces, les menaces en fonction des actifs, desrisques et des fournisseurs.

• Sur le composant Tableau, vous pouvez afficher les actifs, les menaces les plus récentes, lesprincipaux actifs et les principales menaces, classés en fonction de leur score de risques.

Utilisation d'Asset ManagerEvaluation des risques, actifs et menaces 9


Gestion des menaces connuesSélectionnez les menaces connues à utiliser dans les calculs des risques.

Un niveau de gravité est attribué à chaque menace. Ce niveau ainsi que le niveau de criticité pour vosactifs permettent de calculer la gravité globale d'une menace pour votre système.


1Sur la console ESM, cliquez sur l'icône de lancement rapide Asset Manager .

2 Cliquez sur l'onglet Gestion de la menace pour afficher la liste des menaces connues.

3 Sélectionnez une menace connue, puis effectuez l'une des actions suivantes :

• Cliquez sur Détails de la menace pour afficher les détails de la menace.

• Si la colonne Calculer le risque indique Oui alors que vous ne souhaitez pas l'utiliser dans le calculdes risques, cliquez sur Désactiver.

• Si la colonne Calculer le risque indique Non alors que vous souhaitez l'utiliser dans le calcul desrisques, cliquez sur Activer.

4 Cliquez sur OK.

9 Utilisation d'Asset ManagerGestion des menaces connues


10 Gestion des stratégies et des règles

Créer, appliquer et afficher des règles et des modèles de stratégies.

Sommaire Fonctionnement de l'Editeur de stratégies Arborescence des stratégies Types de règle et propriétés correspondantes Paramètres de stratégie par défaut Opérations sur les règles Attribution de marqueurs aux règles ou aux actifs Modification des paramètres d'agrégation Action de remplacement pour les règles téléchargées Pondérations de gravité Affichage de l'historique des modifications de stratégie Application des modifications de stratégie Gestion du trafic prioritaire

Fonctionnement de l'Editeur de stratégiesL'Editeur de stratégies permet de créer des modèles de stratégie et de personnaliser chaque stratégie.

Les modèles de stratégie, ainsi que les paramètres de stratégie de chaque équipement, peuventhériter des valeurs de leurs parents. L'héritage permet de configurer à l'infini les paramètres destratégie appliqués à un équipement tout en préservant la simplicité et la facilité d'utilisation. Uneentrée dans l'Arborescence des stratégies est attribuée à chaque stratégie ajoutée, ainsi qu'à tous leséquipements.

Si votre système fonctionne en mode FIPS, ne mettez pas à jour les règles via le serveur de règles.Vous devez les mettre à jour manuellement (consultez la section Recherche des mises à jour desrègles).

Le serveur de règles McAfee conserve toutes les règles, les variables et les préprocesseurs avec desvaleurs ou des usages prédéfinis. La Stratégie par défaut hérite ses valeurs et paramètres de cesparamètres, lesquels sont gérés par McAfee. Elle constitue le parent de toutes les autres stratégies.Par défaut, les paramètres des autres stratégies et équipements héritent leurs valeurs de la Stratégie pardéfaut.

Pour ouvrir l'éditeur, cliquez sur l'icône Editeur de stratégies ou sélectionnez le nœud du système ou del'équipement dans l'arborescence de navigation et cliquez sur l'icône Editeur de stratégies dans la barre

d'outils d'actions .

10


1 Barre de menus 4 Affichage des règles

2 Volet de navigation 5 Champ de recherche de marqueur

3 Volet des types de règle 6 Volet Filtres/Marquage

Les types de règle répertoriés dans le volet Types de règle varient en fonction du type d'équipementsélectionné dans l'arborescence de navigation du système. Le volet de navigation affiche la hiérarchiede la stratégie que vous avez sélectionnée. Pour modifier la stratégie actuelle, cliquez sur le nom de lastratégie dans le volet de navigation et cliquez sur la flèche située dans ce volet, ce qui affiche l'enfant

de la stratégie. Ou bien cliquez sur l'icône Arborescence des stratégies . Le menu de l'Arborescence desstratégies répertorie les actions que vous pouvez effectuer sur une stratégie.

Lorsque vous sélectionnez un type dans le volet Type de règle, toutes les règles de ce type s'affichentdans la section d'affichage des règles. Les colonnes indiquent les paramètres propres aux règles, quevous pouvez configurer pour chaque règle (sauf Variable et Préprocesseur). Pour modifier un paramètre,cliquez sur la valeur actuelle du paramètre et sélectionnez une autre valeur dans la liste déroulante.

Le volet Filtres/Marquage vous permet de filtrer les règles affichées dans l'Editeur de stratégies afin d'afficheruniquement celles qui correspondent à vos critères, ainsi que d'ajouter des marqueurs aux règles pourdéfinir leurs fonctions.

Arborescence des stratégies L'Arborescence des stratégies répertorie les stratégies et les équipements du système.

L'Arborescence des stratégies vous permet d'effectuer les actions suivantes :

10 Gestion des stratégies et des règlesArborescence des stratégies


• Afficher les détails d'une stratégie ou d'un équipement.

• Ajouter une stratégie au système

• Modifier l'ordre des stratégies ou des équipements.

• Rechercher une stratégie ou un équipement par son nom.

• Renommer, supprimer, copier, copier et remplacer, importer ou exporter une stratégie.

Icône Description

Stratégie

L'équipement est désynchronisé

L'équipement est préparé

L'équipement est à jour

L'équipement virtuel est désynchronisé

L'équipement virtuel est préparé

L'équipement virtuel est à jour

La source de données est désynchronisée

La source de données est préparée

La source de données est à jour

L'ADM est désynchronisé

Le DEM est désynchronisé

Gestion des stratégies dans l'Arborescence des stratégiesGérer les stratégies du système en effectuant des actions dans l'Arborescence des stratégies.


1Sur la console ESM, cliquez sur l'icône Editeur de stratégies , puis cliquez sur l'icône Arborescence des

stratégies .



Afficher les règlesd'une stratégie

• Double-cliquez sur la stratégie. Les règles sont répertoriées dans la sectiond'affichage des règles de l'Editeur de stratégies.

Utiliser unestratégie commestratégie enfantd'une autrestratégie

• Sélectionnez la stratégie enfant, puis faites-la glisser pour la placer sur leparent.

Vous pouvez uniquement faire glisser des équipements vers des stratégies.

Rechercher unestratégie ou unéquipement

• Entrez le nom dans le champ de recherche.

Gestion des stratégies et des règlesArborescence des stratégies 10



Ajouter unenouvelle stratégie

1 Sélectionnez la stratégie à laquelle vous souhaitez ajouter une nouvellestratégie, puis cliquez sur l'icône de menu Eléments du menu de l'arborescence des

stratégies .

2 Cliquez sur Nouveau, entrez le nom de la stratégie, puis cliquez sur OK.

Renommer unestratégie

1 Sélectionnez la stratégie à renommer, puis cliquez sur l'icône de menuEléments du menu de l'arborescence des stratégies.

2 Cliquez sur Renommer, entrez le nouveau nom, puis cliquez sur OK.

Supprimer unestratégie

1 Sélectionnez la stratégie à supprimer, puis cliquez sur l'icône de menuEléments du menu de l'arborescence des stratégies.

2 Cliquez sur Supprimer, puis sur OK sur la page de confirmation.

Copier unestratégie

1 Sélectionnez la stratégie à copier, puis cliquez sur l'icône de menu Elémentsdu menu de l'arborescence des stratégies.

2 Cliquez sur Copier, entrez le nom à attribuer à la nouvelle stratégie, puiscliquez sur OK.

Déplacer deséquipements versune stratégie

1 Sélectionnez les équipements à déplacer, puis cliquez sur l'icône Eléments du

menu de l'arborescence des stratégies .

2 Sélectionnez Déplacer, puis sélectionnez la stratégie vers laquelle déplacerles équipements.

Copier etremplacer unestratégie

1 Sélectionnez la stratégie à copier, cliquez sur l'icône Eléments du menu del'arborescence des stratégies, puis sélectionnez Copier et remplacer.

2 Dans Sélectionner une stratégie, sélectionnez la stratégie à remplacer.

3 Cliquez sur OK, puis cliquez sur Oui

Les paramètres de la stratégie que vous avez copiée sont appliqués à lastratégie remplacée, mais le nom de celle-ci est conservé.

10 Gestion des stratégies et des règlesArborescence des stratégies



Importer unestratégie

L'importation inclut l'équipement sélectionné et les niveaux inférieurs.1 Sélectionnez le niveau de l'arborescence où vous souhaitez importer la

nouvelle stratégie, cliquez sur l'icône Eléments du menu de l'arborescence desstratégies, puis sélectionnez Importer.

2 Recherchez et chargez le fichier à importer.

Si un message d'erreur s'affiche, voir Résolution des problèmes -Importation de stratégie pour obtenir une solution.

3 Sélectionnez les options d'importation souhaitées, puis cliquez sur OK.

Exporter unestratégie

1 Sélectionnez la stratégie à exporter.L'exportation inclut le nœud sélectionné et les niveaux supérieurs de lahiérarchie. Seules les règles standard avec paramètres personnalisés ou lesrègles personnalisées sont exportées. Par conséquent, vous devezsélectionner l'un de ces types de règle pour activer l'option Exporter.

2 Cliquez sur Menu, puis sélectionnez Exporter.

3 Sélectionnez les options d'exportation souhaitées, cliquez sur OK, puissélectionnez l'emplacement où enregistrer le fichier d'exportation destratégie.

3 Pour fermer l'Arborescence des stratégies, double-cliquez sur une stratégie ou un équipement ou bien

cliquez sur l'icône de fermeture .

Types de règle et propriétés correspondantesLe volet Types de règle de la page Editeur de stratégies vous permet d'accéder à toutes les règles par type.

Vous pouvez importer, exporter, ajouter, modifier une règle sélectionnée et effectuer diversesopérations sur la règle. Les fonctions que vous pouvez effectuer sont limitées par le type de règle.

Toutes les règles sont basées sur une hiérarchie où chaque règle hérite son utilisation de son parent.La règle (sauf les règles Variable et Préprocesseur) est marquée avec une icône qui indique d'où elle hériteson utilisation. Cette icône comporte un point dans le coin inférieur gauche si la chaîne d'héritage estrompue quelque part sous la ligne actuelle.

Icône Description

Indique que l'utilisation de cet élément est déterminée par les paramètres du parent. Laplupart des règles sont définies pour recevoir un héritage par défaut, mais l'utilisation peutêtre modifiée.

Indique que la chaîne d'héritage est rompue à ce niveau et que la valeur de l'héritage estdésactivée.

L'utilisation de la règle actuelle est utilisée lorsque la chaîne d'héritage est rompue.

Indique que la chaîne d'héritage est rompue à ce niveau. Les éléments situés sous ce pointn'héritent rien de la chaîne au-dessus. Ce paramètre est utile pour forcer les règles à utiliserla valeur par défaut.

Indique une valeur personnalisée. Vous définissez une autre valeur que celle par défaut.

Gestion des stratégies et des règlesTypes de règle et propriétés correspondantes 10


Propriétés

Lorsque vous sélectionnez un type de règle, le volet d'affichage des règles affiche toutes les règles dece type sur le système ainsi que les paramètres de leurs propriétés. Ces propriétés sont notamment :Action, Gravité, Liste noire, Agrégation et Copier le paquet.

Cettepropriété...

Vous permet de...

Action Définir l'action effectuée par cette règle. Les options disponibles dépendent dutype de règle.

Les éléments de liste noire ne peuvent pas être déplacés vers leur destination. SiTransmettre est sélectionné dans la colonne Liste noire, le système le convertitautomatiquement en Alerte.

Gravité Sélectionnez la gravité de la partie de la règle lorsque la règle est déclenchée. Lagravité est comprise entre 1 et 100 (100 étant la gravité la plus élevée).

Liste noire Créer automatiquement une entrée de liste de blocage pour chaque règle lorsquela règle est déclenchée sur l'équipement. Vous pouvez choisir d'ajouter à la liste deblocage uniquement l'adresse IP ou bien l'adresse IP et le port.

Agrégation Définir l'agrégation pour chaque règle pour les événements créés lorsqu'une règleest déclenchée. Les paramètres d'agrégation définis sur les pages Agrégation desévénements (consultez la section Agrégation d'événements et de flux) s'appliquentuniquement aux règles définies dans l'Editeur de stratégies.

Copier le paquet Copier les données de paquet sur l'ESM, ce qui est utile dans le cas d'une perte decommunication. Si une copie des données de paquet est disponible, vous pouvezaccéder aux informations en récupérant les données de la copie.

Pour modifier ces paramètres, cliquez sur le paramètre actuel et sélectionnez-en un autre.

VariablesUne variable est un paramètre global ou un espace réservé pour des informations propres à unutilisateur ou un site. Les variables sont utilisées dans de nombreuses règles.

Pour ajouter ou modifier des variables, il est conseillé d'avoir une bonne connaissance du format Snort.

Les variables permettent de définir le fonctionnement des règles, ce qui peut varier d'un équipement àl'autre. L'ESM contient de nombreuses variables prédéfinies, mais il permet également d'ajouter desvariables personnalisées. Lors de l'ajout d'une règle, ces variables s'affichent sous forme d'optionsdans la liste déroulante du type de champ sélectionné dans le champ Type de la page Nouvelle variable.

Chaque variable a une valeur par défaut, mais il est conseillé de définir certaines valeurs relatives àl'environnement particulier de chaque équipement. Les espaces ne sont pas acceptés lors de la saisied'un nom de variable. Si un espace est nécessaire, utilisez le trait de soulignement ( _ ). Pouroptimiser l'efficacité d'un équipement, il est important de définir la variable HOME_NET sur le réseaudomestique protégé par l'équipement particulier.

Ce tableau affiche la liste des variables communes et leur valeur par défaut.

Noms des variables Description Par défaut Description pardéfaut

EXTERNAL_NET Toute personne située hors du réseauprotégé

!$HOME_NET Port 80

HOME_NET Espace d'adressage du réseau localprotégé : (10.0.0.0/80)

Tout Identique àHOME_NET

10 Gestion des stratégies et des règlesTypes de règle et propriétés correspondantes


Noms des variables Description Par défaut Description pardéfaut

HTTP_PORTS Ports des serveurs web : 80 ou 80:90pour une plage comprise entre 80 et 90.

80 Tout port exceptéHTTP_PORTS

HTTP_SERVE RS Adresses des serveurs web :192.168.15.4 ou[192.168.15.4,172.16.61.5]

$HOME_NET Identique àHOME_NET

SHELLCODE_PORTS Tout sauf les ports des serveurs web !$HTTP_PORTS Identique àHOME_NET

SMTP Adresses des serveurs de messagerie $HOME_NET Identique àHOME_NET

SMTP_SERVERS Adresses des serveurs de messagerie $HOME_NET Identique àHOME_NET

SQL_SERVERS Adresses des serveurs de base dedonnées SQL :

$HOME_NET Identique àHOME_NET

TELNET_SERVERS Adresses des serveurs Telnet : $HOME_NET Identique àHOME_NET

Vous pouvez modifier les variables prédéfinies sur le système. Vous pouvez ajouter, modifier etsupprimer les variables personnalisées.

Vous pouvez attribuer des types aux variables personnalisées. Les types de variable sont utilisés lorsdu filtrage des règles pour la génération de rapports et ils déterminent le champ dans lequel lesvariables sont disponibles lors de l'ajout ou la modification d'une règle. Les types de variable sontglobaux, et toute modification effectuée est répercutée à tous les niveaux de la stratégie.

Gestion des variablesLorsque vous sélectionnez le type de règle Variable dans l'Editeur de stratégies, vous pouvez effectuerplusieurs actions pour gérer les variables personnalisées et prédéfinies.


1 Cliquez sur l'icône Editeur de stratégies.

2 Dans le volet Types de règle, sélectionnez Variable.



Ajouter unenouvelle catégorie

1 Sélectionnez Nouveau | Catégorie.

2 Entrez le nom de la nouvelle catégorie, puis cliquez sur OK.

Ajouter unevariablepersonnalisée

1 Dans le volet d'affichage des règles, sélectionnez la catégorie, puis cliquezsur Nouveau.

2 Sélectionnez Variable, puis définissez les paramètres demandés.

3 Cliquez sur OK.

Modifier unevariable

1 Dans le volet d'affichage des règles, sélectionnez la variable à modifier.

2 Sélectionnez Modifier, puis cliquez sur Modifier.

3 Modifiez la valeur ou la description, puis cliquez sur OK.




Supprimer unevariablepersonnalisée

1 Dans le volet d'affichage des règles, sélectionnez la variable à supprimer.

2 Sélectionnez Modifier, puis cliquez sur Supprimer.

Importer unevariable

1 Sélectionnez Fichier, puis cliquez sur Importer | Variables.

2 Cliquez sur Importer, puis recherchez et chargez le fichier.

Le fichier d'importation doit être un fichier .txt contenant les informationssuivantes au format suivant : NomVariable;ValeurVariable; NomCatégorie(facultatif); Description (facultatif). Si l'un des champs est manquant,vous devez entrer un point-virgule à la place en tant qu'espace réservé.

Modifier le type devariablepersonnalisée

1 Sélectionnez la variable personnalisée.

2 Cliquez sur Modifier, puis sélectionnez Modifier.

3 Modifier le type de variable.

Si la valeur du type de variable est autre que Aucun type sélectionné et qu'elleest validée, vous ne pouvez pas modifier cette valeur.


Détection des anomalies de protocole TCP et du détournement de sessionTCPVous pouvez détecter les anomalies de protocole TCP, et recevoir les alertes correspondantes, ainsique les détournements de session TCP en utilisant la variable du préprocesseur Stream5.


1Sur la console ESM, cliquez sur l'icône Editeur de stratégies .

2 Dans le volet Types de règle, cliquez sur Variable.

3 Dans le volet d'affichage des règles, cliquez sur Préprocesseur, puis sélectionnez STREAM5_TCP_PARAMS.

4 Sur la page Modifier la variable, ajouter l'une des valeurs suivantes dans le champ Valeur :• Pour détecter les anomalies de protocole TCP et recevoir les alertes correspondantes, ajoutez

detect_anomalies après première stratégie.

• Pour détecter un détournement de session TCP, ajoutez detect_anomaliescheck_session_hijacking après première stratégie.

Règles de préprocesseurLes préprocesseurs permettent d'unifier la détection d'anomalies et l'inspection de paquets dansMcAfee Nitro IPS et IDS.

Les préprocesseurs sont essentiels à la précision de la détection de nombreuses règles. Utilisez ceuxqui s'appliquent à votre configuration de réseau. Les paramètres des préprocesseurs peuvent êtrechangés en modifiant la variable de préprocesseur respective relevant du type de règle Variables dansl'Editeur de stratégies.



Type Description

Normalisation RPC Normalise le trafic propre au protocole RPC d'une façon uniforme à des fins dedétection seulement. Ce préprocesseur peut empêcher les attaques associées à lafragmentation RPC de contourner Nitro IPS.

Détection desanalyses de ports

Génère un événement s'il détecte une analyse de ports dans les équipements ducôté approuvé de votre réseau.

Une fois que vous avez correctement défini la variable HOME_NET, vous devezmodifier la variable SFPORTSCAN_PARMS (Variables | préprocesseur) afin qu'elleindique :

proto { all } scan_type { all } sense_level { medium } ignore_scannersCela est ajouté à la variable sfportscan afin d'éliminer ce que Nitro IPS reconnaîtcomme analyses de ports dans la variable HOME_NET. Les réseaux qui placentl'équipement Nitro IPS ou IDS près d'un routeur ou d'un pare-feu compatibles NAT(Network Address Translation) semblent être soumis à une analyse deports Nitro IPS. La modification de la variable réduit ce qui ressemble à desévénements de type faux positif.

Pour que la variable ignore_scanners fonctionne correctement, vous ne devez pasdéfinir la variable HOME_NET sur Tout.

ZipZap Lorsqu'ils traitent le contenu web (HTTP), de nombreux serveurs web acceptent lesrequêtes des navigateurs web, indiquant ainsi que le contenu web peut êtrecompressé avant son envoi. Si ce processus permet d'économiser la bandepassante réseau, les pages web compressées ne peuvent pas être analysées parun équipement. Avec le préprocesseur ZipZap, le serveur web retourne cesdonnées dans un format brut, non compressé et analysable. L'activation de cepréprocesseur augmente la quantité de bande passante utilisée par le trafic web.

Défragmenteur IPbasé sur cible

Modélise les cibles réelles du réseau au lieu de modéliser simplement lesprotocoles et de rechercher les attaques qui s'y trouvent. Il utilise la structure dedonnées sfxhash et les listes liées pour le traitement des données en interne, cequi lui permet d'obtenir des performances prévisibles et déterministes dans toutenvironnement et aide à gérer les environnements très fragmentés.

Normalisation desrequêtes web

Normalise les requêtes web d'une façon uniforme à des fins de détectionseulement. S'il est toujours activé, vous n'êtes cependant pas autorisé à apporterdes modifications. Il existe deux types de préprocesseur Normalisation desrequêtes web : l'un à utiliser avec les versions allant jusqu'à la version 8.2.x etl'autre avec les versions 8.3.0 et ultérieures.

Ce préprocesseur détecte les attaques suivantes :• Attaque de type traversée de répertoires web (http://exemple.com/./

attaque.cmd)

• Chaînes à double codage (http://exemple.com/%25%32%35%25%33%32%25%33%30attaque.cmd)

• Normalisation Unicode

• Caractères non valides dans un URI de requête web

Réassemblage TCPbasé sur cible et Suivide session TCP/UDP

Effectue le suivi des sessions. Il s'agit d'un préprocesseur Stream5. Les mots clésrelatifs aux flux de règle et aux bits de flux peuvent donc être utilisés avec untrafic TCP ou UDP.

Gestion des règles de préprocesseurActivez ou désactivez chaque préprocesseur et définissez son héritage.




1 Dans le panneau Types de règle de l'Editeur de stratégies, cliquez sur IPS | Préprocesseur.

2 Sélectionnez Hériter, Activé ou Désactivé pour les règles actives.

Règles de pare-feuLes règles de pare-feu permettent de détecter les événements réseau en fonction des informationsrelatives aux paquets, par exemple le protocole, le port ou l'adresse IP dans un équipement Nitro IPS.La stratégie de pare-feu analyse les paquets entrants et prend des décisions en fonction desinformations initiales trouvées avant que le paquet ne soit transmis au moteur d'inspectionapprofondie de paquets. Les règles de pare-feu bloquent des éléments tels que des adresses IPusurpées et non valides. Elles suivent également le débit et la taille du trafic réseau.

Voici les types de règle de pare-feu :

• Anomalie : détecte les anomalies. Nombre des règles basées sur les anomalies coïncident les unesavec les autres et sont utilisées avec les valeurs définies dans l'onglet Variables. Exemple : la règleDurée de connexion longue et la variable Long Duration Seconds sont utilisées ensemble pour déterminer lenombre de secondes avant le déclenchement de la règle. Pour en savoir plus sur chaque règle,consultez la section détaillée en bas de la page.

• Anti-usurpation : détecte les adresses IP non valides. Exemple : si une adresse IP interne réservée estdétectée alors qu'elle pénètre dans le réseau via un équipement, la règle anti-usurpation estdéclenchée.

• Liste de blocage : détermine l'action à entreprendre sur les paquets qui sont envoyés vers ou depuisune adresse IP ou un port inclus dans la liste de blocage.

• DHCP : active et désactive la possibilité de permettre au trafic DHCP de traverser un équipement.

• IPv6 : détecte le trafic IPv6.

• Blocage de port : bloque certains ports.

Détection d'anomaliesCertaines règles de pare-feu sont basées sur le débit. Une règle basée sur le débit déclenche unealerte uniquement si votre trafic réseau excède les seuils définis par les variables de catégorie depare-feu dans l'Editeur de stratégies. Comme les valeurs par défaut de ces variables peuvent n'avoir aucunsens pour votre trafic réseau, l'Assistant Détection d'anomalies de débit permet d'analyser les graphiques desdonnées de flux de votre réseau, car elles sont associées à ces paramètres (consultez lasection Assistant Détection d'anomalies).

Exceptions de pare-feuLes exceptions de pare-feu sont parfois nécessaires pour permettre à certains types de trafic detraverser le pare-feu alors qu'ils seraient bloqués sans celles-ci. Exemple : si une adresse internevalide provient d'un réseau externe, par exemple un réseau privé virtuel (VPN), elle déclenche unealerte Connexions entrantes. Pour arrêter l'alerte, vous devez configurer une exception à la règle depare-feu.

Vous pouvez également traiter une exception comme une exception aux modèles définis dans lesautres exceptions, créant ainsi une exception à la liste des exceptions (en d'autres mots, insérez uneadresse ou un bloc d'adresses). Si une adresse IP doit être vérifiée par rapport à une règle depare-feu et si elle est incluse dans un bloc d'adresses qui a déjà été accepté, elle peut être exclue dela liste des exceptions. Pour ce faire, entrez-la (ou entrez le masque) et activez la case à cocher.



Exemple : la liste des exceptions contient déjà le bloc d'adresses 10.0.0.0/24. Toutes les adresses decet intervalle sont une exception à la règle. Si l'adresse source 10.0.0.1 est active pour cette règle,sélectionnez Traiter ceci comme une exception aux modèles définis dans les autres exceptions et tapez 10.0.0.1 dans lechamp source. La règle de pare-feu est alors appliquée à 10.0.0.1, mais pas aux autres adresses dubloc 10.0.0.0/24, car l'adresse 10.0.0.1 est désormais l'exception à la liste des exceptions.

Ajout d'une règle de pare-feu personnaliséeEn général, les règles de pare-feu par défaut sont suffisantes pour protéger le réseau. Néanmoins, ilpeut arriver que vous deviez ajouter des règles propres à un système ou à un environnement protégé.


1 Dans le volet Types de règle de l'Editeur de stratégies, sélectionnez IPS | Pare-feu.

2 Sélectionnez Nouveau, puis cliquez sur Règle de pare-feu.


Les filtres de la nouvelle règle sont appliqués et cette nouvelle règle s'affiche dans le volet Affichage

des règles. Si vous cliquez sur l'icône de filtre , le filtrage est effacé.

Ajouts d'exceptions de pare-feuAjoutez des exceptions aux règles de pare-feu pour permettre aux événements réseau des protocoles,adresses IP ou ports spécifiés de traverser le pare-feu.


1 Dans l'Editeur de stratégies, sélectionnez IPS | Pare-feu.

2 Dans le panneau Affichage des règles, cliquez sur la règle à laquelle vous souhaitez ajouter uneexception.

Pour vous aider à trouver la règle, utilisez les filtres du panneau Filtres/Marquage (consultez lasection Filtrage des règles existantes).

3 Sélectionnez Nouveau, puis cliquez sur Exception de pare-feu.

4 Cliquez sur Ajouter, puis sélectionnez ou tapez les valeurs qui définissent cette exception.

5 Cliquez sur OK.

Règles approfondies d'inspection des paquetsLes règles approfondies d'inspection des paquets évaluent le contenu d'un paquet et le compare auxmodèles contenus dans les signatures de règle. En cas de concordance, l'action spécifiée estentreprise.

Le filtre BASE (du panneau Filtres/Marquage) assure une protection contre les intrusions connues quirisquent d'endommager un système ou ses données. Il en va de même pour les filtres MALWARE etVIRUS. Les filtres POLICY et MULTIMEDIA empêchent les activités réseau associées aux spécificationsd'utilisation du réseau définies par l'utilisateur ou alertent à leur sujet et ne sont pas associés à desintrusions sur le réseau potentiellement dangereuses. Types de groupe de filtres généraux :



• Règles de protection (BASE, MALWARE, PERIMETER, VIRUS)

• Règles de stratégie (CHAT, MULTIMEDIA, PEERTOPEER, POLICY, SECURE APPLICATION GATEWAY)

En général, les règles par défaut sont suffisantes pour protéger le réseau. Néanmoins, il peut arriverque des règles propres à un système ou à un environnement protégé soient requises. Vous pouvezajouter des règles approfondies d'inspection des paquets dans ESM (consultez la section Ajout derègles d'inspection approfondie des paquets).

Ajout de règles approfondies d'inspection des paquetsAjoutez une règle personnalisée d'inspection approfondie des paquets en cas de besoin pour assurer laprotection d'un système ou d'un environnement.


1 Dans l'Editeur de stratégies, sélectionnez Nitro IPS | Inspection approfondie des paquets.

2 Cliquez sur Nouveau, puis sélectionnez Règle d'inspection approfondie des paquets.


Les filtres de la nouvelle règle sont appliqués et cette nouvelle règle s'affiche dans le volet Affichagedes règles. Si vous cliquez sur l'icône de filtre, le filtrage est effacé et toutes les règles approfondiesd'inspection des paquets s'affichent.

Ajout d'attributs d'inspection approfondie des paquetsSi vous ajoutez ou modifiez une règle d'inspection approfondie des paquets, l'une des étapesnécessaires est l'affectation d'attributs à la règle. Ces attributs définissent l'action de la règle. Vouspouvez supprimer et ajouter des options personnalisées dans la liste existante afin de pouvoir lesaffecter à une règle.


1 Dans l'Editeur de stratégies, sélectionnez IPS | Inspection approfondie des paquets | Ajouter.

2 Dans la liste déroulante, sélectionnez la catégorie de cet attribut.

3 Dans le champ Options, sélectionnez l'action associée à cet attribut.

4 Entrez la valeur de l'option sélectionnée, puis cliquez sur OK.

Le nom et la valeur de l'option sont ajoutés à la table Options de règle. Sélectionnez la valeur pour lamodifier ou la supprimer.

Règles internesLe type de règle Interne contient les règles pourvues des ID de signature compris entre 3 000 000et 3 999 999. Ce sont des alertes internes qui sont dépourvues de signatures contrairement auxautres règles. Ces règles peuvent être uniquement activées ou désactivées.

Ce type de règle est disponible uniquement si un Nitro IPS ou un équipement virtuel est sélectionnédans l'arborescence de navigation des systèmes.

Gestion des règles internesAffichez la liste des règles internes existantes ou modifiez leur statut.




1 Dans l'arborescence de navigation des systèmes, sélectionnez un Nitro IPS ou un équipementvirtuel.

2 Dans le volet Types de règle de l'Editeur de stratégies, sélectionnez IPS | Interne.

3 Dans la colonne Activer, cliquez sur Sélectionner tout, Ne rien sélectionner ou sélectionnez ou désélectionnezdes règles individuelles.

Règles de filtreLes règles de filtre vous permettent de spécifier l'action à entreprendre lorsque les données que vousdéfinissez sont reçues par le récepteur.

Ordre des données

Les règles de filtre sont écrites dans le récepteur dans l'ordre suivant :

1 Toutes les règles autres que de collecte.

a arrêt = vrai et analyse syntaxique = faux et journal = faux

b arrêt = vrai et analyse syntaxique = vrai et journal = vrai

c arrêt = vrai et analyse syntaxique = vrai et journal = faux

d arrêt = vrai et analyse syntaxique = faux et journal = vrai

2 Toutes les règles de collecte

Ordre des règles

Si vous avez des droits d'Administrateur de stratégie, vous pouvez définir l'ordre d'exécution des règles defiltre. Ces règles sont ainsi exécutées dans l'ordre le plus efficace pour générer les données dont vousavez besoin (voir Définir l'ordre des règles ASP et de filtre).

Ajout des règles de filtreVous pouvez ajouter des règles de filtre dans l'Editeur de stratégies.


1 Dans l'Editeur de stratégies, sélectionnez Récepteur | Filtrer.

2 Sélectionnez Nouveau, puis cliquez sur Règle de filtre.

3 Complétez les champs, puis cliquez sur OK.

4 Pour activer la règle, sélectionnez-la dans le panneau Affichage des règles, cliquez sur le paramètrede la colonne Action, puis sur activée.



Règles d'analyseur syslog avancé (ASP)ASP fournit un mécanisme permettant d'effectuer une analyse syntaxique des données desmessages Syslog en fonction de règles définies par l'utilisateur.

L'analyseur syslog avancé (ASP) utilise des règles afin de déterminer où se trouvent les données dansles événements spécifiques aux messages, notamment les ID de signature, les adresses IP, les ports,les noms utilisateur et les actions.

Grâce à ASP, vous pouvez également rédiger les règles permettant de trier des sources dejournalisation complexes sur vos serveurs Linux et UNIX.

Cette fonctionnalité requiert la connaissance de l'utilisation d'expressions régulières.

Lorsque le système reçoit un journal ASP, il compare le format de l'heure figurant dans le journal avecle format indiqué dans la règle ASP. Si le format de l'heure ne concorde pas, le système ne traite pasle journal.

Pour augmenter la probabilité de correspondance des formats d'horodatage, ajoutez plusieurs formatsd'horodatage personnalisés (voir la section Ajout d'un format d'horodatage aux règles ASP).

Avec les droits Administrateur de stratégie, vous pouvez définir l'ordre d'exécution des règles ASP (voir lasection Définir l'ordre des règles ASP et de filtre).

Ajout d'une règle ASP personnaliséeL'éditeur de Règle d'analyseur syntaxique de fichiers Syslog avancé vous permet de créer des règles poureffectuer l'analyse syntaxique des données de journal ASP.


1 Dans l'Editeur de stratégies, sélectionnez récepteur | Analyseur syntaxique de fichiers Syslog avancé .

2 Sélectionnez Nouveau, puis cliquez sur Règle d'analyseur syntaxique de fichiers Syslog avancé.

3 Cliquez sur chaque onglet et renseignez les informations demandées.


Définir l'ordre des règles ASP et de filtreSi vous avez des droits d'Administrateur de stratégie, vous pouvez définir l'ordre d'exécution des règles defiltre ou ASP. Cette option trie les règles efficacement pour vous fournir les données dont vous avez leplus besoin.



2 Dans le menu Opérations, sélectionnez Classer les règles ASP ou Classer les règles de filtre, puis sélectionnezune source de données dans le champ Type de source de données.

Les règles à classer s'affichent dans le volet gauche. Les règles classées s'affichent dans le voletdroit.



3 Sur l'onglet Règles standard ou Règles personnalisées, déplacez une règle du volet gauche vers le voletdroit (faites-la glisser ou bien utilisez les flèches) en la positionnant au-dessus ou au-dessous desRègles non classées.

La section Règles non classées affiche toutes les règles du volet gauche, qui sont classées dans l'ordrepar défaut.

4 Utilisez les flèches pour réorganiser les règles, puis cliquez sur OK pour enregistrer lesmodifications.

Ajout de formats d'heure aux règles ASPLorsque le système reçoit un journal de l'analyseur syslog avancé (ASP), le format de l'heure doitcorrespondre au format indiqué dans la règle ASP.

Vous pouvez ajouter plusieurs formats d'heure personnalisés pour augmenter la probabilité que leformat de l'heure du journal corresponde à l'un des formats indiqués.



2 Dans le volet Types de règle, cliquez sur Récepteur | Analyseur syslog avancé.

3 Après le téléchargement des règles ASP, effectuez l'une des actions suivantes :

• Pour modifier une règle existante, cliquez sur la règle, puis cliquez sur Modifier | Modifier.

• Pour ajouter une nouvelle règle, cliquez sur Créer | Règle d'analyseur syslog avancé, puis renseignez lesonglets Général, Analyse et Affectation de champ.

4 Cliquez sur l'onglet Correspondance, puis cliquez sur l'icône + au-dessus de la table Format d'heure.

5 Cliquez sur le champ Format, puis sélectionnez le format de l'heure.

6 Sélectionnez les champs d'horodatage pour lesquels vous souhaitez utiliser ce format.

Première fois et Dernière fois désignent la première et la dernière génération de l'événement. Tous leschamps d'horodatage de Type personnalisé que vous avez ajoutés à l'ESM (voir Filtres de typepersonnalisé) sont également répertoriés.

7 Cliquez sur OK, puis renseignez les autres informations de l'onglet Correspondance.

Règles de source de donnéesLa liste des règles de source de données inclut des règles prédéfinies et des règles mémoriséesautomatiquement.

Le récepteur mémorise automatiquement les règles de source de données à mesure qu'il traite lesinformations qui lui sont envoyées par les sources de données qui lui sont associées.

L'option Source de données du panneau Types de règle est visible uniquement si une stratégie, une source dedonnées, Analyseur syntaxique de fichiers Syslog avancé ou un récepteur sont sélectionnés dans l'arborescencede navigation des systèmes. La zone de description située en bas de la page fournit des informationsdétaillées sur la règle sélectionnée. Toutes les règles sont pourvues d'un paramètre de gravité quidétermine la priorité qui leur est associée. La priorité a des répercussions sur la façon dont les alertesgénérées pour ces règles sont affichées à des fins de rapport.



Une action par défaut est associée aux règles de source de données. Le récepteur l'attribue ausous-type d'événement associé à la règle. Vous pouvez changer cette action (voir Définition desactions de règles de source de données).

Définition des actions de règles de source de donnéesUne action par défaut est associée aux règles de source de données. Le récepteur attribue cette actionau sous-type d'événement associé à la règle. Vous pouvez modifier cette action.

Vous pouvez définir la valeur du sous-type d'événement pour chaque règle de source de données. Celasignifie que vous pouvez définir des actions de règle pour des tableaux de bord, des rapports, desrègles d'analyse syntaxique ou des alarmes avec différentes valeurs, par exemple le résultat d'unerègle d'accès sélective (autoriser/refuser).


1Sur la console ESM, cliquez sur l'icône Editeur de stratégies , puis sélectionnez Récepteur | Source dedonnées dans le volet Types de règle.

2 Cliquez dans la colonne Sous-type de la règle à modifier, puis sélectionnez la nouvelle action.

• Sélectionnez activer pour ajouter l'action par défaut (alerte) au sous-type d'événement.

• Sélectionnez désactiver si vous ne souhaitez pas collecter des événements pour la règlecorrespondante.

• Sélectionnez une autre action pour ajouter cette action au sous-type d'événement.

Gestion des règles de source de données mémorisées automatiquementAffichez la liste de toutes les règles de source de données mémorisées automatiquement, puismodifiez-les ou supprimez-les.


1 Dans l'Editeur de stratégies, sélectionnez Récepteur | Source de données.

2 Dans le panneau Filtres/Marquage, cliquez sur la barre Avancé en bas du panneau.

3 Dans la liste déroulante Origine, sélectionnez défini par l'utilisateur, puis cliquez sur l'icône Exécuter une

requête .

Toutes les règles de source de données mémorisées automatiquement sont indiquées dans le voletAffichage des règles.

4 Sélectionnez la règle à modifier ou supprimer, cliquez sur Modifier, puis sélectionnez Modifier ouSupprimer les règles mémorisées automatiquement.• Si vous avez sélectionné Modifier, changez le nom, la description ou l'ID normalisé, puis cliquez

sur OK.

• Si vous avez sélectionné Supprimer les règles mémorisées automatiquement, sélectionnez l'optionappropriée, puis cliquez sur OK.



Règles d'événements WindowsLes règles d'événements Windows permettent de générer des événements liés à Windows.

Ces règles de source de données dédiées aux événements Windows sont couramment utilisées et sontdistinctes du type de règle de source de données. Toutes les règles de ce type sont définies parMcAfee. Vous ne pouvez pas en ajouter, ni les modifier ou les supprimer, mais vous pouvez modifierles paramètres de leurs propriétés.

ADM, règlesMcAfee ADM est une série d'appliances réseau optimisée par le moteur ICE d'inspection approfondiedes paquets.

Le moteur ICE est une bibliothèque de logiciels et une collection de modules plug-in de protocole et decontenu pouvant identifier et extraire le contenu du trafic réseau brut en temps réel. Il peutintégralement réassembler et décoder le contenu de niveau application, transformant ainsi les flux depaquets du réseau codés en contenu facilement lisible comme s'il était lu à partir d'un fichier local.

Le moteur ICE est en mesure d'identifier automatiquement les protocoles et les types de contenu sansbesoin d'utiliser les numéros de port TCP fixes ou les extensions de fichier. Il n'utilise pas designatures pour effectuer son analyse et son décodage. A la place, ses modules implémentent desanalyseurs syntaxiques complets pour chaque type de protocole ou de contenu. Ce faisant,l'identification et le décodage de contenu sont extrêmement précis, ce qui permet au contenu d'êtreidentifié et extrait même lorsqu'il est compressé ou codé d'une façon autre et qu'il ne circule donc passur le réseau en texte clair.

En conséquence de cette identification et de ce décodage extrêmement précis, le moteur ICE est enmesure d'offrir une vue particulièrement approfondie du trafic réseau. Exemple : le moteur ICE peutrecevoir un flux de documents PDF qui a traversé le réseau dans un fichier .zip, sous forme de piècejointe à un e-mail SMTP codé en base 64 et envoyé depuis un serveur proxy SOCKS.

Cette reconnaissance des applications et des documents permet à ADM de fournir un contexte desécurité très précieux. Il peut détecter des menaces qui ne peuvent pas l'être facilement par unéquipement IDS traditionnel ou Nitro IPS, par exemple :

• Fuite d'informations et de documents confidentiels ou violations des stratégies de communication.

• Trafic d'applications non autorisées (par exemple, qui utilise Gnutella ?).

• Applications utilisées de façon inattendue (par exemple, HTTPS sur un port non standard).

• Documents potentiellement malveillants (par exemple, un document ne correspond pas à sonextension).

• Nouvelle génération d'exploits (par exemple, un document PDF pourvu d'un exécutable incorporé).

ADM détecte également les modèles de trafic malveillants en détectant les anomalies dans lesprotocoles d'application et de transport (par exemple, une connexion RPC est malformée ou le port dedestination TCP est défini sur 0).

Applications et protocoles pris en charge

ADM peut surveiller, décoder et détecter des anomalies dans plus de 500 applications et protocoles.Voici une liste d'exemples :

• Protocoles réseau de bas niveau : TCP/IP, UDP, RTP, RPC, SOCKS, DNS et autres

• E-mail : MAPI, NNTP, POP3, SMTP, Microsoft Exchange

• Chat : MSN, AIM/Oscar, Yahoo, Jabber, IRC



• Messagerie web : AOL Webmail, Hotmail, Yahoo! Mail, Gmail, Facebook et MySpace Mail

• P2P : Gnutella, BitTorrent

• Shell : SSH (uniquement la détection), Telnet

• Messagerie instantanée : AOL, ICQ, Jabber, MSN, SIP et Yahoo

• Protocoles de transfert de fichiers : FTP, HTTP, SMB et SSL

• Protocoles de compression et d'extraction : BASE64, GZIP, MIME, TAR, ZIP et autres

• Fichiers d'archive : archives RAR, ZIP, BZIP, GZIP, Binhex et archives codées en UU

• Packages d'installation : packages Linux, fichiers CAB d'InstallShield et de Microsoft

• Fichiers image : GIF, JPEG, PNG, TIFF, AutoCAD, Photoshop, Bitmap, Visio, Digital RAW et icônesWindows

• Fichiers audio : WAV, MIDI, RealAudio, Dolby Digital AC-3, MP3, MP4, MOD, RealAudio, SHOUTCast,etc.

• Fichiers vidéo : AVI, Flash, QuickTime, Real Media, MPEG-4, Vivo, Digital Video (DV), Motion JPEG,etc.

• Autres applications et fichiers : bases de données, tableurs, télécopies, applications web, polices,fichiers exécutables, applications Microsoft Office, jeux, voire outils de développement logiciel

• Autres protocoles : imprimante réseau, accès au shell, VoIP et peer-to-peer

Concepts clés

Pour comprendre le fonctionnement d'ADM, il est impératif de connaître les concepts suivants :

• Objet : élément individuel de contenu. Un e-mail est un objet, mais également un conteneurd'objets puisqu'il possède un corps de message (ou deux) et des pièces jointes. Une page HTML estun objet qui peut contenir des objets supplémentaires, par exemple des images. Un fichier .zip etchaque fichier qu'il contient sont tous des objets. ADM décompresse le conteneur et traite chaqueobjet qu'il contient comme son propre objet.

• Transaction : wrapper entourant le transfert d'un objet (contenu). Une transaction contient aumoins un objet, mais si cet objet est un conteneur, par exemple un fichier .zip, la transactionunique peut contenir plusieurs objets.

• Flux : connexion réseau TCP ou UDP. Un flux peut contenir de nombreuses transactions.

Règles DEMLa véritable force de McAfee DEM tient à la façon dont il capture et normalise les informationscontenues dans les paquets du réseau.

DEM permet également de créer des règles complexes à l'aide d'expressions logiques et régulièrespour la concordance des modèles, ce qui permet également de surveiller les messages de base dedonnées ou d'application sans faux positifs ou presque. Les données normalisées (mesures) varientpour chaque application, car certains protocoles et messages d'application sont plus riches qued'autres. Les expressions de filtre doivent être soigneusement conçues. Vous devez veiller au respectde la syntaxe, mais aussi à la prise en charge de la mesure pour l'application.

DEM est fourni avec un jeu de règles par défaut. Les règles de conformité par défaut surveillent lesévénements de base de données importants tels que les connexions/déconnexions, l'activité detype DBA, par exemple les modifications DDL, les activités suspectes ainsi que les attaques de base de



données qui sont généralement nécessaires pour satisfaire aux exigences de conformité. Vous pouvezactiver ou désactiver chaque règle par défaut et définir la valeur des paramètres définissables parl'utilisateur de chaque règle.

Types de règle DEM : base de données, accès aux données, découverte et suivi des transactions.

Types derègle

Description

Base dedonnées

Le jeu de règles DEM par défaut inclut des règles pour chaque type de base dedonnées pris en charge et pour les réglementations courantes que sont SOX, PCI,HIPAA et FISMA. Vous pouvez activer ou désactiver chaque règle par défaut et définirla valeur des paramètres définissables par l'utilisateur de chaque règle.

En plus d'utiliser les règles qui sont fournies avec DEM, vous pouvez créer des règlescomplexes à l'aide d'expressions logiques et régulières. Cela permet de surveiller lesmessages de base de données ou d'application sans faux positifs ou presque. Lesdonnées normalisées (mesures) varient pour chaque application, car certainsprotocoles et messages d'application sont plus riches que d'autres.

Les règles peuvent être aussi complexes que nécessaire et inclure aussi bien desopérateurs logiques que des opérateurs d'expression régulière. Une expression derègle peut être appliquée à une ou plusieurs mesures disponibles pour l'application.

Accès auxdonnées

Les règles d'accès aux données DEM permettent de suivre les chemins d'accèsinconnus dans la base de données et d'envoyer des alertes en temps réel. Une foisque vous avez créé les règles appropriées d'accès aux données, vous pouvezfacilement effectuer le suivi des violations courantes dans les environnements debase de données, par exemple les développeurs d'applications accédant aux systèmesde production avec un ID de connexion d'application.



Types derègle

Description

Découverte Les règles de découverte de base de données de DEM fournissent une liste desexceptions des serveurs de base de données, dont les types sont pris en chargepar ESM, qui sont sur le réseau, mais qui ne sont pas surveillés. Cela permet à unadministrateur de sécurité de découvrir les nouveaux serveurs de base de donnéesajoutés à l'environnement ainsi que les ports d'écoute interdits ouverts pour accéderaux données des bases de données. Les règles de découverte (Editeur de stratégies | Typede règle DEM | Découverte) sont des règles prêtes à l'emploi qui ne peuvent être niajoutées ni modifiées. Si l'option de découverte de la page Serveurs de base dedonnées est activée (Propriétés DEM | Serveurs de base de données | Activer), le systèmeutilise ces règles pour rechercher les serveurs de base de données qui sont sur leréseau, mais qui ne sont pas répertoriés sous DEM dans l'arborescence de navigationdes systèmes.

Suivi destransactions

Les règles de suivi des transactions vous permettent de suivre les transactions debase de données et de rapprocher automatiquement les modifications. Exemple : leprocessus chronophage de suivi des modifications de base de données et de leurrapprochement avec des bons de travail autorisés dans votre système existant degestion des tickets des modifications peut être entièrement automatisé.

Pour bien comprendre l'utilisation de cette fonctionnalité, voici un exemple :L'administrateur de base de données (DBA) exécute la procédure stockée demarqueur de début (spChangeControlStart dans cet exemple) dans la base dedonnées où le travail sera exécuté avant de commencer réellement le travail autorisé.La fonctionnalité Suivi des transactions de DEM permet au DBA d'inclure jusqu'àtrois paramètres facultatifs de type chaîne en tant qu'arguments du marqueur, dansla séquence correcte :1 ID

2 Nom ou initiales DBA

3 Commentaire

Exemple : spChangeControlStart '12345', 'mshakir', 'reindexing app'Si DEM observe la procédure spChangeControlStart en cours d'exécution, il consignenon seulement la transaction, mais également les paramètres (ID, Nom,Commentaire) en tant qu'informations spéciales.

Une fois le travail terminé, DBA exécute la procédure stockée de marqueur de fin(spChangeControlEnd) et inclut éventuellement un paramètre IP qui doit êtreidentique à celui contenu dans le marqueur de début. Si le DEM observe le marqueurde fin (et l'ID), il peut associer toute l'activité produite entre le marqueur de début(qui a le même ID) et le marqueur de fin en tant que transaction spéciale. Maintenantvous pouvez générer un rapport par transactions ou effectuer des recherches par ID,qui peut représenter le numéro de contrôle des modifications dans cet exemple derapprochement des bons de travail.

Vous pouvez également utiliser le suivi des transactions pour consigner le début et lafin d'une exécution commerciale, voire les instructions de début et de validation pourgénérer des rapports par transactions et non par requêtes.



Références métriques des règles DEMVoici la liste des références métriques des expressions de règle DEM qui sont disponibles dans la pageComposant d'expression lorsque vous ajoutez une règle DEM.

Nom Définition Types de base dedonnées

Nom de l'application Nom qui identifie le type de base de données auquels'applique la règle.

MSSQL, Oracle, DB2,Sybase, MySQL,Informix, PIServer,InterSystems Caché

Heure de début Démarre l'horodatage de la requête. MSSQL, Oracle, DB2,Sybase, MySQL,Informix, PostgreSQL,Teradata, PIServer,InterSystems Caché

Déformation d'heurede début

Capture les déformations de l'heure de l'horloge duserveur.

MSSQL, Oracle, DB2,Sybase, MySQL,PostgreSQL, Teradata,PIServer, InterSystemsCaché

IP du client Adresse IP du client. MSSQL, Oracle, DB2,Sybase, MySQL,Informix, PostgreSQL,Teradata, PIServer,InterSystems Caché

Nom du client Nom de l'ordinateur client. MSSQL, Oracle, DB2,Sybase, Informix,PIServer, InterSystemsCaché

PID de client ID de processus affecté par le système d'exploitation auprocessus client.

MSSQL, DB2, Sybase,MySQL

Port de client Numéro de port de la connexion du socket client. MSSQL, Oracle, DB2,Sybase, MySQL,Informix, PostgreSQL,Teradata, PIServer,InterSystems Caché

Nom de la commande Nom de la commande MySQL. MSSQL, Oracle, DB2,Sybase, Informix

Type de commande Type de commande MySQL : DDL, DML, Show ouReplication.

MSSQL, Oracle, DB2,Sybase, MySQL,Informix, PostgreSQL,Teradata, PIServer,InterSystems Caché

Données entrantes Nombre total d'octets dans le paquet de requêtes entrant. MSSQL, Oracle, DB2,Sybase, MySQL,Informix, PostgreSQL,Teradata, PIServer,InterSystems Caché

Données sortantes Nombre total d'octets dans les paquets de résultatssortants.





Nom de la base dedonnées

Nom de la base de données à laquelle vous accédez. MSSQL, DB2, Sybase,MySQL, Informix,PostgreSQL, PIServer,InterSystems Caché

Heure de fin Fin de l'exécution de la requête d'horodatage. MSSQL, Oracle, DB2,Sybase, MySQL,Informix, PostgreSQL,Teradata, PIServer,InterSystems Caché

Message d'erreur Contient le texte du message associé auxvariables SQLCODE et SQLSTATE de la structure dedonnées SQLCA (SQL Communication Area) qui fournitdes informations sur la réussite ou l'échec desinstructions SQL demandées.

DB2, Informix

Numéro de message Numéro de message unique affecté par le serveur debase de données à chaque erreur.

MSSQL, Oracle,Sybase, MySQL,Informix, PostgreSQL,Teradata, InterSystemsCaché

Gravité du message Numéro de niveau de gravité compris entre 10 et 24, quiindique le type et la gravité du problème.

MSSQL, Sybase,Informix

Texte du message Texte complet du message. MSSQL, Oracle,Sybase, MySQL,Informix, PostgreSQL,Teradata, InterSystemsCaché

Heure du réseau Temps pris pour renvoyer l'ensemble de résultats auclient (response_time - server_response_time).


Nom du client NT Nom de l'ordinateur Windows à partir duquel l'utilisateurest connecté.

MSSQL

Nom de domaine NT Nom du domaine Windows à partir duquel l'utilisateur estconnecté.

MSSQL

Nom del'utilisateur NT

Nom de connexion de l'utilisateur Windows. MSSQL

Nom de l'objet MSSQL, Oracle, DB2,Sybase, MySQL,Informix

Nom del'utilisateur OSS

Oracle

Nom du package Un package contient les structures de contrôle utiliséespour exécuter des instructions SQL. Les packages sontproduits pendant la préparation du programme et créés àl'aide de la sous-commande BIND PACKAGE de DB2.

DB2




Paquets entrants Nombre de paquets comprenant la requête. MSSQL, Oracle, DB2,Sybase, MySQL,Informix, PostgreSQL,Teradata, PIServer,InterSystems Caché

Paquets sortants Nombre de paquets comprenant l'ensemble de résultatsretourné.


Mot de passe MSSQL, Oracle, DB2,Sybase, MySQL,Informix, PostgreSQL,InterSystems Caché

Longueur du mot depasse

MSSQL, Oracle, DB2,Sybase, MySQL,Informix, PostgreSQL,InterSystems Caché

Taille du bloc derequêtes

Le bloc de requêtes est l'unité de base de transmissiondes données de requête et d'ensemble de résultats. Laspécification de la taille du bloc de requêtes permet audemandeur, qui peut être soumis à des contraintes deressource, de contrôler la quantité des donnéesretournées simultanément.

DB2, Informix

Statut de sortie derequête

Statut de sortie d'une requête. MSSQL, Oracle, DB2,Sybase, MySQL,Informix, PostgreSQL,Teradata, InterSystemsCaché

Numéro de requête Numéro unique affecté à chaque requête par l'agent desurveillance AuditProbe, qui commence à zéro pour lapremière requête et qui est incrémenté d'un chiffre à lafois.

MSSQL, Oracle, DB2,Sybase, MySQL,PostgreSQL, Teradata,PIServer, InterSystemsCaché

Texte de la requête Requête SQL réelle envoyée par le client. MSSQL, Oracle, DB2,Sybase, MySQL,Informix, PostgreSQL,Teradata, PIServer,InterSystems Caché

Type de requête Nombre entier affecté aux différents types de requête. MSSQL, Oracle, Sybase

Nom de l'utilisateurréel

Nom de connexion de l'utilisateur du client.

Contenu de la réponse MSSQL, Oracle, DB2,Sybase, MySQL,Informix

Temps de réponse Temps de réponse de bout en bout de la requête(server_response_time + network_time).

MSSQL, Oracle,Sybase, MySQL,Informix, PostgreSQL,Teradata, InterSystemsCaché




Lignes retournées Nombre de lignes contenues dans l'ensemble de résultatsretourné.


Indicateur de sécurité Indicateur métrique de sécurité dont la valeur est définiesur 1 (APPROUVÉ) ou 2 (NON APPROUVÉ) si les critèresdu fichier de stratégie d'accès spécifiés parl'administrateur sont remplis. La valeur 3 indique que cescritères ne sont pas remplis. La valeur 0 indique que lasurveillance de sécurité n'a pas été activée.

MSSQL, Oracle, DB2,Sybase, MYSQL,Informix, PostgreSQL,Teradata, PIServer,InterSystems

Mécanisme desécurité

Mécanisme de sécurité utilisé pour valider l'identité del'utilisateur (par exemple ID d'utilisateur et mot depasse).

DB2

IP du serveur Adresse IP de l'hôte serveur de base de données. MSSQL, Oracle, DB2,Sybase, MySQL,Informix, PostgreSQL,Teradata, InterSystemsCaché

Nom du serveur Nom du serveur. Par défaut, le nom d'hôte est affecté entant que nom du serveur.

MSSQL, Oracle, DB2,Sybase, Informix,PIServer, InterSystemsCaché

Port de serveur Numéro de port du serveur. MSSQL, Oracle, DB2,Sybase, MySQL,Informix, PostgreSQL,Teradata, InterSystemsCaché

Temps de réponse duserveur

Réponse initiale du serveur de base de données à larequête du client.


Code de gravité DB2

SID Identificateur du système Oracle. Oracle, Informix,PostgreSQL, Teradata,PIServer, InterSystemsCaché

ID du profil de service ID du processus système de base de données affecté àchaque connexion/session unique.

MSSQL, Sybase




Code SQL Lors de l'exécution d'une instruction SQL, le client reçoitune variable SQLCODE qui est en fait un code de retourqui fournit des informations supplémentaires propresà DB2 sur une erreur ou un avertissement SQL :• SQLCODE EQ 0 indique la réussite de l'exécution.

• SQLCODE GT 0 indique la réussite de l'exécution avecun avertissement.

• SQLCODE LT 0 indique l'échec de l'exécution.

• SQLCODE EQ 100 indique qu'aucune donnée n'a ététrouvée.

La signification des variables SQLCODE autres que 0 et100 varie en fonction du produit particulierimplémentant SQL.

Commande SQL Type de commande SQL.

Etat SQL DB2 SQLSTATE est un code de retour supplémentaire quifournit des programmes avec des codes de retourcommuns pour les conditions d'erreur communes dessystèmes de base de données relationnelle IBM.

DB2

Nom de l'utilisateur Nom de connexion de l'utilisateur de base de données. MSSQL, Oracle, DB2,Sybase, MySQL,Informix, PostgreSQL,Teradata, PIServer,InterSystems Caché

Règles de corrélationL'objectif fondamental du moteur de corrélation est d'analyser les flux de données d'ESM, de détecterles modèles intéressants dans le flux de données, de générer des alertes qui représentent cesmodèles, et de les insérer dans la base de données d'alerte du récepteur. Ce moteur est activélorsqu'une source de données de corrélation est configurée.

Au sein du moteur de corrélation, un modèle intéressant entraîne l'interprétation des données par unerègle de corrélation. Une règle de ce type est totalement distincte d'une règle de pare-feu oustandard ; elle est également pourvue d'un attribut qui spécifie son comportement. Chaque récepteurreçoit un jeu de règles de corrélation d'un ESM (jeu de règles de corrélation déployé), qui est composéde zéro ou plusieurs règles de corrélation pourvues de valeurs de paramètre définies par l'utilisateur. Al'instar des jeux de règles de pare-feu et standard, un jeu de règles de corrélation de base est inclusdans tout ESM (jeu de règles de corrélation de base), et les mises à jour de ce jeu de règles sontdéployées sur les équipements ESM à partir du serveur de mise à jour des règles.

Les règles incluses sur le serveur de mise à jour des règles comprennent des valeurs par défaut. Si vousmettez à jour le jeu de règles du moteur de corrélation de base, vous devez personnaliser ces valeurspar défaut afin qu'elles représentent correctement votre réseau. Si vous déployez ces règles sansmodifier les valeurs par défaut, elles peuvent générer des faux positifs ou des faux négatifs.

Une seule source de données de corrélation peut être configurée par récepteur, d'une façon similaire àla configuration de Syslog ou OPSEC. Une fois la source de données de corrélation configurée, vouspouvez modifier le jeu de règles de corrélation de base pour créer le jeu de règles de corrélationdéployé à l'aide de l'Editeur de règles de corrélation. Vous êtes autorisé à activer ou à désactiver chaquerègle de corrélation et à définir la valeur des paramètres définissables par l'utilisateur de chaque règle.



En plus d'activer ou de désactiver les règles de corrélation de base, l'Editeur de règles de corrélation vouspermet de créer des règles personnalisées et des composants de corrélation personnalisés qui peuventêtre ajoutés aux règles de corrélation.

Affichage des détails des règles de corrélationMaintenant vous pouvez consulter les détails relatifs à la cause du déclenchement des règles decorrélation. Ces informations peuvent vous êtes utiles pour effectuer les réglages destinés à éviter lesfaux positifs.

Les détails sont toujours collectés lors de la demande sur l'interface utilisateur. Toutefois, pour lesrègles qui utilisent des listes de valeurs dynamiques ou d'autres valeurs susceptibles d'êtrefréquemment modifiées, vous pouvez définir ces règles de façon à obtenir les détails immédiatementaprès le déclenchement. Cela permet de réduire le risque d'inaccessibilité aux détails.


1 Définissez chaque règle pour afficher les détails immédiatement :

a Sur la console ESM, cliquez sur l'icône de lancement rapide Corrélation .

L'Editeur de stratégies s'ouvre, dans lequel le type de règle Corrélation est sélectionné.

b Cliquez sur la colonne Détails de la règle et sélectionnez Activé.

Vous pouvez sélectionner plusieurs règles en même temps.

2 Affichez les détails :

a Dans l'arborescence de navigation des systèmes, cliquez sur Corrélation des règles, sousl'équipement ACE.

b Dans la liste des vues, sélectionnez Vues des événements | Analyse d'événement, puis cliquez surl'événement que vous souhaitez afficher.

c Cliquez sur l'onglet Détails de la corrélation pour afficher les détails.

Ajout de règles ADM, de base de données ou de corrélationpersonnaliséesSi vous pouvez utiliser des règles ADM, de base de données ou de corrélation prédéfinies, vous pouvezégalement créer des règles complexes à l'aide des expressions logiques et régulières. Les éditeurs quevous utilisez pour ajouter ces différents types de règle sont très proches et sont donc décrits dans lesmêmes sections.


1 Dans le panneau Types de règle de l'Editeur de stratégies, sélectionnez ADM, DEM | Base de donnéesouCorrélation.

2 Cliquez sur Nouveau, puis sélectionnez le type de règle que vous souhaitez ajouter.

3 Entrez les informations demandées, puis effectuez un glisser-déplacer des éléments logiques et descomposants d'expression depuis la barre d'outils vers la zone Logique d'expression afin de créer lalogique de la règle.

4 Cliquez sur OK.



Procédures• Ajout de paramètres à une règle ou un composant de corrélation, page 380

Les paramètres d'une règle ou d'un composant de corrélation contrôlent le comportementde la règle ou du composant lors de son exécution. Ils ne sont pas obligatoires.

• Ajout ou modification d'une règle d'accès aux données, page 383Les stratégies d'accès aux données DEM permettent de suivre les chemins d'accès inconnusdans la base de données et d'envoyer des événements en temps réel.

• Ajout ou modification d'une règle de suivi des transactions, page 383Les règles de suivi des transactions effectuent le suivi des transactions de base de donnéeset le rapprochement automatique des modifications. Elles permettent également deconsigner le début et la fin de l'exécution des transactions, ou de démarrer et valider lesinstructions pour la génération de rapports par transactions au lieu d'utiliser des requêtes.

• Gestion des règles ADM, DEM ou de corrélation personnalisées, page 383Copiez une règle prédéfinie et utilisez-la comme modèle de règle personnalisée. Si vousajoutez une règle personnalisée, vous pouvez modifier ses paramètres, la copier et la collerpour l'utiliser comme modèle d'une nouvelle règle personnalisée ou la supprimer.

• Configuration d'une règle et d'un rapport pour les pistes d'audit de base de données,page 384Le rapport Pistes d'audit de l'utilisateur privilégié vous permet d'afficher la piste d'audit desmodifications apportées à la base de données ou de suivre l'accès à une base de donnéesou à une table associée à un événement de base de données spécifique.

Eléments logiquesLorsque vous ajoutez une règle ADM (Application Data Monitor), de base de données et de corrélationou un composant de corrélation, utilisez la zone Logique d'expression ou Logique de corrélation afin de créer lastructure de la règle.

Elément Description

AND Fonctionne de la même façon qu'un opérateur logique d'un langage informatique. Tousles éléments groupés au-dessous de cet élément logique doivent être vrais pour que lacondition le soit. Afin que toutes les conditions inscrites au-dessous de cet élémentlogique soient remplies avant le déclenchement d'une règle, sélectionnez cette option.

OR Fonctionne de la même façon qu'un opérateur logique d'un langage informatique. Uneseule condition groupée au-dessous de cet élément doit être vraie pour que cettecondition le soit. Utilisez cet élément si vous souhaitez qu'une seule condition soitremplie avant le déclenchement de la règle.

SET Pour les règles ou composants de corrélation, SET permet de définir des conditions et desélectionner le nombre de conditions qui doivent être vraies pour déclencher la règle.Exemple : si deux conditions sur trois de l'élément SET doivent être remplies avant ledéclenchement de la règle, l'élément SET indique « 2 sur 3 ».

Chacun de ces éléments dispose d'un menu comportant au moins deux de ces options :



• Modifier : vous pouvez modifier les paramètres par défaut (voir la section Modification desparamètres par défaut des éléments logiques).

• Supprimer l'élément logique : vous pouvez supprimer l'élément logique sélectionné. S'il disposed'enfants, ces derniers ne sont pas supprimés, mais remontés dans la hiérarchie.

Cela ne s'applique pas à l'élément racine (le premier de la hiérarchie). Si vous le supprimez, tous lesenfants sont également supprimés.

• Supprimer l'élément logique et tous ses enfants : vous pouvez supprimer l'élément sélectionné et tous sesenfants de la hiérarchie.

Lorsque vous configurez la logique de la règle, vous devez ajouter des composants afin de définir sesconditions. Dans le cas des règles de corrélation, vous pouvez également ajouter des paramètres pourcontrôler le comportement de la règle ou du composant lors de son exécution.

Modification des paramètres par défaut des éléments logiquesLes éléments logiques AND, OR et SET sont pourvus de paramètres par défaut, qui peuvent êtremodifiés dans la page Modifier l'élément logique.


1 Dans l'Editeur de règles, effectuez un glisser-déplacer d'un élément logique dans la zone Logiqued'expression ou Logique de corrélation.

2 Cliquez sur l'icône Menu correspondant à l'élément que vous souhaitez modifier, puis cliquez surModifier.

3 Modifiez les paramètres, puis cliquez sur OK.

Ajout de paramètres à une règle ou un composant de corrélationLes paramètres d'une règle ou d'un composant de corrélation contrôlent le comportement de la règleou du composant lors de son exécution. Ils ne sont pas obligatoires.


1 Dans les pages Règle de corrélation ou Composant de corrélation, cliquez sur Paramètres.

2 Cliquez sur Ajouter, puis entrez le nom du paramètre.

3 Sélectionnez le type de paramètre souhaité, puis sélectionnez ou désélectionnez les valeurs.

Les valeurs Liste et Intervalle ne peuvent pas être utilisées simultanément. Une valeur de type liste nepeut pas inclure d'intervalle (1–6 8, 10, 13). Son écriture correcte est la suivante : 1, 2, 3, 4, 5, 6,8, 10, 13.

4 Pour sélectionner la valeur par défaut du paramètre, cliquez sur l'icône Editeur de valeurs par défaut .

5 Si vous ne souhaitez pas que le paramètre soit visible en externe, désélectionnez Visible en externe. Leparamètre est associé à l'étendue de la règle.

6 Tapez une description de ce paramètre pour qu'il s'affiche dans la zone de texte Description de lapage Paramètres de règles lors de son surlignage.

7 Cliquez sur OK, puis sur Fermer.



Exemple de règle ou de composant de corrélation personnalisésAjoutez une règle ou un composant de corrélation.

La règle que nous allons ajouter dans cet exemple génère une alerte lorsque ESM détectecinq tentatives de connexion en échec d'une source unique d'un système Windows, suivies d'uneconnexion réussie, le tout dans un délai de 10 minutes.

1 Dans le panneau Types de règle de l'Editeur de stratégies, cliquez sur Corrélation.

2 Cliquez sur Nouveau, puis sélectionnez Règle de corrélation.

3 Entrez un nom descriptif, puis sélectionnez le paramètre de gravité.

Comme un événement généré par cette règle peut indiquer qu'une personne non autorisée a accédéau système, le paramètre de gravité approprié est 80.

4 Sélectionnez l'ID de normalisation, qui peut être Authentification ou Authentification | Connexion, puiseffectuez un glisser-déplacer de l'élément logique AND.

Sélectionnez AND, car deux types d'action doivent se produire (tentatives de connexion en premierlieu, puis connexion réussie).

5Cliquez sur l'icône Menu , puis sélectionnez Modifier.

6 Sélectionnez Séquence pour indiquer que les actions (en premier lieu, cinq tentatives de connexionen échec, et en second lieu une connexion réussie) doivent se produire séquentiellement, puisdéfinissez le nombre de d'occurrences requis pour cette séquence, à savoir « 1 ».

7 Définissez la période au cours de laquelle les actions doivent se produire, puis cliquez sur OK.

Etant donné que deux actions requièrent des fenêtres de temps, la période de 10 minutes doit êtrerépartie entre les deux. Dans cet exemple, la période de chaque action correspond à cinq minutes.Une fois que les tentatives en échec se sont produites dans les cinq minutes, le système commenceà rechercher une connexion réussie de la même source IP au cours des cinq minutes suivantes.

8 Dans le champ Grouper par, cliquez sur l'icône, déplacez l'option IP source de gauche à droite enindiquant que toutes les actions doivent provenir de la même adresse IP source, puis cliquezsur OK.

9 Définissez la logique de cette règle ou de ce composant.




Spécifier le type de filtrequi identifie lesévénements qui vousintéressent (dans cecas, plusieurs tentativesde connexion en échecdans un systèmeWindows).

1Faites glisser l'icône Filtre et déplacez-la sur l'élément logique AND.

2 Dans la page Composant des champs de filtre, cliquez sur Ajouter.

3 Sélectionnez Règle de normalisation | Dans, puis :

• Normalisation

• Authentification

• Connexion

• Connexion hôte

• Plusieurs tentatives de connexion en échec sur un hôte Windows

4 Cliquez sur OK.

Définir le nombred'échecs de connexionet la période au cours delaquelle ils doivent seproduire.

1 Effectuez un glisser-déplacer de l'élément logique AND vers la barre Filtre.

L'élément AND est utilisé, car cinq tentatives distinctes doivent seproduire. L'élément vous permet de définir le nombre d'occurrences et lapériode pendant laquelle elles doivent se produire.

2Cliquez sur l'icône Menu de l'élément AND que vous venez d'ajouter,puis cliquez sur Modifier.

3 Dans le champ Seuil, entrez 5 et supprimez les autres valeurs présentes.

4 Définissez le champ Fenêtre de temps sur 5.

5 Cliquez sur OK.

Définir le second type defiltre qui doit seproduire, qui correspondà la connexion réussie.

1 Effectuez un glisser-déplacer de l'icône Filtre vers la base inférieure dupremier crochet de l'élément logique AND.

2 Dans la page Faire concorder le composant, cliquez sur Ajouter.

3 Dans les champs, sélectionnez Règle de normalisation | Dans, puissélectionnez :

• Normalisation

• Authentification

• Connexion

• Connexion hôte

4 Cliquez sur OK pour retourner dans la page Faire concorder le composant.

5 Pour définir la réussite, cliquez sur Ajouter, sélectionnez Sous-type d'événement| Dans, puis cliquez sur l'icône Variables et cliquez sur Sous-type d'événement |opération réussie | Ajouter.

6 Cliquez sur OK pour retourner dans l'Editeur de stratégies.

La nouvelle règle est ajoutée à la liste des règles de corrélation dans l'Editeur de stratégies.



Ajout ou modification d'une règle d'accès aux donnéesLes stratégies d'accès aux données DEM permettent de suivre les chemins d'accès inconnus dans labase de données et d'envoyer des événements en temps réel.Les violations courantes dans les environnements de base de données, par exemple des développeursd'applications accédant aux systèmes de production à l'aide d'ID de connexion d'application, peuventêtre facilement suivies lors de la création de stratégies d'accès aux données appropriées.


1 Dans le panneau Types de règle de l'Editeur de stratégies, sélectionnez DEM | Accès aux données.


• Pour ajouter une nouvelle règle, sélectionnez Nouveau, puis cliquez sur Règle d'accès aux données.

• Pour modifier une règle, sélectionnez-la dans le volet Affichage des règles, puis cliquez surModifier | Modifier.


Ajout ou modification d'une règle de suivi des transactionsLes règles de suivi des transactions effectuent le suivi des transactions de base de données et lerapprochement automatique des modifications. Elles permettent également de consigner le début et lafin de l'exécution des transactions, ou de démarrer et valider les instructions pour la génération derapports par transactions au lieu d'utiliser des requêtes.


1 Dans l'Editeur de stratégies, sélectionnez DEM | Suivi des transactions.


• Pour ajouter une nouvelle règle, cliquez sur Nouveau, puis sur Règle de suivi des transactions.

• Pour modifier une règle, sélectionnez-la dans le volet d'affichage des règles, puis cliquez surModifier | Modifier.


Gestion des règles ADM, DEM ou de corrélation personnaliséesCopiez une règle prédéfinie et utilisez-la comme modèle de règle personnalisée. Si vous ajoutez unerègle personnalisée, vous pouvez modifier ses paramètres, la copier et la coller pour l'utiliser commemodèle d'une nouvelle règle personnalisée ou la supprimer.


1 Dans l'Editeur de stratégies, sélectionnez ADM ou DEM | Base de données, Accès aux données ou Suivi destransactions.





Afficher toutes lesrègles ADM ou DEMpersonnalisées

1 Cliquez sur l'onglet Filtre dans le volet Filtres/Marquage.

2 Cliquez sur la barre Avancé en bas du volet.

3 Dans le champ Origine, sélectionnez défini par l'utilisateur.

4 Cliquez sur Exécuter une requête.

Les règles personnalisées du type que vous sélectionnez sontrépertoriées dans le panneau d'affichage des règles.

Copier et coller unerègle

1 Sélectionnez une règle prédéfinie ou personnalisée.

2 Cliquez sur Modifier | Copier

3 Cliquez sur Modifier | Coller.La règle que vous avez copiée est ajoutée à la liste des règlesexistantes, avec le même nom.

4 Pour modifier le nom, cliquez sur Modifier | Modifier.

Modifier une règlepersonnalisée

1 Sélectionnez la règle personnalisée.

2 Cliquez sur Modifier | Modifier.

Supprimer une règlepersonnalisée

1 Sélectionnez la règle personnalisée.

2 Cliquez sur Modifier | Supprimer.

Configuration d'une règle et d'un rapport pour les pistes d'audit de base dedonnéesLe rapport Pistes d'audit de l'utilisateur privilégié vous permet d'afficher la piste d'audit des modificationsapportées à la base de données ou de suivre l'accès à une base de données ou à une table associée àun événement de base de données spécifique.

Après que vous avez configuré les paramètres afin de générer ce rapport, vous recevez lesnotifications de rapport de conformité qui affichent la piste d'audit associée à chaque événement. Pourgénérer les événements de piste d'audit, vous devez ajouter une règle Accès aux données ainsi que lerapport Pistes d'audit de l'utilisateur privilégié.


1 Dans le volet Types de règle de l'Editeur de stratégies, sélectionnez DEM | Accès aux données.

2 Surlignez DEM - Modèle de règle - Utilisation approuvée de l'accès à partir de l'intervalle IP dans le panneau Affichagedes règles.

3 Cliquez sur Modifier | Copier, puis sur Modifier | Coller.

4 Modifiez le nom et les propriétés de la nouvelle règle.

a Surlignez la nouvelle règle, puis sélectionnez Modifier | Modifier.

b Entrez le nom de la règle, puis tapez le nom de l'utilisateur.

c Sélectionnez le type d'action Non approuvé, puis cliquez sur OK.

5Cliquez sur l'icône Déploiement .



6 Configurez le rapport :

a Dans Propriétés du système, cliquez sur Rapports | Ajouter.

b Remplissez les sections 1 à 3 et 6.

c Dans la section 4, sélectionnez Rapport PDF ou Rapport HTML.

d Dans la section 5, sélectionnez Conformité | SOX | Pistes d'audit de l'utilisateur privilégié (base de données).

e Cliquez sur Enregistrer.

7 Pour générer le rapport, cliquez sur Exécuter maintenant.

Règles ESMLes règles ESM permettent de générer des événements associés à ESM.

Toutes les règles de ce type sont définies par McAfee. Elles permettent de générer des rapports deconformité ou d'audit qui indiquent ce qui s'est produit dans ESM. Vous ne pouvez pas les ajouter, lesmodifier ou les supprimer, mais vous pouvez en modifier les paramètres de propriété (consultez lasection Types de règle et propriétés correspondantes).

NormalisationLes règles sont nommées et décrites par chaque fournisseur. Par conséquent, un même type de règleest souvent nommé de différentes manières, ce qui ne facilite pas le regroupement des informationsrelatives aux types des événements qui se produisent.

McAfee a établi et met à jour régulièrement la liste des identificateurs normalisés qui décrivent lesrègles afin de faciliter le classement des événements dans des catégories pratiques. Lorsque vouscliquez sur Normalisation dans le volet Types de règle de l'Editeur de stratégies, ces identificateurs, noms etdescriptions s'affichent.

Les fonctionnalités suivantes permettent d'organiser les informations relatives aux événements à l'aided'identificateurs normalisés :

• Champs des composants de vues : l'option Synthèse d'événements normalisés est disponible lors de ladéfinition des champs d'une requête d'événement dans les composants de type graphique àsecteurs, graphique à barres et liste (consultez la section Gestion des requêtes).

• Filtres des composants des vues : lorsque vous créez une vue, vous pouvez filtrer les donnéesd'événement sur un composant en fonction des identificateurs normalisés (consultez la sectionGestion des requêtes).

• Filtres de vue : ID normalisé est une option disponible dans la liste des filtres de vue (consultez lasection Filtrage des vues).

• Liste de vues : l'option Synthèse d'événements normalisés est disponible dans la liste des Vues desévénements.

L'onglet Détails de la vue Analyse d'événement répertorie les ID de normalisation des événements présentsdans la liste.

Lorsque vous ajoutez des filtres ID normalisé à une nouvelle vue ou à une vue existante, vous pouvezeffectuer les actions suivantes :



• Filtrer un dossier de premier niveau en fonction de tous les ID normalisés. Un masque (/5 pour undossier de premier niveau) est inclus à la fin de l'ID pour indiquer que les événements serontégalement filtrés en fonction des ID enfants du dossier sélectionné.

• Filtrer en fonction des ID dans un dossier de deuxième ou troisième niveau. Un masque (/12 pourun dossier de deuxième niveau, /18 pour un dossier de troisième niveau) est inclus à la fin de l'IDpour indiquer que les événements seront également filtrés en fonction des ID enfants du dossiersélectionné. Le quatrième niveau ne comporte pas de masque.

• Filtrer en fonction d'un seul ID.

• Filtrer en fonction de plusieurs dossiers ou ID en même temps en utilisant les touches Ctrl ou Majpour les sélectionner.

Activation de l'option Copier le paquetLorsque l'option Copier le paquet est activée pour une règle, les données du paquet sont copiées surl'ESM. Si cette option est activée, les données du paquet sont incluses aux données d'événementsource d'une alarme Concordance d'événement interne ou Concordance de champ.



2 Dans le volet Types de règle, cliquez sur le type de règle souhaité et recherchez la règle dans le voletd'affichage des règles.

3 Cliquez sur le paramètre actuel dans la colonne Copier le paquet, qui est désactivé par défaut, puiscliquez sur activer.

Paramètres de stratégie par défautVous pouvez configurer la stratégie par défaut à utiliser en mode Alertes uniquement ouSurabonnement. Vous pouvez également afficher le statut des mises à jour de règles et initier unemise à jour.

Mode Alertes uniquementDes stratégies peuvent être appliquées aux équipements Nitro IPS et virtuels en Mode Alertes uniquement.

Si la fonctionnalité Mode Alertes uniquement est activée, toutes les règles activées sont envoyées vers leséquipements avec une utilisation des alertes même si elles sont définies sur une action de blocage,par exemple Supprimer. Lors de l'affichage des événements générés, la colonne Sous-type d'événementindique l'action en tant qu'Alerte, suivie de l'action entreprise si le mode était autre que le Mode Alertesuniquement, par exemple Alerte-Supprimer. Cela est utile aux administrateurs système qui connaissenttoujours bien leurs modèles de trafic réseau, ce qui leur permet d'analyser les événements généréssans bloquer activement tous les événements, mais en observant l'action entreprise lorsque le ModeAlertes uniquement est désactivé.

L'activation du Mode Alertes uniquement ne modifie pas les paramètres d'utilisation des règles individuellesdans l'Editeur de stratégies. Exemple : si ce mode est activé, une règle peut être envoyée versl'équipement Nitro IPS ou virtuel avec une utilisation des alertes même si son utilisation dans l'Editeurde stratégies est définie sur Supprimer (à l'exception d'un jeu de règles défini sur Transmettre, qui reste dansce mode). Cela vous permet d'activer et de désactiver facilement la fonctionnalité Mode Alertes uniquement

10 Gestion des stratégies et des règlesParamètres de stratégie par défaut


sans affecter par ailleurs vos paramètres de stratégie. La fonctionnalité Mode Alertes uniquement n'affectepas les règles désactivées. Les règles ne sont jamais envoyées vers les équipements lorsqu'elles sontdéfinies sur Désactiver.

Activation du mode Alertes uniquementSi vous souhaitez que toutes les règles activées soient envoyées vers les équipements avec uneutilisation des alertes, vous devez activer la fonctionnalité Mode Alertes uniquement. Comme l'héritages'applique à ce paramètre, le paramètre de cette stratégie remplace la valeur dont il hériteraitautrement.


1Dans l'Editeur de stratégies, cliquez sur l'icône Paramètres .

2 Dans le champ Mode Alertes uniquement, sélectionnez Activé.

Configuration du mode SurabonnementLe Mode Surabonnement définit la manière de traiter les paquets en cas de dépassement de la capacité del'équipement. Dans chaque cas, le paquet est enregistré en tant qu'événement.



2 Dans le champ Mode Surabonnement, cliquez sur Mettre à jour.

3 Dans le champ Valeur, entrez la fonctionnalité.

a L'option Transmettre (pass ou 1) permet de transmettre sans effectuer d'analyse les paquets quiseraient rejetés par une analyse.

b L'option Abandonner (drop ou 0) rejette les paquets qui dépassent la capacité de l'équipement.

c Pour transmettre ou abandonner un paquet sans générer d'événement, entrez spass ou sdrop.

4 Cliquez sur OK.

Depuis la version 8.1.0, la modification du Mode Surabonnement affecte l'équipement et ses enfants(équipements virtuels). Pour que cette modification soit appliquée, vous devez changer le mode surl'équipement parent.

Affichage du statut de mise à jour des stratégies deséquipementsAfficher la synthèse du statut des mises à jour des stratégies de tous les équipements de l'ESM.

Cela permet de savoir quand vous devez déployer les mises à jour sur votre système.

Gestion des stratégies et des règlesParamètres de stratégie par défaut 10




2 Le champ Statut indique le nombre d'équipements qui sont à jour, qui ne sont pas à jour et pourlesquels un déploiement automatique est planifié.


Opérations sur les règlesVous pouvez effectuer différentes opérations sur les règles pour les gérer et générer les informationsrequises.

Gestion des règlesVous pouvez afficher, copier et coller les règles ADM, DEM, Inspection approfondie des paquets, Analyseursyntaxique de fichiers Syslog avancé et Corrélation. Vous pouvez modifier ou supprimer ces types de règlespersonnalisées. Vous pouvez modifier les règles standard, mais vous devez les enregistrer en tant quenouvelle règle personnalisée.


1 Dans le volet Types de règle de l'Editeur de stratégies, sélectionnez le type de règle que vous souhaitezutiliser.



Afficher les règlespersonnalisées

1 Cliquez sur l'onglet Filtre dans le volet Filtres/Marquage.

2 Au bas du volet, cliquez sur la barre Avancé.

3 Dans le champ Origine, sélectionnez défini par l'utilisateur, puis cliquez sur

Exécuter une requête .

Copier et coller unerègle

1 Sélectionnez une règle prédéfinie ou personnalisée.

2 Sélectionnez Modifier | Copier, puis sélectionnez Modifier | Coller.La règle que vous avez copiée est ajoutée à la liste des règles existantes,avec le même nom.

3 Pour changer son nom, sélectionnez Modifier | Modifier.

10 Gestion des stratégies et des règlesOpérations sur les règles



Modifier une règle 1 Sélectionnez la règle que vous souhaitez afficher, puis sélectionnez Modifier| Modifier.

2 Modifiez les paramètres, puis cliquez sur OK. S'il s'agit d'une règlepersonnalisée, elle est enregistrée avec les modifications. S'il s'agit d'unerègle standard, vous êtes invité à enregistrer les modifications en tantque nouvelle règle personnalisée. Cliquez sur Oui.

Si vous n'avez pas modifié le nom de la règle, celle-ci est enregistrée avecle même nom et un autre ID de signature (SigID). Pour modifier le nom,sélectionnez la règle, puis sélectionnez Modifier | Modifier.

Supprimer une règlepersonnalisée

• Sélectionnez la règle personnalisée.

• Sélectionnez Modifier | Supprimer.

Importation de règlesVous pouvez importer un ensemble de règles préalablement exporté d'un autre ESM et l'enregistrersur votre ESM.


1 Dans le volet Types de règle de l'Editeur de stratégies, cliquez sur le type de stratégie ou de règle àimporter.

2 Cliquez sur Fichier | Importer, puis sélectionnez Règles

Vous ne pouvez pas annuler ces modifications, car leur suivi n'est pas effectué.

3 Cliquez sur Importer les règles, puis sélectionnez le fichier à importer et sélectionnez Charger.

Le fichier est chargé sur l'ESM.

4 Sur la page Importer les règles, sélectionnez l'action à effectuer lorsque l'ID des règles importées estidentique à celui des règles existantes.

5 Cliquez sur OK pour importer les règles et résoudre les conflits comme indiqué.

Le contenu du fichier est vérifié et les options appropriées sont activées ou désactivées, en fonction ducontenu du fichier sélectionné.

Conflits lors de l'importation des règles de corrélationLorsque vous exportez des règles de corrélation, un fichier contenant leurs données est créé.Néanmoins, il ne contient pas d'éléments référencés comme les variables, les zones, les listes desurveillance, les types personnalisés et les actifs que cette règle peut utiliser.

Si le fichier d'exportation est importé dans un autre ESM, les éléments référencés contenus dans lesrègles qui n'existent pas dans le système d'importation entraînent un conflit de règles. Exemple : si larègle une référence la variable $abc et qu'aucune variable nommée $abc n'est définie dans le systèmed'importation, cette condition est un conflit. Les conflits sont consignés, et la règle est marquéecomme étant en conflit.

Les conflits sont résolus en créant les éléments référencés nécessaires (manuellement ou via uneimportation le cas échéant) ou en modifiant la règle de corrélation et les références qu'elle contient.

Gestion des stratégies et des règlesOpérations sur les règles 10


Si des règles sont en conflit, une page s'affiche immédiatement après le processus d'importation pourindiquer les règles qui sont en conflit ou qui ont échoué. Les règles peuvent être modifiées pourrésoudre les conflits de cette page, ou la page peut être fermée. Les règles en conflit sont marquéesd'une icône de point d'exclamation indiquant leur statut. La modification d'une règle en conflit dansl'Editeur de règles présente un bouton de conflit. Cliquez dessus pour afficher les détails du conflitcorrespondant à cette règle.

Importation de variablesVous pouvez importer un fichier de variables et changer leur type. En cas de conflit, la nouvellevariable est automatiquement renommée.

Avant de commencerConfigurez le fichier à importer.


1 Dans le volet Types de règle de l'Editeur de stratégies, cliquez sur Variable.

2 Cliquez sur Fichier | Importer | Variables, puis recherchez et sélectionnez le fichier de variables etcliquez sur Charger.

En cas de conflits ou d'erreurs dans le fichier, la page Importation - Journal des erreurs affiche desinformations sur chaque problème.

3 Sur la page Importer une ou plusieurs variables, cliquez sur Modifier pour changer le Type des variablessélectionnées.

4 Cliquez sur OK.

Exportation de règlesExporter des règles personnalisées ou toutes les règles d'une stratégie, puis les importer vers un autreESM.


1 Dans le volet Types de règle de l'Editeur de stratégies, cliquez sur le type de règle à exporter.

2 Accédez à la liste des règles personnalisées du type sélectionné :

a Dans le volet Filtres/Marquage, vérifiez que l'onglet Filtre est sélectionné.

b Cliquez sur la barre Avancé en bas du volet.

c Dans la liste déroulante Origine, sélectionnez défini par l'utilisateur.

dCliquez sur l'icône Exécuter une requête .

3 Sélectionnez les règles à exporter, puis cliquez sur Fichier | Exporter | Règles.



4 Sur la page Exporter les règles, sélectionnez le format à utiliser pour exporter les règles.

5 Sur la page Téléchargement, cliquez sur Oui, sélectionnez l'emplacement, puis cliquez sur Enregistrer.

Si vous ouvrez le fichier .csv à l'aide de Microsoft Excel, certains caractères UTF-8 peuvent êtrecorrompus. Pour corriger ce problème, ouvrez l'Assistant d'importation de texte dans Excel et sélectionnezDélimité et Virgule.

Définir les règles de la liste de blocage automatiqueVous pouvez marquer des règles pour la liste de blocage automatique L'adresse IP (ou l'adresse IP etle port) de l'auteur d'attaque est ajoutée à la liste de blocage lorsque les conditions que vous avezdéfinies sont remplies.


1 Dans le volet Types de règle de l'Editeur de stratégies, développez IPS, puis sélectionnez le type de règle.Par exemple, pour définir des règles de virus pour la liste de blocage automatique, sélectionnezInspection approfondie des paquets.

2 Cliquez sur l'onglet Filtres dans le volet Filtres/Marquage et sélectionnez le filtre. Dans l'exempleprécédent, sélectionnez Virus.

3 Cliquez sur l'icône Actualiser.

Les règles filtrées sont répertoriées dans la zone d'affichage des règles.

4 Cliquez sur l'en-tête de la colonne Liste de blocage ou sélectionnez des règles dans la liste, puiscliquez sur IP ou IP et port.

5Déployez les modifications en cliquant sur l'icône Déploiement dans le coin supérieur droit, puisfermez l'Editeur de stratégies.

6 Sélectionnez un équipement Nitro IPS ou virtuel dans l'arborescence de navigation du système,


7 Cliquez sur Liste de blocage, puis sur Paramètres.

8 Sur la page Paramètres de la liste de blocage automatique, définissez les paramètres, puis cliquez sur OK.

Filtrage des règlesLorsque vous sélectionnez un type de règle dans l'Editeur de stratégies, toutes les règles du typesélectionné s'affichent par défaut dans l'ordre alphabétique. Vous pouvez les afficher par heure ou bienutiliser des marqueurs pour filtrer les règles de façon à afficher uniquement celles qui correspondent àvos critères.


1 Dans le volet Types de règle de l'Editeur de stratégies, sélectionnez le type de règle que vous souhaitezfiltrer.

2 Vérifiez que l'onglet Filtre est sélectionné le volet Filtres/Marquage.





Filtrer avec plusieursmarqueurs

• Sélectionnez les catégories ou les marqueurs, puis cliquez sur

l'icône Exécuter une requête .

Seules les règles qui correspondant à tous les filtres s'affichent.

Afficher les règles quicorrespondent à l'un desfiltres que vous avezsélectionnés

1 Sélectionnez plusieurs catégories ou marqueurs.

2 Cliquez sur l'icône OR, puis sur l'icône Exécuter une requête.

Les champs concernés par l'héritage (Action, Gravité, Liste noire,Agrégation et Copier le paquet) ne peuvent pas être filtrés avecl'icône OR.

Rechercher un marqueurparticulier

1 Entrez le nom du marqueur dans le champ Tapez ici pour rechercherun marqueur.

2 Sélectionnez l'option souhaitée dans la liste.

Afficher la liste des règles enfonction de l'heure decréation

• Cliquez sur l'icône Trier par heure dans la barre d'outils, puiscliquez sur l'icône Exécuter une requête.

Afficher la liste des règles parordre alphabétique

• Cliquez sur l'icône Trier par nom dans la barre d'outils, puiscliquez sur l'icône Exécuter une requête.

Effacer le filtrage • Cliquez sur l'icône de filtrage orange située dans la barre de titredu volet d'affichage des règles .

Les filtres sont effacés et toutes les règles sont à nouveauaffichées dans le volet d'affichage des règles.

Effacer les marqueurs defiltrage

• Cliquez sur l'icône Effacer tout dans la barre d'outils.

Les marqueurs sont effacés, mais le filtrage reste appliqué à laliste de règles.

Filtrer par ID de signature 1 Cliquez sur la barre Avancé au bas du volet Filtre.

2 Entrez l'ID de signature, puis cliquez sur l'icône Exécuter unerequête.

Filtrer par nom ou description 1 Dans le volet Avancé, entrez le nom ou la description.

2 Pour voir les résultats, quelle que soit la casse, cliquez surl'icône .

Filtrer par type d'équipement,ID normalisé ou action

1 Dans le volet Avancé, cliquez sur l'icône Filtre .

2 Sur la page Filtrer les variables, sélectionnez la variable.

Comparer les différences desparamètres basés sur unestratégie pour un type derègle et son parent direct

• Dans le volet Avancé, sélectionnez Afficher les exceptions, puis cliquezsur l'icône Exécuter une requête.

Filtrer par gravité, liste deblocage, agrégation, copier lepaquet, origine et statut derègle

• Sélectionnez le filtre dans la liste déroulante de chacun de ceschamps.




Afficher uniquement lesrègles personnalisées

• Sélectionnez défini par l'utilisateur dans le champ Origine du voletAvancé, puis cliquez sur l'icône Exécuter une requête.

Afficher les règles crééesdans une période particulière

1 Cliquez sur l'icône de calendrier située à côté du champ Heure duvolet Avancé.

2 Sur la page Heure personnalisée, sélectionnez l'heure de début et defin, cliquez sur OK, puis sur l'icône Exécuter une requête.

Afficher la signature d'une règleSi vous accédez à la base de données de signatures en ligne McAfee, vous pouvez afficher desinformations sur la signature d'une règle. Cette option est disponible pour les règles de pare-feu,d'inspection approfondie des paquets et de source de données.


1 Dans le volet Types de règle de l'Editeur de stratégies, sélectionnez le type de règle à afficher.

2 Sélectionnez une règle dans le volet d'affichage des règles.

3 Cliquez sur Opérations, puis sélectionnez Parcourir la référence.

L'écran NTAC - Synthèse des vulnérabilités s'ouvre dans votre navigateur.

4 Pour afficher la synthèse d'une signature, cliquez sur les liens dans la section Signatures de l'écran.

Récupération des mises à jour des règlesLes signatures de règles utilisées par un équipement Nitro IPS ou un équipement virtuel pourexaminer le trafic réseau sont mises à jour en continu par l'équipe de gestion des signatures deMcAfee et elles sont disponibles en téléchargement sur le serveur central. Vous pouvez récupérer cesmises à jour de règles automatiquement ou manuellement.

Procédure

Voir Action de remplacement pour les règles téléchargées pour définir des remplacements pour lesactions effectuées lorsque les règles sont récupérées du serveur.



2 Sur la ligne Mise à jour des règles, cliquez sur Mettre à jour.

3 Définir l'ESM pour récupérer les mises à jour automatiquement ou rechercher les mises à jour.

4Si les mises à jour ont été manuellement téléchargées, cliquez sur l'icône Déploiement pour lesappliquer.



5 Pour afficher les mises à jour manuelles, procédez comme suit :

a Dans le volet Filtres/Marquage, cliquez sur la barre Avancé.

b Dans le champ Statut de la règle, sélectionnez Mis à jour, Nouveau ou Mis à jour/nouveau pour indiquer letype des règles mises à jour que vous souhaitez afficher.

cCliquez sur l'icône Exécuter une requête .

Les règles mises à jour sont affichées avec l'icône qui représente une étoile si elles sont ajoutées,

ou un point d'exclamation si elles sont modifiées.

Effacement du statut des règles mises à jourLors de la modification ou l'ajout de règles sur le système, vous pouvez effacer ces marquages aprèsavoir vérifié les mises à jour.


1 Dans le volet Types de règle de l'Editeur de stratégies, sélectionnez le type de règle à effacer.



Effacer tous lesmarquages de statutde règle

1 Cliquez sur Opérations, puis sélectionnez l'option Effacer le statut des règles misesà jour.

2 Cliquez sur Tout.

Effacer les règlessélectionnées

1 Dans le volet Filtres/Marquage, cliquez sur la barre Avancé.

2 Dans le champ Statut de la règle, sélectionnez Mis à jour, Nouveau ou Mis à jour/nouveau pour indiquer le type de marquage à effacer.

3Cliquez sur l'icône Exécuter une requête .Les règles associées aux marquages sélectionnés sont affichées dans levolet d'affichage des règles.

4 Sélectionnez les règles à effacer.

5 Cliquez sur Opération | Effacer le statut des règles mises à jour | Sélectionné.

Comparaison de fichiers de règlesVous pouvez comparer l'état de la stratégie (appliquée, actuelle, restauration ou préparée) des fichiersde règles des équipements Nitro IPS, ADM, DEM et récepteur.

Cette action est utile pour savoir quels seraient les changements si vous appliquez la stratégie actuelleà un équipement. Pour cela, vous comparez les règles actuelles et les règles appliquées.




1 Dans l'arborescence de navigation du système, cliquez sur un équipement Nitro IPS, ADM, DEM ourécepteur.

2Cliquez sur l'icône Editeur de stratégies dans la barre d'outils des actions, puis cliquez sur Outils |Comparer les fichiers de règles.

3 Dans la page Comparer les fichiers de règles, sélectionnez les options souhaitées, puis cliquez surComparer.

Si les deux fichiers qui en résultent sont inférieurs chacun à environ 15,5 Mo, ils s'affichent dans latable Comparer les fichiers de règles. Si l'un des fichiers est plus volumineux, vous êtes invité à téléchargerles deux fichiers.

Affichage de l'historique des modifications de règleVous pouvez afficher les règles qui ont été modifiées, mises à jour ou ajoutées sur le système, ainsique la dernière version de chaque règle.


1 Dans l'Editeur de stratégies, cliquez sur Outils | Historique des modifications de règle.

2 Sur la page Historique des règles, consultez les modifications effectuées sur les règles ou cliquez surl'onglet Version de la règle pour afficher la dernière version de chaque règle.


Création d'une liste de surveillance de règlesUne liste de surveillance regroupe des types d'informations spécifiques que vous pouvez utilisercomme filtre ou comme condition d'alarme pour recevoir une notification lorsque la condition estprésente dans un événement. Ces listes de surveillance peuvent être globales ou propres à unutilisateur ou à un groupe ESM.


1 Dans le volet Types de règle de l'Editeur de stratégies, sélectionnez le type de règle, puis sélectionnez lesrègles que vous souhaitez inclure à cette liste de surveillance.

2 Cliquez sur Opérations, puis sélectionnez l'option Créer une liste de surveillance.

La page Ajouter une liste de surveillance répertorie les règles que vous avez sélectionnées.

3 Entrez un nom, puis vérifiez que la case d'option Statique est sélectionnée.

Voir Ajout d'une nouvelle liste de surveillance pour ajouter une liste de surveillance dynamique.



4 Sélectionnez le type de données à surveiller avec cette liste de surveillance, puis sélectionnezl'utilisateur affecté.

Un utilisateur avec privilèges d'administrateur peut attribuer une liste de surveillance à toututilisateur ou groupe du système. Si vous n'avez pas de privilèges d'administrateur, vous pouvezuniquement attribuer des listes de surveillance à vous-même et aux groupes dont vous êtesmembre.

5 Pour ajouter d'autres valeurs à la liste de valeurs, vous pouvez effectuer l'une des actionssuivantes :

• Pour importer un fichier de valeurs dans un format de valeurs séparées par un saut de ligne,cliquez sur Importer, puis sélectionnez le fichier.

• Pour ajouter des valeurs individuelles, entrez une valeur par ligne dans la zone Valeurs.

Le nombre maximal de valeurs est 1000.

6 Pour recevoir une alarme lorsqu'un événement généré contient l'une des valeurs de cette liste,cliquez sur Créer une alarme.

7 Cliquez sur OK.

Ajout de règles à une liste de surveillanceAprès avoir créé une liste de surveillance, vous pouvez y ajouter des valeurs de règle. Pour ce faire,vous pouvez par exemple utiliser l'option Ajouter à la liste de surveillance.


1 Dans le volet Types de règle de l'Editeur de stratégies, sélectionnez le type de règle.

2 Sélectionnez les règles que vous souhaitez ajouter à la liste de surveillance dans le voletd'affichage des règles.

3 Cliquez sur le menu Opérations, puis sélectionnez Ajouter à la liste de surveillance.

4 Sélectionnez la liste de surveillance à laquelle vous souhaitez ajouter des règles, puis cliquez surOK.

Attribution de marqueurs aux règles ou aux actifsVous pouvez attribuer des marqueurs aux règles, pour indiquer leurs attributs, puis filtrer les règles enfonction de leurs marqueurs. ESM comporte un ensemble prédéfini de marqueurs et vous permetégalement d'ajouter des nouveaux marqueurs et des nouvelles catégories de marqueurs.

L'onglet Marqueurs n'est pas disponible pour les types de règle Variable, Préprocesseur ouNormalisation.


1 Dans le volet Types de règle de l'Editeur de stratégies, sélectionnez le type de règle auquel vous souhaitezattribuer un marqueur.

2 Cliquez sur l'onglet Marqueurs dans le volet Filtres/Marquage.

10 Gestion des stratégies et des règlesAttribution de marqueurs aux règles ou aux actifs




Ajouter unenouvelle catégoriede marqueurs

1Cliquez sur l'icône Nouveau marqueur de catégorie .

2 Entrez le nom de la catégorie.

3 Si vous souhaitez que ce marqueur soit utilisé dans le calcul de la gravitédes événements, sélectionnez Utiliser un marqueur pour le calcul de la gravité desévénements, puis cliquez sur OK.

La catégorie est ajoutée avec un marqueur de base. Vous pouvez ajouterd'autres nouveaux marqueurs dans cette catégorie.

Ajouter un nouveaumarqueur

1 Cliquez sur la catégorie dans laquelle vous souhaitez ajouter le marqueur,

puis cliquez sur l'icône Nouveau marqueur .

2 Entrez le nom du marqueur.

3 Si vous souhaitez que ce marqueur soit utilisé dans le calcul de la gravitédes événements, sélectionnez Utiliser un marqueur pour le calcul de la gravité desévénements, puis cliquez sur OK.

Modifier unecatégorie ou unmarqueur

1 Cliquez sur la catégorie ou le marqueur à modifier, puis cliquez sur l'icône

Modifier le marqueur .

2 Modifiez le nom ou les paramètres, puis cliquez sur OK.

Supprimer unmarqueurpersonnalisé

1 Sélectionnez le marqueur à supprimer, puis cliquez sur l'icône Supprimer le

marqueur .

2 Cliquez sur Oui pour confirmer.

Modification des paramètres d'agrégationLes événements agrégés sont des événements qui disposent de champs qui concordent.

L'agrégation est sélectionnée par défaut, et vous pouvez choisir le type d'agrégation à utiliser pourtous les événements générés sur un équipement dans la page Agrégation d'événements de chaqueéquipement. Vous pouvez modifier les paramètres d'agrégation des règles individuelles.


1 Dans le volet Types de règle de l'Editeur de stratégies, sélectionnez le type de règle.

2 Sélectionnez la règle dont vous souhaitez modifier les paramètres d'agrégation.

3 Dans la barre d'outils, cliquez sur Opérations, puis sélectionnez Modifier les paramètres d'agrégation.


Les champs que vous sélectionnez doivent être de types différents faute de quoi une erreur seproduira.

Gestion des stratégies et des règlesModification des paramètres d'agrégation 10



6 Si vous apportez des modifications qui affectent le mode d'agrégation des équipements, vous devezindiquer si vous souhaitez les déployer. Procédez comme suit :

a Cliquez sur Oui.

La page Déploiement des exceptions d'agrégation affiche le statut des équipements concernés par cettemodification. Tous les équipements qui sont obsolètes sont cochés.

b Au besoin, désactivez la case à cocher correspondant aux équipements auxquels vous nesouhaitez pas appliquer les modifications.

c Cliquez sur OK pour déployer les modifications.

La colonne Statut reflète le statut de la mise à jour à mesure que les modifications sont déployées.

Action de remplacement pour les règles téléchargéesLorsque vous téléchargez des règles du serveur central de McAfee, une action par défaut leur estattribuée.Vous pouvez définir une action de remplacement pour les règles du type que vous sélectionnez lors deleur téléchargement. Si aucune action de remplacement n'est définie, l'action par défaut des règles esteffectuée.


1 Dans l'Editeur de stratégies, cliquez sur Outils, puis sélectionnez Nouvelle configuration de règle.

La page Nouvelle configuration de règle répertorie les actions de remplacement définies pour la Stratégie pardéfaut.

2 Définissez les paramètres de l'action de remplacement, puis cliquez sur Fermer.

Pondérations de gravitéLa gravité des événements est calculée en fonction de la pondération de la gravité pour les actifs, lesmarqueurs, les règles et les vulnérabilités.

Chacun des quatre types de gravité est pondéré dans le calcul final. Ce calcul final est la somme desquatre gravités multipliée par leur pondération respective. La page Pondérations de gravité affiche lespondérations associées aux groupes d'actifs, de marqueurs, de règles et de vulnérabilités. La sommedes paramètres doit être égale à 100. Lorsque vous modifiez un paramètre, cela affecte certains oul'ensemble des paramètres. Voici la description des types de gravité :

10 Gestion des stratégies et des règlesAction de remplacement pour les règles téléchargées


Type degravité

Description

Actif Un actif est une adresse IP qui peut éventuellement être incluse à une zone. Lagravité de l'actif d'un événement est déterminé comme suit :1 L'adresse IP de destination et la zone de destination de l'événement sont

comparées à tous les actifs. Si une concordance est trouvée, la gravité de cet actifest utilisée comme gravité de l'actif de cet événement.

2 Si aucune adresse IP de destination ni zone de destination n'est trouvée,l'adresse IP source et la zone source de l'événement sont comparées à tous lesactifs. Si une concordance d'adresse IP et de zone source est trouvée, la gravité del'actif est utilisée comme gravité de l'actif de cet événement.

3 En l'absence de concordance, la gravité de l'actif est égale à zéro.

Marqueur La gravité des marqueurs est calculée en utilisant les marqueurs McAfee et lesmarqueurs définis par l'utilisateur. Pour qu'un marqueur soit utilisé dans le calcul dela gravité, il doit être défini à la fois pour la règle et l'actif de l'événement. Si aucunmarqueur n'est défini pour la règle ou l'actif ou bien en l'absence de concordanced'actif, la gravité des marqueurs est égale à zéro. Pour calculer la gravité desmarqueurs, le nombre de marqueurs de règle et d'actif concordants est multipliépar 10. La gravité des marqueurs est limitée à 100.

Règle La gravité des règles est la gravité définie pour l'événement lors de sa création. Elleest basée sur la gravité de la règle de l'événement, telle que définie dans l' Editeur destratégies et sur tout enrichissement de données configuré pour le collecteur del'événement.

Vulnérabilité Si l'information SVE VA est disponible pour l'actif et la règle d'un événement, lagravité la plus élevée de tous les SVE d'actif et de règle est appliquée à la gravité dela vulnérabilité, sinon la valeur est zéro.

Définition des pondérations de gravitéLes gravités des actifs, marqueurs, règles et vulnérabilités sont pondérées lors du calcul de la gravitéd'un événement. Vous devez définir ces gravités.


1Dans l'Editeur de stratégies, cliquez sur l'icône Pondérations de gravité .


Affichage de l'historique des modifications de stratégieVous pouvez afficher ou exporter un journal des modifications effectuées sur une stratégie. Cethistorique peut contenir jusqu'à 1 Go de données. Lorsque cette limite est atteinte, les fichiers les plusanciens sont supprimés selon les besoins.


1Dans l'Editeur de stratégies, cliquez sur l'icône Voir l'historique des modifications de stratégie .

2 Consultez ou exportez un historique, puis cliquez sur Fermer.

Gestion des stratégies et des règlesAffichage de l'historique des modifications de stratégie 10


Application des modifications de stratégieLorsque vous modifiez des stratégies, vous devez déployer les modifications pour les appliquer. Lesmodifications effectuées au niveau de la stratégie par défaut sont appliquées à toutes les stratégieslorsque vous les déployez sur tous les équipements.


1Dans l'Editeur de stratégies, cliquez sur l'icône Déploiement .

2 Sélectionnez les options du déploiement.

3 Cliquez sur OK.

Une fois le déploiement effectué sur chaque équipement, le statut de la stratégie indique que ledéploiement a été correctement effectué. Si le déploiement n'est pas correctement exécuté, une pageaffiche la synthèse des commandes qui ont échoué.

Gestion du trafic prioritaireVous pouvez configurer le trafic pour qu'il circule à travers Nitro IPS sans être testé par rapport à desrègles.

Exemple : il peut être nécessaire de configurer le trafic VoIP pour qu'il traverse Nitro IPS sans êtrevérifié.


1 Dans l'Editeur de stratégies, cliquez sur le type de règle Variable.

2 Développez la catégorie priority_traffic, puis cliquez sur PRIORITY_TRAFFIC_LIST.

3 Cliquez sur Modifier, puis sélectionnez Modifier.

4 Gérez les paramètres, puis cliquez sur OK.

10 Gestion des stratégies et des règlesApplication des modifications de stratégie


Index

Aaccès à un équipement à distance 224

accès aux détails d'une vue 312

ACEajout d'un gestionnaire de corrélation des risques 142

corrélation historique 143

corrélation, moteur 141

moteur de corrélation des risques 141

moteurs de corrélation 141

score de corrélation des risques, ajout 142

sélection du type de données à envoyer depuis ESM 142

synthèse 14, 67

acquisition des donnéesactivation de McAfee Risk Advisor 170

acquittementalarme déclenchée 254, 302

actifsdéfinition des anciens actifs 344

gérer 344

gravité 398

action de remplacement pour les règles téléchargées 398

actionsajouter à DEM 163

alarmes 248

barre d'outils 15, 35, 39

correspondance 108

définir pour DEM 162

sources de données 108

activation du mode FIPS 27

Active Directoryauthentification de la connexion 209

configuration des paramètres d'authentification 211

récupérer les données 347

actualisation de l'arborescence de navigation des systèmes,interruption 182

actualiser les équipements 65

ADMévénements 144

paramètres 144

synthèse 14, 67

ADM, dictionnaires 146

configuration 147

exemples 149

gérer 150

ADM, dictionnaires 146 (suite)référencement 151

ADM, règlesajouter 378

Anomalies de protocole DNA pour les règles ADM 159

Anomalies de protocole IP pour les règles ADM 159

Anomalies de protocole TCP pour les règles ADM 159

applications et protocoles pris en charge 369

concepts clés 369

éléments logiques 272, 379

éléments logiques, modification 380

expression régulière, grammaire 151

littéraux 151

modules de protocoles de messagerie e-mail 158

modules de protocoles de messagerie web 158

modules de protocoles de transfert de fichier 158

opérateurs 151

propriétés propres aux protocoles 158

protocole, anomalies 159

références métriques 156

règles personnalisées, gestion 383

syntaxe 151

types de terme 154

adresses IP de destination, afficher les noms d'hôte dans unrapport 292

adresses IP source, afficher les noms d'hôte dans un rapport292

affichage personnalisé, ajouter, modifier, supprimer 32, 59

affichergestion des requêtes 222, 223

agrégationajouter des exceptions 56, 283

définition 55, 282

gestion des exceptions d'événement 56, 284

modification des paramètres d'une vue 312

modification des paramètres de règle 397

paramètres d'équipement 55, 283

ajouter ou modifier un pool de stockage 129

ajouter une sous-zone 350

alarmegestion des requêtes 222, 223

alarmes 239

acquittement 253

actions 248

activation 248


alarmes 239 (suite)activer 247

ajout à une règle 273

alarmes de Threat Intelligence Exchange 171, 256

alertes audio 245

conditions 248

copier 248

création 239, 246, 248, 258

création à partir d'un événement de vue 312

désactiver 247

destinataires 243

destinataires des messages 243

e-mail 240

événements de corrélation 242

événements sources, corrélation 242

fichiers audio 245

filtrer 254, 302

gravité 248

ID de signature du programme de surveillance d'état 261

incidents 254, 302

messages 183, 240

messages, configuration 240

messages, serveur de messagerie 183, 245

modèles 241

modèles de message 241

modifier 254, 302

notifications, ajouter des destinataires 184

panne d'alimentation 197, 275

procédure d'escalade 248

rapports 246, 257

reconnaître 254, 302

réglage 258

réponse 253

serveur de messagerie, messages 183, 245

SMS 240

SNMP 240

supprimer 254, 302

surveillance 253

synthèse personnalisée 276

syslog 240

UCAPL, création 258

utilisateur affecté 248, 254, 302

utilisateur affecté, modifier 254, 302

volet 15, 35

volet, afficher 36, 208

vue 253

workflow 239

alarmes déclenchéesacquittement 253

filtrer 254, 302

incidents 254, 302

modifier 254, 302

reconnaître 254, 302

supprimer 254, 302

utilisateur affecté 254, 302

alertesprocédure d'escalade d'alarmes 248

alertes uniquement, modestratégies 386

alertes visuellesaction d'alarmes 248

alias, ajout 48, 187

allocation de stockage, réduction d'ELM 130

allocation des données, définition des limites 205

allocation, définition des limites des données 205

analyses, McAfee Vulnerability Manager 178

analyseur syntaxique de fichiers Syslog avancéajout d'une règle personnalisée 366

règles 366


anciens actifs, définition 344

Anomalies de protocole DNA pour les règles ADM 159

Anomalies de protocole IP pour les règles ADM 159

Anomalies de protocole TCP pour les règles ADM 159

API externegestion des requêtes 222, 223

application des paramètres de configuration à DEM 162

arborescence de navigation des systèmesactualisation automatique, interruption 182

organiser les équipements 45

arborescence de navigation du systèmediagramme 39

archivageconfiguration des partitions inactives 205

paramètres pour le récepteur, définir 78

archivage des partitions inactives, configuration 205

ArcSight, ajouter une source de données 116

arrêter les équipements 53

arrêter plusieurs équipements 61

ASNdéfinition des paramètres d'équipement 54, 282

recherche à partir d'une vue 312

recherche, effectuer 314

ASP 366

Assistant Requête 315

aucun seuil d'activitéUCAPL, alarme 258

auditsUCAPL, alarme 258

authentification pour ePO 168

Bbase de données

gérer 203

gestion des paramètres d'index 206

pistes d'audit 384

pistes d'audit, configuration d'une règle et d'un rapport 384

serveur, ajout 166

statut 182

utilisation de la mémoire 206

Index


base de données de gestion en miroir, remplacement d'ELM 139

base de données de gestion, restauration ELM 138

blocage, listegestion d'IPS 177

IPS ou équipement virtuel 176

brouillage 221

build, affichage du logiciel 52

CCAC

ajout d'utilisateurs 210

authentification 209

chargement du certificat racine de l'autorité de certification210

connexion, configuration 210

paramètres 210

carte d'interface réseau de contournementaperçu 47, 188

configurer 48, 188

catégorieajouter un nouveau marqueur 396

ajouter une nouvelle variable 359

modifier 396

cerfiticatsUCAPL, alarme 258

certificatexpression secrète McAfee Vulnerability Manager, obtention

178

nouvelle installation 194

certificat et expression secrète McAfee Vulnerability Manager,obtention 178

certificat racine de l'autorité de certification, chargement 210

certificat racine, chargement pour CAC 210

certificat, chargement de la racine de l'autorité de certificationpour CAC 210

chargementfichiers audio 245

clééquipement 43

exporter 43

gestion d'un équipement 42

importer 44

clés de communication, exportation et restauration 222

codage de source de données ASP 114

collecteurSIEM Collector 80

commandes à distanceaction d'alarmes 248

procédure d'escalade d'alarmes 248

commandes Linux, entrée pour un équipement 51

comparaison des valeurs sur des graphiques de distribution 317

comparer les fichiers de règles 394

composantsafficher 304

ajout de paramètres 380

barre d'outils 309

composants (suite)exemple de règle 381

exporter 314

liaison 316

options de menu 312

personnalisation 306

vues 305

composants, liaison 316

compression, définition d'ELM 137

compression, gestion d'ELM 136

concordance d'événement internecondition d'alarmes 248

concordance de champcondition d'alarmes 248

condition de rapport, ajouter 292

conditionsalarmes 248

concordance d'événement interne 248

concordance de champ 248

déviation 248

fréquence d'événements 248

fréquence de déclenchement 248

fréquence de vérification 248

programme de surveillance d'état 248

seuil 248

configuration d'après des critères courants 26

configuration de source de données Adiscon 117

configuration requise minimale pour le matériel et les logiciels19

connexiondéfinition des paramètres 209

liste de contrôle d'accès 210

sécurité 208

connexionsconfiguration de McAfee Vulnerability Manager 179

modification avec ESM 54

conservation, configuration des limites pour les données 205

consignation d'un événementaction d'alarmes 248

consoleajouter un équipement 31, 42

délai d'expiration 36

diagramme 15, 35

modifier l'affichage 36, 208

thème de couleurs 36

contains, filtre 293

contrôle du trafic réseauéquipements 45

ESM 190

conventions et icônes utilisées dans ce guide 9copier et coller des règles 388

corrélation historique, ACE 143

corrélation historique, ajout de filtre 143

couche 7, délai d'extraction des événements 180

Index


créationalarmes 239

création automatique de sources de données 84

DDAS, affectation pour le stockage des données ELM 134

découverte des postes clients 346

découverte du réseau 345

gestion de la configuration 344

découvrir le réseau 345

découvrir le réseauémetteurs finauxdélai d'expiration du ping 347

intervalle de balayage ping 347

sous-réseaux sur lesquels émettre une requête ping 347

défragmenteur IP basé sur cible 360

délai d'expiration, console 36

DEMajouter une action 163

définir des actions 162

définition d'une opération 163

identification des utilisateurs 165

masques de données confidentielles 164

mettre à jour la licence 161

modification d'une action personnalisée 163

paramètres avancés, configuration 161

paramètres de configuration, application 162

références métriques des règles 373

règles 370

serveur de base de données, ajout 166

synchroniser les fichiers de configuration 161

synthèse 14, 67

démarrer les équipements 53

démarrer plusieurs équipements 61

déplacement d'un pool de stockage 129

déplacer des sources de données vers un autre système 102

désactivation d'un équipement de mise en miroir ELM 131

désactivation de la communication SSH avec ESM 54

DESM, synthèse 14, 67

destinatairesajouter 184

messages d'alarme 243

détection d'anomaliesAssistant 174

variables, modification 175

détection des analyses de ports 360

déviationcondition d'alarmes 248

DHCP, configuration 192

disposition de rapport, ajout 291

documentationconventions typographiques et icônes 9produit, obtention d'informations 10

public visé par ce guide 9données brutes, archivage 77

données de journal, restauration ELM 138

données VA, intégration 81

données VA, récupération 82

données, acquisitionMcAfee Risk Advisor 170

durée de désynchronisation entre ESM et la source de données86, 276, 277

Ee-mail

alarmes 240

notification d'incident 340

échec du journal de sécuritéUCAPL, alarme 258

échecs de connexionUCAPL, alarme 258

Editeur de stratégiesaffichage du statut de mise à jour des équipements 387

historique des modifications 399

mode surabonnement, configuration 387

éléments logiques des règles ADM, de base de données, decorrélation 272, 379


ELMajouter un équipement de stockage 129

ajouter un équipement de stockage de données en miroir131

ajouter un équipement iSCSI pour le stockage 132

allocation de stockage, réduction 130

base de données de gestion en miroir, remplacement 139

base de données de gestion, restauration 138

compression 136

compression, définition 137

configurer la communication 49

définition d'un autre emplacement de stockage 139

déplacement d'un pool de stockage 129

désactivation d'un équipement de mise en miroir 131

données de journal, restauration 138

équipement DAS pour le stockage des données ELM 134

formatage d'un équipement de stockage SAN pour ystocker des données 133

migration de la base de données 139

mise en miroir du stockage de données 130

pool de stockage en miroir, reconstruire 131

pool de stockage, ajout ou modification 129

préparation du stockage de données 125

recherche avancée 301

récupérer les données 140

restaurer 137

sauvegarder 137

stockage de données en miroir, ajout 131

stockage des journaux 127

stockage externe des données 132

synchroniser avec un équipement 49

synthèse 14, 67

travail de recherche 140

travail de recherche, affichage des résultats 137

Index


ELM (suite)travail de recherche, création 140

travail de vérification de l'intégrité 140

travail de vérification de l'intégrité, création 140

utilisation du stockage, affichage 139

vérification de l'intégrité, affichage des résultats 137

vue de recherche 301

ELM, paramètres 124

enrichissement des données 227

ajout de sources 227

exécuter des requêtes sur des équipements ePO 173

ePOajout des informations d'identification pour

l'authentification 169

événements en flux continu, affichage 68

ePolicy Orchestratoracquisition des données McAfee Risk Advisor, activation 170

configurer 4.0 115

lancement à partir d'ESM 168

marqueurs, affectation à une adresse IP 169

paramètres 168

équipement à distance, accès 224

équipement de mise en miroir, désactivation d'ELM 131

équipement de stockage SAN, formatage pour y stocker lesdonnées ELM 133

équipement de stockage, ajout d'ELM 129

équipement iSCSI, ajout pour le stockage ELM 132

équipementsactualiser 65

affichage des informations générales 52

afficher le journal 62

ajouter à la console 31, 42

ajouter un lien URL 53, 61

arrêter 53

ASN, définition des paramètres 54, 282

build 52

champ du type d'affichage 39

clé 43

commandes Linux 51

configurer les téléchargements d'événements, de flux et dejournaux 54, 280

connexion à ESM, modification 54

contrôle du trafic réseau 45

démarrer 53

désactiver des sources de données 36, 208

description de modification 53

données de statut, téléchargement 50

exporter une clé 43

géolocalisation, définition des paramètres 54, 282

gérer plusieurs 61

gestion des clés 42

gestion des clés de communication SSH 44

ID d'ordinateur 52

importer une clé 44

journal des messages 50

logiciels, mettre à jour 45, 51

équipements (suite)mettre à jour les logiciels 45, 51

modèle 52

modification d'un nom 53

modifier le type d'affichage par défaut 36, 208

nœud Groupe, suppression 33, 65

numéro de série 52

octroi de l'accès 52

organiser 32, 45, 59

paramètres d'agrégation 55, 283

port IPMI, configuration 189

rapport de comptage 182

rapports de synthèse 62

redémarrer 53

serveurs NTP 49, 185

statistiques d'équipement 50

suppression de nœuds 33, 65

supprimer 39

surveillance du trafic 52

synchroniser avec ESM 49

synchroniser les horloges 194

type d'affichage 39

version 52

équipements concomitants pour la découverte du réseau 347

équipements ePOrequête pour le tableau de bord Real Time for McAfee ePO

174

requêtes pour des rapports et des vues 173

requêtes pour l'enrichissement des données 173

équipements virtuels 57

ajouter à un équipement 59

alertes uniquement, mode 386

liste de blocage 176

règles de sélection, gestion 58

règles internes 364

ESMafficher les informations système 182

contrôle du trafic réseau 190

désynchronisation avec une source de données 86, 277

durée de désynchronisation avec la source de données 86,276

ESM redondant 214

fichiers de sauvegarde 215

fonctionnalités de sécurité 208

gérer 218

journalisation, configuration 221

mettre à jour le logiciel 29

port IPMI, configuration 189

principal et redondant, mettre à niveau 223

redondant, fonctionnement 216

redondant, remplacement 218

règles 385

restauration des paramètres 215

sauvegarder les paramètres 214

stockage des données, configuration 203

synchroniser avec un équipement 49

Index


ESM (suite)synthèse 14, 67

ESM distribuéajouter des filtres 167

propriétés 167

ESM hiérarchiques, masquer les données 221

ESM principal, mettre à niveau 223

ESM redondantconfigurer 214

enregistrer les paramètres système 217

fonctionnement 216

mettre à niveau 223

remplacement 218

état des incidents, ajouter 339

état du systèmeUCAPL, alarme 258

événement de corrélation, affichage des événements sources 78

événementsaffichage de l'heure exacte 334

ajout à un incident 338

configurer les téléchargements 54, 280

créer un incident à suivre 338

définir le seuil d'inactivité 280

description 279

gestion des exceptions à l'agrégation 56, 284

gravité, configuration des pondérations 399

informations sur les sessions, affichage 298

journal, gestion des types d'événement 220

journaux, définition de langue 31, 221


marquer comme vérifié 312


recherche de champs concordants dans une période 318

rechercher 281

récupérer 281, 282

supprimer 312

événements de corrélationalarmes, événements sources 242

événements sources, alarmes 242

événements de corrélation historique, téléchargement 144

événements de métadonnées 144

événements en flux continu pour le récepteur, NSM, ePO 68

événements sourcesalarmes, corrélation 242

corrélation, alarmes 242

événements sources, affichage pour un événement decorrélation 78

événements, flux et journauxdurée maximale de collecte 280

Event Receiversynthèse 14, 67

exceptions aux paramètres d'agrégation, ajouter 56, 283

exceptions, ajout d'une règle de pare-feu 363

exportation et importationexk, fichier 24

exportation et importation (suite)puk, fichier 24

exporterafficher 312

clé 43

clés de communication 222

composant 314

règles 390

exporter des zones 349

extensions des fichiers d'exportation 23

Ffeuille de calcul d'importation de sources de données 90

fichiers audioalarmes 245

chargement 245

fichiers de configuration, synchronisation de DEM 161

fichiers de sauvegarde, utilisation 215

filtre contains 293

filtresajouter à ESM distribué 167

ajouter des règles 365

alarme déclenchée 254, 302

barre d'outils 321

enregistrer les valeurs actuelles comme valeurs par défaut321

ID d'événement Windows 322

options, ajout et suppression 321

règles existantes 391

type personnalisé 327

UCF 322

utiliser la valeur par défaut 321

visibles aux utilisateurs et tous, basculement 321

volet 15, 35

vues 320

filtres, transfert des événements 288

filtresID normalisé, sélection 323

fluxconfigurer les téléchargements 54, 280

définir le seuil d'inactivité 280

description 279

rechercher 281

récupérer 281, 282

supprimer 312

vues 300

flux Cyber Threat 234, 255

format de la date, modifier 36, 208

Forum aux questions 11, 16

fournisseurs VA disponibles dans ESM 83

fréquence d'événementscondition d'alarmes 248

fréquence de déclenchementcondition d'alarmes 248

fréquence de vérificationcondition d'alarmes 248

Index


fuseau horaireformat, modifier 36, 208

Ggéolocalisation, définition des paramètres d'un équipement 54,

282

gestion de la configuration 344

gestion des incidentsrapports, génération 341

volet, afficher 36, 208

gestion des menaces 351

gestion des zones 348

gestionnaire d'actifs 351

gestionnaire de corrélation des risques, ajout 142

gestionnaire de corrélation, ajout 142

gestionnaire de tâches 222, 223

Global Threat Intelligence, liste de surveillance 324

grammaire des expressions régulières des règles ADM 151

graphique de distribution, comparaison des valeurs 317

gravitéalarmes 248

correspondance 108

pondérations 398

pondérations, configuration 399



gravité des risquesgestion des menacesgestion 351

vues personnalisées et prédéfinies 351

groupe d'équipements, gestion 33, 60

groupesconfiguration des utilisateurs 213

utilisateurs 207

guide, présentation 9

HHadoop PIG 229

heure de l'équipementaffichage de l'événement 334

heure de l'événementaffichage 334

heure, synchroniser 193

historiqueafficher les modifications des règles 395

modification de stratégie 399

Historique de l'exécution TIE 312

horloge des équipements, synchroniser 194

horloge système 182

Iicône d'équipements, ajout 39

icônes de lancement rapide 15, 35

ID d'ordinateur, affichage d'un équipement 52

ID de client 182

ID de signature du programme de surveillance d'état 262

alarmes 261

ID normalisésélection 323

identification des utilisateursajout d'une règle 165

gérer 165

imagesajout à une page de connexion 28

inclusion dans des PDF et des rapports 292

importerclé d'équipement 44

fichier de normalisation de chaîne 326

liste de sources de données 89

règles 389

variable 359

importer des paramètres de zone 349

importer, noms d'hôte 191

incidentsaction d'alarmes 248

afficher les détails 339

afficher tout 340

ajout d'événements à un incident existant 338

ajouter 337

créer à partir d'une alarme déclenchée 254, 302

envoi d'un e-mail lors de l'ajout ou la modification 340

envoi de l'incident sélectionné par e-mail 340

état, ajouter 339

état, ajouter ou modifier 340

événements sources, afficher 340

fermer 338

filtrer 340

modifier 338

notification par e-mail 340

rapports, génération 341


index de cumul, augmenter le nombre d'index disponibles 204

index, augmenter le nombre d'index de cumul disponibles 204

indexation du cumul, gestion 206

indexation, cumul 206

indicateurs d'état d'intégrité 39, 62

indicateurs de menaces (IOC) 234, 255

indicateurs informatifs 62

indicateurs, équipement ou système 62

informations d'identification pour ePO 168

informations d'identification pour l'authentification ePO 168

informations d'identification, obtention et ajout pour la mise àjour des règles 29

informations sur les sessions, affichage 298

interfacegestion du réseau 46, 186

paramètres réseau 46, 187

interruptions SNMPUCAPL, alarme 258

Index


IPadresse, affectation de marqueurs ePolicy Orchestrator 169

IP, gestion de la liste des exclusions 346

IPSalertes uniquement, mode 386

Assistant Détection d'anomalies 174

configurer les paramètres 174


liste de blocage automatique, configurer 178

liste de blocage, gestion 177

rapport d'analyse, génération 176


trafic prioritaire, variable 400

variables de détection d'anomalies, modification 175

itinéraires statiques, ajout 47, 188

Jjeux de filtres

gérer 321

jeux de règles 122

Jeux de règles McAfee 122

journal des événements WMI 106

journal des messages, affichage pour un équipement 50

journal système, afficher 62

journalisationactivation des flux 300

afficher le système ou l'équipement 62

configuration d'ESM 221

console, première fois 27

déconnexion, console 27

définition du pool par défaut 50

journalisation des flux, activation 300

journauxconfigurer les téléchargements 54, 280

définition de langue 31, 221

description 279

gérer 220

rechercher 281

types générés 220

journaux de sécurité Windows 107

journaux, stockage ELM 127

Llancement

ePolicy Orchestrator 312

ePolicy Orchestrator à partir d'ESM 168

langue, définition pour les journaux des événements 31, 221

LDAPauthentification de la connexion 209

serveur, authentification des utilisateurs 212

lecteur local virtuel 134

lecteur local, virtuel 134

liaison de composants 316

licence, mise à jour de DEM 161

limites de conservation des données, configuration 205

limites, configuration de la conservation des données 205

Linuxcommandes 224

commandes disponibles 225

liste de blocageajouter une entrée McAfee Network Security Manager 179

automatique, règles 391

configurer la liste de blocage automatique 178

d'un événement d'une vue 312

entrée McAfee Network Security Manager supprimée, ajoutou suppression 180

globale 226

globale, configuration 226

liste de blocage automatique, configurer 178

liste de contrôle d'accès, configuration 210

liste de surveillanceajout d'événements 312

ajouter 324

ajouter des règles 396

aperçu 323

création dans une vue 312

créer 395

GTI 324

liste de surveillance GTI 324

liste de valeursaction d'alarmes 248

gestion des requêtes 222, 223

liste de valeurs de Threat Intelligence Exchange 171, 256

liste globale de blocage 226

configurer 226

listes de valeurssources Internet 325

listes noiresaction d'alarmes 248

littéraux des règles ADM 151

logiciel, mettre à jour ESM 29

logicielsmettre à jour sur plusieurs équipements 61

logiciels, configuration requise minimale 19

logiciels, mettre à jour l'équipement 45, 51

logo, ajout à une page de connexion 28

Mmachine virtuelle, configuration du stockage de données 204

maintenance des fichiers, gestion 216

mappage réseau 347

marquage ePO 168

marqueur ePOaction d'alarmes 248

marqueursaffectation d'ePolicy Orchestrator à une adresse IP 169

ajouter 396

attribuer aux règles ou aux actifs 396

catégorie, ajouter 396

Index


marqueurs (suite)gravité 398

modifier 396

personnalisé, supprimer 396

supprimer personnalisé 396

masquage des adresses IP 221

masques de données confidentielles 164

gérer 164

matériel 182

matériel, configuration requise minimale 19

McAfee ePOinformations d'identification des utilisateurs, configuration

37, 212

McAfee Network Security Managerajout ou suppression 180

entrée de liste de blocage supprimée 180

entrée de liste de blocage, ajouter 179

paramètres 179

McAfee Risk Advisoracquisition des données 170

acquisition des données, activation 170

McAfee ServicePortal, accès 10

McAfee Vulnerability Manageranalyse, exécution à partir d'une vue 312

certificat et expression secrète, obtention 178

connexions, configuration 179

exécuter des analyses 178

paramètres 178

McAfee, MIB 197

mémoire, utilisation de la base de données 206

mémorisation automatique de sources de données,configuration 104

menacesactiver ou désactiver pour le calcul des risques 352

afficher les détails 352

message syslogUCAPL, alarme 258

messagerieserveur de messagerie, connexion 183, 245

messagesaction d'alarmes 248

alarmes 183, 240

alarmes, configuration 240

alarmes, destinataires 243

alarmes, serveur de messagerie 183, 245

destinataires, alarmes 243

e-mail 240

modèles de message 241


serveur de messagerie, connexion 183, 245

SMS 240

SNMP 240

syslog 240

mettre à jourlogiciels sur plusieurs équipements 61

statut des stratégies des équipements, affichage 387

mettre à jour la licence DEM 161

mettre à jour le logiciel d'ESM 29

mettre à jour les logiciels de l'équipement 45, 51

mettre à niveauESM principal et redondant 223

récepteur haute disponibilité 75

MIBextraction depuis ESM 202

MIB McAfee 197

migration de base de donnéeslecteur local virtuel 134

migration de la base de données, ELM 139

migrer des sources de données vers un autre récepteur 102

mise en miroir du stockage des données ELM 130

mises à jourrecherche de règle 30

règles, récupérer 393

mode Alertes uniquementactivation 387

mode FIPSactiver 21

communication avec plusieurs équipements ESM 24

équipement à clé activée, ajout 23

extensions de fichier 23

fonctionnalités disponibles non conformes 21

fonctionnalités disponibles uniquement en mode FIPS 21

fonctionnalités supprimées 21

résoudre les problèmes 26

restauration d'informations 23

sauvegarde d'informations 23

sélectionner 21

terminologie 23

vérification de l'intégrité 22

mode surabonnement, configuration 387

modèle, affichage d'un équipement 52

modèles, messages d'alarme 241

modifications des règles, affichage de l'historique 395

modifier des règles 388

modules de protocoles de messagerie e-mail pour les règlesADM 158

modules de protocoles de messagerie web pour les règles ADM158

modules de protocoles de transfert de fichier pour les règlesADM 158

moteur de corrélation des risques, ACE 141

moteur de corrélation, ACE 141

mots de passemodifier 36, 208

par défaut 27

mots de passe dans la Visionneuse des sessions, affichage 146

Nnavigation dans le système

arborescence 15, 35

barre 15, 35

Index


Nitro IPSsynthèse 14, 67

nœuds Equipement en double, suppression 34, 61

nœuds Equipement, suppression de doublon 34, 61

noms d'hôtegérer 190, 191

noms d'hôte, afficher dans un rapport 292

noms d'hôte, importation d'une liste 191

normalisation 385

normalisation de chaînecréer un fichier à importer 326

gestion des fichiers 326

normalisation des requêtes web 360

normalisation RPC 360

notification de panne d'alimentation 195, 273

notification, configuration SNMP 49

NSMcouche 7 180


Outil de configuration NSM-SIEM 119

numéro de sérieaffichage d'un équipement 52

système 182

Oobtention des événements et des flux, icône 39

octroi, accès aux équipements 52

opérateurs des règles ADM 151

opération, définition pour DEM 163

Ppage de connexion, personnalisation 28

panne d'alimentationalarmes 197, 275

paramètres d'index, base de données 206

paramètres de configuration, application à DEM 162

paramètres de filtre, modification du transfert des événements288

paramètres de la requête ping pour la découverte du réseau347

paramètres DEM avancés, configuration 161

paramètres des émetteurs finaux pour la découverte réseau 347

paramètres des messages 183, 240

paramètres propres à DEM 160

paramètres réseauconfiguration du port IPMI 189

paramètres systèmeenregistrer sur un ESM redondant 217

restaurer 214

sauvegarder 214

paramètres, ajout à une règle ou à un composant de corrélation380

parcourir la référence à partir d'une vue 312

pare-feu, règlesaccès 176

pare-feu, règles (suite)types 362

partage de fichiers Groupe résidentiel, désactivation 128

partage de fichiers, désactivation de Groupe résidentiel 128

partitions inactives, configuration de l'archivage 205

PDF, inclusion d'une image 292

permuter les rôles des récepteurs haute disponibilité 74

personnaliséfiltres de type 327

plusieurs équipementsgérer 61

icône de gestion 39

pondérations de la gravité, configuration 399

pool de journalisation par défaut, définition 50

pool de stockage, ajout d'un équipement de stockage à lier 129

pool de stockage, déplacement 129

pool de stockage, reconstruire en miroir 131

port IPMI, configuration du réseau 189

port IPMI, configuration sur l'ESM ou les équipements 189

portsrécepteur haute disponibilité, réseau 71

postes clients, découverte 346

préférences de la console 34

préférences du volet des vues 36

préférences, console 34

prise en charge des relais Syslog 118

procédure d'escaladealarmes 248

profil de commandes à distance, configurer 194

profil système VA, définition 81

profils, configurer 194

programme de surveillance d'étatcondition d'alarmes 248

ID de signature 262

propriétés propres aux protocoles pour les règles ADM 158

protocoleévénements d'anomalie 144

protocole TCP, anomalies 360

RRADIUS

authentification de la connexion 209

paramètres d'authentification 209

rapportgestion des requêtes 222, 223

rapport d'analyse, génération IPS 176

rapport heure d'événement 182

rapportsaction d'alarmes 248

afficher les noms d'hôte 292

ajouter 291

ajouter une condition 292

alarmes 246, 257

analyse IPS, génération 176

annulation 246, 257

Index


rapports (suite)arrêt 246, 257

définis par l'utilisateur 290

disposition 291


file d'attente 246, 257

gestion des incidents, génération 341

heure de l'événement 182

inclusion d'une image 292

nombre de types d'équipement ESM 182

notifications, ajouter des destinataires 184

prédéfinis 290


suppression 246, 257

synthèse des équipements 62

téléchargement 246, 257

trimestriels, définition du mois de début 291

rapports de requête CSV 183, 240

rapports trimestriels, définition du mois de début 291

Real Time for McAfee ePOexécution d'actions 170

requêtes ePO pour le tableau de bord 174

réassemblage TCP basé sur cible 360

récepteursource d'actif, ajouter 123


récepteur défaillant, remplacer 77


configurer les équipements 72

dépannage d'une défaillance 77

mettre à niveau 75

permuter les rôles 74

ports réseau 71

réinitialiser l'équipement secondaire 73

remplacer un récepteur défaillant 77

vérifier le statut 75

récepteur haute disponibilité secondaire, réinitialiser 73

récepteursarchivage des données brutes 77

configurer les paramètres 68


paramètres d'archivage, définir 78

sources d'actif 123

récepteurs haute disponibilité 68

recherche de champs concordants dans les événements d'unepériode 318

recherche ELM avancée 301

recherche, travail 140

rechercher dans ELM 312

reconnaissance automatiqueaction d'alarmes 248

reconstruire un pool de stockage en miroir 131

reconstruire, pool de stockage en miroir 131

récupération VA, résolution des problèmes 83

récupérer les mises à jour de règles 393

redémarrer les équipements 53

redémarrer plusieurs équipements 61

redondance des ELMpermuter des ELM 135

remettre en service l'ELM de secours 135

suspendre la communication avec l'ELM de secoursafficher les informations sur la synchronisation des

données 135

désactiver la redondance 135

réduction de l'allocation de stockage ELM 130

référencement d'un dictionnaire ADM 151

références métriquesADM, règles 156

règles DEM 373

réglagealarmes 258

règle de suivi des transactions, ajouter ou modifier 383

règlesaction de remplacement après téléchargement 398

afficher la signature 393

ajout d'une alarme 273

ajouter à la liste de surveillance 396

analyseur syntaxique de fichiers Syslog avancé 366

comparer des fichiers 394

copier et coller 388

création personnalisée à partir d'un événement 312

effacer les statuts de mise à jour 394

événements déclencheurs 144

événements Windows 369

exporter 390

filtrer 391

gravité 398

historique des modifications, afficher 395

importer 389

informations d'identification pour les mises à jour 29

internes 364

liste de blocage automatique 391

modifier 388

modifier les paramètres d'agrégation 397

normalisation 385

pare-feu, accès 176

personnalisées, afficher 388

préprocesseur 360, 361

recherche des mises à jour 30

récupérer les mises à jour 393

source de données 367

standard, accès 176

suivi des transactions, ajouter ou modifier 383


types et propriétés 357

variables 358

règles approfondies d'inspection des paquets 363

ajouter 364

attributs, ajout 364

Index


règles ASPdéfinir l'ordre 366

formats d'heure, ajout 367

règles ASP personnalisées, ajout 366

règles d'accès aux données, ajout ou modification 383

règles de base de donnéesajouter 378



règles de corrélation 377

afficher les détailsconfiguration pour afficher les détails 378

ajout de paramètres 380

ajouter 378

conflits lors de l'importation 389



exemple 381

règles de Threat Intelligence Exchange 171, 256

règles personnalisées, gestion 383

règles de création automatique de sources de données, ajout 85

règles de filtredéfinir l'ordre 366

ordre des données 365

ordre des règles 365

règles de liste de blocage automatique 391

règles de pare-feu 362

ajouter des exceptions 363

ajouter des règles personnalisées 363

créer à partir d'un événement ou d'un flux 312

règles de préprocesseur 360, 361

règles de sélection des équipements virtuels, gestion 58

règles de source de données 367

mémorisées automatiquement, gestion 368

règles de source de données mémorisées automatiquement,gestion 368

règles DEMrègles personnalisées, gestion 383


gérer 364

règles personnaliséesafficher 388

règles standard, accès 176

règles téléchargées, action de remplacement 398

réinitialiser le récepteur haute disponibilité secondaire 73

remedyparamètres serveur 182

Remedyaction d'alarmes 248

ID d'incident, ajout à un enregistrement d'événement 314

ID d'incident, définition 312

remplacer un récepteur haute disponibilité défaillant 77

réponse àalarmes 253

requêtesgérer 222, 223

supprimer les exécutions en cours 222, 223

réseauconfigurer les paramètres 186

gestion des interfaces 46, 186

interfaces, définition pour les équipements 46, 187

ports pour récepteur haute disponibilité 71

topologie, composant, ajout d'équipements 307

topologie, détails d'équipement 308

réseau local virtuel (VLAN)ajouter 48, 187

modifier 312

réseau, mappage 347

résolution des problèmesdéfaillance d'un récepteur haute disponibilité 77

résoudre les problèmes liés au mode FIPS 26

restauration de fichiers de configuration sauvegardés 215

restauration des paramètres ESM 215

restaurerclés de communication 222

paramètres système 214

restaurer ELM à partir d'une sauvegarde 137

risquemenaces à inclure dans le calcul 352

rôles administratifsUCAPL, alarme 258

Ssauvegarde, restauration 215

sauvegarderELM 137

ESM, paramètres 214

paramètres système 214

score de corrélation des risques 142

score, corrélation des risques 142

sécurité, clés de communication SSH 44

sécurité, fonctionnalités 208

serveur Altiris, récupération des données 347

serveur de messageriealarmes, connexion 183, 245

connexion 183, 245

serveurs NTPaffichage de statut 185

configuration d'un équipement 49, 185

ServicePortal, obtention de documentation sur le produit 10

session TCP, détournement 360

sessions simultanéesUCAPL, alarme 258

seuilcondition d'alarmes 248

seuil d'inactivité, définir 280

signature de règle, afficher 393

Index


SMSalarmes 240

SNMPalarmes 240

configuration 194

configuration de notifications 49

MIB 197

notification de panne d'alimentation 195, 273

paramètres 195

source de donnéesdésynchronisation avec ESM 86, 277

source de données ASP (analyseur syslog avancé)codage différent de UTF-8 114

source de données IBM ISS SiteProtector 120

source VA, ajout 82

sources d'actif 347

ajouter à un récepteur 123

gérer 347

récepteur 123


affichage désactivé 36, 208

afficher les fichiers générés 104

ajout pour ArcSight 116

ajouter 79

ajouter un enfant 87

analyseur syntaxique de fichiers Syslog avancé 109

Check Point, configurer 121

client, ajouter 88

client, rechercher 89

clientes 88

Codage ASP (analyseur syslog avancé) 114

codage pour ASP (analyseur syslog avancé) 114

Common Event Format 116

configuration d'Adiscon 117

configurer ePolicy Orchestrator 4.0 115

corrélation 107

correspondance de la gravité et des actions 108

création automatique 84

déplacer vers un autre système 102

durée de désynchronisation avec ESM 86, 276

feuille de calcul d'importation 90

gérer 80

IBM ISS SiteProtector 120

importation, feuille de calcul 90

importer une liste 89

journal des événements WMI 106

journaux de sécurité Windows 107

McAfee ePO 119

mémorisation automatique, configuration 104

migrer vers un autre récepteur 102

prise en charge des relais Syslog 118

prises en charge 105

règles de création automatique, ajout 85

Security Device Event Exchange (SDEE) 114

types définis par l'utilisateur 104

sources de données au format CEF 116

sources de données Check Point, configurer 121

sources de données clientes 88

ajouter 88

rechercher 89

sources de données de corrélation 107

sources de données enfants, ajouter 87

sources de données McAfee ePO 119

sources de données prises en charge 105

sources de données SDEE 114

sources de données, actions de règles 368

sources Internetcréer une liste de valeurs 325

sources, ajout d'enrichissement des données 227

sous-zonesajouter 350

SSHclés de communication, gestion des équipements 44

communication, désactivation avec ESM 54

régénération de clé 222

statistiques, affichage pour un équipement 50

statutéquipements, affichage de la mise à jour des stratégies 387

inactif 62


statut d'équipement, téléchargement de données 50

statut de règles mises à jour, effacer 394

stockageconfiguration des données de machine virtuelle ESM 204

configuration des données ESM 203

stockage de données en miroir, ajout d'ELM 131

stockage de données, ajout d'ELM en miroir 131

stockage de données, mise en miroir d'ELM 130

stockage de données, préparation du stockage desdonnées ELM 125

stockage des donnéesconfiguration d'ESM 203

configuration de machine virtuelle ESM 204

lecteur local virtuel 134

stockage des données ELM, préparation 125

stockage des journaux ELM 127

stockage ELM, estimation des besoins 124

stockage externe des données ELM 132

stockage, autre emplacement ELM 139

stratégieafficher les règles 355

ajouter 355

appliquer les modifications 400

arborescence des stratégies 354

copier 355

exporter 355

icônes de l'arborescence des stratégies 354

importer 355

rechercher 355

renommer 355

Index


stratégie (suite)stratégie enfant, ajouter 355

supprimer 355

suivi d'un événement 338

suivi de session TCP/UDP 360

suivi du workflow 338

support technique, recherche d'informations sur un produit 10

supprimée, entrée de liste de blocage McAfee Network SecurityManager, ajout ou suppression 180

supprimeralarme déclenchée 254, 302

événements ou flux 312

règles personnalisées 388

surveillancealarmes 253

surveillance du trafic des équipements 52

synchronisation de l'heure 193

synchroniser l'équipementhorloges 194

synchroniser l'heure système 193

synchroniser un équipement avec ESM 49


syslogalarmes 240

TTCP

détournement de session 360

protocole, anomalies 360

téléchargerévénements, flux et journaux 54, 280

terminal, utilisation des commandes Linux 224

thème de couleurs, console 36

Threat Intelligence Exchangeintégration à ESM

historique d'exécution 171, 256

trafic prioritaire, gestionnaire 400

transfert des événementsactivation ou désactivation 287

agents 286

ajout de destinations 285

ajout de filtres 288

configuration 284

configurer 284

modification des paramètres 288

modification des paramètres de filtre 288

travail de recherche, affichage des résultats 137

travail de recherche, création 140

travail de vérification de l'intégritécréation 140

type d'affichage des équipements, sélectionner 32, 60

type d'affichage par défaut, modifier 36, 208

type d'affichage, sélectionner 32, 60

type personnaliséajout de groupe nom/valeur 333

type personnalisé de groupe nom/valeur, ajout 333

types de règle 357

types de source de données définis par l'utilisateur 104

types de terme des règles ADM 154

types personnalisésajout de l'heure 333

création 329

nom/valeur 333

prédéfinis 329

types personnalisés d'heure, ajouter 333

types personnalisés nom/valeur 333

UUCAPL

alarmes, création 258

aucun seuil d'activité, alarme 258

audits, alarme 258

certificats, alarme 258

échec du journal de sécurité, alarme 258

échecs de connexion, alarme 258

état du système, alarme 258

interruptions SNMP, alarme 258

message syslog, alarme 258

rôles administratifs, alarme 258

sessions simultanées, alarme 258

UCF, filtres 322

URL, lienajouter des informations sur l'équipement 53

URL, liensajouter à un équipement 61

utilisateur affectéprocédure d'escalade d'alarmes 248

utilisateursajout d'une connexion CAC 210

ajouter 207

authentification auprès d'un serveur LDAP 212

désactiver 212

gestion 207

nom par défaut 27

réactiver 212

utilisation du stockage, affichage d'ELM 139

Vvariables 358

catégorie, ajouter 359

importer 359

modifier 359

modifier le type 359

personnalisé, ajouter 359

priority_traffic 400


vérification de l'intégrité, affichage des résultats 137

vérification de l'intégrité, travail 140

version, affichage du logiciel 52

Index


vidage TCP 52

Visionneuse des sessions ADM, affichage des mots de passe 146

Visionneuse des sessions, affichage des mots de passe 146

volet des incidents 15, 35

vue par défaut, modification 319

vuesajouter des vues personnalisées 304

barre d'outils 15, 35, 298

barre d'outils de composant 309

composants 304

composants, description 305

composants, personnalisation 306

détails des données 309

données d'une vue 320


filtrage 320

filtres 320

flux 300

gérer 318

nom d'hôte, affichage à la place de l'adresse IP 304

par défaut, modification 319

prédéfinies 299

recherche ELM avancée 301

volet 15, 35

vues d'origine 299

vues prédéfinies 299

vulnérabilitéévaluation 348

gérer les sources 348

gravité 398

WWHOIS

recherche à partir d'une vue 312

recherche, effectuer 314

Windowsfiltres d'ID d'événement 322

règles d'événements 369

ZZipZap 360

zonesajouter 349

ajouter une sous-zone 350

exporter des paramètres 349

gérer 348

importer des paramètres de zone 349

Index
